13.3. OpenLDAP Daemons and Utilities

Die Suite der OpenLDAP Bibliotheken und Tools ist über folgende Pakete verteilt:

Das openldap-servers-Paket enthält zwei Server: den Standalone LDAP Daemon (/usr/sbin/slapd) und den Standalone LDAP Update Replication Daemon (/usr/sbin/slurpd).

Der slapd-Daemon ist der eigenständige LDAP-Server, während der slurpd-Daemon zum Synchronisieren der Änderungen von einem LDAP-Server auf andere LDAP-Server im Netzwerk verwendet wird. Der slurpd-Daemon ist nur erforderlich, wenn mehrere LDAP-Server verwendet werden.

Das openldap-server-Paket installiert zum Durchführen von Verwaltungsaufgaben folgende Utilities in /usr/sbin:

WarnungWarnung
 

Stellen Sie sicher, dass slapd mit Hilfe von /usr/sbin/service slapd stop angehalten wird, bevor Sie slapadd, slapcat oder slapindex verwenden. Andernfalls riskieren Sie die Integrität des LDAP-Verzeichnis.

Weitere Informationen zur Verwendung dieser Utilities finden Sie auf den jeweiligen man-Seiten.

Das openldap-clients-Paket installiert Tools zum Hinzufügen, Ändern und Löschen von Einträgen eines LDAP-Verzeichnisses in /usr/bin/. Diese Tools beinhalten Folgendes:

Alle Utilities, ldapsearch ausgenommen, sind einfacher durch Verweisen auf eine Datei mit den vorzunehmenden Änderungen zu verwenden, als durch Eingabe eines Befehls für jeden Eintrag, der in einem LDAP-Verzeichnis geändert werden soll. Das Format solcher Dateien wird auf der man-Seite der jeweiligen Applikation skizziert.

13.3.1. NSS, PAM, and LDAP

Neben den OpenLDAP-Paketen enthält Red Hat Enterprise Linux das Paket nss_ldap, das die Möglichkeit LDAP in Linux- und andere UNIX-Umgebungen zu integrieren optimiert.

Das Paket nss_ldap stellt folgende Module zur Verfügung:

Die libnss_ldap-<glibc-version>.so Module ermöglichen Applikationen, Benutzer, Gruppen, Hosts und sonstige Informationen mit Hilfe eines LDAP-Verzeichnisses über die Schnittstelle Nameservice Switch (NSS) zu suchen (ersetzen Sie <glibc-version> mit der verwendeten Version von libnss_ldap). NSS erlaubt Applikationen eine Authetifizierung unter Verwendung von LDAP in Verbindung mit dem Name-Service Network Information Service (NIS) und Klartext-Authentifizierungsdateien.

Das Modul pam_ldap ermöglicht PAM-fähigen Applikationen, Benutzer mit Hilfe von in einem LDAP-Verzeichnis gespeicherten Informationen zu authentifizieren. PAM-fähige Applikationen umfassen Konsolenanmeldung, POP- und IMAP-Mail-Server und Samba. Wenn ein LDAP-Server im Netzwerk bereitgestellt wird, können alle Anmeldesituationen gegen eine Benutzer-ID und Passwortkombination authentifizieren und so die Verwaltung spürbar vereinfachen.

13.3.2. PHP4, LDAP und Apache HTTP Server

Red Hat Enterprise Linux enthält auch Pakete mit LDAP-Modulen für die PHP-serverseitige Skriptsprache.

Das Paket php-ldap fügt LDAP-Unterstützung zur PHP4 HTML-eingebetteten Skriptsprache über das Modul /usr/lib/php4/ldap.so hinzu. Dieses Modul ermöglicht PHP4-Skripten, auf Informationen zuzugreifen, die in einem LDAP-Verzeichnis gespeichert sind.

Red Hat Enterprise Linux wird mit dem Modul mod_authz_ldap für Apache HTTP Server ausgeliefert. Dieses Modul verwendet die Kurzform des "Distinguished Name" als Subjekt und den Aussteller des Client-SSL-Zertifikats, um den "Distinguished Name" des Benutzers innerhalb eines LDAP-Verzeichnisses zu bestimmen. Es kann auch Benutzer anhand den Attributen der Einträge im LDAP-Verzeichnis autorisieren, wobei Zugriff auf ein Asset auf Benutzerrechte und Gruppenrechten des Asset basiert und Zugriff für Benutzer mit abgelaufenen Passwörtern abgelehnt wird. Das Modul mod_ssl wird für die Verwendung des Modul mod_authz_ldap benötigt.

WichtigWichtig
 

Das Modul mod_authz_ldap authetifiziert einen Benutzer zu einem LDAP-Verzecihnis mit einem verschlüsselten Passwort-Hash. Diese Funktionalität ist im experimentellen Modul mod_auth_ldap enthalten, das nicht in Red Hat Enterprise Linux enthalten ist. Sehen Sie die Website der Apache Software Foundation Online unter http://www.apache.org/ für Informationen zum Status dieses Moduls.

13.3.3. LDAP Client-Applikationen

Es stehen grafische LDAP-Clients zur Verfügung, die das Erstellen und Ändern von Verzeichnissen unterstützen. Diese sind allerdings nicht im Lieferumfang von Red Hat Enterprise Linux enthalten. Eine solche Anwendung ist LDAP Browser/Editor — Ein Java-basiertes Tool, das unter http://www.iit.edu/~gawojar/ldap zur Verfügung steht.

Die meisten anderen LDAP-Clients greifen auf die Verzeichnisse im Lesemodus zu und verwenden sie zum Verweisen (und nicht Ändern) auf unternehmensweite Informationen. Beispiele für diese Anwendungen sind Sendmail, Mozilla, Gnome Meeting, und Evolution.