26.3. Konfigurieren eines LDAP-Servers mit YaST

openSUSE-Dokumentation Kapitel 26. LDAP – Ein Verzeichnisdienst / 26.3. Konfigurieren eines LDAP-Servers mit YaST
	26.2. Struktur eines LDAP-Verzeichnisbaums		26.4. Konfigurieren eines LDAP-Client mit YaST

Verwenden Sie YaST zum Einrichten eines LDAP-Servers. Typische Einsatzbereiche für LDAP-Server sind die Verwaltung von Benutzerkontodaten und die Konfiguration von Mail-, DNS- und DHCP-Servern.

Abbildung 26.2. YaST-LDAP-Server-Konfiguration

Zum Einrichten eines LDAP-Servers für Benutzerkontodaten gehen Sie wie folgt vor:

Melden Sie sich als "root" an.
Starten Sie YaST und wählen Sie Netzwerkdienste+LDAP-Server.
Legen Sie fest, dass LDAP beim Systemstart gestartet wird.
Wenn der LDAP-Server seine Dienste per SLP ankündigt, aktivieren Sie Register at an SLP Daemon (Bei einem SLP-Daemon registrieren).
Wählen Sie Konfigurieren, um die Allgemeinen Einstellungen und die Datenbanken zu konfigurieren.

Gehen Sie zum Konfigurieren der Globalen Einstellungen Ihres LDAP-Servers wie folgt vor:

Akzeptieren oder Verändern Sie die Schemadateien in der Server-Konfiguration, indem Sie links im Dialogfeld Schemadateien wählen. Die Standardauswahl an Schemadateien wird auf den Server angewendet und bietet eine Quelle für YaST-Benutzerkontodaten.
Mit der Option Protokollebeneneinstellungen konfigurieren Sie die Protokollaktivität (Ausführlichkeit) des LDAP-Servers. Aktivieren oder deaktivieren Sie in der vordefinierten Liste die Protokolloptionen nach Ihren Wünschen. Je mehr Optionen aktiviert sind, desto größer werden Ihre Protokolldateien.
Legen Sie die Verbindungstypen fest, die der LDAP-Server erlauben soll. Folgende Möglichkeiten stehen zur Auswahl:
bind_v2
Diese Option aktiviert Verbindungsanforderungen (Bind-Anforderungen) von Clients mit der vorigen Version des Protokolls (LDAPv2).
bind_anon_cred
In der Regel weist der LDAP-Server alle Authentifizierungsversuche mit leeren Berechtigungen (DN oder Passwort) zurück. Wenn Sie diese Option aktivieren, wird eine anonyme Verbindung mit Passwort, aber ohne DN möglich.
bind_anon_dn
Wenn Sie diese Option aktivieren, kann eine Verbindung ohne Authentifizierung (anonym) mit einem DN, aber ohne Passwort erfolgen.
update_anon
Durch Aktivieren dieser Option können nicht authentifizierte (anonyme) Aktualisierungsvorgänge ausgeführt werden. Der Zugriff ist gemäß ACLs und anderen Regeln beschränkt (siehe Abschnitt 26.7.1, „Globale Direktiven in slapd.conf“).
Zum Konfigurieren der sicheren Kommunikation von Client und Server fahren Sie mit TLS-Einstellungen fort:
1. Setzen Sie TLS Active auf Yes, um die TLS und SSL-Verschlüsselung der Client/Server-Kommunikation zu aktivieren.
2. Klicken Sie auf Zertifikat auswählen und bestimmen Sie, wie ein gültiges Zertifikat erhalten wird. Wählen Sie Zertifikat importieren (Zertifikat wird von externer Quelle importiert) oder Allgemeines Server-Zertifikat verwenden (das bei der Installation erstellte Zertifikat wird verwendet).
  - Wenn Sie ein Zertifikat importieren möchten, werden Sie von YaST aufgefordert, den genauen Pfad zum Standort anzugeben.
  - Wenn Sie sich für das gemeinsame Serverzertifikat entschieden haben und dieses während der Installation nicht erstellt wurde, wird es anschließend erstellt.

Gehen Sie zum Konfigurieren der Datenbanken Ihres LDAP-Servers wie folgt vor:

Wählen Sie die Option Datenbanken links im Dialogfeld.
Klicken Sie auf Datenbanken hinzufügen, um die neue Datenbank hinzuzufügen.
Geben Sie die erforderlichen Daten ein:
Basis-DN
Geben Sie den Basis-DN Ihres LDAP-Servers an.
Root-DN
Geben Sie den DN des verantwortlichen Server-Administrators an. Wenn Sie die Option Basis-DN anhängen aktivieren, müssen Sie nur den cn des Administrators eingeben. Das System macht die restlichen Angaben automatisch.
LDAP-Passwort
Geben Sie das Passwort für den Datenbankadministrator ein.
Verschlüsselung
Legen Sie den Verschlüsselungsalgorithmus zum Sichern des Passworts für den Root-DN fest. Wählen Sie crypt, smd5, ssha oder sha. Im Dialogfeld ist auch die Option plain verfügbar, um die Verwendung von reinen Textpasswörtern zu ermöglichen. Aus Sicherheitsgründen wird diese Option jedoch nicht empfohlen. Wählen Sie OK, um Ihre Einstellungen zu bestätigen und zum vorigen Dialogfeld zurückzukehren.

Aktivieren Sie die Durchsetzung der Passwortrichtlinien, um Ihrem LDAP-Server zusätzliche Sicherheit zur Verfügung zu stellen:

Aktivieren Sie Einstellungen für Passwortrichtlinien, um eine Passwortrichtlinie angeben zu können.
Aktivieren Sie Hash-Vorgang für unverschlüsselte Passwörter, damit hinzugefügte oder bearbeitete unverschlüsselte Passwörter vor dem Schreiben in die Datenbank verschlüsselt werden.

Die Option Status "Konto gesperrt" offenlegen stellt eine aussagekräftige Fehlermeldung zur Verfügung, um Anforderungen an gesperrte Konten zu binden.

	Gesperrte Konten in sicherheitssensitiven Umgebungen
Verwenden Sie die Option Status "Konto gesperrt" offenlegen nicht, wenn Ihre Umgebung für Sicherheitsprobleme anfällig ist. Die Fehlermeldung für „Gesperrtes Konto“ stellt sicherheitsrelevante Informationen bereit, die von einem potenziellen Angreifer ausgenutzt werden können.

Geben Sie den DN des Standard-Richtlinienobjekts ein. Um ein DN zu verwenden, der nicht von YaST vorgeschlagen wurde, geben Sie Ihre Auswahl an. Übernehmen Sie andernfalls die Standardeinstellung.

Schließen Sie die Datenbankkonfiguration ab, indem Sie auf Verlassen klicken.

Wenn Sie keine Passwortrichtlinien festgelegt haben, kann Ihr Server an diesem Punkt ausgeführt werden. Wenn Sie Passwortrichtlinien aktivieren möchten, fahren Sie mit der Konfiguration der Passwortrichtlinien fort. Wenn Sie ein Passwortrichtlinienobjekt auswählen, das noch nicht vorhanden ist, wird es von YaST erstellt:

Geben Sie das LDAP-Serverpasswort ein.
Konfigurieren Sie die Passwortänderungsrichtlinien:
1. Legen Sie fest, wie viele Passwörter in der Password-History gespeichert werden sollen. Gespeicherte Passwörter können von Benutzern nicht wiederverwendet werden.
2. Legen Sie fest, ob Benutzer ihre Passwörter ändern können und ob die Passwörter nach einem Zurücksetzen durch den Administrator geändert werden müssen. Optional kann das alte Passwort bei Passwortänderungen angefragt werden.
3. Legen Sie fest, ob und in welchem Ausmaß die Qualität von Passwörtern geprüft werden muss. Legen Sie fest, wie viele Zeichen ein gültiges Passwort umfassen muss. Wenn Sie die Option Nicht überprüfbare Passwörter akzeptieren aktivieren, können Benutzer verschlüsselte Passwörter verwenden auch wenn keine Überprüfung der Qualität ausgeführt werden kann. Wenn Sie die Option Nur überprüfte Passwörter akzeptieren aktivieren, werden nur die Passwörter als gültig akzeptiert, die die Qualitätstests bestehen.
Konfigurieren Sie die Passwortablaufrichtlinien:
1. Legen Sie die mindestens einzuhaltende Passwortdauer (die Zeit, die zwischen zwei gültigen Passwortänderungen ablaufen muss) und die maximale Passwortdauer fest.
2. Legen Sie fest, wie viel Zeit zwischen der Warnmeldung zu einem ablaufenden Passwort und dem eigentlichen Passwortablauf liegen soll.
3. Legen Sie für ein abgelaufenes Passwort die Verlängerungsfrist fest, nach der das Passwort endgültig abläuft.
Konfigurieren Sie die Sperrrichtlinien:
1. Aktivieren Sie die Passwortsperre.
2. Legen Sie fest, nach wie vielen Bindungsfehlern eine Passwortsperre ausgelöst werden soll.
3. Legen Sie die Dauer der Passwortsperre fest.
4. Legen Sie fest, wie lange Passwortfehler im Cache bleiben, bevor sie gelöscht werden.
Wenden Sie Ihre Einstellungen zu den Passwortrichtlinien mit Übernehmen an.

Zum Bearbeiten einer vorher erstellten Datenbank wählen Sie Ihren Basis-DN links im Baum aus. Im rechten Teil des Fensters zeigt YaST ein Dialogfeld an, das weitgehend dem zum Erstellen einer neuen Datenbank entspricht. Allerdings ist der grundlegende DN-Eintrag grau abgeblendet und kann nicht bearbeitet werden.

Nach dem Beenden der LDAP-Serverkonfiguration mit Verlassen können Sie mit einer grundlegenden Arbeitskonfiguration für Ihren LDAP-Server beginnen. Wenn Sie die Einrichtung noch genauer abstimmen möchten, bearbeiten Sie die Datei /etc/openldap/slapd.conf entsprechend und starten den Server neu.