Benutzer-Werkzeuge
fh-complete:ldap
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
fh-complete:ldap [2015/07/24 13:55] oesi |
fh-complete:ldap [2018/06/13 17:15] pollmann |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| + | [[fhc:server|zurück zur Übersicht]] | ||
| + | |||
| ====== LDAP ====== | ====== LDAP ====== | ||
| FH-Complete unterstützt die Authentifizierung gegen Openldap und Active Directory. | FH-Complete unterstützt die Authentifizierung gegen Openldap und Active Directory. | ||
| Zeile 12: | Zeile 14: | ||
| BASE dc=example,dc=com | BASE dc=example,dc=com | ||
| URI ldaps://ldap.example.com | URI ldaps://ldap.example.com | ||
| - | TLS_CACERT /etc/ssl/certs/meincazertifikat.crt | + | TLS_CACERT /etc/ldap/meincazertifikat.pem |
| TLS_REQCERT demand | TLS_REQCERT demand | ||
| </code> | </code> | ||
| Zeile 30: | Zeile 32: | ||
| </code> | </code> | ||
| + | |||
| + | Das CA Zertifikat kann auch global installiert werden. | ||
| + | Dazu wird das Zertifikat zuerst in das Verzeichnis /usr/local/share/ca-certificates/ kopiert. (Base64 Codiert mit Endung .crt) und danach update-ca-certificates aufgerufen. | ||
| + | <code> | ||
| + | cp ca_name.pem /usr/local/share/ca-certificates/ldap-ca.crt | ||
| + | update-ca-certificates | ||
| + | </code> | ||
| + | |||
| + | Wenn dies funktioniert hat, ist das Zertifikat anschließend in der Datei /etc/ssl/certs/ca-certificates.crt enthalten. | ||
| + | Dies kann dann in der ldap.conf über folgenden Eintrag verwendet werden: | ||
| + | <code> | ||
| + | TLS_CACERT /etc/ssl/certs/ca-certificates.crt | ||
| + | </code> | ||
| + | |||
| + | Die Zertifikate können auch unter /usr/share/ca-certificates/ abgelegt werden und mittels | ||
| + | <code> | ||
| + | dpgk-reconfigure ca-certificates | ||
| + | </code> | ||
| + | können die neuen Zertifikate dann über eine Liste aktiviert werden. | ||
| ===== Troubleshooting ===== | ===== Troubleshooting ===== | ||
| ==== ldap_search_ext_s() for user failed][Operations error] ==== | ==== ldap_search_ext_s() for user failed][Operations error] ==== | ||
| Zeile 68: | Zeile 89: | ||
| ==== Prüfen ob das Zertifikat valide ist ==== | ==== Prüfen ob das Zertifikat valide ist ==== | ||
| <code> | <code> | ||
| - | openssl verify meincazertifikat.crt | + | openssl verify meincazertifikat.pem |
| </code> | </code> | ||
| Zeile 87: | Zeile 108: | ||
| ==== Zertifikat konvertieren (.cer, .crt, .der nach PEM) ==== | ==== Zertifikat konvertieren (.cer, .crt, .der nach PEM) ==== | ||
| + | Für die Verwendung des Zertifikats in der ldap.conf sollte das Zertifikat im .pem Format vorliegen. | ||
| + | Mit folgendem Befehl kann das Zertifikat von .cer oder .crt nach .pem konvertiert werden | ||
| <code> | <code> | ||
| openssl x509 -inform der -in meincazertifikat.crt -out meincazertifikat.pem | openssl x509 -inform der -in meincazertifikat.crt -out meincazertifikat.pem | ||
| Zeile 152: | Zeile 175: | ||
| Weitere Funktionen | Weitere Funktionen | ||
| [[https://www.samba.org/samba/docs/man/manpages/samba-tool.8.html]] | [[https://www.samba.org/samba/docs/man/manpages/samba-tool.8.html]] | ||
| + | |||
| + | ===== Verwendung mehrerer LDAP-Server ===== | ||
| + | |||
| + | Es ist möglich 2 LDAP Server zu verwenden. | ||
| + | Dazu wird im Config der LDAP2_SERVER gesetzt | ||
| + | |||
| + | Im .htaccess File werden die LDAPServer mit Leerzeichen getrennt angegeben: | ||
| + | <code> | ||
| + | AuthLDAPURL "ldap://ldap.example.com ldap2.example.com/ou=People,dc=oesi,dc=org?uid?one?objectclass=posixAccount" | ||
| + | </code> | ||
| + | |||
| + | Der zweite Eintrag hat kein ldap:/ / | ||
| + | Die Filter werden nur beim 2. Eintrag angegeben. Unterschiedliche Filter sind nicht möglich. | ||
| + | Bei angabe von mehreren LDAP Servern müssen diese unter doppelten Hochkomma geschrieben werden | ||
| + | |||
| + | |||
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Share Alike 4.0 International
