Tag: OpenLDAP

Konfiguracja klienta LDAP dla autofs w systemie Solaris

Ostatnim razem pisałem o konfiguracji serwera LDAP do obsługi automountera. Teraz czas na konfigurację klienta po stronie systemu Solaris. Zakładam, że w profilu DUAConfigProfile zdefiniowane są atrybuty i klasy, o których pisałem poprzednio. Najlepiej...

LDAP DIT

Konfiguracja autofs w LDAP – dla Linuxa i Solarisa

Jeśli masz serwer LDAP jako repozytorium użytkowników w swoich systemach, dobrze też posiadać serwer NFS do przechowywania katalogów domowych użytkowników. Zamiast konfigurować mapy autofs na każdym serwerze lepiej skonfigurować serwer LDAP do ich przechowywania....

OpenDJ – modyfikowanie schematu bez zatrzymywania serwera

Pisałem wcześniej o konwersji schematów do LDIF oraz o dodawaniu schematów offline poprzez wgranie do katalogu config/schema w OpenDJ i restart serwera. Teraz opiszę jak rozszerzyć schemat w trybie online, czyli bez konieczności restartu...

LDAP meta directory

Czasem jest potrzeba spięcia dwóch, lub kilku LDAPów z tymi samymi suffixami w jeden katalog lub postawienia tzw. proxy. Moje pierwsze próby spięcia dwóch katalogów polegały na zrobieniu replikacji z dwóch różnych źródeł. To rozwiązanie ma jednak pewne wady. Po pierwsze, żeby działała replikacja syncprov, to środowisko musi być jednolite, czyli wszystkie serwery źródłowe i ldap proxy, a właściwie replika muszą być oparte na OpenLDAP. Po drugie, zaobserwowałem, że takie środowisko jest niestabilne, ze względu na wspomniane już wcześniej problemy z replikacją w OpenLDAP.

Migracja danych z OpenLDAP do OpenDJ

Jeśli posiadacie już jakieś dane w katalogu opartym na OpenLDAP i istnieje potrzeba migracji tychże do OpenDJ, to można to zrobić na kilka sposobów. Najszybszym jest przeniesienie ich między backendami. Po drodze należy jednak...

Konfiguracja dostarczania poczty w LDAP

Ostatnim razem pisałem o uwierzytelnianiu użytkowników w katalogu LDAP aby umożliwiać im odbieranie i nadawanie poczty. Teraz nadszedł czas aby skonfigurować Postfixa aby dostarczał pocztę do właściwych skrzynek.
Jeśli sam kompilujesz Postfixa musisz pamiętać o dodaniu do niego wsparcia dla LDAP. Mój opis tym razem bazuje na Ubuntu, więc trzeba tylko zainstalować odpowiedni pakiet postfix-ldap:
[bash]
$ sudo -i
# apt-get install postfix-ldap
[/bash]
To załatwi sprawę wsparcia map ldap: w Postfixie.
Teraz idziemy do konfiguracji Postfixa:

OpenLDAP-2.4.25

OpenLDAP jest implementacją open source protokołu Lightweight Directory Access Protocol.


soft@wega:~/openldap% ./drf_openldap-2.4.25_conf 
cc: Sun C 5.10 SunOS_sparc 2009/06/03
usage: cc [ options] files.  Use 'cc -flags' for details
MANPATH=/usr/local/share/man:/usr/local/man:/usr/share/man
PATH=/usr/local/bin:/usr/bin:/opt/SUNWspro/bin:/usr/ccs/bin
CFLAGS=-fast -xautopar
CPPFLAGS=-I/usr/local/ssl/include -I/usr/local/BerkeleyDB.5.1/include -I/usr/local/include
CXXFLAGS=-fast -xautopar
LDFLAGS=-L/usr/local/ssl/lib -R/usr/local/ssl/lib -L/usr/local/BerkeleyDB.5.1/lib -R/usr/local/BerkeleyDB.5.1/lib -L/usr/local/lib -R/usr/local/lib
=============================================
dmake clean [y|n] ?
n

Mail system authentication in LDAP

I suppose that Dovecot and Postfix are up and running, and you can receive and send mail with system user (see previous posts). It is time to configure authentication in LDAP.

Use of directory service to user authentication allows for flexible management of mail system, hosting and so on. LDAP is established standard for authentication and authorization and almost all software which requires authentication support this protocol.

Let’s begin from POP3/IMAP Dovecot server, which also deliver authentication mechanism for Postfix:


/usr/bin/sudo -i
cd /etc/dovecot
vi dovecot-ldap.conf

In this file you need to define LDAP server/s parameters, authentication method, filter and attributes. I list those most important:


hosts = localhost
auth_bind = yes
base = o=hosting,dc=example,dc=com
scope = subtree
user_attrs = homeDirectory=home
user_filter = (&(objectClass=mailUser)(mail=%u))
pass_attrs = mail=user,userPassword=password
pass_filter = (&(objectClass=mailUser)(mail=%u))

Schema conversion – LDAP to LDIF

The power of directory service is possibility to define your own object classes, attributes, rules and so on. It also allows grouping it in schemas, which you can add to LDAP configuration.

As for now most of schemas, which you can find in Internet is organized into blocks, which contains definitions of attributes and object classes. This looks like:

attribute type definition:


attributetype ( 1.3.6.1.4.1.32349.1.2.2.9 NAME 'accountStatus'
    DESC 'The status of a user account: active, disabled'
    EQUALITY caseIgnoreIA5Match
    SUBSTR caseIgnoreSubstringsMatch
    SYNTAX 1.3.6.1.4.1.1466.115.121.1.26
    SINGLE-VALUE )

Konfiguracja uwierzytelniania poczty w LDAP

Zakładam, że Dovecot i Postfix już działają i można odebrać i wysłać pocztę logując się na użytkownika systemowego (patrz poprzednie wpisy). Nadszedł zatem czas na uruchomienie uwierzytelniania w naszym katalogu LDAP (patrz konfiguracja LDAP).

Wykorzystanie LDAPa do uwierzytelniania użytkowników pozwala na elastyczne zarządzanie hostingiem poczty i nie tylko. LDAP jest już przyjętym standardem w zakresie uwierzytelniania i autoryzacji, praktycznie każde szanujące się oprogramowanie wymagające uwierzytelnienia ma wsparcie dla tego protokołu.

Zaczniemy od serwera POP3/IMAP, który również dostarcza mechanizmu uwierzytelniania dla Postfixa czyli od Dovecota:


/usr/bin/sudo -i
cd /etc/dovecot
vi dovecot-ldap.conf

W tym pliku musimy zdefiniować parametry serwera lub serwerów LDAP, metodę uwierzytelnienia oraz filtry i atrybuty, wymienię te, które trzeba ustawić:


hosts = localhost
auth_bind = yes
base = o=hosting,dc=example,dc=com
scope = subtree
user_attrs = homeDirectory=home
user_filter = (&(objectClass=mailUser)(mail=%u))
pass_attrs = mail=user,userPassword=password
pass_filter = (&(objectClass=mailUser)(mail=%u))