Kullanıcı yetkilendirmek için nss_ldap paketinin kurulması gerekir. Redhat’de bu paket nss_ldap ve pam_ldap modüllerini içerir. nss (Name Service Switch) passwd, group ve host gibi bilgilere nasıl erişileceğini tanımlarken, pam (Pluggable Authentication Modules) ise yetkilendirme işlemini yapar. Aşağıdaki komutla nss_ldap paketi kurulu değilse kurulur.

yum install nss_ldap

/etc/ldap.conf dosyasına aşağıdaki satırlar eklenir.

base dc=example,dc=com
rootbinddn cn=root,dc=deneme,dc=com
uri ldap://127.0.0.1/
ssl no
tls_cacertdir /etc/openldap/cacerts
scope one
pam_filter objectclass=posixaccount
pam_login_attribute uid,
pam_member_attribute gid
pam_password md5
nss_base_passwd         ou=People,dc=deneme,dc=com?one
nss_base_shadow         ou=People,dc=deneme,dc=com?one
nss_base_group          ou=Group,dc=deneme,dc=com?one

LDAP arama seviyeleri (scope)

/etc/ldap.secret dosyasına ldap yönetici parolası yazılır. Dosya izni 600 yapılır.

echo secret > /etc/ldap.secret
chmod 600 /etc/ldap.secret

/etc/nsswitch.conf dosyasındaki aşağıdaki satırlara ldap parametresi eklenir.

passwd:     files
shadow:     files
group:      files

ldap değerlerini ekledikten sonra kayıtlar aşağıdaki gibi gözükmelidir.

passwd:     files ldap
shadow:     files ldap
group:      files ldap

cat /etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.

# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     sufficient    pam_ldap.so
account     required      pam_ldap.so
#account    [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_first_pass
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_mkhomedir.so skel=/etc/skel umask=0022 silent
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so

Mevcut kullanıcı ve parola bilgilerini veritabanına atmak için /usr/share/openldap/migration/ altındaki scriptler kullanılabilir.

cd /usr/share/openldap/migration/
vi migrate_common.ph

# Default DNS domain
$DEFAULT_MAIL_DOMAIN = "deneme.com";

# Default base
$DEFAULT_BASE = "dc=deneme,dc=com";
$EXTENDED_SCHEMA = 1;

mkdir -p /root/ldap/migration
./migrate_base.pl >/root/ldap/migration/base.ldif
more /root/ldap/migration/base.ldif

dn: dc=deneme,dc=com
dc: deneme
objectClass: top
objectClass: domain
objectClass: domainRelatedObject
associatedDomain: deneme.com

dn: ou=Hosts,dc=deneme,dc=com
ou: Hosts
objectClass: top
objectClass: organizationalUnit
objectClass: domainRelatedObject
associatedDomain: deneme.com

./migrate_group.pl /etc/group  >/root/ldap/migration/group.ldif
more /root/ldap/migration/group.ldif

dn: cn=root,ou=Group,dc=deneme,dc=com
objectClass: posixGroup
objectClass: top
cn: root
userPassword: {crypt}x
gidNumber: 0

ETC_SHADOW=/etc/shadow
./migrate_passwd.pl /etc/passwd > /root/ldap/migration/passwd.ldif

Son olarak yukarıda oluşturulan ldiff dosyaları ldapadd komutu ile eklenir.

Related posts:

1. OpenLDAP Kurulum ve Yapılandırması
2. qmail from address and SMTP-AUTH username check patch
3. Downgrading a package at RHEL 6

1         OpenLDAP Sunucu

1.1      LDAP Nedir?

LDAP (Lightweight Directory Access Protocol : Hafif Dizin Erişim Protokolü)

Dizin ifadesi LDAP’in yapısı ve içerdigi bilgi itibari ile “veritabanı” olarak adlandırılmaktadır.  LDAP’da ana amaç aranan verinin mümkün olan en kısa sürede bulunmasıdır. LDAP’da veriler hiyerarşik nesneler şeklindedir. LDAP nesneleri entry adı verilir. TCP üzerinden X.500 Dizin Servislerine erişmek için tasarlandı.  En güncel LDAP protokol sürümü LDAPv3’dür. 1990’dan itibaren bu sürüm kullanılmaktadır.

Klasik bir LDAP ağacı aşağıdaki gibidir.

1.2      Niçin LDAP ?

• Kullanıcı bilgileri,Grup bilgileri vb bilgilerin merkezi yönetimi.
• Kullanıcıların aradıkları bilgiye hızlı ve kolay ulaşım.
• Dağıtık mimariye uygun.
• Her sistemde kullanılabilir.

1.3   Nerelerde LDAP Kullanabilirim ?

• Sunucu ve kullanıcı yetkilendirmesinde
• Kullanıcı ve sistem gruplarında
• Adres,Telefon defteri uygulamalarında
• Organizasyon yapısında
• Uygulama bilgilerinin saklanmasında

1.4      LDAP ile Veritabanı Arasındaki Farklar

• LDAP özel amaçlı bir veritabanı gibi düşünülebilir.
• Veritabanları hem okuma hemde yazmaya karşı optimize edilmiştir.
• LDAP okuma/arama özellikleri yazma özelliklerine göre çok daha gelişkindir.
• Veritabanları komplex işlemleri (rollback,transaction) destekler.
• LDAP komplex veritabanı işlemlerini desteklemez.
• LDAP sunucular göreceli statik bilgiler saklarken, Veritabanı sunucuları dinamik veriler saklarlar.
• LDAP standartlar üzerine kurulmuştur.Bir LDAP istemcisi tüm LDAP sunuculara erişebilir.
• Farklı veritabanı araçları sadece kendi ürünlerine erişmek için kullanılabilir.

1.5      LDAP Temelleri

1.5.1      LDIF  Nedir ?

LDIF’in açılımı: LDAP Data Interchange Format

• LDAP kayıtları düz metin formatında sunulur.
• Veri değişiklerini kolaylaştırır.
• Okunabilir bir formata sahiptir.
• Betikler ve çeşitli araçlar ile hazırlanabilir,aktarılabilir vs..
• Yedekleme ve başka bir sisteme aktarma işlemleri yapılabilir

1.5.2      LDAP Şema(Schema) Nedir?

• Dizinde saklanacak verinin türünü ve yapısını belirten kurallar bütünü.
• Veritabanındaki tablo yapısı benzer denilebilir.
• Veri bütünlüğü, uyumluluk sağlar
• Benzer veriler girilmesini ve kaynak israfını engeller
• Uygulamalar için kolaylık sağlar
• Object class özelliği kaydın uyması,takip etmesi gereken kuralları, şemalar da objectclass’ların izlemesi gereken kuralları belirler.

Bir şema aşağıdakileri içermelidir:

• Gerekli özellikler
• İzin verilen özellikler
• Özellikler nasıl karşılaştırılacak
• Özelliğin saklayacağı veri ve veri tipi kısıtlama getirebilir

Ön tanımlı Şemalar Aşağıdaki gibidir:

• corba.schema
• cosine.schema
• core.schema
• openldap.schema
• inetorgperson.schema
• java.schema
• misc.schema
• nis.schema

Örnek bir şema kaydı(inetorgperson.schema):

# displayName

# When displaying an entry, especially within a one-line summary list, it

# is useful to be able to identify a name to be used.  Since other attri-

# bute types such as ‘cn’ are multivalued, an additional attribute type is

# needed.  Display name is defined for this purpose.

attributetype ( 2.16.840.1.113730.3.1.241

NAME ‘displayName’

DESC ‘RFC2798: preferred name to be used when displaying entries’

EQUALITY caseIgnoreMatch

SUBSTR caseIgnoreSubstringsMatch

SYNTAX 1.3.6.1.4.1.1466.115.121.1.15

SINGLE-VALUE )

# employeeNumber

# Numeric or alphanumeric identifier assigned to a person, typically based

# on order of hire or association with an organization.  Single valued.

attributetype ( 2.16.840.1.113730.3.1.3

NAME ‘employeeNumber’

DESC ‘RFC2798: numerically identifies an employee within an organization’

EQUALITY caseIgnoreMatch

SUBSTR caseIgnoreSubstringsMatch

SYNTAX 1.3.6.1.4.1.1466.115.121.1.15

SINGLE-VALUE )

1.5.3      Attributes(Özellikler)

attributetype ( 2.5.4.6 NAME ( ‘c’ ‘countryName’ )
DESC ‘RFC2256: ISO-3166 country 2-letter code’
SUP name SINGLE-VALUE )

attributetype ( 2.5.4.29 NAME ‘presentationAddress’
DESC ‘RFC2256: presentation address’
EQUALITY presentationAddressMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.43 SINGLE-VALUE )

Bir attr ibute aşağıdaki alanlardan oluşur.
Name : Tekildir(unique), büyük-küçük harf duyarlılığı yoktur.
Object Identifier (OID) : Aralarında nokta olan sayılar dizisi

Attribute Sentaksı aşağıdaki değerler ve kontroller içerir:

• Saklanabilecek veri özellikleri
• Kontrol ve Karşılaştırmalar nasıl yapılacak
• Tekil Değer(Single Value) veya Çoklu Değer(Multiple Value)

OID Şeması

Bazı Attribute’lar:

• uid – User id
• cn – Common Name
• sn – Surname
• mail – Mail Address
• l – Location
• ou – Organisational Unit
• dc – Domain Component
• c – Country

1.5.4      ObjectClass

LDAP : Lightweight Directory 27 Access Protocol

Özelliklerde ne tip bilgiler ve bu bilgilerin hangi formatta olacağını belirler. Her bir objectclass entry’de tutulacak veriler için bir template görevi görür. Entry’de olması gereken zorunlu attributes ve tercihe bağlı attributes’leri tanımlar.

Bir kayıt icin birden fazla Objectclass olabilir.

Hangi objectclass’ların kullanılabileceği şemalar (schema) ile belirlenir.

Bazı objectclass’lar:

• account
• posixAccount
• posixGroup
• shadowAccount
• top
• organizationalUnit

organizationalUnit objectclass’ı (core.schema)

objectclass ( 2.5.6.5 NAME ‘organizationalUnit’

DESC ‘RFC2256: an organizational unit’

SUP top STRUCTURAL

MUST ou

MAY ( userPassword $ searchGuide $ seeAlso $ businessCategory $

x121Address $ registeredAddress $ destinationIndicator $

preferredDeliveryMethod $ telexNumber

$ teletexTerminalIdentifier $

telephoneNumber $ internationaliSDNNumber $

facsimileTelephoneNumber $ street $ postOfficeBox

$  postalCode $

postalAddress $ physicalDeliveryOfficeName $ st $ l

$ description ) )

MUST: Zorunlu olan attributelar

MAY: Tercihe bağlı(optional) attribute’lar

SUP: Parent Object

ObjectClass Türleri

Structural Object Class: Person veya organizationalUnit gibi gerçek nesneleri ifade eder.

Auxiliary(Yardımcı) Object Class: Structural Object Class’a bazı karakteristikler ekler. Bunlar tek başlarına kullanılamazlar. Sadece structural object class’ları tamamlar. Örnek: simpleSecurityObject, mailRecipient ve cacheObject

Abstract Object Class:  Yazılım dillerinde olduğu gibi abstract işlevini yapar. Örnek: top

1.5.5      DN(Distinguished Name)

Saklanan her bir veriye ait tekil tanımlayıcıya verilen ad. Bir  veritabanı tablosundaki unique  alan olarak düşünülebilir. Örnek bir dn değeri aşağıdaki gibidir:

dn: uid=ismail, ou=system, dc=endersys, dc=com

1.6      OpenLDAP Kurulumu

Ön tanımlı olarak tüm Linux dağıtımlarında OpenLDAP gelmektedir. En güncel ve kararlı sürümü şu anda 2.4’dür. Linux kurulumu sırasında paket olarak seçebileceğiniz gibi internet bağlantısı olan bir Linux’te aşağıdaki komutla OpenLDAP’ı kurabilirsiniz.

# yum install openldap*

Kurulu OpenLDAP paketlerini ise aşağıdaki komutla görebilirsiniz.

# rpm -qa |grep openldap
openldap-2.3.43-3.el5
openldap-servers-2.3.43-3.el5
openldap-servers-sql-2.3.43-3.el5
openldap-devel-2.3.43-3.el5
compat-openldap-2.3.43_2.2.29-3.el5
openldap-clients-2.3.43-3.el5
openldap-servers-overlays-2.3.43-3.el5

1.7      Temel Konfigürasyon

vi /etc/openldap/slapd.conf

#

include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/dnszone.schema
# Allow LDAPv2 client connections.  This is NOT the default.
allow bind_v2
# Do not enable referrals until AFTER you have a working directory

# service AND an understanding of referrals.
#referral       ldap://root.openldap.org
loglevel        256
pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

database        bdb
suffix          “dc=deneme,dc=com”
rootdn          ”cn=root,dc=deneme,dc=com”
# Cleartext passwords, especially for the rootdn, should
# be avoided.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.

rootpw          secret
# rootpw                {crypt}ijFYNcSNctBYg
directory       /var/lib/ldap

index objectClass                       eq,pres
index ou,cn,mail,surname,givenname      eq,pres,sub
index uidNumber,gidNumber,loginShell    eq,pres
index uid,memberUid                     eq,pres,sub
index nisMapName,nisMapEntry            eq,pres,sub

#slapd.conf dosyasının sonu

slapd.conf Değişkenleri:

include:  Dahil edilecek şema dosyalarını belirtir.

loglevel: Log tutma seviyesini belirtir. Tüm log seviyeleri aşağıdaki gibidir.

database: Kullanılacak veritabanı tipini belirtir. Ön tanımlı olarak bdb(Berkeley DB transactional backend) kullanılır.

suffix:  Hizmet verilecek LDAP ağacını belirler.

rootdn: UNIX sistemlerindeki superuser gibi tüm LDAP kayıtlarında işlem yetkisine sahip kullanıcıyı ifade etmektedir.

Buradaki dc ifadesi “domain context” anlamına gelmektedir.

rootpw:root parolasını belirler. Yukarıdaki gibi düz metin olduğu gibi parolanın şifrelenmiş halide yazılabilir. Slapasswd komutu ile şifrelenmiş parola üretebilirsiniz.

[root@endersysegitim ~]# slappasswd
New password:
Re-enter new password:
{SSHA}Ue4ZyZyxQfkrs0CalEHESLnbXelZ6Z82
[root@endersysegitim ~]# slappasswd -h {CRYPT}
New password:
Re-enter new password:
{CRYPT}FE2cKmGfb9/zc

directory: LDAP kayıtlarının tutulacağı dizini belirtir.

index :slapd servisinin indekslerini belirtir. Veritabanında olduğu gibi burada da indeksler gibi arama performansını artırmak için kullanılır.

• approx (approximate): Yaklaşık arama
• eq (equality): Eşit
• pres (presence): Var olup olmamasına göre indeks.
• sub (substring): İçeren.

LDAP loglarını LOCAL4 öncelik değeri ile syslog üzerinden tutar. LDAP loglarını görmek için aşağıdaki işlemler yapılır.

1. /etc/syslog.conf dosyasına aşağıdaki satır eklenir.local4.* /var/log/ldap.log
2. /var/log/ldap.log dosyası oluşturulur.

[root@endersysegitim ~]# touch /var/log/ldap.log

1. Syslog ve ldap servisleri restart edilir.

[root@endersysegitim ~]# /etc/init.d/syslog restart ; /etc/init.d/ldap restart

[root@endersysegitim ~]# tail -f /var/log/ldap.log
Oct  8 02:08:46 egitim slapd[11494]: config_build_entry: “olcDatabase={1}bdb”
Oct  8 02:08:46 egitim slapd[11494]: backend_startup_one: starting “dc=deneme,dc=com”
Oct  8 02:08:46 egitim slapd[11494]: bdb_db_open: dc=deneme,dc=com
Oct  8 02:08:46 egitim slapd[11494]: bdb_db_open: dbenv_open(/var/lib/ldap) Oct  8 02:08:46 egitim slapd[11494]: slapd starting
Oct  8 02:08:46 egitim slapd[11494]: daemon: added 4r listener=(nil) Oct  8 02:08:46 egitim slapd[11494]: daemon: added 7r listener=0x82fb520 Oct  8 02:08:46 egitim slapd[11494]: daemon: added 8r listener=0x82fb5f8 Oct  8 02:08:46 egitim slapd[11494]: daemon: epoll: listen=7 active_threads=0 tvp=NULL
Oct  8 02:08:46 egitim slapd[11494]: daemon: epoll: listen=8 active_threads=0 tvp=NULL

1.8      OpenLDAP Bileşenleri

Sunucu Programları:

• /usr/sbin/slapd: LDAP Sunucu programı
• /usr/sbin/slurpd: LDAP Replikasyon yardımcısı

İstemci Programları:

• /usr/bin/ldapadd: LDAP’a kayıt ekleme programı
• /usr/bin/ldapmodify: Kayıt güncelleme programı
• /usr/bin/ldapdelete: LDAP’tan kayıt silme programı
• /usr/bin/ldapsearch: Kayıt arama programı
• /usr/sbin/slapadd: LDIFF formatındaki veriyi doğrudan backend dosyalarına yazar.
• /usr/sbin/slapcat: Veritabanından direkt LDIFF formatında dosya oluşturur.

1.9  OpenLDAP ACL(Access Control List)

1.9.1      Bağlantı kuranları ifade eden ACL değişkenleri:

• * : Anonim erişim dahil tüm bağlantı kuran kullanıcıları ifade eder.
• self : Başarılı bir şekilde bağlantı kurmuş(yetkilendirilmiş) kullanıcının kendisini ifade eder.
• anonymous:  Yetkilendirme(authentication) yapılmamış kullanıcı bağlantıları
• users : Yetkilendirme yapmış kullanıcı bağlantıları

1.9.2      Erişim Seviyeleri

• write: Attribute’ı güncelleme hakkı
• read: Arama sonuçlarını okuma hakkı
• search: Arama hakkı
• compare: Karşılaştırma hakkı
• auth: Yetkilendirme hakkı
• none: Erişim yok.

Örnekler:

Tüm herkese okuma hakkı:

access to *

by * read

access to *

by self write (Kullanıcı kendi bilgilerini güncelleyebilir)

by users read (Yetkilendirme yapmış kullanıcılar kayıtları okuyabilir)

by * none (Geri kalan tüm kullanıcılara erişimi engelle,anonymous)

access to attrs=userPassword

by dn=”cn=root,dc=deneme,dc=com” write

(root userPassword alanını değiştirebilir)

by self write (Kullanıcı kendi parolasını değiştirebilir.)
by * auth (Geri kalanlar oturum açmak zorundadır. userPassword bilgisini okuyamaz ve yazamazlar)

1.10 OpenLDAP’ın Başlatılması

[root@endersysegitim ~]# cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@endersysegitim ~]# chown ldap /var/lib/ldap/DB_CONFIG

[root@endersysegitim ~]# /etc/init.d/ldap start
Checking configuration files for slapd:  config file testing succeeded
[  OK  ]
Starting slapd:                                            [  OK  ]

[root@endersysegitim ~]# ldapadd -x -D”cn=root,dc=deneme,dc=com” -w secret -f ilk.ldiff
adding new entry “dc=deneme, dc=com”

[root@endersysegitim ~]# ldapsearch -x -b ‘dc=deneme,dc=com’ ‘(objectclass=*)’

# extended LDIF
#
# LDAPv3
# base <dc=deneme,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# deneme.com
dn: dc=deneme,dc=com
objectClass: dcObject
objectClass: organization
o: deneme ltd
dc: deneme
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1

LDAP verileri LDAP servisi çalışmasa bile slapcat komutu ile listelenebilir.

[root@endersysegitim ldap]# slapcat
dn: dc=deneme,dc=com
objectClass: dcObject
objectClass: organization
o: deneme ltd
dc: deneme
structuralObjectClass: organization
entryUUID: f3f519f4-453f-102e-8283-79f25680c01c
creatorsName: cn=root,dc=deneme,dc=com
createTimestamp: 20091004144258Z
entryCSN: 20091004144258Z#000000#00#000000
modifiersName: cn=root,dc=deneme,dc=com
modifyTimestamp: 20091004144258Z

[root@endersysegitim ldap]# cat ou.ldif
dn: ou=people, dc=deneme, dc=com
ou: people
objectClass: organizationalUnit

dn: ou=users, dc=deneme, dc=com
ou: users
objectClass: organizationalUnit

[root@endersysegitim ldap]# ldapadd -x -D”cn=root,dc=deneme,dc=com” -f ou.ldif –W
Enter LDAP Password:
adding new entry “ou=people, dc=deneme, dc=com”
adding new entry “ou=users, dc=deneme, dc=com”

# cat user.ldiff
dn: cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com
cn: Ismail YENIGUL
sn: YENIGUL
mail: ismail.yenigul@endersys.com
labeledURI: http://www.endersys.com
roomNumber: 123 Golbasi Teknokent
departmentNumber: Engineering
telephoneNumber: 123-555-2345
mobile: 0533-747-3665
objectclass: inetOrgPerson

# ldapadd -x -D”cn=root,dc=deneme,dc=com” -w secret -f user2.ldiff
adding new entry “cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com”

#ldapsearch -x -b ‘dc=deneme,dc=com’ ‘(mail=*)’

# Ismail YENIGUL, people, deneme.com

dn: cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com

cn: Ismail YENIGUL

sn: YENIGUL

mail: ismail.yenigul@endersys.com

labeledURI: http://www.endersys.com

roomNumber: 123 Golbasi Teknokent

departmentNumber: Engineering

telephoneNumber: 123-555-2345

mobile: 0533-747-3665

objectClass: inetOrgPerson

# Cenk IZANLI, people, deneme.com

dn: cn=Cenk IZANLI,ou=people,dc=deneme,dc=com

cn: Cenk IZANLI

sn: IZANLI

mail: cenk.izanli@endersys.com

labeledURI: http://www.endersys.com

roomNumber: 124 Golbasi Teknokent

departmentNumber: Support Team

telephoneNumber: 123-567-8915

mobile: 0533-747-3666

objectClass: inetOrgPerson

# ldapsearch -x -b ‘dc=deneme,dc=com’ ‘(mail=ismail.yenigul@endersys.com)’  telephoneNumber mobile

# Ismail YENIGUL, people, deneme.com

dn: cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com

telephoneNumber: 123-555-2345

mobile: 0533-747-3665

# cat update.ldif

dn: cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com

changetype: modify

delete: mail

mail: ismail.yenigul@endersys.com

-

add: mail

mail: ismail.yenigul@endersys.com.tr

# ldapmodify -x -D”cn=root,dc=deneme,dc=com” -w secret -v -f update.ldif

ldap_initialize( <DEFAULT> )

delete mail:

ismail.yenigul@endersys.com

add mail:

ismail.yenigul@endersys.com.tr

modifying entry “cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com”

modify complete

# cat update2.ldif

dn: cn= Ismail YENIGUL,dc=deneme,dc=com

changetype: modify

replace: mail

mail: yenimail@deneme.com

-

add: title

title: Proce Yoneticisi

-

add: jpegPhoto

jpegPhoto:< file:///tmp/afili.jpeg

-

delete: mobile

-

# cat delete.ldif

cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com

# ldapdelete -x -D”cn=root,dc=deneme,dc=com” -w secret -v -f delete.ldif

ldap_initialize( <DEFAULT> )

deleting entry “cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com”

Aynı kayıt ldapmodify komutu ile aşağıdaki şekilde silinebilir.

# cat delete2.ldiff

dn: cn=Ismail YENIGUL,ou=people,dc=deneme,dc=com

changetype: delete

# ldapmodify -x -D”cn=root,dc=deneme,dc=com” -w secret -v -f update2.ldif

1.11 LDAP SSL/TLS

[root@endersysegitim]#  cd /etc/pki/tls/certs/
[root@endersysegitim]#  mv slapd.pem slapd.pem.yedek
[root@endersysegitim]# make slapd.pem
# chown ldap:ldap slapd.pem
# vi /etc/openldap/slapd.conf
TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
TLSCertificateFile /etc/pki/tls/certs/slapd.pem
TLSCertificateKeyFile /etc/pki/tls/certs/slapd.pem

[root@endersysegitim]# /etc/init.d/ldap restart
# netstat -na |grep LISTEN
….
tcp        0      0 :::389                      :::*                        LISTEN
tcp        0      0 :::636                      :::*                        LISTEN

[root@endersysegitim]# openssl s_client -connect localhost:636 -showcerts
CONNECTED(00000003)
depth=0 /C=TR/ST=Marmara/L=Ankara/O=My Company Ltd/CN=ldap.server.com
verify error:num=18:self signed certificate

Not: Bu yazı Endersys Sistem Destek ekibi tarafından hazırlanmıştır. Referans gösterilmek şartıyla başka sitelerde yayınlanabilir.

http://www.endersys.com.tr

Faydalanılan Kaynaklar:

• Addison Wesley, Understanding and Deploying LDAP Directory Services
• Oreilly, LDAP System Admistration
• OpenLDAP 2.4 Admin Guide
• www.enderunix.org/docs/ldap_fundamentals/
• http://www.erhanekici.com/files/LDAP_Protokolu_15052004.pdf
• http://www.ahmetorhan.com/openldap.pdf
• http://download.cizgi.com.tr/akademi/355/ldap.pdf

Related posts:

1. Linux’da kullanıcıları OpenLDAP üzerinden yetkilendirme
2. Endersys, Özgür Yazılım ve Linux Günlerinde
3. Downgrading a package at RHEL 6