Michael Oberg - Freiberuflicher EDV-Berater und Software-Entwickler
Frame Version


slapd.conf

Die Konfigurationsdatei /etc/openldap/slapd.conf enthält unter anderem folgende Einstellungen:

  • die zu ladenden Schemas,
  • den auf Null gestellten "loglevel" (da LDAP alle Authentifizierungen und Zugriffsrechtsprüfungen übernimmt, sorgt selbst der kleinste "loglevel" für überlaufende Logfiles),
  • die Zugriffsrechte (siehe unten),
  • den "suffix" (in anderen Konfigurationsdateien meist "ldapbase" oder einfach "base" genannt), der im myLinux Server stets die Form "dc=<SUBDOMAIN>,dc=<TOPLEVELDOMAIN>" haben muß, beispielsweise "dc=fourier-group,dc=de",
  • den Distinguished Name des LDAP-Administrators,
  • das Paßwort des LDAP-Administrators im Klartext (eines der Setup-Skripte extrahiert dieses Paßwort aus der Datei und speichert es für den Benutzermanager ab, der es für verschiedene Aktionen wie das Anlegen von Benutzern benötigt),
  • den Pfad zu den Datenbank-Dateien,
  • die anzulegenden Indizes für schnelle Zugriffe auf die Konfigurationsdaten von sendmail, die Authentifizierungsdaten von pam_ldap und die Adressdaten durch Mailclients wie Outlook,
  • und zuletzt die Pfade zu den SSL-Zertifikaten.

Zugriffsrechte

Die Vergabe von Zugriffsrechten auf das LDAP-Verzeichnis wurde bereits unter LDAP im Abschnitt "Dedizierter Zugriff auf LDAP" beschrieben.

Das explizite Erteilen von Zugriffsrechten ist dabei recht einfach ("... by dn=... write"). Die Schwierigkeit besteht darin, daß mit der Erteilung von Schreibrechten keine Sicherheitslücken geöffnet werden dürfen.

Um beispielsweise das Anlegen von UNIX-Benutzern oder -Gruppen dem LDAP-Administrator alleine vorzubehalten, muß das Anlegen solcher Objekte im Ordner "contacts" verboten werden - dies geht nur, indem man das Auslesen der für diese Objekte typischen Attribute (Paßwörter, ID Nummern) unmöglich macht.

Auch dürfen innerhalb von Benutzer- und Gruppen-Objekten bestimmte systemkritische Attribute nicht verändert werden (ID Nummern, Paßwörter, Gruppen- und Benutzernamen).