|
slapd.conf
Die Konfigurationsdatei /etc/openldap/slapd.conf enthält unter anderem folgende Einstellungen:
- die zu ladenden Schemas,
- den auf Null gestellten "loglevel" (da LDAP alle Authentifizierungen und Zugriffsrechtsprüfungen übernimmt, sorgt selbst der kleinste "loglevel" für überlaufende Logfiles),
- die Zugriffsrechte (siehe unten),
- den "suffix" (in anderen Konfigurationsdateien meist "ldapbase" oder einfach "base" genannt), der im myLinux Server stets die Form "dc=<SUBDOMAIN>,dc=<TOPLEVELDOMAIN>" haben muß, beispielsweise "dc=fourier-group,dc=de",
- den Distinguished Name des LDAP-Administrators,
- das Paßwort des LDAP-Administrators im Klartext (eines der Setup-Skripte extrahiert dieses Paßwort aus der Datei und speichert es für den Benutzermanager ab, der es für verschiedene Aktionen wie das Anlegen von Benutzern benötigt),
- den Pfad zu den Datenbank-Dateien,
- die anzulegenden Indizes für schnelle Zugriffe auf die Konfigurationsdaten von sendmail, die Authentifizierungsdaten von pam_ldap und die Adressdaten durch Mailclients wie Outlook,
- und zuletzt die Pfade zu den SSL-Zertifikaten.
Zugriffsrechte
Die Vergabe von Zugriffsrechten auf das LDAP-Verzeichnis wurde bereits unter LDAP im Abschnitt "Dedizierter Zugriff auf LDAP" beschrieben.
Das explizite Erteilen von Zugriffsrechten ist dabei recht einfach ("... by dn=... write"). Die Schwierigkeit besteht darin, daß mit der Erteilung von Schreibrechten keine Sicherheitslücken geöffnet werden dürfen.
Um beispielsweise das Anlegen von UNIX-Benutzern oder -Gruppen dem LDAP-Administrator alleine vorzubehalten, muß das Anlegen solcher Objekte im Ordner "contacts" verboten werden - dies geht nur, indem man das Auslesen der für diese Objekte typischen Attribute (Paßwörter, ID Nummern) unmöglich macht.
Auch dürfen innerhalb von Benutzer- und Gruppen-Objekten bestimmte systemkritische Attribute nicht verändert werden (ID Nummern, Paßwörter, Gruppen- und Benutzernamen).
|