Index: head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml =================================================================== --- head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml +++ head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/network-servers/chapter.xml,v 1.103 2011/12/24 15:51:18 bcr Exp $ - basiert auf: r44430 + basiert auf: r44566 --> - Lightweight Access Directory Protocol - (<acronym>LDAP</acronym>) LDAP Das Lightweight Directory Access Protocol (LDAP) ist ein Protokoll der - Anwendungsschicht und wird verwendet, um Objekte mithilfe eines + Anwendungsschicht, das verwendet wird um Objekte mithilfe eines verteilten Verzeichnisdienstes abzurufen, zu verändern und zu authentifizieren. Betrachten Sie es als ein Telefonbuch, das homogene Informationen in mehreren hierarchischen Ebenen - speichert. Es wird häufig in Netzwerken genutzt, in denen - Benutzer unter Verwendung eines einzigen Kontos auf diverse - interne Informationen zugreifen müssen. Beispielsweise kann + speichert. Es wird in Active Directory und + OpenLDAP-Netzwerken eingesetzt, in + denen Benutzer unter Verwendung eines einzigen Kontos auf + diverse interne Informationen zugreifen. Beispielsweise kann E-Mail-Authentifizierung, Abfrage von Kontaktinformationen und Website-Authentifizierung über ein einzelnes Benutzerkonto aus der Datenbank des LDAP-Servers erfolgen. - Dieser Abschnitt behandelt nicht die Geschichte oder - Details der Implementierung des Protokolls. Diese Abschnitte - wurden verfasst, um einen LDAP-Server - und/oder -Client sowohl schnell, als auch sicher zu - konfigurieren. Jedoch erfordert jede Informationsbasis - sorgfältige Planung, und dies ist keine Ausnahme. - - Bei der Planung sollte bestimmt werden, welche Art von - Informationen gespeichert werden, für was diese Informationen - verwendet werden, wer Zugriff auf die Daten bekommen soll, und - wie diese Daten vor neugierigen Blicken geschützt werden - können. + Dieser Abschnitt enthält eine kompakte Anleitung, um einen + LDAP-Server auf einem &os;-System zu + konfigurieren. Es wird vorausgesetzt, dass der Administrator + bereits einen Plan erarbeitet hat, der verschiedene Punkte + umfasst, unter anderem die Art der zu speichernden + Informationen, für was die Informationen verwendet + werden, welche Benutzer Zugriff auf die Informationen haben und + wie die Informationen vor unbefugtem Zugriff geschützt + werden. <acronym>LDAP</acronym> Terminologie und Struktur - Da bei der Konfiguration leicht Verwechselungen entstehen, - werden zuvor einige Aspekte von LDAP - erklärt. Zunächst bestehen alle Verzeichniseinträge aus einer - Gruppe von Attributen. Jede - Attributgruppe enthält einen Namen, also einen eindeutigen - Bezeichner, der als DN oder - distinguished name bekannt ist. - Dieser setzt sich normalerweise aus mehreren anderen - Attributen, wie dem RDN zusammen. - RDN, oder relative - distinguished name, ist ein geläufiger - Begriff für ein Attribut. Wie bei Verzeichnissen gibt es auch - hier absolute und relative Pfade. Betrachten Sie + LDAP verwendet mehrere Begriffe die + Sie verstehen sollten bevor Sie die Konfiguration beginnen. + Alle Verzeichniseinträge bestehen aus einer Gruppe von + Attributen. Jede + Attributgruppe enthält einen eindeutigen Bezeichner, der als + distinguished name + (DN) bekannt ist. Dieser setzt sich + normalerweise aus mehreren anderen Attributen, wie dem + Relative Distinguished Name + (RDN) zusammen. Wie bei Verzeichnissen + gibt es auch hier absolute und relative Pfade. Betrachten Sie DN als absoluten Pfad und RDN als relativen Pfad. - Beispielsweise könnte ein Eintrag wie folgt - aussehen: + Beispielsweise könnte ein LDAP-Eintrag + wie folgt aussehen. Dieses Beispiel sucht nach dem Eintrag + für das angegebene Benutzerkonto (uid), + Organisationseinheit (ou und Organisation + (o): - &prompt.user; ldapsearch -xb "uid=trhodes,ou=users,o=example.com" + &prompt.user; ldapsearch -xb "uid=trhodes,ou=users,o=example.com" +# extended LDIF - # extended LDIF # # LDAPv3 # base <uid=trhodes,ou=users,o=example.com> with scope subtree @@ -2322,22 +2320,25 @@ mail: trhodes@example.com cn: Tom Rhodes uid: trhodes -telephoneNumber: (xxx) xxx-xxxx +telephoneNumber: (123) 456-7890 # search result search: 2 result: 0 Success # numResponses: 2 -# numEntries:1 +# numEntries:1 - Obwohl die Bedeutung der einzelnen Attribute in diesem - Beispiel offensichtlich ist, sollte das Attribut - cn genauer betrachtet werden. Dies ist der - zuvor beschriebene RDN. Darüber hinaus - gibt es eine eindeutige Benutzer-ID. Es ist gängige Praxis, - in den Einträgen einheitliche uid oder uuids zu haben, um - zukünftige Migrationen zu erleichtern. + Die Einträge in diesem Beispiel zeigen die Werte für die + Attribute dn, mail, + cn, uid und + telephoneNumber. Das Attribut + cn ist der RDN. + + Weitere Informationen über LDAP und + dessen Terminologie finden Sie unter + http://www.openldap.org/doc/admin24/intro.html. @@ -2346,83 +2347,70 @@ LDAP Server - Um &os; so zu konfigurieren, dass es als - LDAP-Server fungiert, muss der Port - OpenLDAP installiert werden. Dies kann unter Verwendung von - pkg_add, oder durch Installation von - net/openldap24-server erreicht werden. Der - Bau des Ports wird empfohlen, da der Administrator zu diesem - Zeitpunkt eine Menge Optionen aktivieren und deaktivieren - kann. In den meisten Fällen werden die Standardwerte - ausreichend sein. Sollte jedoch Unterstützung für SQL nötig - sein, ist dies der richtige Zeitpunkt zur Aktivierung. - - Von nun an werden ein paar Verzeichnisse benötigt. Ein - Verzeichnis für Daten, sowie ein Verzeichnis zum - Speichern der Zertifikate. Erstellen Sie beide Verzeichnisse - mit den folgenden Befehlen: + &os; integriert keinen LDAP-Server. + Beginnen Sie die Konfiguration durch die Installation des + Ports oder Pakets net/openldap24-server. + Da der Port viele konfigurierbare Optionen hat, ist es + empfehlenswert zu prüfen, ob die Installation des Pakets + ausreichend ist. Wenn Sie irgendwelche Optionen ändern + möchten, ist es besser den Port zu übersetzen. In den meisten + Fällen sollten die Standardwerte ausreichend sein. Wenn + Sie jedoch SQL-Unterstützung benötigen, muss diese Option + aktiviert und der Port nach den Anweisungen in übersetzt werden. - &prompt.root; mkdir /var/db/openldap-data + Als nächstes muss ein Verzeichnis für Daten sowie ein + Verzeichnis für die Zertifikate erstellt werden: - &prompt.root; mkdir /usr/local/etc/openldap/private + &prompt.root; mkdir /var/db/openldap-data +&prompt.root; mkdir /usr/local/etc/openldap/private Kopieren Sie die Konfigurationsdatei der Datenbank: &prompt.root; cp /usr/local/etc/openldap/DB_CONFIG.example /var/db/openldap-data/DB_CONFIG - Im nächsten Schritt werden die - SSL-Zertifikate konfiguriert. Das - Erstellen von Zertifikaten wird zwar in OpenSSL beschrieben, aber hier - ist eine Zertifizierungsstelle erforderlich, weshalb eine - andere Methode verwendet wird. Es wird empfohlen, diesen Teil - genau zu überprüfen, um sicherzustellen, dass bei der - Erstellung des Zertifikats die richtigen Informationen - eingetragen werden. - - Die folgenden Befehle müssen im Verzeichnis + Im nächsten Schritt wird die Zertifizierungsstelle + konfiguriert. Die folgenden Befehle müssen in /usr/local/etc/openldap/private ausgeführt werden. Dies ist wichtig, da die Dateiberechtigungen restriktiv gesetzt werden und Benutzer keinen direkten Zugriff auf diese Daten haben sollten. Geben - Sie folgende Befehle ein, um die Zertifikate zu - erstellen: + Sie folgenden Befehl ein, um die Zertifizierungsstelle zu + erstellen und folgen Sie den Anweisungen: - &prompt.root; openssl req -days 365 -nodes -new -x509 -keyout ca.key -out ../ca.crt + &prompt.root; openssl req -days 365 -nodes -new -x509 -keyout ca.key -out ../ca.crt Diese Einträge sind frei wählbar, mit Ausnahme von Common Name. Hier muss etwas anderes als - der Hostname des Systems eingetragen werden, ansonsten würde - das System versuchen, den eigenen Hostnamen zu überprüfen. - Wenn wie in diesem Beispiel ein selbstsigniertes Zertifikat - verwendet wird, stellen Sie dem Hostnamen einfach das Präfix - CA für die Zertifizierungsstelle - voran. + der Hostname des Systems eingetragen werden. Wenn ein + selbstsigniertes Zertifikat verwendet wird, stellen Sie dem + Hostnamen einfach das Präfix CA für die + Zertifizierungsstelle voran. Die nächste Aufgabe besteht darin, einen Zertifikatsregistrierungsanforderung (CSR) - sowie einen privaten Schlüssel zu erstellen. Dazu geben Sie - die folgenden Befehle ein: + sowie einen privaten Schlüssel zu erstellen. Geben Sie + folgenden Befehl ein und folgen Sie den Anweisungen: - &prompt.root; openssl req -days 365 -nodes -new -keyout server.key -out server.csr + &prompt.root; openssl req -days 365 -nodes -new -keyout server.key -out server.csr - Stellen Sie hierbei sicher, dass der - common name richtig eingetragen - wird. Anschließend muss der Schlüssel signiert werden: + Stellen Sie hierbei sicher, dass + Common Name richtig eingetragen wird. + Anschließend muss der Schlüssel signiert werden: - &prompt.root; openssl x509 -req -days 365 -in server.csr -out ../server.crt -CA ../ca.crt -CAkey ca.key -CAcreateserial + &prompt.root; openssl x509 -req -days 365 -in server.csr -out ../server.crt -CA ../ca.crt -CAkey ca.key -CAcreateserial Der letzte Schritt für die Erstellung der Zertifikate besteht darin, die Client-Zertifikate zu erstellen und zu signieren: - &prompt.root; openssl req -days 365 -nodes -new -keyout client.key -out client.csr + &prompt.root; openssl req -days 365 -nodes -new -keyout client.key -out client.csr &prompt.root; openssl x509 -req -days 3650 -in client.csr -out ../client.crt -CAkey ca.key Achten Sie wieder auf das Attribut - common name. Dies sorgt häufig + Common name. Dies sorgt häufig für Verwirrung bei der erstmaligen Konfiguration von LDAP. Stellen Sie außerdem sicher, dass bei diesem Verfahren acht (8) neue Dateien erzeugt worden