Endersys, a leading Linux consultancy and professional services provider based in Turkey, has become a Red Hat Advanced Business Partner with Infrastructure Specialization. As part of the new partnership with Red Hat, Endersys will offer Red Hat Enterprise Linux and JBoss Enterprise Middleware to its customers in the Turkish market.

Endersys is a specialist IT solution partner offering integration, consultancy and training to assist its customers in Information Security, Networking and Linux infrastructures. Endersys is the first Red Hat Advanced Business Partner in Turkey and its accreditation demonstrates the company’s commitment to bringing Red Hat’s open source solutions to businesses in the country. Endersys has demonstrated a deep knowledge of Red Hat products and its Infrastructure Specialization will provide the company with the tools and expertise to offer customers detailed sales and technical support.

“This certification has increased our customers’ confidence in Endersys and enabled us to develop comprehensive solutions for partner projects and give professional after-sales support. As demand for open source solutions grow Endersys is well-positioned to help the market take advantage of the performance benefits and cost savings associated with open source,” said Omer Faruk Sen, General co-ordinator of Red Hat products, Endersys.

About Endersys

Endersys provides professional support and consultancy on Linux and security issues since 2006. It has added Turkey’s leading companies in its customer portfolio in a short time developing trusted security software. Endersys has branches in Istanbul, Ankara and Gebze-Kocaeli. Learn more: http://www.endersys.com/

You can read the official PR at http://www.europe.redhat.com/partners/endersys/

Related posts:

1. Endersys Türkiye’deki ilk ve tek Red Hat Advanced Business Partner oldu.
2. Endersys is looking for System Administrators
3. Endersys is looking for Linux System Administrators

Açık servisleri listelemek için svcs komutu verilir. –a parametresi verilirse aktif/pasif tüm servisler listenir.

# svcs

STATE          STIME    FMRI
legacy_run     16:40:13 lrc:/etc/rcS_d/S50sk98sol
legacy_run     16:41:47 lrc:/etc/rc2_d/S10
lulegacy_run     16:41:55 lrc:/etc/rc2_d/S20sysetup
legacy_run     16:41:56 lrc:/etc/rc2_d/S40llc2
legacy_run     16:41:57 lrc:/etc/rc2_d/S42ncakmod
legacy_run     16:41:58 lrc:/etc/rc2_d/S47pppd
legacy_run     16:41:58 lrc:/etc/rc2_d/S70uucp
legacy_run     16:41:59 lrc:/etc/rc2_d/S72autoinstall
legacy_run     16:42:00 lrc:/etc/rc2_d/S73cachefs_daemon
legacy_run     16:42:01 lrc:/etc/rc2_d/S81dodatadm_udaplt
legacy_run     16:42:01 lrc:/etc/rc2_d/S89PRESERVE
legacy_run     16:42:01 lrc:/etc/rc2_d/S94ncalogd
legacy_run     16:42:02 lrc:/etc/rc2_d/S98deallocate
online         16:37:38 svc:/system/svc/restarter:default
online         16:37:43 svc:/network/pfil:default
online         16:37:44 svc:/network/tnctl:default
online         16:37:45 svc:/network/loopback:default
online         16:37:45 svc:/system/filesystem/root:default
online         16:38:00 svc:/system/scheduler:default
online         16:38:07 svc:/system/boot-archive:default
online         16:38:07 svc:/system/installupdates:default
…


svcs –p parametresi ile ilgili servisin çalışan prosesleri hakkında bilgi alınabilir.

# svcs -p network/smtp:sendmail

STATE          STIME    FMRI
online         16:41:43 svc:/network/smtp:sendmail
16:41:43      550 sendmail
16:41:43      555 sendmail


# ps -fp 550,555

UID   PID  PPID   C    STIME TTY         TIME CMD
smmsp   550     1   0 16:41:43 ?           0:00 /usr/lib/sendmail -Ac -q15m
root   555     1   0 16:41:44 ?           0:01 /usr/lib/sendmail -bd -q15m


-d parametresi ile ilgili servisin bağımlı olduğu servisleri, -D ile de bu servise bağımlılığı olan servisleri görebilirsiniz.  –l parametresi ile ise belirtilen servisle ilgili detaylı bilgi alınabilir.

# svcs -d network/smtp:sendmail

STATE          STIME    FMRI
online         16:40:10 svc:/system/identity:domain
online         16:40:15 svc:/system/filesystem/local:default
online         16:40:18 svc:/network/service:default
online         16:40:19 svc:/milestone/name-services:default
online         16:41:30 svc:/system/filesystem/autofs:default
online         16:41:39 svc:/system/system-log:default


# svcs -D network/smtp:sendmail

STATE          STIME    FMRI
online         16:42:03 svc:/milestone/multi-user:default


# svcs ssh

STATE          STIME    FMRI
online         16:41:32 svc:/network/ssh:default


# svcs -l ssh

fmri         svc:/network/ssh:default
name         SSH server
enabled      true
state        online
next_state   none
state_time   January  2, 2010  4:41:32 PM EET
logfile      /var/svc/log/network-ssh:default.log
restarter    svc:/system/svc/restarter:default
contract_id  64
dependency   require_all/none svc:/system/filesystem/local (online)
dependency   optional_all/none svc:/system/filesystem/autofs (online)
dependency   require_all/none svc:/network/loopback (online)
dependency   require_all/none svc:/network/physical (online)
dependency   require_all/none svc:/system/cryptosvc (online)
dependency   require_all/none svc:/system/utmp (online)
dependency   require_all/restart file://localhost/etc/ssh/sshd_config (online)


1.1.1      SMF Çalışma mantığı

SMF ile çalıştırılan her bir servis için ayrı bir xml yapılandırma dosyası vardır.  Bu dosyalar /var/svc/manifest/ altında tutulmaktadır. Örneğin ssh servisinin FMRI(Fault Management Resource Identifier) yukarıda svc:/network/ssh olarak gözükmektedir. Bu servisin yapılandırma dosyası /var/svc/manifest/network/ altındaki ssh.xml dosyasıdır.

# more /var/svc/manifest/network/ssh.xml

<?xml version=”1.0″?>

<!DOCTYPE service_bundle SYSTEM “/usr/share/lib/xml/dtd/service_bundle.dtd.1″>

<!–

Copyright 2004 Sun Microsystems, Inc.  All rights reserved.         Use is subject to license terms.
ident   “@(#)ssh.xml    1.7     04/12/09 SMI”

NOTE:  This service manifest is not editable; its contents will
be overwritten by package or patch operations, including
operating system upgrade.  Make customizations in a different
file.
–>
<service_bundle type=’manifest’ name=’SUNWsshdr:ssh’>
<service
name=’network/ssh’
type=’service’
version=’1′>
<create_default_instance enabled=’false’ />
<single_instance />
<dependency name=’fs-local’
grouping=’require_all’
restart_on=’none’
type=’service’>
<service_fmri
value=’svc:/system/filesystem/local’ />
</dependency>
…
<exec_method
type=’method’
name=’start’
exec=’/lib/svc/method/sshd start’
timeout_seconds=’60′/>

No related posts.

Kullanıcı yetkilendirmek için nss_ldap paketinin kurulması gerekir. Redhat’de bu paket nss_ldap ve pam_ldap modüllerini içerir. nss (Name Service Switch) passwd, group ve host gibi bilgilere nasıl erişileceğini tanımlarken, pam (Pluggable Authentication Modules) ise yetkilendirme işlemini yapar. Aşağıdaki komutla nss_ldap paketi kurulu değilse kurulur.

yum install nss_ldap

/etc/ldap.conf dosyasına aşağıdaki satırlar eklenir.

base dc=example,dc=com
rootbinddn cn=root,dc=deneme,dc=com
uri ldap://127.0.0.1/
ssl no
tls_cacertdir /etc/openldap/cacerts
scope one
pam_filter objectclass=posixaccount
pam_login_attribute uid,
pam_member_attribute gid
pam_password md5
nss_base_passwd         ou=People,dc=deneme,dc=com?one
nss_base_shadow         ou=People,dc=deneme,dc=com?one
nss_base_group          ou=Group,dc=deneme,dc=com?one

LDAP arama seviyeleri (scope)

/etc/ldap.secret dosyasına ldap yönetici parolası yazılır. Dosya izni 600 yapılır.

echo secret > /etc/ldap.secret
chmod 600 /etc/ldap.secret

/etc/nsswitch.conf dosyasındaki aşağıdaki satırlara ldap parametresi eklenir.

passwd:     files
shadow:     files
group:      files

ldap değerlerini ekledikten sonra kayıtlar aşağıdaki gibi gözükmelidir.

passwd:     files ldap
shadow:     files ldap
group:      files ldap

cat /etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.

# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     sufficient    pam_ldap.so
account     required      pam_ldap.so
#account    [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_first_pass
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_mkhomedir.so skel=/etc/skel umask=0022 silent
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so

Mevcut kullanıcı ve parola bilgilerini veritabanına atmak için /usr/share/openldap/migration/ altındaki scriptler kullanılabilir.

cd /usr/share/openldap/migration/
vi migrate_common.ph

# Default DNS domain
$DEFAULT_MAIL_DOMAIN = "deneme.com";

# Default base
$DEFAULT_BASE = "dc=deneme,dc=com";
$EXTENDED_SCHEMA = 1;

mkdir -p /root/ldap/migration
./migrate_base.pl >/root/ldap/migration/base.ldif
more /root/ldap/migration/base.ldif

dn: dc=deneme,dc=com
dc: deneme
objectClass: top
objectClass: domain
objectClass: domainRelatedObject
associatedDomain: deneme.com

dn: ou=Hosts,dc=deneme,dc=com
ou: Hosts
objectClass: top
objectClass: organizationalUnit
objectClass: domainRelatedObject
associatedDomain: deneme.com

./migrate_group.pl /etc/group  >/root/ldap/migration/group.ldif
more /root/ldap/migration/group.ldif

dn: cn=root,ou=Group,dc=deneme,dc=com
objectClass: posixGroup
objectClass: top
cn: root
userPassword: {crypt}x
gidNumber: 0

ETC_SHADOW=/etc/shadow
./migrate_passwd.pl /etc/passwd > /root/ldap/migration/passwd.ldif

Son olarak yukarıda oluşturulan ldiff dosyaları ldapadd komutu ile eklenir.

Related posts:

1. OpenLDAP Kurulum ve Yapılandırması
2. qmail from address and SMTP-AUTH username check patch
3. Downgrading a package at RHEL 6

1         OpenLDAP Sunucu

1.1      LDAP Nedir?

LDAP (Lightweight Directory Access Protocol : Hafif Dizin Erişim Protokolü)

Dizin ifadesi LDAP’in yapısı ve içerdigi bilgi itibari ile “veritabanı” olarak adlandırılmaktadır.  LDAP’da ana amaç aranan verinin mümkün olan en kısa sürede bulunmasıdır. LDAP’da veriler hiyerarşik nesneler şeklindedir. LDAP nesneleri entry adı verilir. TCP üzerinden X.500 Dizin Servislerine erişmek için tasarlandı.  En güncel LDAP protokol sürümü LDAPv3’dür. 1990’dan itibaren bu sürüm kullanılmaktadır.

Klasik bir LDAP ağacı aşağıdaki gibidir.

1.2      Niçin LDAP ?

• Kullanıcı bilgileri,Grup bilgileri vb bilgilerin merkezi yönetimi.
• Kullanıcıların aradıkları bilgiye hızlı ve kolay ulaşım.
• Dağıtık mimariye uygun.
• Her sistemde kullanılabilir.

1.3   Nerelerde LDAP Kullanabilirim ?

• Sunucu ve kullanıcı yetkilendirmesinde
• Kullanıcı ve sistem gruplarında
• Adres,Telefon defteri uygulamalarında
• Organizasyon yapısında
• Uygulama bilgilerinin saklanmasında

1.4      LDAP ile Veritabanı Arasındaki Farklar

• LDAP özel amaçlı bir veritabanı gibi düşünülebilir.
• Veritabanları hem okuma hemde yazmaya karşı optimize edilmiştir.
• LDAP okuma/arama özellikleri yazma özelliklerine göre çok daha gelişkindir.
• Veritabanları komplex işlemleri (rollback,transaction) destekler.
• LDAP komplex veritabanı işlemlerini desteklemez.
• LDAP sunucular göreceli statik bilgiler saklarken, Veritabanı sunucuları dinamik veriler saklarlar.
• LDAP standartlar üzerine kurulmuştur.Bir LDAP istemcisi tüm LDAP sunuculara erişebilir.
• Farklı veritabanı araçları sadece kendi ürünlerine erişmek için kullanılabilir.

1.5      LDAP Temelleri

1.5.1      LDIF  Nedir ?

LDIF’in açılımı: LDAP Data Interchange Format

• LDAP kayıtları düz metin formatında sunulur.
• Veri değişiklerini kolaylaştırır.
• Okunabilir bir formata sahiptir.
• Betikler ve çeşitli araçlar ile hazırlanabilir,aktarılabilir vs..
• Yedekleme ve başka bir sisteme aktarma işlemleri yapılabilir

1.5.2      LDAP Şema(Schema) Nedir?

• Dizinde saklanacak verinin türünü ve yapısını belirten kurallar bütünü.
• Veritabanındaki tablo yapısı benzer denilebilir.
• Veri bütünlüğü, uyumluluk sağlar
• Benzer veriler girilmesini ve kaynak israfını engeller
• Uygulamalar için kolaylık sağlar
• Object class özelliği kaydın uyması,takip etmesi gereken kuralları, şemalar da objectclass’ların izlemesi gereken kuralları belirler.

Bir şema aşağıdakileri içermelidir:

• Gerekli özellikler
• İzin verilen özellikler
• Özellikler nasıl karşılaştırılacak
• Özelliğin saklayacağı veri ve veri tipi kısıtlama getirebilir

Ön tanımlı Şemalar Aşağıdaki gibidir:

• corba.schema
• cosine.schema
• core.schema
• openldap.schema
• inetorgperson.schema
• java.schema
• misc.schema
• nis.schema

Örnek bir şema kaydı(inetorgperson.schema):

# displayName

# When displaying an entry, especially within a one-line summary list, it

# is useful to be able to identify a name to be used.  Since other attri-

# bute types such as ‘cn’ are multivalued, an additional attribute type is

# needed.  Display name is defined for this purpose.

attributetype ( 2.16.840.1.113730.3.1.241

NAME ‘displayName’

DESC ‘RFC2798: preferred name to be used when displaying entries’

EQUALITY caseIgnoreMatch

SUBSTR caseIgnoreSubstringsMatch

SYNTAX 1.3.6.1.4.1.1466.115.121.1.15

SINGLE-VALUE )

# employeeNumber

# Numeric or alphanumeric identifier assigned to a person, typically based

# on order of hire or association with an organization.  Single valued.

attributetype ( 2.16.840.1.113730.3.1.3

NAME ‘employeeNumber’

DESC ‘RFC2798: numerically identifies an employee within an organization’

EQUALITY caseIgnoreMatch

SUBSTR caseIgnoreSubstringsMatch

SYNTAX 1.3.6.1.4.1.1466.115.121.1.15

SINGLE-VALUE )

1.5.3      Attributes(Özellikler)

attributetype ( 2.5.4.6 NAME ( ‘c’ ‘countryName’ )
DESC ‘RFC2256: ISO-3166 country 2-letter code’
SUP name SINGLE-VALUE )

attributetype ( 2.5.4.29 NAME ‘presentationAddress’
DESC ‘RFC2256: presentation address’
EQUALITY presentationAddressMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.43 SINGLE-VALUE )

Bir attr ibute aşağıdaki alanlardan oluşur.
Name : Tekildir(unique), büyük-küçük harf duyarlılığı yoktur.
Object Identifier (OID) : Aralarında nokta olan sayılar dizisi

Attribute Sentaksı aşağıdaki değerler ve kontroller içerir:

• Saklanabilecek veri özellikleri
• Kontrol ve Karşılaştırmalar nasıl yapılacak
• Tekil Değer(Single Value) veya Çoklu Değer(Multiple Value)

OID Şeması

Bazı Attribute’lar:

• uid – User id
• cn – Common Name
• sn – Surname
• mail – Mail Address
• l – Location
• ou – Organisational Unit
• dc – Domain Component
• c – Country

1.5.4      ObjectClass

LDAP : Lightweight Directory 27 Access Protocol

Özelliklerde ne tip bilgiler ve bu bilgilerin hangi formatta olacağını belirler. Her bir objectclass entry’de tutulacak veriler için bir template görevi görür. Entry’de olması gereken zorunlu attributes ve tercihe bağlı attributes’leri tanımlar.

Bir kayıt icin birden fazla Objectclass olabilir.

Hangi objectclass’ların kullanılabileceği şemalar (schema) ile belirlenir.

Bazı objectclass’lar:

• account
• posixAccount
• posixGroup
• shadowAccount
• top
• organizationalUnit

organizationalUnit objectclass’ı (core.schema)

objectclass ( 2.5.6.5 NAME ‘organizationalUnit’

DESC ‘RFC2256: an organizational unit’

SUP top STRUCTURAL

MUST ou

MAY ( userPassword $ searchGuide $ seeAlso $ businessCategory $

x121Address $ registeredAddress $ destinationIndicator $

preferredDeliveryMethod $ telexNumber

$ teletexTerminalIdentifier $

telephoneNumber $ internationaliSDNNumber $

facsimileTelephoneNumber $ street $ postOfficeBox

$  postalCode $

postalAddress $ physicalDeliveryOfficeName $ st $ l

$ description ) )

MUST: Zorunlu olan attributelar

MAY: Tercihe bağlı(optional) attribute’lar

SUP: Parent Object

ObjectClass Türleri

Structural Object Class: Person veya organizationalUnit gibi gerçek nesneleri ifade eder.

Auxiliary(Yardımcı) Object Class: Structural Object Class’a bazı karakteristikler ekler. Bunlar tek başlarına kullanılamazlar. Sadece structural object class’ları tamamlar. Örnek: simpleSecurityObject, mailRecipient ve cacheObject

Abstract Object Class:  Yazılım dillerinde olduğu gibi abstract işlevini yapar. Örnek: top

1.5.5      DN(Distinguished Name)

Saklanan her bir veriye ait tekil tanımlayıcıya verilen ad. Bir  veritabanı tablosundaki unique  alan olarak düşünülebilir. Örnek bir dn değeri aşağıdaki gibidir:

dn: uid=ismail, ou=system, dc=endersys, dc=com

1.6      OpenLDAP Kurulumu

Ön tanımlı olarak tüm Linux dağıtımlarında OpenLDAP gelmektedir. En güncel ve kararlı sürümü şu anda 2.4’dür. Linux kurulumu sırasında paket olarak seçebileceğiniz gibi internet bağlantısı olan bir Linux’te aşağıdaki komutla OpenLDAP’ı kurabilirsiniz.

# yum install openldap*

Kurulu OpenLDAP paketlerini ise aşağıdaki komutla görebilirsiniz.

# rpm -qa |grep openldap
openldap-2.3.43-3.el5
openldap-servers-2.3.43-3.el5
openldap-servers-sql-2.3.43-3.el5
openldap-devel-2.3.43-3.el5
compat-openldap-2.3.43_2.2.29-3.el5
openldap-clients-2.3.43-3.el5
openldap-servers-overlays-2.3.43-3.el5

1.7      Temel Konfigürasyon

vi /etc/openldap/slapd.conf

#

include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/dnszone.schema
# Allow LDAPv2 client connections.  This is NOT the default.
allow bind_v2
# Do not enable referrals until AFTER you have a working directory

# service AND an understanding of referrals.
#referral       ldap://root.openldap.org
loglevel        256
pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

database        bdb
suffix          “dc=deneme,dc=com”
rootdn          ”cn=root,dc=deneme,dc=com”
# Cleartext passwords, especially for the rootdn, should
# be avoided.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.

rootpw          secret
# rootpw                {crypt}ijFYNcSNctBYg
directory       /var/lib/ldap

index objectClass                       eq,pres
index ou,cn,mail,surname,givenname      eq,pres,sub
index uidNumber,gidNumber,loginShell    eq,pres
index uid,memberUid                     eq,pres,sub
index nisMapName,nisMapEntry            eq,pres,sub

#slapd.conf dosyasının sonu

slapd.conf Değişkenleri:

include:  Dahil edilecek şema dosyalarını belirtir.

loglevel: Log tutma seviyesini belirtir. Tüm log seviyeleri aşağıdaki gibidir.

database: Kullanılacak veritabanı tipini belirtir. Ön tanımlı olarak bdb(Berkeley DB transactional backend) kullanılır.

suffix:  Hizmet verilecek LDAP ağacını belirler.

rootdn: UNIX sistemlerindeki superuser gibi tüm LDAP kayıtlarında işlem yetkisine sahip kullanıcıyı ifade etmektedir.

Buradaki dc ifadesi “domain context” anlamına gelmektedir.

rootpw:root parolasını belirler. Yukarıdaki gibi düz metin olduğu gibi parolanın şifrelenmiş halide yazılabilir. Slapasswd komutu ile şifrelenmiş parola üretebilirsiniz.

[root@endersysegitim ~]# slappasswd
New password:
Re-enter new password:
{SSHA}Ue4ZyZyxQfkrs0CalEHESLnbXelZ6Z82
[root@endersysegitim ~]# slappasswd -h {CRYPT}
New password:
Re-enter new password:
{CRYPT}FE2cKmGfb9/zc

directory: LDAP kayıtlarının tutulacağı dizini belirtir.

index :slapd servisinin indekslerini belirtir. Veritabanında olduğu gibi burada da indeksler gibi arama performansını artırmak için kullanılır.

• approx (approximate): Yaklaşık arama
• eq (equality): Eşit
• pres (presence): Var olup olmamasına göre indeks.
• sub (substring): İçeren.

LDAP loglarını LOCAL4 öncelik değeri ile syslog üzerinden tutar. LDAP loglarını görmek için aşağıdaki işlemler yapılır.

1. /etc/syslog.conf dosyasına aşağıdaki satır eklenir.local4.* /var/log/ldap.log
2. /var/log/ldap.log dosyası oluşturulur.

[root@endersysegitim ~]# touch /var/log/ldap.log

1. Syslog ve ldap servisleri restart edilir.

[root@endersysegitim ~]# /etc/init.d/syslog restart ; /etc/init.d/ldap restart

[root@endersysegitim ~]# tail -f /var/log/ldap.log
Oct  8 02:08:46 egitim slapd[11494]: config_build_entry: “olcDatabase={1}bdb”
Oct  8 02:08:46 egitim slapd[11494]: backend_startup_one: starting “dc=deneme,dc=com”
Oct  8 02:08:46 egitim slapd[11494]: bdb_db_open: dc=deneme,dc=com
Oct  8 02:08:46 egitim slapd[11494]: bdb_db_open: dbenv_open(/var/lib/ldap) Oct  8 02:08:46 egitim slapd[11494]: slapd starting
Oct  8 02:08:46 egitim slapd[11494]: daemon: added 4r listener=(nil) Oct  8 02:08:46 egitim slapd[11494]: daemon: added 7r listener=0x82fb520 Oct  8 02:08:46 egitim slapd[11494]: daemon: added 8r listener=0x82fb5f8 Oct  8 02:08:46 egitim slapd[11494]: daemon: epoll: listen=7 active_threads=0 tvp=NULL
Oct  8 02:08:46 egitim slapd[11494]: daemon: epoll: listen=8 active_threads=0 tvp=NULL

1.8      OpenLDAP Bileşenleri

Sunucu Programları:

• /usr/sbin/slapd: LDAP Sunucu programı
• /usr/sbin/slurpd: LDAP Replikasyon yardımcısı

İstemci Programları:

• /usr/bin/ldapadd: LDAP’a kayıt ekleme programı
• /usr/bin/ldapmodify: Kayıt güncelleme programı
• /usr/bin/ldapdelete: LDAP’tan kayıt silme programı
• /usr/bin/ldapsearch: Kayıt arama programı
• /usr/sbin/slapadd: LDIFF formatındaki veriyi doğrudan backend dosyalarına yazar.
• /usr/sbin/slapcat: Veritabanından direkt LDIFF formatında dosya oluşturur.

1.9  OpenLDAP ACL(Access Control List)

1.9.1      Bağlantı kuranları ifade eden ACL değişkenleri:

• * : Anonim erişim dahil tüm bağlantı kuran kullanıcıları ifade eder.
• self : Başarılı bir şekilde bağlantı kurmuş(yetkilendirilmiş) kullanıcının kendisini ifade eder.
• anonymous:  Yetkilendirme(authentication) yapılmamış kullanıcı bağlantıları
• users : Yetkilendirme yapmış kullanıcı bağlantıları

1.9.2      Erişim Seviyeleri

• write: Attribute’ı güncelleme hakkı
• read: Arama sonuçlarını okuma hakkı
• search: Arama hakkı
• compare: Karşılaştırma hakkı
• auth: Yetkilendirme hakkı
• none: Erişim yok.

Örnekler:

Tüm herkese okuma hakkı:

access to *

by * read

access to *

by self write (Kullanıcı kendi bilgilerini güncelleyebilir)

by users read (Yetkilendirme yapmış kullanıcılar kayıtları okuyabilir)

by * none (Geri kalan tüm kullanıcılara erişimi engelle,anonymous)

access to attrs=userPassword

by dn=”cn=root,dc=deneme,dc=com” write

(root userPassword alanını değiştirebilir)

by self write (Kullanıcı kendi parolasını değiştirebilir.)
by * auth (Geri kalanlar oturum açmak zorundadır. userPassword bilgisini okuyamaz ve yazamazlar)

1.10 OpenLDAP’ın Başlatılması

[root@endersysegitim ~]# cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@endersysegitim ~]# chown ldap /var/lib/ldap/DB_CONFIG

[root@endersysegitim ~]# /etc/init.d/ldap start
Checking configuration files for slapd:  config file testing succeeded
[  OK  ]
Starting slapd:                                            [  OK  ]

[root@endersysegitim ~]# ldapadd -x -D”cn=root,dc=deneme,dc=com” -w secret -f ilk.ldiff
adding new entry “dc=deneme, dc=com”

[root@endersysegitim ~]# ldapsearch -x -b ‘dc=deneme,dc=com’ ‘(objectclass=*)’

# extended LDIF
#
# LDAPv3
# base <dc=deneme,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# deneme.com
dn: dc=deneme,dc=com
objectClass: dcObject
objectClass: organization
o: deneme ltd
dc: deneme
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1

LDAP verileri LDAP servisi çalışmasa bile slapcat komutu ile listelenebilir.

[root@endersysegitim ldap]# slapcat
dn: dc=deneme,dc=com
objectClass: dcObject
objectClass: organization
o: deneme ltd
dc: deneme
structuralObjectClass: organization
entryUUID: f3f519f4-453f-102e-8283-79f25680c01c
creatorsName: cn=root,dc=deneme,dc=com
createTimestamp: 20091004144258Z
entryCSN: 20091004144258Z#000000#00#000000
modifiersName: cn=root,dc=deneme,dc=com
modifyTimestamp: 20091004144258Z

[root@endersysegitim ldap]# cat ou.ldif
dn: ou=people, dc=deneme, dc=com
ou: people
objectClass: organizationalUnit

dn: ou=users, dc=deneme, dc=com
ou: users
objectClass: organizationalUnit

[root@endersysegitim ldap]# ldapadd -x -D”cn=root,dc=deneme,dc=com” -f ou.ldif –W
Enter LDAP Password:
adding new entry “ou=people, dc=deneme, dc=com”
adding new entry “ou=users, dc=deneme, dc=com”

# cat user.ldiff
dn: cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com
cn: Ismail YENIGUL
sn: YENIGUL
mail: ismail.yenigul@endersys.com
labeledURI: http://www.endersys.com
roomNumber: 123 Golbasi Teknokent
departmentNumber: Engineering
telephoneNumber: 123-555-2345
mobile: 0533-747-3665
objectclass: inetOrgPerson

# ldapadd -x -D”cn=root,dc=deneme,dc=com” -w secret -f user2.ldiff
adding new entry “cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com”

#ldapsearch -x -b ‘dc=deneme,dc=com’ ‘(mail=*)’

# Ismail YENIGUL, people, deneme.com

dn: cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com

cn: Ismail YENIGUL

sn: YENIGUL

mail: ismail.yenigul@endersys.com

labeledURI: http://www.endersys.com

roomNumber: 123 Golbasi Teknokent

departmentNumber: Engineering

telephoneNumber: 123-555-2345

mobile: 0533-747-3665

objectClass: inetOrgPerson

# Cenk IZANLI, people, deneme.com

dn: cn=Cenk IZANLI,ou=people,dc=deneme,dc=com

cn: Cenk IZANLI

sn: IZANLI

mail: cenk.izanli@endersys.com

labeledURI: http://www.endersys.com

roomNumber: 124 Golbasi Teknokent

departmentNumber: Support Team

telephoneNumber: 123-567-8915

mobile: 0533-747-3666

objectClass: inetOrgPerson

# ldapsearch -x -b ‘dc=deneme,dc=com’ ‘(mail=ismail.yenigul@endersys.com)’  telephoneNumber mobile

# Ismail YENIGUL, people, deneme.com

dn: cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com

telephoneNumber: 123-555-2345

mobile: 0533-747-3665

# cat update.ldif

dn: cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com

changetype: modify

delete: mail

mail: ismail.yenigul@endersys.com

-

add: mail

mail: ismail.yenigul@endersys.com.tr

# ldapmodify -x -D”cn=root,dc=deneme,dc=com” -w secret -v -f update.ldif

ldap_initialize( <DEFAULT> )

delete mail:

ismail.yenigul@endersys.com

add mail:

ismail.yenigul@endersys.com.tr

modifying entry “cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com”

modify complete

# cat update2.ldif

dn: cn= Ismail YENIGUL,dc=deneme,dc=com

changetype: modify

replace: mail

mail: yenimail@deneme.com

-

add: title

title: Proce Yoneticisi

-

add: jpegPhoto

jpegPhoto:< file:///tmp/afili.jpeg

-

delete: mobile

-

# cat delete.ldif

cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com

# ldapdelete -x -D”cn=root,dc=deneme,dc=com” -w secret -v -f delete.ldif

ldap_initialize( <DEFAULT> )

deleting entry “cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com”

Aynı kayıt ldapmodify komutu ile aşağıdaki şekilde silinebilir.

# cat delete2.ldiff

dn: cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com

changetype: delete

# ldapmodify -x -D”cn=root,dc=deneme,dc=com” -w secret -v -f update2.ldif

1.11 LDAP SSL/TLS

[root@endersysegitim]#  cd /etc/pki/tls/certs/
[root@endersysegitim]#  mv slapd.pem slapd.pem.yedek
[root@endersysegitim]# make slapd.pem
# chown ldap:ldap slapd.pem
# vi /etc/openldap/slapd.conf
TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
TLSCertificateFile /etc/pki/tls/certs/slapd.pem
TLSCertificateKeyFile /etc/pki/tls/certs/slapd.pem

[root@endersysegitim]# /etc/init.d/ldap restart
# netstat -na |grep LISTEN
….
tcp        0      0 :::389                      :::*                        LISTEN
tcp        0      0 :::636                      :::*                        LISTEN

[root@endersysegitim]# openssl s_client -connect localhost:636 -showcerts
CONNECTED(00000003)
depth=0 /C=TR/ST=Marmara/L=Ankara/O=My Company Ltd/CN=ldap.server.com
verify error:num=18:self signed certificate

Not: Bu yazı Endersys Sistem Destek ekibi tarafından hazırlanmıştır. Referans gösterilmek şartıyla başka sitelerde yayınlanabilir.

http://www.endersys.com.tr

Faydalanılan Kaynaklar:

• Addison Wesley, Understanding and Deploying LDAP Directory Services
• Oreilly, LDAP System Admistration
• OpenLDAP 2.4 Admin Guide
• www.enderunix.org/docs/ldap_fundamentals/
• http://www.erhanekici.com/files/LDAP_Protokolu_15052004.pdf
• http://www.ahmetorhan.com/openldap.pdf
• http://download.cizgi.com.tr/akademi/355/ldap.pdf

Related posts:

1. Linux’da kullanıcıları OpenLDAP üzerinden yetkilendirme
2. Endersys, Özgür Yazılım ve Linux Günlerinde
3. Downgrading a package at RHEL 6