HowtoForge

So installierst du OpenLDAP unter Debian 11

von ·

OpenLDAP ist eine freie und quelloffene Softwareimplementierung von LDAP (Lightweight Directory Access Protocol). Es ist ein plattformunabhängiges Protokoll, das für die zentralisierte Authentifizierung und für Verzeichniszugriffsdienste wie E-Mail und andere Anwendungen verwendet werden kann.

OpenLDAP ist ein eigenständiger LDAP-Daemon, der seine Bibliotheken und Dienstprogramme zur Verfügung stellt. Außerdem bietet es Unterstützung für TLS-Zertifikat-Authentifizierung und SASL-Authentifizierung.

In diesem Artikel zeigen wir dir, wie du OpenLDAP auf Debian 11 Bullseye installierst und konfigurierst.

Voraussetzungen

  • Ein Debian 11 Server.
  • Ein Nicht-Root-Benutzer mit sudo/root-Rechten.

Installation von OpenLDAP unter Debian 11

Zunächst installierst du die OpenLDAP-Pakete auf dem Debian 11-Server. Das Standard-Debian-Repository bietet die stabile Version OpenLDAP v2.4.

Bevor du mit der Installation der OpenLDAP-Pakete beginnst, führe den Befehl „apt“ aus, um das Repository von Debian zu aktualisieren.

sudo apt update

Installiere nun die OpenLDAP-Pakete„slapd“ und„ldap-utils„. Das Paket„slapd“ ist das Hauptpaket von OpenLDAP und das Paket„ldap-utils“ stellt Kommandozeilenprogramme für die Verwaltung des OpenLDAP-Servers bereit.

sudo apt install slapd ldap-utils

Gib„Y“ ein und drücke„ENTER„, um die Installation zu bestätigen.

Slapd installieren

Nun wirst du aufgefordert, das Passwort für den OpenLDAP-Admin-Benutzer festzulegen.

Gib dein Passwort ein, wähle„OK“ und drücke dann„ENTER„.

Administrator-Passwort OpenLDAP

Wiederhole dein Passwort, wähle„OK“ und drücke erneut„ENTER“. Die Installation von OpenLDAP ist damit abgeschlossen.

Wiederholung des Admin-Passworts

OpenLDAP-Server konfigurieren

Nachdem du die OpenLDAP-Pakete installiert hast, musst du nun OpenLDAP auf dem Debian-Server einrichten.

Bevor wir weitermachen, richten wir mit dem folgenden Befehl den FQDN (Fully Qualified Domain Name) des Servers ein.

sudo hostnamectl set-hostname ldap.mydomain.local

Bearbeite nun die Datei„/etc/hosts“ mit dem Editor nano.

sudo nano /etc/hosts

Kopiere die folgende Konfiguration und füge sie ein. Achte darauf, dass du die IP-Adresse mit der IP-Adresse deines Servers und den FQDN mit deinem Hostnamen und deinem lokalen Domänennamen änderst.

192.168.10.50 ldap.mydomain.local ldap

Speichere und schließe die Datei.

Melde dich nun von deiner aktuellen SSH-Sitzung ab und logge dich erneut auf deinem Server ein.

Als Nächstes führst du den folgenden Befehl aus, um das OpenLDAP-Paket„slapd“ neu zu konfigurieren.

sudo dpkg-reconfigure slapd

Wähle Nein, wenn du gefragt wirst, ob du die alte OpenLDAP-Konfiguration löschen/beenden willst. Dadurch bleibt die alte Konfiguration verfügbar.

Wähle no omit database OpenLDAP

Gib nun den lokalen DNS-Domänennamen für deinen OpenLDAP-Server ein und wähle OK.

DNS-Domäne OpenLDAP einrichten

Gib den Namen der Organisation ein und wähle OK. Optional kannst du ihn als Standard mit demselben Namen wie den Domänennamen belassen.

Organisationsname OpenLDAP einrichten

Gib nun das OpenLDAP-Administratorpasswort ein und wähle OK, um fortzufahren.

Admin-Passwort eingeben OpenLDAP

Bestätige das OpenLDAP-Administratorpasswort und wähle erneut OK.

Bestätige das Admin-Passwort

Wähle NEIN, wenn du gefragt wirst, ob du die alte slapd-Datenbank löschen willst.

Alte Datenbank nicht löschen OpenLDAP

Wähle nun Ja, um die alte slapd-Datenbank zu verschieben.

Alte slapd-Datenbank verschieben

Die Konfiguration der OpenLDAP-Pakete ist nun abgeschlossen.

Um die OpenLDAP-Konfiguration zu überprüfen, führe den unten stehenden Befehl„slapcat“ aus.

sudo slapcat

Jetzt solltest du eine Ausgabe ähnlich dem folgenden Screenshot erhalten. Der Domänenname und der Organisationsname für OpenLDAP sind korrekt mit„mydomain.local“ angegeben.

slapcat Befehl

Starte abschließend den„slapd„-Dienst neu, um die neuen Änderungen zu übernehmen. Überprüfe dann den„slapd„-Dienst.

sudo systemctl restart slapd
sudo systemctl status slapd

Jetzt sollte der„slapd„-Dienst den Status„aktiv (läuft)“ haben.

Starte und überprüfe den slapd-Dienst neu

Einrichten der UFW-Firewall

Wenn du den Debian-Server mit aktivierter UFW-Firewall betreibst, musst du den LDAP- und LDAPS-Dienst zur UFW-Firewall hinzufügen.

Es wird empfohlen, die Firewall in deiner lokalen Umgebung zu verwenden, da sie die Sicherheit deines Servers erhöht.

Führe nun den unten stehenden ufw-Befehl aus, um den LDAP- und LDAPS-Dienst zur ufw-Firewall hinzuzufügen.

sudo ufw allow LDAP
sudo ufw allow LDAPS

Als nächstes lädst du die UFW-Firewall-Regel mit dem folgenden Befehl neu.

sudo ufw reload

Überprüfe abschließend die Liste der aktivierten Dienste in deiner UFW-Firewall mit dem folgenden Befehl.

sudo ufw status

Du solltest eine Ausgabe wie im folgenden Screenshot erhalten. Die LDAP- und LDAPS-Dienste wurden zur UFW-Firewall hinzugefügt.

UFW-Firewall einrichten

Jetzt kannst du die Gruppen und Benutzer des OpenLDAP-Servers einrichten.

Einrichten der Benutzergruppe

Der OpenLDAP-Server wird oft für die Authentifizierung einer Gruppe von Computern oder Servern verwendet. In diesem Schritt richtest du die Gruppe auf dem OpenLDAP-Server mithilfe der LDIF-Datei (LDAP Data Interchange Format) ein.

Die LDIF ist eine Formatierungsdatei der LDAP-Einträge und kann zur Verwaltung von Benutzern und Gruppen auf dem OpenLDAP-Server verwendet werden.

Erstelle mit dem nano-Editor eine neue Datei„/etc/ldap/users.ldif„.

sudo nano /etc/ldap/users.ldif

Kopiere die folgende Konfiguration und füge sie ein. Mit dieser Konfiguration wird eine neue Gruppe mit dem Namen„People“ für die Domäne„mydomain.local“ erstellt.

dn: ou=People,dc=mydomain,dc=local
objectClass: organizationalUnit
ou: People

Speichere und schließe die Datei.

Als Nächstes führst du den Befehl„ldapadd“ aus, um die in der Datei„users.ldif“ definierte Gruppe hinzuzufügen.

sudo ldapadd -D "cn=admin,dc=mydomain,dc=local" -W -H ldapi:/// -f /etc/ldap/users.ldif

Du wirst aufgefordert, das „admin“-Passwort des OpenLDAP-Servers einzugeben. Wenn der Vorgang erfolgreich abgeschlossen ist, solltest du eine Meldung wie„adding new entry „ou=People,dc=mydomain,dc=local““ sehen.

Gruppe einrichten Menschen OpenLDAP

Um die Gruppe„People“ zu überprüfen, führe den unten stehenden Befehl„ldapsearch“ aus. Dieser Befehl zeigt die verfügbaren Gruppen auf dem OpenLDAP-Server an.

sudo ldapsearch -x -b "dc=mydomain,dc=local" ou

Jetzt solltest du sehen, dass die Gruppe„People“ auf dem OpenLDAP-Server verfügbar ist.

Gruppe OpenLDAP anzeigen

Einrichten eines neuen Benutzers

Nachdem du die Gruppe auf dem OpenLDAP-Server eingerichtet hast, kannst du nun einen neuen Benutzer zum OpenLDAP-Server hinzufügen. Auch das kannst du mit der LDIF-Datei und dem Kommandozeilen-Tool „ldapadd“ machen.

Erstelle nun mit dem nano-Editor eine neue Datei„alice.ldif„.

sudo nano alice.ldif

Kopiere die folgende Konfiguration und füge sie ein. Achte darauf, dass du das Passwort„AlicePassword“ durch ein sicheres Passwort ersetzt.

In diesem Beispiel erstellst du einen neuen Benutzer namens„alice“ mit dem Heimatverzeichnis„/home/alice“ und der Standardshell„/bin/bash„. Außerdem ist der Benutzer„alice“ Teil der Gruppe„People„.

# Add user alice to LDAP Server
dn: cn=alice,ou=People,dc=mydomain,dc=local
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
cn: alice
uid: alice
uidNumber: 10001
gidNumber: 10001
homeDirectory: /home/alice
userPassword: AlicePassword
loginShell: /bin/bash

Speichere und schließe die Datei.

Als Nächstes führst du den Befehl„ldapadd“ aus, um einen neuen Benutzer auf der Grundlage der Datei„alice.ldif“ hinzuzufügen.

sudo ldapadd -D "cn=admin,dc=mydomain,dc=local" -W -H ldapi:/// -f alice.ldif

Gib das OpenLDAP-Administratorkennwort ein und du solltest die Ausgabe„adding new entry „cn=alice,ou=People,dc=mydomain,dc=local““ erhalten, was bedeutet, dass der neue Benutzer„alice“ zum OpenLDAP-Server hinzugefügt wurde.

Neuen Benutzer anlegen OpenLDAP

Führe den unten stehenden Befehl„ldapsearch“ aus, um die Liste der Benutzer auf dem OpenLDAP-Server zu erhalten.

sudo ldapsearch -x -b "ou=People,dc=mydomain,dc=local"

Du solltest eine Ausgabe wie im folgenden Screenshot erhalten. Der neue Benutzer„alice“ ist jetzt auf dem OpenLDAP-Server verfügbar.

Überprüfung von OpenLDAP-Benutzern

Fazit

Herzlichen Glückwunsch! Du hast nun erfolgreich den OpenLDAP-Server auf dem Debian 11-Server installiert. Außerdem hast du gelernt, wie du mit den LDIF-Dateien (LDAP Data Interchange Format) und dem Kommandozeilen-Tool „ldapadd“ Gruppen und Benutzer hinzufügen kannst.

Im nächsten Schritt möchtest du vielleicht mehr darüber erfahren, wie du Linux-Rechner wie Ubuntu und CentOS zum OpenLDAP-Server hinzufügst.

Das könnte dich auch interessieren …