PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : LDAP Verständnisprobleme



TheDarkRose
12.04.10, 13:32
Irgendwie verstehe ich die ganze Sache mit LDAP noch nicht. Also den Server hab ich schon zum laufen gebracht, mit der Base-DN "dc=meine-domain,dc=com".
Aber was ich nicht wirklich begreife, wie organisiere ich jetzt meine Einträge. Verwalten möchte ich im LDAP die Benutzer zur Authentifizierung und als Adressbuch. Email kommt später auch noch dazu.
Geht es auch, das ich die Vhost vom Apache im LDAP verwalte? Besonders in der Konfiguration als fcgi und dem entsprechenden fcgi Benutzer dazu?
Was gehen dürfte ist die Authentifizierung im Apache gegen LDAP z.b. bei SVN-Vhosts, oder? Ist es möglich dafür einfach eine Gruppe im LDAP für das jeweilige Repository zu erstellen und das als required anzugeben?

derfele
12.04.10, 19:38
Hi,
als ich deinen Post gesehen habe, habe ich mal aus interesse folgendes ins Google Suchfenster gefüttert "ldap apache vhost" und siehe da, erster Treffer mod-vhost-ldap (http://modvhostldap.alioth.debian.org/)

Gruß

TheDarkRose
13.04.10, 18:38
ja, muss zugeben, hab bezüglich der Vhosts Tante Google noch gar nicht bemüht, die Frage ist hier im Moment eher nebensächlich gewesen.

Ich stehe ja im Moment schon an wie ich meine Einträge im LDAP überhaupt organisieren soll.

hessijens
14.04.10, 09:46
Das kommt darauf an was Du im LDAP speichern möchtes. Eigentlich nimmt man für jeden Bereich eine eigene Organisationseinheit. Siehe heirzu auch http://www.padl.com/OSS/MigrationTools.html

User -> ou=users,dc=meine-domain,dc=com
Gruppen -> ou=groups,dc=meine-domain,dc=com
Computer -> ou=hosts,dc=meine-domain,dc=com
Aliases -> ou=aliases,dc=meine-domain,dc=com
Networks -> ou=networks,dc=meine-domain,dc=com
Services -> ou=services,dc=meine-domain,dc=com
....
dhcp-config -> ou=dhcp,dc=meine-domain,dc=com
bind-config -> ou=named,dc=meine-domain,dc=com
Kerberosdaten -> ou=kerberos,dc=meine-domain,dc=com
u.s.w.....

Welche Gruppen Du anlegen solltests wäre abhängig von den Aufgaben die LDAP erfüllen soll. Für Apache vhosts würde sich beispielsweise eine Gruppe: ou=vhosts,dc=meine-domain,dc=com für die Daten anbieten. Der Name kann auch anders sein, wichtig ist nur, dass Du die Konfigurationsdateien entsprechende anpasst. Dazu wäre zu überlegen einen ldap-Benutzer "apache" mit einem eigenen Passwort anzulegen, der Zugriff auf diese Organisationseinheit hat.

Beispiel:

slapd.conf:

....
include /etc/openldap/schema/mod_vhost_ldap.schema
....
access to dn.subtree="ou=vhosts,dc=meine-domain,dc=com"
by dn.base="cn=apache,ou=users,dc=meine-domain,dc=com" write
by * none
....


httpd.conf von Apache:

<IfModule mod_vhost_ldap.c>
VhostLDAPEnabled on
VhostLDAPUrl "ldap://127.0.0.1:389/ou=vhosts,dc=meine-domain,dc=com"
VhostLdapBindDN "cn=apache,ou=users,dc=meine-domain,dc=com"
VhostLDAPBindPassword "apachepw"
</IfModule>

Dann müssen nur noch die entspechenden Daten in das Verzeichnis. Entweder Mittels Ldif-Datei (sehr fehleranfällig, aber obiges Migration Tool generiet sehr gute Basis Ldif-Dateien für ldap) oder dem Ldap-Editor Deiner Wahl (z.B.: gq).

TheDarkRose
16.04.10, 19:49
Lässt sich solch eine Vhost Konfiguration überhaupt mit mod_vhost_ldap im LDAP speichern?


<VirtualHost *:80>
ServerAdmin example@example.com
ServerName example.com
ServerAlias www.example.com

SuexecUserGroup www-example www-example
AddHandler fcgid-script .php
DocumentRoot "/var/www/example/htdocs"
DirectoryIndex index.htm index.html index.php

<Directory />
Options FollowSymLinks
AllowOverride None
</Directory>

<Directory "/var/www/example/htdocs">
Options Indexes MultiViews FollowSymLinks +ExecCGI
FCGIWrapper /var/www/example/php-fcgi/php-fcgi-starter .php
Order allow,deny
Allow from all
</Directory>

ErrorLog /var/www/example/logs/error.log
LogLevel warn

CustomLog /var/www/example/logs/access.log combined
ServerSignature On
</VirtualHost>

TheDarkRose
18.04.10, 11:36
Ok, schön langsam versteh ich das ganze. Derzeit administriere ich alles mit JXplorer. Nun will ich ja aber ne Weboberfläche zum administrieren haben. Derzeit habe ich dafür phpLDAPadmin installiert, aber da kapier ich das mit deren Templates noch nicht ganz, bzw. auch überhaupt welche objectClasses ich anwenden muss.

Noch was. Setzt man den Benutzernamen in cn oder in uid und welches Attribut kommt dann in den DN?