Nekem LDAP-SASL azonosítási rendszerem van, amely a DIGEST-MD5 mechanizmust használja. Ahhoz, hogy működjön szigorúan ezekhez a lépésekhez ragaszkodva jutottam el:
Töltsük le a SleepyCat aktuális verzióját (4.2.52 -a doksi frissítésekor), majd fordítsuk le. Letöltés után csak a doc/install.html (abban a könyvtárban, ahova kitömörítetted a csomagot) fájlban talált instrukciókra támaszkodtam.
Kicsomagolás után a várható parancsok:
root@rdnt03:/usr/local/BerkeleyDB.4.2/build_unix#../dist/configure root@rdnt03:/usr/local/BerkeleyDB.4.2/build_unix#make root@rdnt03:/usr/local/BerkeleyDB.4.2/build_unix#make install |
Töltsük le a Cyrus SASL aktuális változatát (2.1.17), tömörítsük ki és kövessük a doc/install.html-ben található utasításokat! Itt figyelnünk kell egy kicsit: ugyanis a konfiguráció során néhány env (környezeti változó) paramétert is meg kell adnunk
root@rdnt03:/usr/local/cyrus-sasl-2.1.17#env CPPFLAGS="-I/usr/local/BerkeleyDB.4.2/include" LDFLAGS="-L/usr/local/BerkeleyDB.4.2/lib" ./configure |
A CPPFLAGS és LDFLAGS környezeti változóknak a Berkeley DBD telepítési könyvtárában található include és lib könyvtáraira kell mutatniuk.
Ezután már futtathatók a következők:
root@rdnt03:/usr/local/cyrus-sasl-2.1.17#make root@rdnt03:/usr/local/cyrus-sasl-2.1.17#make install root@rdnt03:/usr/local/cyrus-sasl-2.1.17#ln -s /usr/local/lib/sasl2 /usr/lib/sasl2 |
Végül, telepítettem az OpenLDAP programot (2.2.5) ugyanazokat az utasításokat használva, mint az SASL-nél csak futtatva a konfigurációs szkriptet:
root@rdnt03:/usr/local/openldap-2.2.5#env CPPFLAGS="-I/usr/local/BerkeleyDB.4.2/include" LDFLAGS="-L/usr/local/BerkeleyDB.4.2/lib" ./configure |
Ezután futtattam a továbbiakat:
root@rdnt03:/usr/local/openldap-2.2.5#make depend root@rdnt03:/usr/local/openldap-2.2.5#make root@rdnt03:/usr/local/openldap-2.2.5#make install |
Majd létrehoztam a sasl felhasználói adatbázist:
root@rdnt03:~# saslpasswd2 -c admin |
Jelszót kell majd beírni. FIGYELEM! A felhasználónév ne egy DN (megkülönböztető név) legyen. A jelszó ugyanaz legyen mint az admin jelszó a címtár fánál.
Most be kell állítani az sasl-regexp direktívát a slapd.conf fájlban, mielőtt elindítanánk a slapd démont és tesztelni kezdenénk az azonosítást. Az én slapd.conf fájlom a /usr/local/etc/openldap könyvtárban csücsül:
sasl-regexp uid=(.*),cn=rdnt03,cn=DIGEST-MD5,cn=auth uid=$1,ou=People,o=Ever |
Ez a paraméter ebben a formában van:
uid=<username>,cn=<realm>,cn=<mech>,cn=auth
A felhasználónév az sasl-ből vétetik, és az ldap keresési sztringbe illesztődik, a $1 helyére. A territóriumod valószínüleg a FQDN-ből (domain) jön, de néha nem, mint nálam sem. Ahhoz, hogy megtudjuk mi a felségterületeted a következőket kell tenni:
root@rdnt03:~# sasldblistusers2 admin@rdnt03: userPassword admin@rdnt03: cmusaslsecretOTP |
Esetemben az rdnt03 jelzi a domén-t. Ha ez a Te FQDN-d nem lehet problémád. A következő LDIF fájlt használom:
dn: o=Ever o: Ever description: Organization Root objectClass: top objectClass: organization dn: ou=Staff, o=Ever ou: Staff description: These are privileged users that can interact with Organization products objectClass: top objectClass: organizationalUnit dn: ou=People, o=Ever ou: People objectClass: top objectClass: organizationalUnit dn: uid=admin, ou=Staff, o=Ever uid: admin cn: LDAP Adminstrator sn: admin userPassword: {SHA}5en6G6MezRroT3XKqkdPOmY/BfQ= objectClass: Top objectClass: Person objectClass: Organizationalperson objectClass: Inetorgperson dn: uid=admin,ou=People,o=Ever objectClass: top objectClass: person objectClass: organizationalPerson objectClass: inetOrgPerson userPassword: {SHA}5en6G6MezRroT3XKqkdPOmY/BfQ= displayName: admin mail: admin@eversystems.com.br uid: admin cn: Administrator sn: admin |
Adjunk bejegyzéseket az LDAP címtárunkhoz a következő paranccsal:
slapadd -c -l Ever.ldif -f slapd.conf -v -d 256 |
Most elindíthatjuk a slapd démont, és futtassunk le egy keresést az ldapsearch parancs használatával:
root@rdnt03:~# ldapsearch -U admin@rdnt03 -b 'o=Ever' '(objectclass=*)' SASL/DIGEST-MD5 authentication started Please enter your password: SASL username: admin@rdnt03 SASL SSF: 128 SASL installing layers ... Entries ... |
Ennyi! Amennyiben jobban szeretnéd használni az SASL-t Kerberos V vagy GSSAPI mechanizmusokkal, íme egy hasznos link: http://www.openldap.org/doc/admin22/sasl.html Ez az oldal feltételezi, hogy már túl vagy az SASL telepítésén és beállításán. A levelezőlista segíthet, ha elakadnál: http://asg.web.cmu.edu/sasl/index.html#mailinglists
Előző | Tartalomjegyzék | Következő |
Azonosítás LDAP használatával | Fel | Grafikus LDAP eszközök |