26.3 LDAP-kiszolgáló beállítása YaST segítségével

Az LDAP-kiszolgáló beállításához is használható a YaST. Az LDAP-kiszolgáló nemcsak a felhasználói fiók adatait tudja kezelni, hanem egyéb adatokat is – például a levelezés, vagy akár a DNS- és DHCP-kiszolgálók beállításait.

MEGJEGYZÉS: Az LDAP-objektumok nagybetuvel írása

A YaST LDAP-moduljai korábban nagybetuvel írták az összes létrehozott és megjelenített LDAP-objektum nevét. A YaST most már a névséma szerinti helyes jelölést alkalmazza.

Ábra 26-2 YaST LDAP-kiszolgáló beállítás

Ábra 26-3 YaST LDAP-kiszolgáló – Új adatbázis

Ha az LDAP-kiszolgálóval kívánja kezelni a felhasználói adatokat, akkor ellenorizze, hogy telepítve van-e a yast2-ldap-server és openldap2 csomag, illetve azok a csomagok, amelyektol függenek. Ezután folytassa az alábbi módon:

  1. Jelentkezzen be root felhasználóként.

  2. Indítsa el a YaST-ot és válassza ki a Hálózati szolgáltatások > LDAP-kiszolgáló részt a konfigurációs varázsló elindításához.

  3. Adja meg az LDAP-kiszolgáló Általános beállításait (ezek a beállítások késobb módosíthatók, lásd: Ábra 26-2:

    1. Adja meg, hogy az LDAP elinduljon-e.

    2. Ahhoz, hogy az LDAP-kiszolgáló a szolgáltatásait SLP-n keresztül hirdesse meg, jelölje meg a Regisztrálás egy SLP-démonnál pontot.

    3. Töltse ki a Tuzfalbeállítások részt.

    4. Kattintson a Tovább gombra.

  4. Fontolja meg a TLS engedélyezése pont bekapcsolását. A TLS egy titkosítási technológia. További információ: Lépés 4.

  5. Ellenorizze az Adatbázis-beállításokat, töltse ki az LDAP adminisztrátori jelszó értékét, majd kattintson a Tovább gombra – lásd: Ábra 26-2.

  6. Ellenorizze az LDAP-kiszolgálóbeállításokat, majd nyomja meg a Befejezés gombot a konfigurációs varázslóból kilépéshez.

Ábra 26-4 YaST LDAP-kiszolgáló beállítás

A módosításhoz vagy további beállításokhoz indítsa el újra az LDAP-kiszolgáló modult, majd az albejegyzések megnyitásához bontsa ki az Általános beállítások részt, a bal képernyorészben – lásd: Ábra 26-4:

  1. A Naplózási szint beállítások részben adja meg, hogy az LDAP-kiszolgáló milyen részletességgel naplózzon. A listából válassza ki az igényeknek legmegfelelobb naplózási beállításokat. Minél több dolgot kapcsol be, annál nagyobbra fognak noni a naplófájlok.

  2. A Funkciók engedélyezése/letiltása részben határozza meg, hogy az LDAP-kiszolgáló milyen kapcsolattípusokat engedjen meg. Az alábbiak közül választhat:

    LDAPv2 kötési (bind) kérések

    Ez az beállítás engedélyezi a kliens felol a protokoll elozo verziójának (LDAPv2) használatával érkezo kapcsolatkéréseket (bind kérések).

    Anonymous kötés ha a hitelesítési adatok nem üresek

    Az LDAP-kiszolgáló alapesetben elutasít minden üres hitelesítési adatokkal (DN vagy jelszó) érkezo hitelesítési kísérletet. A beállítás engedélyezése azonban lehetové teszi a csatlakozást jelszóval, DN nélkül anonim kapcsolat létesítéséhez.

    Nem hitelesített kötés ha a DN nem üres

    E pont megjelölése esetén lehetoség lesz hitelesítés nélkül (anonim módon) csatlakozni, DN megadásával, de jelszó nélkül.

    Feldolgozandó nem hitelesített frissítési muveletek

    E pont megjelölése esetén a nem hitelesített frissítési muveletek is engedélyezettek. A hozzáférést ACL-ekkel és más szabályokkal kell korlátozni (lásd: Szakasz 26.7.1, Az slapd.conf általános direktívái).

  3. Ezután a Funkciók engedélyezése/letiltása részben adja meg, hogy az LDAP-kiszolgáló milyen jelzoket ne engedjen. Az alábbiak közül választhat:

    Anonymous kötési kérés elfogadása

    Egyszeru kötés hitelesítésének letiltása

    Anonymous-állapot kikényszerítésének tiltása StartTLS muvelet fogadásakor

    StartTLS muveletek tiltása hitelesítés után

  4. A kliens és a kiszolgáló közötti biztonságos kommunikáció beállításához folytassa a TLS beállítások résszel:

    1. Jelölje meg a TLS engedélyezése pontot a kliens és a kiszolgáló közötti kommunikációban a TLS és SSL protokollok engedélyezéséhez.

    2. Vagy a Tanúsítvány importálása részben adja meg a tanúsítvány pontos elérési útját, vagy engedélyezze az Általános kiszolgálótanúsítvány használatát. Ha az Általános kiszolgálótanúsítvány használata nem lehetséges, mert a telepítés során nem lett generálva, akkor eloször a CA-kezelomodul elindítása résszel kell kezdeni – további információ: Szakasz 35.2, YaST CA-felügyeleti modulok.

A párbeszédablak bal részén látható Sémafájlok részt kiválasztva veheti fel a kiszolgáló konfigurációjában alkalmazandó sémafájlokat. Az alapértelmezett sémafájlok használata esetén a kiszolgáló a YaST felhasználóifiók-adatok forrásaként muködhet.

A YaST lehetové teszi a hagyományos sémafájlok használatát (ezek általában .schema kiterjesztésuek), illetve az OpenLDAP LDIF sémaformátumát követo, sémadefiníciókat tartalmazó LDIF fájlok használatát.

Ábra 26-5 YaST LDAP-kiszolgáló beállítás

Az LDAP-kiszolgáló által kezelt adatbázisok beállítása:

  1. Válassza ki a párbeszédablak bal részében látható Adatbázisok pontot.

  2. Kattintson az Adatbázis hozzáadása pontra az új adatbázis hozzáadásához.

  3. Adja meg a szükséges adatokat.

    Alap (base) DN

    Adja meg az LDAP-kiszolgáló alap DN-jét.

    Adminisztrátori DN

    Írja be a kiszolgálóért felelos rendszergazda DN-jét. Ha megjelöli az és pontot, akkor csak a rendszergazda cn-jét kell megadni, a többit a rendszer automatikusan hozzáfuzi.

    LDAP adminisztrátori jelszó

    Adja meg a rendszergazda jelszavát.

    Adatbázis használata alapértelmezettként az OpenLDAP-kliensek számára

    Ha kívánja, megjelölheti a kényelem érdekében ezt a pontot is.

  4. A következo párbeszédablakban kapcsolja be a jelszókezelési irányelvek használatát az LDAP-kiszolgáló extra védelme érdekében:

    1. Jelölje meg a Jelszóirányelvek engedélyezése pontot. Ezután megadhat jelszóirányelveket.

    2. Jelölje meg a Nyíltszöveges jelszavak kivonatolása pontot, ha azt szeretné, hogy a jelszavak hozzáadásakor vagy módosításakor, a nyílt szövegben megadott jelszavakból az adatbázisba írás elott képzodjön egy kivonat.

    3. A "Fiók zárolása" állapot megjelenítése egy hasznos hibaüzenetet eredményez, ha zárolt fiókok nevében érkeznek kapcsolódási kérések.

      FIGYELMEZTETÉS: Zárolt fiókok nagy biztonságot igénylo környezetekben

      Ne használja a "Fiók zárolása" állapot megjelenítése beállítást, ha a környezet magas biztonsági fokot igényel, mivel a Zárolt fiók hibaüzenet olyan bizalmas adatokat tartalmazhat, amellyel egy potenciális támadó visszaélhet.

    4. Adja meg az alapértelmezett irányelvobjektum DN-jét. Adja meg a DN-t, ha nem a YaST által javasoltat kívánja használni. Ellenkezo esetben fogadja el az alapértelmezett beállításokat.

  5. Fejezze be az adatbázis beállítását a Befejezés gombra kattintással.

Ha nem akar használni jelszóirányelveket, akkor a kiszolgáló ezen a ponton már készen is áll a muködésre. Ha beállította a jelszóirányelvek használatát, akkor folytassa a jelszóirányelvek részletes beállításával. Ha egy olyan jelszóirányelv-objektumot választott ki, amelyik még nem létezik, akkor a YaST létrehoz egyet:

  1. Adja meg az LDAP-kiszolgáló jelszavát. Az Adatbázisok alatti navigációs fában bontsa ki az adatbázis-objektumot, és jelölje meg a Jelszóirányelv beállítása pontot.

  2. Gyozodjön meg róla, hogy a Jelszóirányelvek engedélyezése pont meg van jelölve. Ezután kattintson az Irányelv szerkesztése pontra.

  3. Állítsa be a jelszómódosítási irányelveket:

    1. Adja meg, hány jelszó tárolódjon a jelszó elozményeiben. Az elmentett jelszavak nem használhatók.

    2. Adja meg, hogy a felhasználók módosíthatják-e a jelszavaikat, illetve hogy kötelezo-e módosítaniuk a jelszavaikat, ha azt a rendszergazda alaphelyzetbe állította. Opcionálisan beállítható az is, hogy a jelszómódosításnál meg kelljen-e adni a régi jelszót.

    3. Adja meg, hogy a jelszavak minoségét vizsgálja-e, és ha igen, milyen mértékben vizsgálja a rendszer. Adja meg a minimális jelszóhosszat (ellenkezo esetben a jelszó nem érvényes). Ha megjelöli az Ellenorizhetetlen jelszavak elfogadása pontot, akkor a felhasználók használhatnak titkosított jelszavakat, de ilyenkor a minoségellenorzés nem végezheto el. Ha a Csak ellenorzött jelszavak elfogadása pontot jelöli meg, akkor csak a minoségellenorzésen átment jelszavak lesznek érvényesek.

  4. Állítsa be a jelszavak elévülésére vonatkozó irányelveket:

    1. Határozza meg a jelszavak minimális korát (ennyi idonek muszáj eltelnie két érvényes jelszóváltás között) és a jelszavak maximális korát.

    2. Adja meg, hogy mennyi idovel korábban figyelmeztessen a rendszer a jelszó tényleges lejáratára.

    3. Adja meg, hányszor lehet használni egy lejárt jelszót, mielott az visszavonhatatlanul lejárna.

  5. Állítsa be a zárolási irányelveket:

    1. Kapcsolja be a jelszavak zárolását.

    2. Adja meg, hány sikertelen kapcsolódás után zárolódjon a jelszó.

    3. Adja meg a jelszózárolás idotartamát.

    4. Határozza meg, hogy mennyi ideig tárolódjanak a jelszóhibák a gyorsítótárban, mielott törlodnének.

  6. Érvényesítse a jelszóirányelv-beállításokat az OK gombra kattintással.

Egy már korábban létrehozott adatbázis módosításához válassza ki annak alap DN-jét a bal oldali fából. Az ablak jobb oldalán a YaST megjelenít egy, az új adatbázis létrehozásához használthoz hasonló párbeszédablakot – azzal a jelentos különbséggel, hogy az alap DN nem módosítható, így szürkével jelenik meg.

Miután a Befejezés gombra kattintva elhagyta a párbeszédablakot, az LDAP-kiszolgáló alapszintu konfigurációja készen áll a használatra. A beállítás finomhangolásához használja az OpenLDAP dinamikus konfigurációs háttérprogramját.

Az OpenLDAP dinamikus konfigurációs háttérprogramja a konfigurációt magát is egy LDAP-adatbázisban tárolja. Az adatbázis egy sor .ldif fájlból áll az/etc/openldap/slapd.d könyvtárban. Nincs szükség e fájlok közvetlen elérésére. A beállítások eléréséhez használhatja a YaST LDAP-kiszolgáló modulját (a yast2-ldap-server csomag), vagy egy LDAP-kliensprogramot, mint az ldapmodify vagy az ldapsearch. További információ az OpenLDAP dinamikus konfigurációjáról az OpenLDAP Adminisztrátori kézikönyvben található.