Seite 2 von 3

Verfasst: 10. Mär 2012 18:02
von sporn
Janka hat geschrieben:

Achso, konkret: Dient dein Interesse an OpenLDAP dazu, Active Directory nachbilden zu wollen? Wenn ja, vergiss es und arbeite dich lieber in Samba 4 ein, da wird ein auf MS-Bedürfnisse abgestimmter LDAP dabei sein.


Janka
jap genauso hab ich auch angefangen.
als erstes aktuellste opensuse 21.1 installiert
danach openldap und openldap2 hinzugefügt
updates runtergeladen und warte mit meinem vm-box das ich da weiterkomme.
also konkret besteht mein problem aus einer sache.
die certifikate ich habe eins selber erstellt und muss wenn ich TLS anklicke bei openldap 3 dateien auswählen.
beim ersten steht es soll eine CA datei sein die mit pem endet
beim zweiten eine pem datei und beim dritten den key.
so meine frage wäre wo werden diese zertifikate genau abgelebt und welche dateien kommen der reihenfolge nach da rein?
nachdem das aufgesetzt wurde soll man sich abmelden und als root anmelden,
ist damit das gemeint das ich mich als der cn=administrator anmelde und weitermache
oder soll ich mich mit dem root acount neu anmelden?

Verfasst: 10. Mär 2012 21:26
von Janka
Welche Anleitung benutzt du?

Janka

Verfasst: 11. Mär 2012 7:40
von sporn
http://doc.opensuse.org/documentation/h ... .ldap.html
und noch ein zwei andere auf deutsch beschriebene seiten
aber im prinzip immer halt das problem erstmal mit dem zertifikat gewesen.

noch eine frage der ersteller der ldap datenbank ist ja nicht der besitzer sonder der Administrator oder?
also muss ich wenn ich die zertifikate hinbekommen habe mich als ldap administrator anmelden um es weiter bearbeiten zu können kann das sein?

Verfasst: 11. Mär 2012 10:55
von sporn
http://www.mpipks-dresden.mpg.de/~muell ... .yast.html

so ich werde mich an die anleitung halten,
ich glaube ich habe da eins verstanden das ich bis jetzt immer als user mit eingeschränkten rechten eingeloggt war und nicht als "administrator" sprich root.
habe mich durch die bilder in die irre leiten lassen.
so jetzt werde ich als root anmelden und dann versuchen die schritte abzuarbeiten.
mal sehen ob es mit den zertifikaten diesmal klappt.

Verfasst: 11. Mär 2012 11:10
von Janka
Es ist sinnvoll, die bereits benutzten Hilfen immer anzugeben, denn vielleicht sind sie veraltet oder gehen das Problem auf eine andere Weise an als der hinzugerufene Helfer das tun würde. Das kann große Verwirrung stiften.

Aus dieser Anleitung geht leider nicht genau hervor, wo YaST die Dateien hinwirft. Mach mal bitte

Code: Alles auswählen

# grep -inr tls /etc/openldap
um nach den entsprechenden Direktiven in den Configdateien zu gucken.
noch eine frage der ersteller der ldap datenbank ist ja nicht der besitzer sonder der Administrator oder?
Das sind drei paar Schuhe. LDAP ist bei Microsoft ein integraler Bestandteil des Systems, daher sind bestimmte Rollen dort immer identisch, damit es kein Durcheinander gibt. Bei Linux ist LDAP eine Wahlkomponente und es auch nicht definiert, welche Teile des Systems sie wie nutzen sollen. Daher machen solche Rollen wie "Ersteller" und "Besitzer" auch wenig Sinn.

Wem die Datenbankdatei gehört ist z.B. für die Funktion völlig egal, weil der Zugriff ohnehin immer über den LDAP-Server erfolgt, und dieser die passenden Dateirechte hat. Der "Administrator"-DN ist auch nur innerhalb des LDAP-Servers für deren Funktion entscheidend, so wie das z.B. auch bei einer SQL-Datenbank mit interner Rechteverwaltung der Fall wäre. Das hat mit dem Unix-"root"-Benutzer nichts zu tun.

Wenn man dann LDAP für die SMB/CIFS-Authentifizierung benutzen will, gibt es auch wieder mehrere Wege. Der einfachste ist es, Samba anzuweisen, LDAP direkt zu benutzen. Alternativ kann man aber auch die lokale Anmeldung am Linux-Server über PAM auf LDAP stützen und dann Samba anweisen, Kerberos/PAM zu nutzen. Es gibt da viele viele Möglichkeiten und das macht es nicht besonders einfach.
also muss ich wenn ich die zertifikate hinbekommen habe mich als ldap administrator anmelden um es weiter bearbeiten zu können kann das sein?
Um innerhalb der Datenbank herumzufummeln musst du dich beim LDAP-Server als Administrator anmelden. Der Client zum Zugriff hat einen eigenen Login für den LDAP-Server. Das ganze ist völlig unabhängig vom lokalen Login, solange du PAM nicht passend eingrichtet hast - was du erst tun solltest, wenn alles andere funzt *und* du das lokale Login auch unbedingt über LDAP brauchst. Um die Zertifikatsdateien einzuspielen musst du nur die passenden Dateirechte haben, was mit LDAP erst einmal gar nichts zu tun hat.

Die von dir benutzte Anleitung ist da etwas unglücklich, weil YaST es erlaubt, alle Schritte auf einmal zu vollziehen, was funktionieren *kann*, aber nicht muss, und im letzteren Fall stehst du dann im Wald und weißt nicht, wo es hakt. Das ist dann nicht anders als bei Microsoft. Bloß passiert es da seltener, weil es eben nicht so viele Konfigurationsmöglichkeiten gibt.

Janka

Verfasst: 11. Mär 2012 11:35
von hjb
sporn hat geschrieben: ich habe nochmal nachgeschaut leider hab ich keine aktivierungslink empfangen, wäre es möglich das nochmal zu senden?
Eigentlich bist du als Benutzer schon aktiviert. Kannst du dich anmelden?

Edit: Hat sich wohl erledigt, wie ich sehe.

Grüße,
hjb

Verfasst: 11. Mär 2012 12:03
von sporn
# grep -inr tls /etc/openldap v

habe die konsole aufgemacht und genauso eingegeben aber es passiert da nichts.
habe den pfad händisch aufgemacht da sind
2 ordner drin einmal schema und slapd.d
dann sind da noch vier textdok. drin ldap.conf, ldap.conf.default, slapd.conf und slapd.conf.default drin.

also mit den zertifikaten habe ich es hinbekommen hab in etwa begriffen wie es abläuft aber nun steh ich vorm nächsten problem.

starting ldap service is failed.
der konnte den service nicht starten, wie kann ich eine fehlerdiagnose bekommen?
wo findet man die ereignissanzeige?

also mein ziel ist es ldap aufzusetzen und danach samba so das samba von ldap die grundkonfiguration holt schaut ok der user xy hat sich authentifiziert dem weise ich die und die rechte zu so habe ich es verstanden soll es funktionieren.

so noch einmal editieren angesagt :-)
also ich hab einen neustart gemacht und siehe da jetzt funktioniert ldap service.

Verfasst: 11. Mär 2012 13:47
von Janka
sporn hat geschrieben:# grep -inr tls /etc/openldap v

habe die konsole aufgemacht und genauso eingegeben aber es passiert da nichts.
Den # gibst du nicht ein. Er bedeutet, dass du den Befehl an einem root-Prompt eingeben sollst. Das ist nämlich ein #. Du kommst an ein solches mit dem Befehl

Code: Alles auswählen

$ su
heran. $ gibst du auch nicht ein, das ist das User-Prompt. Wenn gar nichts davorsteht, gehört das Geschriebene in eine Datei.
habe den pfad händisch aufgemacht da sind
2 ordner drin einmal schema und slapd.d
dann sind da noch vier textdok. drin ldap.conf, ldap.conf.default, slapd.conf und slapd.conf.default drin.
Und da drin wäre irgendwo tls erwähnt, diese Zeilen hätte der grep oben herausgefiltert.

also mit den zertifikaten habe ich es hinbekommen hab in etwa begriffen wie es abläuft aber nun steh ich vorm nächsten problem.

starting ldap service is failed.
der konnte den service nicht starten, wie kann ich eine fehlerdiagnose bekommen?
wo findet man die ereignissanzeige?
Bei SuSE werden die Meldungen des LDAP standardmäßig in die Datei /var/log/messages reingeloggt.
also mein ziel ist es ldap aufzusetzen und danach samba so das samba von ldap die grundkonfiguration holt schaut ok der user xy hat sich authentifiziert
Das kann LDAP leisten.
dem weise ich die und die rechte zu so habe ich es verstanden soll es funktionieren.
Das nicht. LDAP stellt nur Benutzernamen und Kennwort bzw. andere Tokens zur Verfügung. Die SMB/CIFS-Rechte werden über die smb.conf und über die Rechte des Dateisystems verwaltet, aus dem der smbd seine Daten holt. Das ist übrigens auch bei einem MS-Windows-Server nicht anders. Deshalb braucht man für Rechteverwaltung auch kein LDAP. Das sind zwei verschiedene Paar Schuhe.

Janka

Verfasst: 11. Mär 2012 16:33
von sporn
Janka hat geschrieben: also mein ziel ist es ldap aufzusetzen und danach samba so das samba von ldap die grundkonfiguration holt schaut ok der user xy hat sich authentifiziert
Das kann LDAP leisten.
dem weise ich die und die rechte zu so habe ich es verstanden soll es funktionieren.
Das nicht. LDAP stellt nur Benutzernamen und Kennwort bzw. andere Tokens zur Verfügung. Die SMB/CIFS-Rechte werden über die smb.conf und über die Rechte des Dateisystems verwaltet, aus dem der smbd seine Daten holt. Das ist übrigens auch bei einem MS-Windows-Server nicht anders. Deshalb braucht man für Rechteverwaltung auch kein LDAP. Das sind zwei verschiedene Paar Schuhe.

Janka[/quote]

also bei microsoft ist es doch so
Active Directory ermöglicht es, ein Netzwerk entsprechend der realen Struktur des Unternehmens oder seiner räumlichen Verteilung zu gliedern. Dazu verwaltet es verschiedene Objekte in einem Netzwerk wie beispielsweise Benutzer, Gruppen, Computer, Dienste, Server, Dateifreigaben und andere Geräte wie Drucker und Scanner und deren Eigenschaften. Mit Hilfe von Active Directory kann ein Administrator die Informationen der Objekte organisieren, bereitstellen und überwachen. zitat aus wikipedia
so danach kann man diese noch nachträglich in den gruppenrichtlinien bearbeiten und die rechte genauer konfigurieren.

ldap wiederum:

Einsatzgebiete von LDAP:

Benutzerverwaltung,
Elektronisches Telefonbuch für Firmen,
E-Mail-Adressverzeichnis,
Zertifikatsverwaltung (Sicherheitsinformationen wie Passwörter),
HelpDesk (Hardware-/Software-Datenbank),
Zugangskontrolle (Building-Security SmartCard,SecuID-Card),
Ressourcen­Verwaltung (Räume, Gegenstände, usw.).
http://www.kr8.de/ldap.htm

also im prinzip ja das selbe und samba ist bzw dachte ich immer wäre um die rechte dann besser konfigurieren zu können.
ich hatte mir so vorgestellt mittels ldap organisationeinheiten zu erstellen z.b.
mitarbeiter denen eingeschränkte rechte zu geben.
so das wenn sich die leute authentifiziert haben einloggen dürfen und mit eingeschränkten rechten arbeiten dürfen, danach im samba Serverfreigaben und Druckerfreigaben geben.
da man samba so einstellen kann das es sich mit ldap abgleicht, dachte ich ldap übernimmt die aufgabe die leute zu authentifizieren und samba gibt danach die Serverfreigaben und drucker frei.
hoffe ich irrre mich nicht aber mir qualmt langsam der kopf :D

Verfasst: 11. Mär 2012 18:47
von sporn
ich hab den befehl ausgeführt und das hier kam dabei raus



/etc/openldap/schema/suse-mailserver.schema:68:attributetype ( MailAT:10 NAME ( 'suseTLSPerSiteMode' 'TLSPerSiteMode' )
/etc/openldap/schema/suse-mailserver.schema:69: DESC 'Shows how tls will be used: NONE | MAY | MUST | MUST_NOPEERMATCH'
/etc/openldap/schema/suse-mailserver.schema:101:attributetype ( MailAT:15 NAME ( 'suseTLSPerSitePeer' 'TLSPerSitePeer' )
/etc/openldap/schema/suse-mailserver.schema:102: DESC 'The hostname of the tls_per_site peer machine'
/etc/openldap/schema/suse-mailserver.schema:180:objectclass ( MailOC:6 NAME ( 'suseTLSPerSiteContainer' 'TLSPerSiteContainer' ) SUP top STRUCTURAL
/etc/openldap/schema/suse-mailserver.schema:181: DESC 'To build TLS per side maps'
/etc/openldap/schema/suse-mailserver.schema:182: MUST ( suseTLSPerSiteMode $ suseTLSPerSitePeer ) )
/etc/openldap/slapd.d/cn=config.ldif:12:olcTLSCACertificateFile: /etc/ssl/certs/YaST-CA.pem
/etc/openldap/slapd.d/cn=config.ldif:13:olcTLSCertificateFile: /etc/ssl/servercerts/servercert.pem
/etc/openldap/slapd.d/cn=config.ldif:14:olcTLSCertificateKeyFile: /etc/ssl/servercerts/serverkey.pem
/etc/openldap/ldap.conf:16:tls_cacert /etc/ssl/certs/YaST-CA.pem
/etc/openldap/schema/suse-mailserver.schema:68:attributetype ( MailAT:10 NAME ( 'suseTLSPerSiteMode' 'TLSPerSiteMode' )
/etc/openldap/schema/suse-mailserver.schema:69: DESC 'Shows how tls will be used: NONE | MAY | MUST | MUST_NOPEERMATCH'
/etc/openldap/schema/suse-mailserver.schema:101:attributetype ( MailAT:15 NAME ( 'suseTLSPerSitePeer' 'TLSPerSitePeer' )
/etc/openldap/schema/suse-mailserver.schema:102: DESC 'The hostname of the tls_per_site peer machine'
/etc/openldap/schema/suse-mailserver.schema:180:objectclass ( MailOC:6 NAME ( 'suseTLSPerSiteContainer' 'TLSPerSiteContainer' ) SUP top STRUCTURAL
/etc/openldap/schema/suse-mailserver.schema:181: DESC 'To build TLS per side maps'
/etc/openldap/schema/suse-mailserver.schema:182: MUST ( suseTLSPerSiteMode $ suseTLSPerSitePeer ) )
/etc/openldap/slapd.d/cn=config.ldif:12:olcTLSCACertificateFile: /etc/ssl/certs/YaST-CA.pem
/etc/openldap/slapd.d/cn=config.ldif:13:olcTLSCertificateFile: /etc/ssl/servercerts/servercert.pem
/etc/openldap/slapd.d/cn=config.ldif:14:olcTLSCertificateKeyFile: /etc/ssl/servercerts/serverkey.pem
/etc/openldap/ldap.conf:16:tls_cacert /etc/ssl/certs/YaST-CA.pem


jetzt ist ein neues problem aufgetreten wenn ich jetz den client bearbeite
und bei der erweiterten konfiguration reingehe steht da unter konfigurations base DN
ou=ldapconfig,dc=example,dc=com links davon ist ne option auf durchsuchen wenn ich daraufklicke dann kommt eine fehlermeldung im deteail steht da
connect error
TLS: hostname does not match CN in peer certificate
aber auf dem ldap-server läuft tls ist eingeschaltet und die zertifiakte wurden automatisch übernommen vom tls

Verfasst: 11. Mär 2012 20:07
von Janka
sporn hat geschrieben: also bei microsoft ist es doch so
Active Directory ermöglicht es, ein Netzwerk entsprechend der realen Struktur des Unternehmens oder seiner räumlichen Verteilung zu gliedern. Dazu verwaltet es verschiedene Objekte in einem Netzwerk wie beispielsweise Benutzer, Gruppen, Computer, Dienste, Server, Dateifreigaben und andere Geräte wie Drucker und Scanner und deren Eigenschaften. Mit Hilfe von Active Directory kann ein Administrator die Informationen der Objekte organisieren, bereitstellen und überwachen. zitat aus wikipedia
so danach kann man diese noch nachträglich in den gruppenrichtlinien bearbeiten und die rechte genauer konfigurieren.
Das Active Directory verwaltet nicht die Berechtigungen auf Dateiebene, sondern nur die Tokens, die Benutzer benutzen können, um dann auf der Dateiebene als ein bestimmter Benutzer identifiziert zu werden. Die Rechte an Dateien werden im Dateisystem verwaltet.

Die anderen Sachen werden bei Active Directory tatsächlich über das Directory verwaltet, und genau das ist ja der große Unterschied zu früher, wo das auch bei Microsoft querbeet lief und zu Linux, wo das im Bezug auf Samba 3 ebenfalls der Fall ist. Deshalb meinte ich ja, arbeite dich gleich in Samba 4 ein, da soll das auch alles in den LDAP hinein, was bisher noch über Konfigurationsdateien läuft.

Mit OpenLDAP kannst du dies nicht abbilden, weil der Samba 3-Dienst sich daraus nur Benutzer-Tokens holt und die ganze Diensteverwaltung über /etc/samba/smb.conf läuft.
Einsatzgebiete von LDAP:
Benutzerverwaltung,
Elektronisches Telefonbuch für Firmen,
E-Mail-Adressverzeichnis,
Zertifikatsverwaltung (Sicherheitsinformationen wie Passwörter),
HelpDesk (Hardware-/Software-Datenbank),
Zugangskontrolle (Building-Security SmartCard,SecuID-Card),
Ressourcen­Verwaltung (Räume, Gegenstände, usw.).
http://www.kr8.de/ldap.htm
LDAP - auch Active Directory - ist bloß eine Datenbank mit einem vorgegebenen Schema, das speziell die Organisationsstruktur von Unternehmens-DV abbilden soll. Mehr nicht. Es sind die Dienste, die den Daten in diesem Verzeichnis eine Bedeutung geben und daraus Nutzen ziehen. Und das tut Samba 3 eben nur sehr eingeschränkt.

("Active" heißt das Directory bei MS ja, weil es eben nicht bloß ein Telefonverzeichnis ist, sondern sich wirklich alle Dienste erst einmal dort bedienen sollen, bevor sie die Registry oder gar Ini-Dateien bemühen.)
also im prinzip ja das selbe und samba ist bzw dachte ich immer wäre um die rechte dann besser konfigurieren zu können.
ich hatte mir so vorgestellt mittels ldap organisationeinheiten zu erstellen z.b.
mitarbeiter denen eingeschränkte rechte zu geben.
so das wenn sich die leute authentifiziert haben einloggen dürfen
Das geht mit Samba 3. Dafür musst du Samba sagen, dass es die im SMB/CIFS-Login angelieferten Token mit dem LDAP vergleichen soll, *oder* Kerberos/PAM mit dem LDAP verknüpfen und Samba sagen, dass es sie im SMB/CIFS-Login angelieferten Token mit Kerberos/PAM vergleichen soll.
und mit eingeschränkten rechten arbeiten dürfen
Das geht über die Dateirechte. Mountest du das entsprechende Dateisystem auf dem Server lokal mit der Option "acl", damit das Dateisystem erweiterte Rechte abbildet und sagst Samba, dass er das auch nutzen soll. Danach wird Samba die MS-Windows-Rechte auf POSIX-ACLs abbilden. Das hat nichts mit LDAP zu tun, sondern klappt auch mit jeder anderen Form des Logins.
danach im samba Serverfreigaben und Druckerfreigaben geben.
Geht so nicht mit Samba 3. Die Freigaben und ihre Parameter musst du in /etc/samba/smb.conf festlegen.

Janka

Verfasst: 11. Mär 2012 20:21
von Janka
sporn hat geschrieben: /etc/openldap/slapd.d/cn=config.ldif:12:olcTLSCACertificateFile: /etc/ssl/certs/YaST-CA.pem
/etc/openldap/slapd.d/cn=config.ldif:13:olcTLSCertificateFile: /etc/ssl/servercerts/servercert.pem
/etc/openldap/slapd.d/cn=config.ldif:14:olcTLSCertificateKeyFile: /etc/ssl/servercerts/serverkey.pem
Und? Sind diese drei Dateien dort vorhanden, wo sie sein sollten?
jetzt ist ein neues problem aufgetreten wenn ich jetz den client bearbeite
und bei der erweiterten konfiguration reingehe steht da unter konfigurations base DN
ou=ldapconfig,dc=example,dc=com links davon ist ne option auf durchsuchen wenn ich daraufklicke dann kommt eine fehlermeldung im deteail steht da
connect error
TLS: hostname does not match CN in peer certificate
aber auf dem ldap-server läuft tls ist eingeschaltet und die zertifiakte wurden automatisch übernommen vom tls
Da ich deine Zertifikate nicht kenne, kann ich dir auch nicht sagen, was konkret falsch ist. Allerdings ist die Fehlermeldung "hostname does not match CN in peer certificate" ziemlich aussagekräftig. Danach kann man googlen. Vermutlich ist der CN, den du im Zertifikat nutzt, nicht qualifiziert, also z.B. nur "localhost", nicht "localhost.site" oder so.

EDIT: Ich sehe gerade, "example.com" Das ist natürlich Unsinn, da musst du deine lokale Domain eintragen!

Janka

Verfasst: 11. Mär 2012 20:57
von sporn
danke das du dich der sache so geduldig annimmst :D

also ich halte mich ja an die seite wo alles bildlich drinsteht und ich dachte das example.com auch vergeben werden darf.
also räts du mir das ich lieber z.b. firmenname.local nehme?
noch ist alles bißchen chaotisch für mich muss das heute erledigte erstmal absacken lassen.
was ich aber nicht verstehe oder verstanden habe ist wenn ich ldap server laufen lasse und dann den client konfiguriere sollte ich da user eintragen?
wenn ja versteh ich ein paar kleinigkeiten nicht ganz bzw werde morgen mir das nochmal genauer anschauen wie gesagt war heute sehr viel stoff das ich erst noch verarbeiten muss.

also bei ldap ist es ja so es gibt
dn, dc, ou , usw usf.
hast du vlt einen link wo ich mich über die unterschied belesen kann?
und wegen samba da werd ich mir die aktuellste version holen aber das hat noch zeit erstmal ldap hinbekommen und das mehrfach ohne fehlermeldungen usw.
danach ist er samba dran :-)

Verfasst: 12. Mär 2012 12:26
von Janka
sporn hat geschrieben:also ich halte mich ja an die seite wo alles bildlich drinsteht und ich dachte das example.com auch vergeben werden darf.
also räts du mir das ich lieber z.b. firmenname.local nehme?
Nein, du musst im Zertifikat einen Hostnamen eintragen, auf den der Server antwortet.

Code: Alles auswählen

$ hostname
janskiste.localdomain
Sonst akzeptiert TLS das nicht.

was ich aber nicht verstehe oder verstanden habe ist wenn ich ldap server laufen lasse und dann den client konfiguriere sollte ich da user eintragen?
Ohne dass Daten in der LDAP-Datenbank drin sind, ist sie relativ nutzlos, ja.
also bei ldap ist es ja so es gibt
dn, dc, ou , usw usf.
hast du vlt einen link wo ich mich über die unterschied belesen kann?
Am simpelsten geht das mit smbldap-useradd, das trägt alles so ein, wie Samba es später benötigt. Wenn du dem Benutzer weitere Informationen hinzufügen willst, kannst du das ja über eins der Dutzend grafischen Tools machen, die es gibt.
http://wiki.samba.org/index.php/Samba_&_LDAP
und wegen samba da werd ich mir die aktuellste version holen aber das hat noch zeit erstmal ldap hinbekommen und das mehrfach ohne fehlermeldungen usw.
danach ist er samba dran :-)
Wie gesagt, bei Samba 4 ist ein eigener LDAP-Server dabei. Das gibt dann wieder andere Probleme, wenn man parallel den OpenLDAP weiterbetreiben möchte.

Janka

Verfasst: 12. Mär 2012 20:05
von sporn
ok danke für die hilfe erstmal
ich werde das projekt denke ich mal nicht mehr für meine prüfung machen,werde hier leider gottes small business server mir vornehmen.
danach werde ich mcih weiter dransetzen und es stimmt es führt kein weg an konsolenarbeit vorbei bei linux systemen.
also es klappt alles nur der fehler mit dem certifkat erscheint immer noch ohne tls kann ich drauf zu greifen aber mit tls gehts nicht.

nebenbei merke ich noch was ich finde die programme die ich installiere wie z.b. ldap acount manager nicht bzw da kam ne fehlermeldung.
also heißt linux distrubutionen fehlersuchen fehlersuchen fehlersuchen :D