LDAP: Difference between revisions
No edit summary |
No edit summary |
||
| Line 93: | Line 93: | ||
olcDbConfig: set_lk_max_lockers 1500 | olcDbConfig: set_lk_max_lockers 1500 | ||
olcLastMod: TRUE | olcLastMod: TRUE | ||
olcSuffix: dc= | olcSuffix: dc=hcc,dc=nl | ||
olcDbDirectory: /var/lib/ldap | olcDbDirectory: /var/lib/ldap | ||
olcRootDN: cn=admin,dc= | olcRootDN: cn=admin,dc=hcc,dc=nl | ||
olcRootPW: XXXXXXXX | olcRootPW: XXXXXXXX | ||
olcDbIndex: objectClass eq | olcDbIndex: objectClass eq | ||
| Line 109: | Line 109: | ||
by * read | by * read | ||
</pre> | </pre> | ||
Hierna heb je op 10.04 LTS de situatie van 11.10 met domein | Hierna heb je op 10.04 LTS de situatie van 11.10 met domein hcc.nl in een hdb backend database. | ||
==init-ldap script== | ==init-ldap script== | ||
Het lokale script init-ldap doet de upgrade naar 11.10 en vervolgens alles wat wij toegevoegd/gewijzigd willen hebben. Dit zou makkelijk in één of twee stappen kunnen maar omwille van de beheerbaarheid wordt elke stap afzonderlijk uitgevoerd. | Het lokale script init-ldap doet de upgrade naar 11.10 en vervolgens alles wat wij toegevoegd/gewijzigd willen hebben. Dit zou makkelijk in één of twee stappen kunnen maar omwille van de beheerbaarheid wordt elke stap afzonderlijk uitgevoerd. | ||
<pre> | <pre> | ||
| Line 126: | Line 123: | ||
# Remove database files | # Remove database files | ||
# | # | ||
rm /var/lib/ldap/ | rm /var/lib/ldap/hcc/* | ||
# | # | ||
# Reset to factory settings | # Reset to factory settings | ||
| Line 152: | Line 149: | ||
# add top level and create some admins in ou=beheer | # add top level and create some admins in ou=beheer | ||
# | # | ||
ldapadd -x -D cn=admin,dc= | ldapadd -x -D cn=admin,dc=hcc,dc=nl -H ldapi:/// -f hcc.ldif -w XXXXXX | ||
# | # | ||
# modify {1}hdb for ACL support (must be after creation of the admins) | # modify {1}hdb for ACL support (must be after creation of the admins) | ||
| Line 160: | Line 157: | ||
# Add the data | # Add the data | ||
# | # | ||
ldapadd -x -D cn=admin,dc= | ldapadd -x -D cn=admin,dc=hcc,dc=nl -H ldapi:/// -f leden.ldif -w XXXXXX | ||
# | # | ||
# Add the testuser data for OneShoe | # Add the testuser data for OneShoe | ||
# | # | ||
ldapadd -x -D cn=admin,dc= | ldapadd -x -D cn=admin,dc=hcc,dc=nl -H ldapi:/// -f testuser.ldif -w XXXXXX | ||
# | # | ||
# sync replication for config | # sync replication for config | ||
| Line 176: | Line 173: | ||
# sync replication for hccnet (not needed on second node) | # sync replication for hccnet (not needed on second node) | ||
# | # | ||
#ldapmodify -Y EXTERNAL -H ldapi:/// -f | #ldapmodify -Y EXTERNAL -H ldapi:/// -f hcc-syncrepl.ldif | ||
</pre> | </pre> | ||
===SSL/TLS beveiliging=== | ===SSL/TLS beveiliging=== | ||
Gebruik de juiste .pem bestanden in /etc/ssl/certs en /etc/ssl/private | Gebruik de juiste .pem bestanden in /etc/ssl/certs en /etc/ssl/private. Voer een '''c_rehash .''' uit in /etc/ssl/certs om de cache te updaten (indien CAcert_org.pem nieuw werd toegevoegd). <br> | ||
De ownership is belangrijk. Hiertoe wordt de groep "openldap" toegevoegd aan de groep ssl-cert. | De ownership is belangrijk. Hiertoe wordt de groep "openldap" toegevoegd aan de groep ssl-cert. | ||
adduser openldap ssl-cert | adduser openldap ssl-cert | ||
Als dit fout gaat, doe dan eerst | Als dit fout gaat, doe dan eerst: | ||
apt-get install ssl-cert | apt-get install ssl-cert | ||
Zet het certificaat en de private key in de juiste groep: | Zet het certificaat en de private key in de juiste groep: | ||
chgrp ssl-cert /etc/ssl/private/ | chgrp ssl-cert /etc/ssl/private/ldap2-int.hobby.nl.* | ||
chmod | chmod 440 /etc/ssl/private/ldap2-int.hobby.nl.key | ||
Het resultaat is dan als volgt: | Het resultaat is dan als volgt: | ||
root@hcc-ldap-lb1:~# ls -l /etc/ssl/private/hcc* | root@hcc-ldap-lb1:~# ls -l /etc/ssl/private/hcc* | ||
-rw-r--r-- 1 root ssl-cert 1724 Nov 22 20:47 ldap2-int.hobby.nl.crt | |||
-r--r----- 1 root ssl-cert 1679 Nov 22 20:25 ldap2-int.hobby.nl.key | |||
root@hcc-ldap-lb1:~# grep openldap /etc/group | root@hcc-ldap-lb1:~# grep openldap /etc/group | ||
| Line 208: | Line 205: | ||
- | - | ||
add: olcTLSCertificateFile | add: olcTLSCertificateFile | ||
olcTLSCertificateFile: /etc/ssl/private/ | olcTLSCertificateFile: /etc/ssl/private/ldap2-int.hobby.nl.crt | ||
- | - | ||
add: olcTLSCertificateKeyFile | add: olcTLSCertificateKeyFile | ||
olcTLSCertificateKeyFile: /etc/ssl/private/ | olcTLSCertificateKeyFile: /etc/ssl/private/ldap2-int.hobby.nl.key | ||
</pre> | </pre> | ||
===sizelimit.ldif=== | ===sizelimit.ldif=== | ||
SizeLimit instelling toevoegen op de | SizeLimit instelling toevoegen op de hcc database. De default van 500 is te weinig. | ||
<pre> | <pre> | ||
dn: olcDatabase={1}hdb,cn=config | dn: olcDatabase={1}hdb,cn=config | ||
| Line 250: | Line 247: | ||
</pre> | </pre> | ||
=== | ===hcc.ldif=== | ||
De eigenlijke hcc.nl directory toevoegen/uitbreiden | De eigenlijke hcc.nl directory toevoegen/uitbreiden | ||
<pre> | <pre> | ||
# Create top-level object in domain | # Create top-level object in domain | ||
dn: dc= | dn: dc=hcc,dc=nl | ||
objectClass: top | objectClass: top | ||
objectClass: dcObject | objectClass: dcObject | ||
objectclass: organization | objectclass: organization | ||
o: Hobby Computer Club | o: Hobby Computer Club | ||
dc: | dc: hcc | ||
description: Top level object | description: Top level object hcc.nl | ||
# Admin user of top level also RootDN. | # Admin user of top level also RootDN. | ||
dn: cn=admin,dc= | dn: cn=admin,dc=hcc,dc=nl | ||
objectClass: simpleSecurityObject | objectClass: simpleSecurityObject | ||
objectClass: organizationalRole | objectClass: organizationalRole | ||
cn: admin | cn: admin | ||
userPassword:: SDMjb1Q2WT9laHhzeUJ3eDl6YnI= | userPassword:: SDMjb1Q2WT9laHhzeUJ3eDl6YnI= | ||
description: LDAP admin for | description: LDAP admin for hcc.nl | ||
dn: ou=beheer,dc= | dn: ou=beheer,dc=hcc,dc=nl | ||
objectClass: organizationalUnit | objectClass: organizationalUnit | ||
ou: beheer | ou: beheer | ||
# managers of top level. | # managers of top level. | ||
dn: cn=drupal-hcc-nl,ou=beheer,dc= | dn: cn=drupal-hcc-nl,ou=beheer,dc=hcc,dc=nl | ||
objectClass: simpleSecurityObject | objectClass: simpleSecurityObject | ||
objectClass: organizationalRole | objectClass: organizationalRole | ||
| Line 282: | Line 279: | ||
description: Read-Only for OneShoe | description: Read-Only for OneShoe | ||
dn: cn=webapps,ou=beheer,dc= | dn: cn=webapps,ou=beheer,dc=hcc,dc=nl | ||
objectClass: simpleSecurityObject | objectClass: simpleSecurityObject | ||
objectClass: organizationalRole | objectClass: organizationalRole | ||
| Line 289: | Line 286: | ||
description: Read-Only for WebApps | description: Read-Only for WebApps | ||
dn: cn=hans,ou=beheer,dc= | dn: cn=hans,ou=beheer,dc=hcc,dc=nl | ||
objectClass: simpleSecurityObject | objectClass: simpleSecurityObject | ||
objectClass: organizationalRole | objectClass: organizationalRole | ||
| Line 296: | Line 293: | ||
description: Apache Directory Studio entry voor Hans | description: Apache Directory Studio entry voor Hans | ||
dn: cn=egbert,ou=beheer,dc= | dn: cn=egbert,ou=beheer,dc=hcc,dc=nl | ||
objectClass: simpleSecurityObject | objectClass: simpleSecurityObject | ||
objectClass: organizationalRole | objectClass: organizationalRole | ||
| Line 303: | Line 300: | ||
description: Phpldapadmin entry voor Egbert | description: Phpldapadmin entry voor Egbert | ||
dn: ou=leden,dc= | dn: ou=leden,dc=hcc,dc=nl | ||
objectClass: organizationalUnit | objectClass: organizationalUnit | ||
ou: leden | ou: leden | ||
| Line 314: | Line 311: | ||
replace: olcAccess | replace: olcAccess | ||
olcAccess: to attrs=userPassword | olcAccess: to attrs=userPassword | ||
by dn="cn=hans,ou=beheer,dc= | by dn="cn=hans,ou=beheer,dc=hcc,dc=nl" write | ||
by dn="cn=egbert,ou=beheer,dc= | by dn="cn=egbert,ou=beheer,dc=hcc,dc=nl" write | ||
by anonymous auth | by anonymous auth | ||
by self write | by self write | ||
| Line 325: | Line 322: | ||
by * read | by * read | ||
olcAccess: to * | olcAccess: to * | ||
by dn="cn=hans,ou=beheer,dc= | by dn="cn=hans,ou=beheer,dc=hcc,dc=nl" write | ||
by dn="cn=egbert,ou=beheer,dc= | by dn="cn=egbert,ou=beheer,dc=hcc,dc=nl" write | ||
by dn="cn=drupal-hcc-nl,ou=beheer,dc= | by dn="cn=drupal-hcc-nl,ou=beheer,dc=hcc,dc=nl" read | ||
by dn="cn=webapps,ou=beheer,dc= | by dn="cn=webapps,ou=beheer,dc=hcc,dc=nl" read | ||
by * none | by * none | ||
</pre> | </pre> | ||
| Line 366: | Line 363: | ||
# This file should be world readable but not world writable. | # This file should be world readable but not world writable. | ||
TLS_CACERTDIR /etc/ssl/certs | TLS_CACERTDIR /etc/ssl/certs | ||
TLS_REQCERT allow | TLS_REQCERT allow | ||
</pre> | </pre> | ||
Denk er wel aan na wijzigingen Apache te herstarten. | |||
== TODO lijst == | == TODO lijst == | ||
Revision as of 23:46, 25 November 2011
Introductie
Om een centrale plaats te hebben om authenticatie te doen voor www.hcc.nl en sub-sites zoals een forum, is gekozen voor het gebruik van een LDAP database/directory. Hierin wordt alleen opgeslagen wat nodig is voor het functioneren van de site. Andere persoonsgegevens en HCC specifieke gegevens komen in een (MySQL) database. Dit kan ook een tabel binnen de Drupal omgeving zijn.
LDAP server keuze
De voor de hand liggende keuze is OpenLDAP. Echter zijn er geluiden gehoord dat OpenLDAP niet zou schalen. Alternatieven zijn b.v. 389server maar die is erg slecht gesupport onder Ubuntu. Voorlopig starten we met OpenLDAP.
Loadbalanced
Er zijn twee servers (hcc-ldap-lb1 en hcc-ldap-lb2) die achter een loadbalancer in preferred server mode staat zodat het verkeer altijd naar server1 gestuurd wordt. Beide servers houden elkaar up-to-date. In de gewone situatie zullen alle reads en writes naar server1 gaan en server2 wordt door server1 bijgewerkt. Valt server1 weg, dan zal de loadbalancer overschakelen naar server2 waar vanaf dan de read en writes plaatsvinden. Zodra server1 weer beschikbaar is, wordt die bijgewerkt en zal weer master worden. Dit is nog niet getest en hoe de timing precies is, is nog niet duidelijk...
Installatie
Installatie van OpenLDAP is simpel:
aptitude install slapd ldap-utils
De configuratie van OpenLDAP is sinds Karmic Koala iets gecompliceerder geworden. cn=config wordt nog steeds gebruikt maar tijdens installatie wordt alleen een skeleton configuratie geïnstalleerd. Er wordt niet meer gevraagd om een password tijdens de installatie en met "dpkg-reconfigure slapd" zet alleen de skeleton configuratie terug. Je moet zelf de database, root dn en acl's opzetten (als root of met sudo). Run dpkg-reconfigure slapd om terug te gaan naar een lege directory.
UPDATE: in Oneiric Ocelot (11.10) is weer wel de mogelijkheid gegeven bij installatie een database aan te maken. Default wordt echter de fqdn hostname gebruikt. Bij dpkg-reconfigure kan het gewenste domein wel gegeven worden. Als tussenoplossing wordt op 10.04 LTS de minimale configuratie na installatie aangevuld met alles wat mist. De initiële configuratie staat in /usr/share/slapd/slapd.init.ldif. Alles na include: file:///etc/ldap/schema/core.ldif lijkt te missen. Het restant zoals dat in dezelfde file op 11.10 staat, wordt alsnog op 10.04 uitgevoerd. Als bij update of upgrade genoemde file wel compleet is, kan het uitvoeren van sldap.extra.ldif vervallen. Zie het init-ldap script.
Initiële database
Direct na installatie (of na dpkg-reconfigure slapd) staat dit in OpenLDAP. Access is alleen geregeld voor root. Dit heeft te maken met het feit dat vanaf Karmic Koala OpenLDAP alleen het minst noodzakelijke bevat om slapd te starten. Het init_lapd script (zie verderop) vult de directory aan met lokale wensen. Gebruik ook de OpenLDAP site.
slapd.init.ldif
Bij installatie/reconfiguratie wordt /usr/share/slapd/slapd.init.ldif ingelezen. Om uit komen op de 11.10 installatie wordt direct hierna slapd.extra.ldif ingelezen
~/ldap# cat /usr/share/slapd/slapd.init.ldif
# Global config:
dn: cn=config
objectClass: olcGlobal
cn: config
# Where the pid file is put. The init.d script
# will not stop the server if you change this.
olcPidFile: /var/run/slapd/slapd.pid
# List of arguments that were passed to the server
olcArgsFile: /var/run/slapd/slapd.args
# Read slapd.conf(5) for possible values
olcLogLevel: none
# The tool-threads parameter sets the actual amount of cpu's that is used
# for indexing.
olcToolThreads: 1
# Frontend settings
dn: olcDatabase={-1}frontend,cn=config
objectClass: olcDatabaseConfig
objectClass: olcFrontendConfig
olcDatabase: {-1}frontend
# The maximum number of entries that is returned for a search operation
olcSizeLimit: 500
# Allow unlimited access to local connection from the local root user
olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth manage by * break
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to dn.base="cn=subschema" by * read
# Config db settings
dn: olcDatabase=config,cn=config
objectClass: olcDatabaseConfig
olcDatabase: config
# Allow unlimited access to local connection from the local root user
olcAccess: to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth manage by * break
# Load schemas
dn: cn=schema,cn=config
objectClass: olcSchemaConfig
cn: schema
include: file:///etc/ldap/schema/core.ldif
Hieronder het ontbrekende stuk dat wel in 11.10 zit. Hierin zijn de oorspronkelijke variabelen vervangen door vaste waarden omdat het script dat door dpkg-reconfigure in 10.04 wordt gebuikt niet met de variabelen in de 11.10 versie kan omgaan. Tevens is olcDbDirectory uitgebreid met een subdirectory. Dit moet het werken met meerdere DITs vergemakkelijken.
root@ubuntu:~/ldap# cat slapd.extra.ldif
# Load the other schemas
include: file:///etc/ldap/schema/cosine.ldif
include: file:///etc/ldap/schema/nis.ldif
include: file:///etc/ldap/schema/inetorgperson.ldif
# Load module
dn: cn=module{0},cn=config
objectClass: olcModuleList
cn: module{0}
olcModulePath: /usr/lib/ldap
olcModuleLoad: back_hdb
# Set defaults for the backend
dn: olcBackend=hdb,cn=config
objectClass: olcBackendConfig
olcBackend: hdb
# The database definition.
dn: olcDatabase=hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: hdb
olcDbCheckpoint: 512 30
olcDbConfig: set_cachesize 0 2097152 0
olcDbConfig: set_lk_max_objects 1500
olcDbConfig: set_lk_max_locks 1500
olcDbConfig: set_lk_max_lockers 1500
olcLastMod: TRUE
olcSuffix: dc=hcc,dc=nl
olcDbDirectory: /var/lib/ldap
olcRootDN: cn=admin,dc=hcc,dc=nl
olcRootPW: XXXXXXXX
olcDbIndex: objectClass eq
olcDbIndex: cn,sn,uid pres,eq,approx,sub
olcAccess: to attrs=userPassword,shadowLastChange
by self write
by anonymous auth
by * none
olcAccess: to dn.base=""
by * read
olcAccess: to *
by self write
by * read
Hierna heb je op 10.04 LTS de situatie van 11.10 met domein hcc.nl in een hdb backend database.
init-ldap script
Het lokale script init-ldap doet de upgrade naar 11.10 en vervolgens alles wat wij toegevoegd/gewijzigd willen hebben. Dit zou makkelijk in één of twee stappen kunnen maar omwille van de beheerbaarheid wordt elke stap afzonderlijk uitgevoerd.
#$/bin/sh
#
# stop de server
#
service slapd stop
#
# Remove database files
#
rm /var/lib/ldap/hcc/*
#
# Reset to factory settings
# Just 3 x ENTER
#
dpkg-reconfigure slapd
#
#Add the things that seem to be missing in 10.04 LTS but
# are available in 11.10. Initial db config for hccnet.nl is made
#
ldapadd -Y EXTERNAL -H ldapi:/// -f slapd.extra.ldif
#
# Modify cn=config for TLS support
#
ldapmodify -Y EXTERNAL -H ldapi:/// -f tls.ldif
#
# Modify olcSizeLimit in {1}hdb,cn=config
#
ldapmodify -Y EXTERNAL -H ldapi:/// -f sizelimit.ldif
#
# modify olcLogLevel in cn=config
#
ldapmodify -Y EXTERNAL -H ldapi:/// -f logging.ldif
#
# add top level and create some admins in ou=beheer
#
ldapadd -x -D cn=admin,dc=hcc,dc=nl -H ldapi:/// -f hcc.ldif -w XXXXXX
#
# modify {1}hdb for ACL support (must be after creation of the admins)
#
ldapmodify -Y EXTERNAL -H ldapi:/// -f acl.ldif
#
# Add the data
#
ldapadd -x -D cn=admin,dc=hcc,dc=nl -H ldapi:/// -f leden.ldif -w XXXXXX
#
# Add the testuser data for OneShoe
#
ldapadd -x -D cn=admin,dc=hcc,dc=nl -H ldapi:/// -f testuser.ldif -w XXXXXX
#
# sync replication for config
#
#ldapmodify -Y EXTERNAL -H ldapi:/// -f config-syncrepl.ldif
#
# restart to make replication active
#
#/etc/init.d/slapd restart
#
# sync replication for hccnet (not needed on second node)
#
#ldapmodify -Y EXTERNAL -H ldapi:/// -f hcc-syncrepl.ldif
SSL/TLS beveiliging
Gebruik de juiste .pem bestanden in /etc/ssl/certs en /etc/ssl/private. Voer een c_rehash . uit in /etc/ssl/certs om de cache te updaten (indien CAcert_org.pem nieuw werd toegevoegd).
De ownership is belangrijk. Hiertoe wordt de groep "openldap" toegevoegd aan de groep ssl-cert.
adduser openldap ssl-cert
Als dit fout gaat, doe dan eerst:
apt-get install ssl-cert
Zet het certificaat en de private key in de juiste groep:
chgrp ssl-cert /etc/ssl/private/ldap2-int.hobby.nl.* chmod 440 /etc/ssl/private/ldap2-int.hobby.nl.key
Het resultaat is dan als volgt:
root@hcc-ldap-lb1:~# ls -l /etc/ssl/private/hcc*
-rw-r--r-- 1 root ssl-cert 1724 Nov 22 20:47 ldap2-int.hobby.nl.crt -r--r----- 1 root ssl-cert 1679 Nov 22 20:25 ldap2-int.hobby.nl.key
root@hcc-ldap-lb1:~# grep openldap /etc/group ssl-cert:x:114:openldap openldap:x:118:
tls.ldif
SSL/TLS instelling toevoegen in de ldap configuratie.
dn: cn=config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/CAcert_org.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/private/ldap2-int.hobby.nl.crt - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/ldap2-int.hobby.nl.key
sizelimit.ldif
SizeLimit instelling toevoegen op de hcc database. De default van 500 is te weinig.
dn: olcDatabase={1}hdb,cn=config
changetype: modify
replace: olcSizeLimit
olcSizeLimit: 100000
logging.ldif
Logging instelling toevoegen. Om logging leesbaar te houden is een entry in /etc/rsyslog.d en /etc/logrotate.d nodig zodat de logging naar een apart bestand gaat (openldap.log).
dn: cn=config changetype: modify add: olcLogLevel olcLogLevel: stats
In /etc/rsyslog.d/openldap.conf
local4.* -/var/log/openldap.log
In /etc/logrotate.d/openldap
/var/log/openldap.log
{
rotate 4
weekly
missingok
notifempty
compress
delaycompress
sharedscripts
postrotate
reload rsyslog >/dev/null 2>&1 || true
endscript
}
hcc.ldif
De eigenlijke hcc.nl directory toevoegen/uitbreiden
# Create top-level object in domain dn: dc=hcc,dc=nl objectClass: top objectClass: dcObject objectclass: organization o: Hobby Computer Club dc: hcc description: Top level object hcc.nl # Admin user of top level also RootDN. dn: cn=admin,dc=hcc,dc=nl objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin userPassword:: SDMjb1Q2WT9laHhzeUJ3eDl6YnI= description: LDAP admin for hcc.nl dn: ou=beheer,dc=hcc,dc=nl objectClass: organizationalUnit ou: beheer # managers of top level. dn: cn=drupal-hcc-nl,ou=beheer,dc=hcc,dc=nl objectClass: simpleSecurityObject objectClass: organizationalRole cn: drupal-hcc-nl userPassword:: ZHJleGFtZW51YnVtQGNSYXN1OEV3ZXNh description: Read-Only for OneShoe dn: cn=webapps,ou=beheer,dc=hcc,dc=nl objectClass: simpleSecurityObject objectClass: organizationalRole cn: webapps userPassword:: U2FUIys3VWNoVWNfYUhlbXVzcGVrYWYk description: Read-Only for WebApps dn: cn=hans,ou=beheer,dc=hcc,dc=nl objectClass: simpleSecurityObject objectClass: organizationalRole cn: hans userPassword:: e1NIQX1ObDRsbklkLzlqSGcwWVRQd2ZEcERFY1NxNmM9 description: Apache Directory Studio entry voor Hans dn: cn=egbert,ou=beheer,dc=hcc,dc=nl objectClass: simpleSecurityObject objectClass: organizationalRole cn: egbert userPassword:: e1NTSEF9WnJzZTF4VXBsVG1GZkVhNHpTMUlId3Q3QzN0Z1p2SzY= description: Phpldapadmin entry voor Egbert dn: ou=leden,dc=hcc,dc=nl objectClass: organizationalUnit ou: leden
acl.ldif
Fine tuning van de access control lists. RootDN heeft altijd alle toegang. Access naar shadowLastChange is waarschijnlijk hier niet nodig (overblijfsel uit voorbeelden).
dn: olcDatabase={1}hdb,cn=config
changetype: modify
replace: olcAccess
olcAccess: to attrs=userPassword
by dn="cn=hans,ou=beheer,dc=hcc,dc=nl" write
by dn="cn=egbert,ou=beheer,dc=hcc,dc=nl" write
by anonymous auth
by self write
by * none
olcAccess: to attrs=shadowLastChange
by self write
by * read
olcAccess: to dn.base=""
by * read
olcAccess: to *
by dn="cn=hans,ou=beheer,dc=hcc,dc=nl" write
by dn="cn=egbert,ou=beheer,dc=hcc,dc=nl" write
by dn="cn=drupal-hcc-nl,ou=beheer,dc=hcc,dc=nl" read
by dn="cn=webapps,ou=beheer,dc=hcc,dc=nl" read
by * none
Multi-Master bedrijf
Om twee servers met elkaar in sync te houden is nog wat aanvullende configuratie nodig. In onze situatie zal altijd maar één server bevraagd worden; bij een failover van de loadbancer zal dus de andere server gebruikt worden. Bij het teruggaan naar server 1 zal de directory bijgewerkt worden. Dit is nog niet getest.
LDAP Clients
Er zijn meerdere LDAP clients. De meest populaire zijn Apache Directory Studio en phpLdapAdmin. De eerste is veel uitgbreider maar vereist een Java Runtime Environment. Onder Windows XP is dat JRE6. PhpLdapAdmin draait onder apache. Beide clients hebben wat configuratie nodig; Bij ADS gaat alles stapsgewijs in de GUI. Voor PLA moet /etc/phpldapadmin/config.php aangepast worden.
StartTLS
Aanbevolen wordt StartTLS op poort 389 te gebruiken. Alternatief is LDAPS op poort 636 maar is depreciated. Voor beide clients is het belangrijk dat de root certificaten gevonden kunnen worden. Als Apache al een server cert kent zou PLA geen probleem mogen zijn. ADS maakt deel uit van de JRE. JRE moet dus de root certificaten kunnen vinden.
ADS onder Windows
Onder Windows moet met keytool.exe gewerkt worden. De uitleg heb ik van [hier]. Het komt erop neer dat de .pem of .der certificaten van CAcert in de keystore gezet worden. Kopieer deze certificaat bestanden in C:\Program Files\Java\jre6\lib\security (jre6 kan ondertussen jre7 zijn in Vista of W7). Doe dan in een terminal window:
cd C:\Program Files\Java\jre6\lib\security wget http://www.cacert.org/certs/root.der -O root.der wget http://www.cacert.org/certs/class3.der -O class3.der ..\..\bin\keytool -import -trustcacerts -keystore cacerts -storepass changeit -noprompt -alias cacertclass1 -file root.der ..\..\bin\keytool -import -trustcacerts -keystore cacerts -storepass changeit -noprompt -alias cacertclass3 -file class3.der
De Windows JRE is ook te managen via het Java applet in het configuratiescherm. Toevoegen van root certificaten lijkt niet mogelijk voor system; wel voor user. Niet verder naar gezocht.
ADS onder Linux
Apache Directory Studio volgt nog.
PLA onder Linux
Voor de andere client (phpldapadmin) dient de client configuratie goed te zijn. Deze bevindt zich in /etc/ldap.ldap.conf. Het is voldoende als de directory met de root certificaten bekend is. Deze client configuratie is mees php-ldap gebonden dan alleen voor PLA. Ook de Drupal LPAD module werkt met ditzelfde beatand. Zie ook de [phpldapadmin wiki].
# # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. TLS_CACERTDIR /etc/ssl/certs TLS_REQCERT allow
Denk er wel aan na wijzigingen Apache te herstarten.
TODO lijst
Dit is een lijst in wording, graag aanvullen
- TLS inregelen (done vbs20111124)
- dagelijkse backup
- dagelijkse backup versleutelen
en actief naar een omgeving brengen die in het backup scenario opgenomen is - gebruikersrechten verfijnen
(gebruiker mag zijn eigen naam niet aanpassen, maar de Drupal scripting mag dit wel) - logging verminderen
- replicatie inregelen
- script maken om dagelijkse mutaties te verwerken
- script maken om eenmalig de complete LIDGG in te lezen
(dit wordt vervolgens aangevuld met de conversie die vanuit de 'oude' hcc.nl omgeving wordt uitgevoerd)