แบบเก่าไฟล์คอนฟิกหลักจะอยู่ในไฟล์ /etc/openldap/slapd.conf แต่แบบใหม่คอนฟิกจะถูกเก็บแยกเป็นไฟล์ LDIF เป็นโครงสร้างอยู่ในไดเร็คทอรี /etc/openldap/slapd.d/ และเมื่อรันเซอร์วิส ไฟล์เหล่านี้จะถูกอ่านเข้าไปใน LDAP เลย ซึ่งทำให้เราสามารถแก้ไขคอนฟิกเซิร์ฟเวอร์ ได้ เหมือนกับการแก้ไขข้อมูลอื่นๆ ใน LDAP

รายละเอียดเพิ่มเติมหาอ่านได้จาก ข้อมูลอ้างอิง Configuring slapd

เพื่อความสะดวก ทางทีมพัฒนา OpenLDAP ได้สร้างคำสั่ง slaptest เพื่อใช้ในการเปลี่ยนคอนฟิกแบบเก่าไฟล์เดียว ให้เป็นรูปแบบใหม่ได้

ในบทความนี้จะแสดงขั้นตอนการติดตั้งและคอนฟิก OpenLDAP บนเครื่อง Fedora 13 (x86_64)

ติดตั้ง openldap

ใช้คำสั่ง rpm เพื่อตรวจสอบการติดตั้ง openldap ว่ามีอยู่แล้วหรือไม่

[root@fc13-64a ~]# rpm -qa | grep openldap
openldap-2.4.21-4.fc13.x86_64

เพื่อจะคอนฟิกเป็นเซิร์ฟเวอร์ได้ ต้องติดตั้งไฟล์ rpm เพิ่มเติม บางไฟล์หาได้จากแผ่นดีวีดีติดตั้ง

[root@fc13-64a ~]# mount /dev/scd0 /media
mount: block device /dev/sr0 is write-protected, mounting read-only
[root@fc13-64a ~]# cd /media/Packages/

[root@fc13-64a Packages]# rpm -i libtool-ltdl-2.2.6-20.fc13.x86_64.rpm
[root@fc13-64a Packages]# rpm -i openldap-clients-2.4.21-4.fc13.x86_64.rpm

ดาวน์โหลดไฟล์เพิ่มเติมจาก fc13 Everything แล้วติดตั้ง

[root@fc13-64a Everything]# rpm -i openldap-servers-2.4.21-4.fc13.x86_64.rpm

ไฟล์คอนฟิกดีฟอลต์ของ OpenLDAP จะถูกติดตั้งอยู่ใน /etc/openldap/

[root@fc13-64a ~]# cd /etc/openldap/

[root@fc13-64a openldap]# ls -l
total 24
drwxr-xr-x. 2 root root 4096 Feb 24 16:19 cacerts
-rw-r--r--. 1 root root  245 Feb 24 16:19 ldap.conf
drwxr-xr-x  3 root root 4096 Jul 16 20:37 schema
-rw-r-----  1 root ldap 4153 Feb 24 16:19 slapd.conf.bak
drwx------  3 ldap ldap 4096 Jul 16 20:37 slapd.d

รันเซอร์วิส

ใช้คำสั่ง service เพิ่มรัน slapd (OpenLDAP server)

[root@fc13-64a ~]# service slapd start
/var/lib/ldap/__db.004 is not owned by "ldap"              [WARNING]
/var/lib/ldap/__db.001 is not owned by "ldap"              [WARNING]
/var/lib/ldap/__db.002 is not owned by "ldap"              [WARNING]
/var/lib/ldap/__db.006 is not owned by "ldap"              [WARNING]
/var/lib/ldap/__db.005 is not owned by "ldap"              [WARNING]
/var/lib/ldap/alock is not owned by "ldap"                 [WARNING]
/var/lib/ldap/__db.003 is not owned by "ldap"              [WARNING]
ln: accessing `/var/run/openldap/slapd.pid': No such file or directory

มีข้อผิดพลาดฟ้องเรื่อง permission ไม่ถูกต้อง

[root@fc13-64a ~]# ls -l /var/lib/ldap/
total 884
-rw------- 1 root root   2048 Jul 16 20:37 alock
-rw------- 1 root root  24576 Jul 16 20:37 __db.001
-rw------- 1 root root 212992 Jul 16 20:37 __db.002
-rw------- 1 root root 270336 Jul 16 20:37 __db.003
-rw------- 1 root root 163840 Jul 16 20:37 __db.004
-rw------- 1 root root 802816 Jul 16 20:37 __db.005
-rw------- 1 root root  32768 Jul 16 20:37 __db.006

ใช้คำสัง chown เพื่อเปลี่ยนเจ้าของไฟล์ (owner)

[root@fc13-64a ldap]# chown ldap.ldap *
[root@fc13-64a ldap]# ls -l
total 884
-rw------- 1 ldap ldap   2048 Jul 16 20:37 alock
-rw------- 1 ldap ldap  24576 Jul 16 20:37 __db.001
-rw------- 1 ldap ldap 212992 Jul 16 20:37 __db.002
-rw------- 1 ldap ldap 270336 Jul 16 20:37 __db.003
-rw------- 1 ldap ldap 163840 Jul 16 20:37 __db.004
-rw------- 1 ldap ldap 802816 Jul 16 20:37 __db.005
-rw------- 1 ldap ldap  32768 Jul 16 20:37 __db.006

ใช้คำสั่ง service เพื่อรันเซอร์วิสอีกครั้ง

[root@fc13-64a ldap]# service slapd start
Starting slapd:                                            [  OK  ]

ใช้คำสั่ง ps เพื่อตรวจสอบ process

[root@fc13-64a ldap]# ps -ef | grep ldap
ldap     22636     1  0 21:18 ?        00:00:00 /usr/sbin/slapd -h  ldap:/// -u ldap

ใช้คำสั่ง service เพื่อปิดเซอร์วิส

[root@fc13-64a ldap]# service slapd stop
Stopping slapd:                                            [  OK  ]

แล้วทดลองรันเซอร์วิสอีกครั้ง จะมีข้อความฟ้องเรื่อง performance

[root@fc13-64a ldap]# service slapd start
Checking configuration files for slapd:                    [WARNING]
bdb_db_open: warning - no DB_CONFIG file found in directory /var/lib/ldap: (2).
Expect poor performance for suffix "dc=my-domain,dc=com".
config file testing succeeded
Starting slapd:                                            [  OK  ]

ปิดเซอร์วิสอีกครั้ง

[root@fc13-64a ldap]# service slapd stop
Stopping slapd:                                            [  OK  ]

เพื่อปรับปรุงเรื่อง performance ต้องสร้างไฟล์ DB_CONFIG  จากตัวอย่างไฟล์ใน /usr/share/doc/openldap-servers-2.4.21/

[root@fc13-64a ldap]# cp /usr/share/doc/openldap-servers-2.4.21/DB_CONFIG.example DB_CONFIG
[root@fc13-64a ldap]# chown ldap.ldap DB_CONFIG
[root@fc13-64a ldap]# chmod 600 DB_CONFIG

ทดสอบการเปิด/ปิด เซอร์วิส ครั้งแรกจะมีฟ้องว่า มีการปรับเปลี่ยนคอนฟิก แล้วหลังจากนั้นก็สามารถรันได้ตามปกติ

[root@fc13-64a ldap]# service slapd start
Checking configuration files for slapd:                    [WARNING]
bdb_db_open: DB_CONFIG for suffix "dc=my-domain,dc=com" has changed.
Performing database recovery to activate new settings.
bdb_db_open: database "dc=my-domain,dc=com": recovery skipped in read-only mode. Run manual recovery if errors are encountered.
config file testing succeeded
Starting slapd:                                            [  OK  ]

[root@fc13-64a ldap]# service slapd stop
Stopping slapd:                                            [  OK  ]

[root@fc13-64a ldap]# service slapd start
Starting slapd:                                            [  OK  ]

ข้อมูลอ้างอิง

• ติดตั้ง OpenLDAP Server บน Fedora 10
• OpenLDAP Software 2.4 Administrator’s Guide: Configuring slapd
• Fedora 13 x86_64 Everything

เพื่อเพิ่มประสิทธิภาพในการตรวจสอบ user, group จาก LDAP แนะนำให้รันเซอร์วิส nscd (name service cache daemon) บนเครื่อง โดยโปรแกรมนี้จะทำหน้าที่เก็บข้อมูล cache ไว้บนเครื่องตัวเอง ถ้าถามซ้ำกับข้อมูลเดิมที่มีอยู่ใน cache แล้ว ภายในระยะเวลาที่กำหนดไว้ (time to live) จะไม่มีการส่งไปถาม LDAP Server อีก

ข้อเสียของการรันเซอร์วิส nscd อย่างหนึ่งคือ เรื่องการตั้งค่าเวลา (time to live) ทำให้บางครั้งอาจไม่ได้ข้อมูลที่ล่าสุด เช่นดีฟอลต์เวลาที่ cache ไว้สำหรับการเก็บข้อมูลของ user คือ 600 วินาที สำหรับการค้นหาข้อมูลที่สำเร็จ (positive-time-to-live) ถ้ามีการเปลี่ยนแปลงข้อมูลของ user บน LDAP Server จะต้องรอจนเวลานี้ผ่านไป  ข้อมูล cache ใน nscd ถึงจะปรับปรุงเป็นข้อมูลใหม่

ปรับปรุงเวอร์ชั่น nscd

ใช้คำสั่ง rpm เพื่อตรวจสอบเวอร์ชั่นของ nscd ที่ติดตั้งอยู่

[root@ldap-client ~]# rpm -q nscd
nscd-2.8-3.i386

คำแนะนำ ก่อนที่จะรันเซอร์วิส nscd แนะนำให้ปรับปรุงเป็นเวอร์ชั่นล่าสุด เช่น Fedora 9 เวอร์ชั่นล่าสุดที่เขียนบทความนี้คือ nscd-2.8-8

[root@ldap-client ~]# rpm -Uvh nscd-2.8-8.i386.rpm
Preparing...                ########################################### [100%]
   1:nscd                   ########################################### [100%]

คอนฟิกไฟล์ /etc/nscd.conf

ไฟล์คอนฟิกจากการติดตั้ง nscd จะเก็บ cache ของ passwd, group, hosts, services ในที่นี้เราจะเปลี่ยนคอนฟิกเพื่อให้เก็บ cache เฉพาะ passwd, group จาก LDAP

[root@ldap-client ~]# cat /etc/nscd.conf
#
# /etc/nscd.conf
#
server-user             nscd
debug-level             0
paranoia                no

enable-cache            passwd          yes
positive-time-to-live   passwd          600
negative-time-to-live   passwd          20
suggested-size          passwd          211
check-files             passwd          yes
persistent              passwd          yes
shared                  passwd          yes
max-db-size             passwd          33554432
auto-propagate          passwd          yes

enable-cache            group           yes
positive-time-to-live   group           3600
negative-time-to-live   group           60
suggested-size          group           211
check-files             group           yes
persistent              group           yes
shared                  group           yes
max-db-size             group           33554432
auto-propagate          group           yes

enable-cache            hosts           no
enable-cache            services        no

คำแนะนำการคอนฟิกไฟล์ nscd.conf

• ดีฟอลต์คอนฟิกจากการติดตั้ง จะเป็บ cache ของ user (passwd) เป็นเวลา 600 วินาที สำหรับข้อมูลที่ค้นหาได้สำเร็จ (positive-time-to-live) แต่จะเก็บ cache ของ user ที่ค้นหาไม่สำเร็จ (ไม่มีข้อมูลใน LDAP) เป็นเวลา 20 วินาที
• ดีฟอลต์คอนฟิกจากการติดตั้ง จะเป็บ cache ของ group เป็นเวลา 3600 วินาที สำหรับข้อมูลที่ค้นหาได้สำเร็จ (positive-time-to-live) แต่จะเก็บ cache ของ group ที่ค้นหาไม่สำเร็จ (ไม่มีข้อมูลใน LDAP) เป็นเวลา 60 วินาที
• ต้องรอเวลา time-to-live เหล่านี้หมดไป จนกว่า nscd จะทำการตรวจสอบข้อมูลจาก LDAP ใหม่อีกครั้ง ก่อนการใช้งานจริงแนะนำให้ทดลองปรับค่าแล้วดูผลลัพธ์ที่ได้

รันเซอร์วิส nscd

ใช้คำสั่ง service เพื่อรันเซอร์วิส nscd

[root@fc9-k2 ~]# service nscd start
Starting nscd:                                             [  OK  ]

ข้อมูล cache ของ nscd จะถูกเก็บไว้ใน /var/db/nscd/

[root@fc9-k2 ~]# ls -l /var/db/nscd/
total 432
-rw------- 1 root root 217016 2008-11-28 15:39 group
-rw------- 1 root root 217016 2008-11-28 15:39 passwd

ทดสอบ nscd cache

ใช้คำสั่ง time เพื่อเปรียบเทียบความเร็ว ระหว่างการดึงข้อมูล user จาก LDAP ในครั้งแรก และครั้งที่สอง ดึงข้อมูลจาก cache ของ nscd

[root@fc9-k2 ~]# time id user01
uid=1011(user01) gid=513(Domain Users) groups=513(Domain Users)

real    0m0.046s
user    0m0.000s
sys     0m0.007s

[root@fc9-k2 ~]# time id user01
uid=1011(user01) gid=513(Domain Users) groups=513(Domain Users)

real    0m0.007s
user    0m0.000s
sys     0m0.005s

ข้อมูลอ้างอิง

• เพิ่มบัญชีผู้ใช้งานเข้าไปใน OpenLDAP 
• คอนฟิกให้ authenticate จาก Fedora Directory Server

• กำหนดคีย์ (index) ที่ใช้ในการค้นหาข้อมูล
• อนุญาตให้ผู้ใช้สามารถเปลี่ยน password โดยใช้คำสั่ง smbldap-passwd ด้วยตัวเองได้ ไม่ต้องใช้ rootdn

• ซ่อนรหัสผ่าน (password) ไม่ให้สามารถอ่านได้โดยตรง แต่ใช้ในการตรวจสอบสิทธิ (authenticate) ได้

# ------------------------
# /etc/openldap/slapd.conf
# ------------------------
include     /etc/openldap/schema/corba.schema
include     /etc/openldap/schema/core.schema
include     /etc/openldap/schema/cosine.schema
include     /etc/openldap/schema/duaconf.schema
include     /etc/openldap/schema/dyngroup.schema
include     /etc/openldap/schema/inetorgperson.schema
include     /etc/openldap/schema/java.schema
include     /etc/openldap/schema/misc.schema
include     /etc/openldap/schema/nis.schema
include     /etc/openldap/schema/openldap.schema
include     /etc/openldap/schema/ppolicy.schema
include     /etc/openldap/schema/collective.schema

# Samba Schema
include     /etc/openldap/schema/samba.schema

# Allow LDAPv2 client connections.  This is NOT the default.
allow bind_v2

pidfile     /var/run/openldap/slapd.pid
argsfile    /var/run/openldap/slapd.args

# Enable Monitoring
database monitor

# ldbm and/or bdb database definitions
database    bdb
suffix      "dc=test-ldap,dc=com"
rootdn      "uid=root,ou=People,dc=test-ldap,dc=com"
rootpw      {SSHA}xxx
directory   /var/lib/ldap

# Indices to maintain for this database
index objectClass                       eq,pres
index ou,cn,mail,surname,givenname      eq,pres,sub
index uidNumber,gidNumber,loginShell    eq,pres
index uid,memberUid                     eq,pres,sub
index nisMapName,nisMapEntry            eq,pres,sub
index uniqueMember                      eq

# required to support pdb_getsambapwrid()
index displayName                       pres,sub,eq
index sambaSID                          eq
index sambaPrimaryGroupSID              eq
index sambaDomainName                   eq
index sambaSIDList                      eq
index sambaGroupType                    eq
index default                           sub

# users can authenticate and change their password
# hide password fields
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet
      by self write
      by anonymous auth
      by * none

access to attrs=shadowLastChange,shadowMax
      by self write
      by * read

# all others attributes are readable to everybody
access to *
      by * read

# loglevel stats stats2

# EOF.

หมายเหตุ ทุกคำสั่งของ smbldap-tools สามารถที่จะดูวิธีการใช้งานโดยย่อได้ จากการรันคำสั่งที่ต้องการแล้วต่อท้ายด้วยออปชั่น ‘-h’ หรือ ‘-?’ หรือไม่ก็อ่านรายละเอียดการใช้งานได้จาก man page ของแต่ละคำสั่ง

smbldap-useradd เพิ่ม user

คำสั่ง smbldap-useradd ใช้เพิ่ม user เข้าไปใน LDAP

ตัวอย่างการเพิ่ม user01 เข้าไปใน LDAP

[root@fc9-min ~]# smbldap-useradd -a -m -P user01
Changing UNIX and samba passwords for user01
New password:
Retype new password:

ออปชั่นของคำสั่ง smbldap-useradd ที่ใช้ เพื่อให้ใช้งานร่วมกับ Samba ได้มีดังนี้

• -a เพิ่มข้อมูล Samba ของ user
• -m สร้างไดเร็คทอรี่ Home ของ user ด้วย
• -P ให้เรียกคำสั่ง smbldap-passwd หลังจบคำสั่ง เพื่อตั้งรหัสให้ user

หลังจากที่เพิ่ม user เข้าในระบบแล้ว สามารถใช้คำสั่ง id หรือ getent เพื่อตรวจสอบข้อมูลของ user ได้

[root@fc9-min ~]# id user01
uid=1001(user01) gid=513(Domain Users) groups=513(Domain Users)

[root@fc9-min ~]# getent passwd user01
user01:x:1001:513:System User:/home/user01:/bin/bash

smbldap-passwd เปลี่ยนรหัสผ่านของ user

คำสั้ง smbldap-passwd ใช้เพื่อเปลี่ยนรหัสผ่านของ user ที่อยู่ใน LDAP

[root@fc9-min ~]# smbldap-passwd user01
Changing UNIX and samba passwords for user01
New password:
Retype new password:

smbldap-userlist แสดงรายชื่อ user

คำสั่ง smbldap-userlist ใช้เพื่อแสดงรายชื่อ user ทั้งหมดที่อยู่ใน LDAP

[root@fc9-min ~]# smbldap-userlist
uid  |username

   0 |root                 |
 999 |nobody               |
1001 |user01               |

smbldap-usershow แสดงรายละเอียด user

คำสั่ง smbldap-usershow ใช้เพื่อตรวจสอบข้อมูลทั้งหมดของ user ที่อยู่ใน LDAP

[root@fc9-min ~]# smbldap-usershow user01
dn: uid=user01,ou=People,dc=test-ldap,dc=com
objectClass: top,person,organizationalPerson,inetOrgPerson,posixAccount,shadowAccount,sambaSamAccount
uid: user01
uidNumber: 1001
gidNumber: 513
homeDirectory: /home/user01
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
displayName: user01
sambaSID: S-1-5-21-3697236364-1357617849-1956783867-3002
sambaPrimaryGroupSID: S-1-5-21-3697236364-1357617849-1956783867-513
sambaProfilePath: \\fc9-min\profiles\user01
sambaHomePath: \\fc9-min\user01
sambaHomeDrive: H:
sambaLMPassword: C53C042BF139A7D9AAD3B435B51404EE
sambaAcctFlags: [U]
sambaNTPassword: 152E0323FE05645650DD50FD31C2FCDF
sambaPwdLastSet: 1224343354
sambaPwdMustChange: 1228231354
userPassword: {SSHA}d+ZTyu7BhUarCaM2Ifu9bk/RS0lkSi80
shadowLastChange: 14170
shadowMax: 45
gecos: System User,,,,
cn: System User
sn: User
givenName: System
loginShell: /bin/bash

smbldap-userinfo แก้ไขข้อมูลเบื้องต้นของ user

คำสั่ง smbldap-userinfo ใช้เพื่อแก้ไขข้อมูลเบื้องต้นของ user เช่น User Shell, Full Name ถ้าต้องการแก้ไขข้อมูลอื่นๆ ต้องใช้คำสั่ง smbldap-usermod

[root@fc9-min ~]# smbldap-userinfo user01
Changing the user information for user01
Enter the new value, or press ENTER for the default
 User Shell [/bin/bash]:
 Full Name [System User]: User01 Full Name
 Room Number []:
 Work Phone []:
 Home Phone []:
 Other []:
LDAP updated

ตรวจสอบ Full Name หลังการแก้ไขด้วยคำสั่ง getent

[root@fc9-min ~]# getent passwd user01
user01:x:1001:513:User01 Full Name,,,,:/home/user01:/bin/bash

smbldap-usermod แก้ไขข้อมูลของ user

คำสั่ง smbldap-usermod ใช้เพื่อแก้ข้อมูลของ user ที่อยู่ใน LDAP โดยต้องระบุออปชั่นที่ต้องการแก้ไข

ตัวอย่างการใช้คำสั่ง smbldap-usermod เพื่อแก้ไข Home ของ user01

[root@fc9-min ~]# smbldap-usermod -d /new-home/user01 user01

ตรวจสอบหลังการแก้ไข

[root@fc9-min ~]# getent passwd user01
user01:x:1001:513:User01 Full Name,,,,:/new-home/user01:/bin/bash

เปลี่ยนข้อมูลกลับ

[root@fc9-min ~]# smbldap-usermod -d /home/user01 user01
[root@fc9-min ~]# getent passwd user01
user01:x:1001:513:User01 Full Name,,,,:/home/user01:/bin/bash

smbldap-userdel ลบ user

คำสั่ง smbldap-userdel ใช้เพื่อลบ user ออกจาก LDAP

[root@fc9-min ~]# smbldap-userdel -r user02

smbldap-groupadd เพิ่ม group

คำสั่ง smbldap-groupadd ใช้เพื่อเพิ่ม group ใหม่เข้าไปใน LDAP

ตัวอย่างการเพิ่ม newgroup เข้าไปใน LDAP

[root@fc9-min ~]# smbldap-groupadd newgroup

smbldap-groupshow ดูข้อมูลของ group

คำสั่ง smbldap-groupshow ใช้เพื่อดูข้อมูลรายละเอียดของ group ที่อยู่ใน LDAP

[root@fc9-min ~]# smbldap-groupshow newgroup
dn: cn=newgroup,ou=Group,dc=test-ldap,dc=com
objectClass: top,posixGroup
cn: newgroup
gidNumber: 1000

smbldap-groupmod แก้ไขข้อมูลของ group

คำสั่ง smbldap-groupmod ใช้เพื่อแก้ไขข้อมูลของ group เช่น การเพิ่ม user เข้าไปอยู่ใน group

ตัวอย่างการเพิ่ม user01 เข้าไปอยู่ใน newgroup

[root@fc9-min ~]# smbldap-groupmod -m user01 newgroup
adding user user01 to group newgroup

[root@fc9-min ~]# id user01
uid=1001(user01) gid=513(Domain Users) groups=513(Domain Users),1000(newgroup)

ตัวอย่างการเพิ่มหลายๆ user เข้าไปใน newgroup

[root@fc9-min ~]# smbldap-groupmod -m user02,user03,user04,user05 newgroup
adding user user02 to group newgroup
adding user user03 to group newgroup
adding user user04 to group newgroup
adding user user05 to group newgroup

ตรวจสอบข้อมูลของ newgroup

[root@fc9-min ~]# smbldap-groupshow newgroup
dn: cn=newgroup,ou=Group,dc=test-ldap,dc=com
objectClass: top,posixGroup
cn: newgroup
gidNumber: 1000
memberUid: user01,user02,user03,user04,user05

ตัวอย่างการลบ user ออกจาก group

[root@fc9-min ~]# smbldap-groupmod -x user01 newgroup
deleting user user01 from group newgroup

[root@fc9-min ~]# id user01
uid=1001(user01) gid=513(Domain Users) groups=513(Domain Users)

smbldap-groupdel ลบ group

คำสั่ง smbldap-groupdel ใช้เพื่อลบ group ออกจาก LDAP

ตัวอย่างการลบ newgroup ออกจาก LDAP

[root@fc9-min ~]# smbldap-groupdel newgroup

ข้อมูลอ้างอิง

• ติดตั้ง smbldap-tools บน Fedora 9

• ติดตั้ง OpenLDAP Server บน Fedora 9
• ปรับปรุง samba เป็นเวอร์ชั่นล่าสุดใน Fedora 9

ในบทความนี้จะถือว่าเป็นการติดตั้ง OpenLDAP ใหม่เลย โดยไม่มีข้อมูลใดๆ อยู่ใน LDAP

ติดตั้ง Perl Module ที่จำเป็น

โปรแกรม smbldap-tools เขียนด้วยภาษา Perl จะเรียกใช้ Perl Module ต่างๆ ดังนั้นก่อนที่จะใช้งานได้ ต้องติดตั้ง Perl Module เหล่านี้ก่อน สำหรับ Fedora 9 สามารถดาวน์โหลดไฟล์ต่างๆ ได้จาก Fedora 9 Everything

ตัวอย่างการติดตั้ง Perl Module ที่จำเป็นตามลำดับ บน Fedora 9

[root@fc9-min ~]# rpm -ivh perl-Digest-MD4-1.5-6.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Crypt-SmbHash-0.12-8.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-Digest-SHA1-2.11-7.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Net-SSLeay-1.32-5.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-IO-Socket-SSL-1.12-4.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-Compress-Raw-Zlib-2.008-20.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-IO-Compress-Base-2.008-20.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-IO-Compress-Zlib-2.008-20.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Compress-Zlib-2.008-20.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-HTML-Tagset-3.10-8.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-HTML-Parser-3.56-5.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-URI-1.35-8.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-libwww-perl-5.808-7.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-XML-LibXML-Common-0.13-13.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-XML-NamespaceSupport-1.09-4.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh --nodeps perl-XML-SAX-0.16-5.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-XML-LibXML-1.65-5.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-LDAP-0.34-4.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-Jcode-2.06-6.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-Unicode-Map-0.112-14.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Unicode-String-2.09-8.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Unicode-Map8-0.12-17.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Unicode-MapUTF8-1.11-6.fc8.noarch.rpm

หลังจากติดตั้ง Perl Module ที่ต้องใช้เรียบร้อยแล้ว ก็ติดตั้งโปรแกรม smbldap-tools โดยสามารถดาวน์โหลดได้จากที่เดียวกัน

[root@fc9-min ~]# rpm -ivh smbldap-tools-0.9.5-2.fc9.noarch.rpm

รันเซอร์วิส Samba เบื้องต้น

ก่อนที่จะเริ่มคอนฟิก smbldap-tools ได้นั้น จำเป็นต้องรันเซอร์วิส Samba ก่อน โดยคอนฟิกที่ต้องเปลี่ยนในไฟล์ /etc/samba/smb.conf ในเบื้องต้นนี้คือส่วน workgroup เพราะค่านี้จะถูกอ่านตอนรันคอนฟิก smbldap-tools ส่วนคอนฟิก อื่นๆ ไว้แก้ไขที่หลังได้

ตัวอย่างไฟล์ smb.conf ที่แก้ไข ก่อนคอนฟิก smbldap-tools

 workgroup = SMBLDAP

ใช้คำสั่ง service เพื่อรันเซอร์วิส Samba

[root@fc9-min ~]# /etc/init.d/smb start
Starting SMB services:                                     [  OK  ]

แก้ไขคอนฟิก OpenLDAP

จากการติดตั้ง OpenLDAP Server ต้องเพิ่มไฟล์ schema ของ Samba เข้าไปในไฟล์ slapd.conf ด้วย

ตัวอย่างไฟล์ /etc/openldap/slapd.conf หลังการแก้ไข

include     /etc/openldap/schema/samba.schema

suffix      "dc=test-ldap,dc=com"
rootdn      "uid=root,ou=People,dc=test-ldap,dc=com"
rootpw      {SSHA}zA4XZB4pD1TUh/mRO31MC0kbUF+V0v2Y

หมายเหตุ คอนฟิกส่วน rootpw ได้มาจากการรันคำสั่ง slappasswd

รันเซอร์วิส OpenLDAP หลังจากแก้ไขคอนฟิกไฟล์ slapd.conf

[root@fc9-min ~]# /etc/init.d/ldap start
Starting slapd:                                            [  OK  ]

รันไฟล์ configure.pl เพื่อคอนฟิก smbldap-tools

ไฟล์คอนฟิกหลักของ smbldap-tools จะอยู่ในไดเร็คทอรี /etc/smbldap-tools/ ซึ่งจะประกอบด้วยคอนฟิกหลายๆ ส่วน เพื่อความสะดวกในการแก้ไขไฟล์ จากการติดตั้ง smbldap-tools จะมีไฟล์ /usr/share/doc/smbldap-tools-0.9.5/configure.pl เพื่อช่วยในการคอนฟิกไฟล์

ตัวอย่างรันไฟล์ configure.pl เพื่อสร้างคอนฟิกไฟล์ของ smbldap-tools

[root@fc9-min ~]# /usr/share/doc/smbldap-tools-0.9.5/configure.pl
$# is no longer supported at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 314.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
       smbldap-tools script configuration
       -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Before starting, check
 . if your samba controller is up and running.
 . if the domain SID is defined (you can get it with the 'net getlocalsid')

 . you can leave the configuration using the Crtl-c key combination
 . empty value can be set with the "." character
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Looking for configuration files...

Samba Configuration File Path [/etc/samba/smb.conf] >

The default directory in which the smbldap configuration files are stored is shown.
If you need to change this, enter the full directory path, then press enter to continue.
Smbldap-tools Configuration Directory Path [/etc/smbldap-tools/] >
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Let's start configuring the smbldap-tools scripts ...

. workgroup name: name of the domain Samba act as a PDC
  workgroup name [SMBLDAP] >
. netbios name: netbios name of the samba controler
  netbios name [] > fc9-min
. logon drive: local path to which the home directory will be connected (for NT Workstations). Ex: 'H:'
  logon drive [] > H:
. logon home: home directory location (for Win95/98 or NT Workstation).
  (use %U as username) Ex:'\\fc9-min\%U'
  logon home (press the "." character if you don't want homeDirectory) [\\fc9-min\%U] >
. logon path: directory where roaming profiles are stored. Ex:'\\fc9-min\profiles\%U'
  logon path (press the "." character if you don't want roaming profile) [\\fc9-min\profiles\%U] >
. home directory prefix (use %U as username) [/home/%U] >
. default users' homeDirectory mode [700] >
. default user netlogon script (use %U as username) [] > \\fc9-min\netlogon\%U
  default password validation time (time in days) [45] >
. ldap suffix [] > dc=test-ldap,dc=com
. ldap group suffix [] > ou=Group
. ldap user suffix [] > ou=People
. ldap machine suffix [] > ou=Computers
. Idmap suffix [ou=Idmap] >
. sambaUnixIdPooldn: object where you want to store the next uidNumber
  and gidNumber available for new users and groups
  sambaUnixIdPooldn object (relative to ${suffix}) [sambaDomainName=PDCTEST] >
Use of uninitialized value $server in substitution (s///) at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 244, <STDIN> line 17.
. ldap master server: IP adress or DNS name of the master (writable) ldap server
Use of uninitialized value $example_value in concatenation (.) or string at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 161, <STDIN> line 17.
Use of uninitialized value $example_value in string at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 162, <STDIN> line 17.
  ldap master server [] > 127.0.0.1
. ldap master port [389] >
. ldap master bind dn [] > uid=root,ou=People,dc=test-ldap,dc=com
. ldap master bind password [] >
. ldap slave server: IP adress or DNS name of the slave ldap server: can also be the master one
Use of uninitialized value $server in string at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 262, <STDIN> line 21.
  ldap slave server [] > 127.0.0.1
. ldap slave port [389] >
. ldap slave bind dn [] > uid=root,ou=People,dc=test-ldap,dc=com
. ldap slave bind password [] >
. ldap tls support (1/0) [0] >
. SID for domain PDCTEST: SID of the domain (can be obtained with 'net getlocalsid fc9-min')
  SID for domain PDCTEST [S-1-5-21-3697236364-1357617849-1956783867] >
. unix password encryption: encryption used for unix passwords
  unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA) [SSHA] >
. default user gidNumber [513] >
. default computer gidNumber [515] >
. default login shell [/bin/bash] >
. default skeleton directory [/etc/skel] >
. default domain name to append to mail adress [] >
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Use of uninitialized value $# in concatenation (.) or string at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 314, <STDIN> line 33.
backup old configuration files:
  /etc/smbldap-tools/smbldap.conf->/etc/smbldap-tools/smbldap.conf.old
  /etc/smbldap-tools/smbldap_bind.conf->/etc/smbldap-tools/smbldap_bind.conf.old
writing new configuration file:
  /etc/smbldap-tools/smbldap.conf done.
  /etc/smbldap-tools/smbldap_bind.conf done.

รันคำสั่ง smbldap-populate

โปรแกรม smbldap-tools จะมีคำสั่ง smbldap-populate เพื่อช่วยเพิ่มข้อมูลเข้าไปใน OpenLDAP โดยจะอ้างอิงจากคอนฟิกที่รันด้วย configure.pl

หมายเหตุ ในที่นี้จะถือว่า ไม่มีข้อมูลใดๆ อยู่ใน OpenLDAP เลย

ตัวอย่างการรันคำสั่ง smbldap-populate

[root@fc9-min openldap]# smbldap-populate
Populating LDAP directory for domain PDCTEST (S-1-5-21-3697236364-1357617849-1956783867)
(using builtin directory structure)

adding new entry: dc=test-ldap,dc=com
adding new entry: ou=People,dc=test-ldap,dc=com
adding new entry: ou=Group,dc=test-ldap,dc=com
adding new entry: ou=Computers,dc=test-ldap,dc=com
adding new entry: ou=Idmap,dc=test-ldap,dc=com
adding new entry: uid=root,ou=People,dc=test-ldap,dc=com
adding new entry: uid=nobody,ou=People,dc=test-ldap,dc=com
adding new entry: cn=Domain Admins,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Domain Users,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Domain Guests,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Domain Computers,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Administrators,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Account Operators,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Print Operators,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Backup Operators,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Replicators,ou=Group,dc=test-ldap,dc=com
adding new entry: sambaDomainName=PDCTEST,dc=test-ldap,dc=com

Please provide a password for the domain root:
Changing UNIX and samba passwords for root
New password: ldap1234
Retype new password: ldap1234

หมายเหตุ Password ที่ใส่ในส่วนท้ายของคำสั่ง smbldap-populate เป็น rootpw ที่ระบุในไฟล์ /etc/openldap/slapd.conf

รันคำสั่ง smbpasswd

รันคำสั่ง smbpasswd เพื่อใส่ ldap admin password ที่ Samba ใช้ในการเชื่อมต่อกับ LDAP

[root@fc9-min ~]# smbpasswd -w ldap1234
Setting stored password for "uid=root,ou=People,dc=test-ldap,dc=com" in secrets.tdb

หมายเหตุ ‘ldap1234′ คือ rootpw ที่ระบุในไฟล์ /etc/openldap/slapd.conf

คอนฟิกให้ลีนุกซ์ ตรวจสอบผู้ใช้งานจาก LDAP

ใช้คำสั่ง authconfig-tui เพื่อคอนฟิกให้ ลีนุกซ์ตรวจสอบผู้ใช้งานหรือ authenticate จาก LDAP

คอนฟิก Samba ให้ authenticate จาก LDAP

แก้ไขคอนฟิกไฟล์ของ Samba เพื่อให้ authenticate จาก ldap

ตัวอย่างไฟล์ /etc/samba/smb.conf ที่แก้ไขเพิ่มเติม

 workgroup = SMBLDAP
 security = user
 passdb backend = ldapsam:ldap://127.0.0.1/

 ldap suffix = dc=test-ldap,dc=com
 ldap admin dn = uid=root,ou=People,dc=test-ldap,dc=com
 ldap group suffix = ou=Group
 ldap user suffix = ou=People

เพิ่ม user ใน LDAP

[root@fc9-min ~]# smbldap-useradd -a -m -s /bin/bash -d /home/user01 -P user01
Changing UNIX and samba passwords for user01
New password:
Retype new password:

ทดสอบด้วยคำสั่ง smbclient

ใช้คำสั่ง smbclient เพื่อทดสอบการใช้ Samba เพื่อ authenticate ผู้ใช้จาก LDAP

ตัวอย่างการทดสอบด้วยคำสั่ง smbclient

[root@fc9-min samba]# smbclient '\\localhost\user01' -U user01
Enter user01's password:
Domain=[fc9-min] OS=[Unix] Server=[Samba 3.2.3-0.20.fc9]
smb: \> dir
  .                                   D        0  Sat Oct 18 12:21:59 2008
  ..                                  D        0  Sat Oct 18 11:38:30 2008
  .bashrc                             H      124  Sat Oct 18 11:38:30 2008
  .bash_logout                        H       18  Sat Oct 18 11:38:30 2008
  .bash_profile                       H      176  Sat Oct 18 11:38:30 2008

                60160 blocks of size 65536. 55959 blocks available
smb: \> exit

ข้อมูลอ้างอิง

• ติดตั้ง OpenLDAP Server บน Fedora 9
• ปรับปรุง samba เป็นเวอร์ชั่นล่าสุดใน Fedora 9
• การใช้งานคำสั่งของ smbldap-tools
• คอนฟิก Samba เป็น Domain Controller
• Smbldap-tools User Manual

เพิ่มผู้ใช้งานเข้าไปใน OpenLDAP

ตัวอย่างไฟล์ ldif และการใช้คำสั่ง ldapadd เพิ่ม user01 เข้าไปใน OpenLDAP

[root@fc9-min ldif]# cat add-user01.ldif
dn: uid=user01,ou=People,dc=test-ldap,dc=com
uid: user01
cn: user01
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}!!
shadowLastChange: 14030
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1001
gidNumber: 100
homeDirectory: /home/user01

[root@fc9-min ldif]# ldapadd -x -D uid=root,ou=People,dc=test-ldap,dc=com \
                       -W -f add-user01.ldif
Enter LDAP Password:
adding new entry "uid=user01,ou=People,dc=test-ldap,dc=com"

รหัสผ่าน (Enter LDAP Password) ที่ต้องใส่คือรหัส rootpw ที่ถูกเข้ารหัสแล้วเก็บไว้ในไฟล์ slapd.conf

หลังจากที่เพิ่มผู้ใช้งาน ต้องสร้างไดเร็คทอรีเพื่อเป็น HOME ของ user ด้วย ดังนี้

[root@fc9-min ~]# cd /home
[root@fc9-min home]# mkdir user01
[root@fc9-min home]# cp -av /etc/skel/. user01/
`/etc/skel/./.bash_profile' -> `user01/./.bash_profile'
`/etc/skel/./.bash_logout' -> `user01/./.bash_logout'
`/etc/skel/./.bashrc' -> `user01/./.bashrc'
[root@fc9-min home]# chown user01:users user01/
[root@fc9-min home]# chmod 700 user01

ตรวจสอบผู้ใช้งานจาก OpenLDAP

นอกจากการทดสอบด้วยการล็อกอินแล้ว สามารถใช้คำสั่ง id หรือ getent ในการตรวจสอบผู้ใช้งานจาก OpenLDAP ได้ดังนี้

[root@fc9-min ~]# id user01
uid=1001(user01) gid=100(users) groups=100(users) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

[root@fc9-min ldif]# getent passwd user01
user01:x:1001:100:user01:/home/user01:/bin/bash

เปลี่ยนรหัสผ่าน

ใช้คำสั่ง ldappasswd ในการเปลี่ยนรหัสผู้ใช้งานที่อยู่ใน OpenLDAP โดยต้องระบุ CN ของผู้ใช้นั้นๆ เช่น ต้องการเปลี่ยนรหัสผ่านของ user01 ซึ่งมี CN: uid=user01,ou=People,dc=test-ldap,dc=com สามารถทำได้ดังนี้

[root@fc9-min ldif]# ldappasswd -x -S -W -D uid=root,ou=People,dc=test-ldap,dc=com \
                       uid=user01,ou=People,dc=test-ldap,dc=com

New password: <new-user-password>
Re-enter new password: <new-user-password>
Enter LDAP Password: <rootpw-password>

รหัสสองอันแรกที่ต้องใส่ (New password และ Re-enter new password) เป็นรหัสใหม่ที่ต้องการตั้งให้กับผู้ใช้ ส่วน Enter LDAP Password ต้องใส่รหัสผ่านของ rootpw ที่ระบุในไฟล์ slapd.conf

แก้ไขข้อมูล

ใช้คำสั่ง ldapmodify เพื่อแก้ไขข้อมูลที่อยู่ใน OpenLDAP โดยข้อมูลที่ถูกแก้ไข จะถูกระบุอยู่ในไฟล์ ldif เช่น ตัวอย่างนี้จะเป็นการแก้ไขข้อมูล homeDirectory ของ user01 ให้เป็นค่าใหม่คือ /new-home/user01 และเพิ่ม gecos โดยมีค่าเป็น “User01 GECOS Name”

[root@fc9-min ldif]# cat modify-user01.ldif
dn: uid=user01,ou=People,dc=test-ldap,dc=com
changetype: modify
replace: homeDirectory
homeDirectory: /new-home/user01
-
add: gecos
gecos: User01 GECOS Name
-

ใช้คำสั่ง getent เพื่อเปรียบเทียบข้อมูลก่อนและหลังรันคำสั่ง ldapmodify

[root@fc9-min ldif]# getent passwd user01
user01:x:1001:100:user01:/home/user01:/bin/bash

[root@fc9-min ldif]# ldapmodify -x -D "uid=root,ou=People,dc=test-ldap,dc=com" \
                       -W -f modify-user01.ldif
Enter LDAP Password:
modifying entry "uid=user01,ou=People,dc=test-ldap,dc=com"

[root@fc9-min ldif]# getent passwd user01
user01:x:1001:100:User01 GECOS Name:/new-home/user01:/bin/bash

ลบ user

ใช้คำสั่ง ldapdelete เพื่อลบผู้ใช้งานออกจาก OpenLDAP โดยต้องระบุชื่อผู้ใช้เป็นค่า CN ของผู้ใช้นั้นๆ เช่นต้องการลบ user01 ที่มี CN: uid=user01,ou=People,dc=test-ldap,dc=com

[root@fc9-min bin]# ldapdelete -x -D uid=root,ou=People,dc=test-ldap,dc=com –W \
                      uid=user01,ou=People,dc=test-ldap,dc=com
Enter LDAP Password:

[root@fc9-min bin]# getent passwd user01
[root@fc9-min bin]#

ข้อมูลอ้างอิง

• ติดตั้ง OpenLDAP Server บน Fedora 9
• เพิ่มบัญชีผู้ใช้งานเข้าไปใน OpenLDAP

การเพิ่มข้อมูลเข้าไปใน LDAP ได้นั้น วิธีการหนี่งที่ทำได้คือสร้างไฟล์เป็นรูปแบบ ldif ก่อน แล้วใช้คำสั่ง ldapadd เพื่อเพิ่มข้อมูลเข้าไปใน LDAP

เพิ่มข้อมูลพื้นฐานของ LDAP

ตัวอย่างไฟล์ ldif สำหรับใส่ข้อมูลพื้นฐานของ LDAP  และการใช้คำสั่ง ldapadd เพิ่มข้อมูลเข้าไปใน LDAP

[root@fc9-min ldif]# cat ldap-base.ldif
dn: dc=test-ldap,dc=com
dc: test-ldap
objectClass: top
objectClass: domain

dn: ou=People,dc=test-ldap,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit

dn: ou=Group,dc=test-ldap,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit

[root@fc9-min ldif]# ldapadd -x -D uid=root,ou=People,dc=test-ldap,dc=com -W -f ldap-base.ldif
Enter LDAP Password:
adding new entry "dc=test-ldap,dc=com"

adding new entry "ou=People,dc=test-ldap,dc=com"

adding new entry "ou=Group,dc=test-ldap,dc=com"

หมายเหตุ LDAP Password ที่ต้องใส่ในคำสั่ง ldapadd คือรหัสที่ถูกเข้ารหัสด้วยคำสั่ง slappasswd แล้วนำมาใส่ไว้เป็นคอนฟิก rootpw ในไฟล์ /etc/openldap/slapd.conf

เพิ่ม user01 เข้าไปใน LDAP

ตัวอย่างไฟล์ ldif เพื่อเพิ่ม user01 เข้าไปใน LDAP

[root@fc9-min ldif]# cat add-user01.ldif
dn: uid=user01,ou=People,dc=test-ldap,dc=com
uid: user01
cn: user01
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}!!
shadowLastChange: 14030
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1001
gidNumber: 100
homeDirectory: /home/user01

ใช้คำสั่ง ldapadd เพิ่ม user01 เข้าไปใน LDAP

[root@fc9-min ldif]# ldapadd -x -D uid=root,ou=People,dc=test-ldap,dc=com -W -f add-user01.ldif
Enter LDAP Password:
adding new entry "uid=user01,ou=People,dc=test-ldap,dc=com"

แก้ใขให้ลีนุกซ์ตรวจสอบผู้ใช้งานจาก LDAP

ใช้คำสั่ง authconfig-tui เพื่อคอนฟิกให้อ่านค่าผู้ใช้งาน (User Account) จาก LDAP Server โดยในที่นี้จะให้ LDAP Server รันอยู่บนเครื่องเดียวกัน เราสามารถระบุ Server เป็น 127.0.0.1 หรือ localhost ได้

ในหน้าแรกของคำสั่ง authconfig-tui ส่วนของ User Information  ให้คลิกเลือก [*] Use LDAP และส่วนของ Authentication ให้คลิกเลือก [*] Use LDAP Authentication เสร็จเรียบร้อยให้กด Next

                              ┌────────────────┤ Authentication Configuration ├─────────────────┐
                              │                                                                 │
                              │  User Information        Authentication                         │
                              │  [ ] Cache Information   [ ] Use MD5 Passwords                  │
                              │  [ ] Use Hesiod          [*] Use Shadow Passwords               │
                              │  [*] Use LDAP            [*] Use LDAP Authentication            │
                              │  [ ] Use NIS             [ ] Use Kerberos                       │
                              │  [ ] Use Winbind         [ ] Use SMB Authentication             │
                              │                          [ ] Use Winbind Authentication         │
                              │                          [*] Local authorization is sufficient  │
                              │                                                                 │
                              │            ┌────────┐                      ┌──────┐             │
                              │            │ Cancel │                      │ Next │             │
                              │            └────────┘                      └──────┘             │
                              │                                                                 │
                              │                                                                 │
                              └─────────────────────────────────────────────────────────────────┘

ในหน้าที่สองจะเป็นการระบุ Server เพื่อชี้ไปยัง LDAP Server โดยจะใส่ ldap:// นำหน้า IP Address หรือชื่อ Hostname  อีกส่วนที่ต้องแก้ไขคือ Base DN ซึ่งเป็นค่าเดียวกับที่ตั้งไว้ในไฟล์ slapd.conf เสร็จเรียบร้อยให้กด Ok ออกมา

                                     ┌─────────────────┤ LDAP Settings ├─────────────────┐
                                     │                                                   │
                                     │          [ ] Use TLS                              │
                                     │  Server: ldap://127.0.0.1/_______________________ │
                                     │ Base DN: dc=test-ldap,dc=com_____________________ │
                                     │                                                   │
                                     │         ┌──────┐                  ┌────┐          │
                                     │         │ Back │                  │ Ok │          │
                                     │         └──────┘                  └────┘          │
                                     │                                                   │
                                     │                                                   │
                                     └───────────────────────────────────────────────────┘

ทดสอบตรวจสอบบัญชีผู้ใช้งานจาก LDAP

สามารถใช้คำสั่ง id เพื่อตรวจสอบผู้ใช้งานจาก LDAP ได้ ดังนี้

[root@fc9-min ~]# id user01
uid=1001(user01) gid=100(users) groups=100(users) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

หรือใช้คำสั่ง getent เพื่อดูรายละเอียดเพิ่มเติมของผู้ใช้นั้นๆ

[root@fc9-min ~]# getent passwd user01
user01:x:1001:100:user01:/home/user01:/bin/bash

ข้อมูลอ้างอิง

• ติดตั้ง OpenLDAP Server บน Fedora 9
• เพิ่ม แก้ไข ลบ ผู้ใช้งานใน OpenLDAP

หมายเหตุ ตัวอย่างในบทความนี้จะติดตั้งบนเครื่องที่ ติดตั้ง Fedora 9 แบบประหยัดพื้นที่สุด

ดาวน์โหลดไฟล์ rpm สำหรับติดตั้ง OpenLDAP

สามารถดาวน์โหลดไฟล์ rpm เวอร์ชั่นล่าสุด (update) ของ Fedora 9 สำหรับการติดตั้งได้ที่ http://mirrors.kernel.org/fedora/updates/9/ โดยรายชื่อไฟล์ที่ต้องดาวน์โหลด (ตุลาคม 2551) มีดังนี้

• openldap-2.4.10-1.fc9.i386.rpm
• openldap-clients-2.4.10-1.fc9.i386.rpm
• openldap-servers-2.4.10-1.fc9.i386.rpm

ติดตั้งโปรแกรมไฟล์ rpm ของ openldap

หลังจากได้ไฟล์ที่ดาวน์โหลดมา ใช้คำสั่ง rpm ในการติดตั้ง

ตัวอย่างการติดตั้งไฟล์ rpm โปรแกรม OpenLDAP

[root@fc9-min ~]# rpm -U openldap-2.4.10-1.fc9.i386.rpm
[root@fc9-min ~]# rpm -i openldap-clients-2.4.10-1.fc9.i386.rpm
[root@fc9-min ~]# rpm -i openldap-servers-2.4.10-1.fc9.i386.rpm
/etc/pki/tls/certs /
umask 77 ; \
        PEM1=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
        PEM2=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
        /usr/bin/openssl req -utf8 -newkey rsa:1024 -keyout $PEM1 -nodes -x509 -days 365 -out $PEM2 -set_serial 0 ; \
        cat $PEM1 >  slapd.pem ; \
        echo ""    >> slapd.pem ; \
        cat $PEM2 >> slapd.pem ; \
        rm -f $PEM1 $PEM2
Generating a 1024 bit RSA private key
...++++++
....++++++
writing new private key to '/tmp/openssl.etZSRT'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:State or Province Name (full name) [Berkshire]:Locality Name (eg, city) [Newbury]:Organization Name (eg, company) [My Company Ltd]:Organizational Unit Name (eg, section) []:Common Name (eg, your name or your server's hostname) []:Email Address []:/

หมายเหตุ

• ตัวอย่างนี้ใช้คำสั่ง rpm ด้วยออปชั่น -U (Upgrade) เพราะว่าจากการติดตั้ง Fedora 9 จะมีไฟล์ rpm ของ openldap ติดมาด้วย และมีโปรแกรมอื่นๆ ที่บังคับไม่ให้เราสามารถถอดไฟล์ rpm นี้ออกไปก่อนจะลงใหม่ได้ ออปชั่น -U จะเป็นการสั่งให้ปรับปรุงและแทนที่ด้วยเวอร์ชั่นใหม่ทับของเก่าไป
• การติดตั้ง openldap-servers จะมีข้อความขึ้นมา ซึ่งเป็นการสร้างคีย์ไฟล์เพื่อความปลอดภัยในการรับส่งข้อมูลระหว่างเซิร์ฟเวอร์กับไคลเอนต์  ณ ตอนนี้ไม่ต้องสนใจ

หลังจากติดตั้งแล้ว สามารถตรวจสอบเวอร์ชั่นของไฟล์ rpm ที่ติดตั้งได้ ดังนี้

[root@fc9-min ~]# rpm -qa | grep openldap
openldap-servers-2.4.10-1.fc9.i386
openldap-clients-2.4.10-1.fc9.i386
openldap-2.4.10-1.fc9.i386

แก้ไขคอนฟิกไฟล์ /etc/openldap/slapd.conf

ไฟล์คอนฟิกหลักของ OpenLDAP Server คือไฟล์ /etc/openldap/slapd.conf ในเบื้องต้นจะต้องมีการแก้ไขบางส่วนก่อนที่จะเริ่มใช้งานได้ ในที่นี้จะสมมติข้อมูลเบื้องต้นสำหรับการคอนฟิก OpenLDAP Server เป็นดังนี้

Suffix:  dc=test-ldap,dc=com
Root DN: uid=root,ou=People,dc=test-ldap,dc=com
Root PW: ldap1234

ก่อนที่จะเริ่มแก้ไขไฟล์คอนฟิก ต้องใช้คำสั่ง spappasswd เพื่อเข้ารหัส Root PW แล้วนำผลลัพธ์ที่ได้ไปใส่ไว้ส่วนของคอนฟิก rootpw ในไฟล์ slapd.conf โดยรหัสนี้จะใช้เมื่อต้องการแก้ไขข้อมูลที่อยู่ใน LDAP เช่นเพิ่ม แก้ไข ลบ ข้อมูล

ตัวอย่างการรันคำสั่ง spappasswd

[root@fc9-min openldap]# slappasswd
New password: ldap1234
Re-enter new password: ldap1234
{SSHA}zA4XZB4pD1TUh/mRO31MC0kbUF+V0v2Y

นำผลลัพธ์การเข้ารหัสที่ได้ ไปใส่ไว้ในไฟล์ slapd.conf

ตัวอย่างการแก้ไขไฟล์ slapd.conf

database    bdb
suffix      "dc=test-ldap,dc=com"
rootdn      "uid=root,ou=People,dc=test-ldap,dc=com"
rootpw      {SSHA}zA4XZB4pD1TUh/mRO31MC0kbUF+V0v2Y

directory   /var/lib/ldap

รันเซอร์วิส ldap

ก่อนที่จะรันเซอร์วิส ต้อง copy ไฟล์ DB_CONFIG มาใส่ไว้ในไดเร็คทอรี /var/lib/ldap/ ก่อน แล้วใช้คำสั่ง service เพื่อรันเซอร์วิส ldap ดังนี้

[root@fc9-min ~]# cp /usr/share/doc/openldap-servers-2.4.10/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@fc9-min ~]# chown ldap:ldap /var/lib/ldap/DB_CONFIG
[root@fc9-min ~]# chmod 600 /var/lib/ldap/DB_CONFIG

[root@fc9-min ~]# service ldap start
Starting slapd:                                 [  OK  ]

สามารถตรวจสอบโปรเซสของ ldap ได้จากคำสั่ง ps ดังนี้

[root@fc9-min openldap]# ps -ef | grep ldap
ldap      2382     1  0 13:17 ?        00:00:00 /usr/sbin/slapd -h ldap:/// -u ldap

ไฟล์ข้อมูลของ OpenLDAP Server จะถูกเก็บไว้ในไดเร็คทอรีที่ระบุในส่วนคอนฟิก directory ในไฟล์ slapd.conf จากตัวอย่างด้านบนจะเป็น /var/lib/ldap

[root@fc9-min ~]# ls -l /var/lib/ldap
total 700
-rw-r--r-- 1 ldap ldap     2048 2008-10-12 01:39 alock
-rw------- 1 ldap ldap    24576 2008-10-12 01:39 __db.001
-rw------- 1 ldap ldap   278528 2008-10-12 01:39 __db.002
-rw------- 1 ldap ldap   270336 2008-10-12 01:39 __db.003
-rw------- 1 ldap ldap    98304 2008-10-12 01:39 __db.004
-rw------- 1 ldap ldap   352256 2008-10-12 01:39 __db.005
-rw------- 1 ldap ldap    24576 2008-10-12 01:39 __db.006
-rw------- 1 ldap ldap      921 2008-10-17 16:18 DB_CONFIG
-rw------- 1 ldap ldap     8192 2008-10-12 01:39 dn2id.bdb
-rw------- 1 ldap ldap    32768 2008-10-12 01:39 id2entry.bdb
-rw------- 1 ldap ldap 10485760 2008-10-12 01:39 log.0000000001

ทดสอบการดึงข้อมูลจาก LDAP

ถ้า OpenLDAP Server รันได้ถูกต้อง เราสามารถใช้คำสั่ง ldapsearch เพื่อดึงข้อมูลจาก LDAP ตัวอย่างด้านล่างจะเป็นการทดสอบดึงข้อมูลทั้งหมดมา ซึ่งตอนนี้ยังไม่มีข้อมูล ดังนั้นผลลัพธ์จะแสดงดังนี้

[root@fc9-min ldif]# ldapsearch -x -b "dc=test-ldap,dc=com" "(objectclass=*)"
# extended LDIF
#
# LDAPv3
# base <dc=test-ldap,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# search result
search: 2
result: 32 No such object

# numResponses: 1

ข้อมูลอ้างอิง

• เพิ่มบัญชีผู้ใช้งานเข้าไปใน OpenLDAP
• เพิ่ม แก้ไข ลบ ผู้ใช้งานใน OpenLDAP
• OpenLDAP

โดยดีฟอลต์เมื่อติดตั้ง Fedora Directory Server ตัวโปรแกรมจะสร้างข้อมูลพื้นฐานขึ้นมาจำนวนหนึ่ง ซึ่งประกอบด้วย

• Base DN – ซึ่งจะเป็นชื่อพื้นฐานโดเมนที่เราใช้ตอนติดตั้ง ในบทความนี้จะคอนฟิกอยู่ในโดเมน (BASE) เป็น dc=your-domain, dc=com ที่รันอยู่บนเครื่องที่ชื่อ “server”
• ou=Users – มีไว้สำหรับเก็บข้อมูลของผู้ใช้งาน ซึ่งเราจะไว้เก็บ UNIX User Account จากไฟล์ /etc/passwd
• ou=Groups – จะเป็นส่วนที่เก็บข้อมูลกลุ่มของผู้ใช้งาน (Groups) ซึ่งเราจะไว้เก็บ UNIX Group จากไฟล์ /etc/group

ในการที่จะ authenticate รหัสผู้ใช้งานจาก LDAP ได้นั้น เราจะต้องนำข้อมูลของผู้ใช้งานจากไฟล์ /etc/passwd, /etc/group ไปเก็บไว้ใน LDAP โดยจะมีวิธีการอยู่หลายวิธี แต่ในที่นี้จะแนะนำวิธีการสร้างไฟล์ ldif ขึ้นมา แล้วค่อย import เข้าไปใน LDAP โดยที่ Directory Server กำลังทำงานอยู่

สร้างไฟล์ passwd.ldif
เริ่มต้นสร้างไฟล์ passwd.ldif ซึ่งจะเก็บ user account และรายละเอียดของ user นั้นๆ อยู่ ซึ่งจากตัวอย่างด้านล้าง จะเป็นข้อมูลของผู้ใช้งานที่ใช้ login เป็น user01 (uid: user01)

dn: uid=user01,ou=People,dc=your-domain,dc=com
uid: user01
cn: user01
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}*
shadowLastChange: 14050
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 601
gidNumber: 600
homeDirectory: /home/user01
gecos: user01

ถ้าต้องการสร้างผู้ใช้หลายๆ คน ก็เพิ่มข้อมูลต่อท้ายลงไปในไฟล์นี้โดยให้เว้นไว้บรรทัดว่างไว้หนึ่งบรรทัด ระหว่างข้อมูลแต่ละ user

สร้างไฟล์ group.ldif
ขั้นต่อไปสร้างไฟล์ group.ldif ซึ่งจะเก็บ UNIX Group และรายละเอียด ซึ่งจากตัวอย่างด้านล้าง จะเป็นข้อมูลของกลุ่มผู้ใช้งานที่ชื่อ ldapuser

dn: cn=ldapusers,ou=Groups,dc=your-domain,dc=com
objectClass: posixGroup
objectClass: top
cn: ldapusers
userPassword: {crypt}x
gidNumber: 600

Import ข้อมูลจากไฟล์ ldif เข้าไปใน LDAP
เมื่อได้ไฟล์ ldif แล้ว ต้องใช้คำสั่ง ldif2ldap เพื่อนำข้อมูลจากไฟล์เข้าไปเก็บไว้ใน LDAP โดยก่อนที่จะรันคำสั่งนี้ได้ Directory Server ต้องรันทำงานอยู่แล้ว

เวลาที่รันคำสั่ง ldif2ldap จำเป็นต้องระบุ “cn=Directory Manager” และรหัสผ่านลงไปด้วย โดยรหัสผ่านนี้คือรหัสที่ใส่ตอนใช้คำสั่ง setup-ds-admin.pl ตอนที่คอนฟิก Directory Server ตั้งแต่ตอนแรกที่ติดตั้ง

ตัวอย่างการรันคำสั่ง ldif2ldap เพื่อนำข้อมูลจากไฟล์เข้าไปใน LDAP

[root@server ~]# /usr/lib/dirsrv/slapd-server/ldif2ldap "cn=Directory Manager" <password> passwd.ldif
adding new entry uid=user01,ou=People,dc=your-domain,dc=com

[root@server ~]# /usr/lib/dirsrv/slapd-server/ldif2ldap "cn=Directory Manager" <password> group.ldif
adding new entry cn=ldapusers,ou=Groups,dc=your-domain,dc=com

หมายเหตุ
- ในที่นี้จะรันอยู่บนเครื่องที่ชื่อ server ดังนั้น path ที่ใช้จะเป็น /usr/lib/dirsrv/slapd-server/ ซึ่งถ้าคุณรันคำสั่งนี้บนชื่อเครื่องอื่นๆ ให้เปลี่ยนตรงคำว่า server
- ให้สังเกตผลลัพธ์จากการรันคำสั่ง ldif2ldap ด้วย ว่าสำเร็จหรือไม่ ถ้าไม่สำเร็จ ให้แก้ไข ไฟล์และรันใหม่อีกครั้ง

เปลี่ยนคอนฟิกของเครื่องให้อ่านข้อมูล User Account และ Group จาก LDAP ด้วย
โดยดีฟอลต์ของ Linux ข้อมูล User Account และ Group จะถูกอ่านจากไฟล์ /etc/passwd และ /etc/group ตามลำดับ ถ้าเราต้องการให้มาอ่านข้อมูลจาก LDAP ด้วย ให้ใช้คำสั่ง authconfig-tui เพื่อแก้คอนฟิก

[root@server ~]# authconfig-tui
┌────────────────┤ Authentication Configuration ├─────────────────┐
│                                                                 │
│  User Information        Authentication                         │
│  [*] Cache Information   [ ] Use MD5 Passwords                  │
│  [ ] Use Hesiod          [*] Use Shadow Passwords               │
│  [*] Use LDAP            [*] Use LDAP Authentication            │
│  [ ] Use NIS             [ ] Use Kerberos                       │
│  [ ] Use Winbind         [ ] Use SMB Authentication             │
│                          [ ] Use Winbind Authentication         │
│                          [*] Local authorization is sufficient  │
│                                                                 │
│            ┌────────┐                      ┌──────┐             │
│            │ Cancel │                      │ Next │             │
│            └────────┘                      └──────┘             │
│                                                                 │
│                                                                 │
└─────────────────────────────────────────────────────────────────┘

คลิ้กเลือก [*] Use LDAP และ [*] Use LDAP Authentication แล้วกดปุ่ม Next

┌─────────────────┤ LDAP Settings ├─────────────────┐
│                                                   │
│          [ ] Use TLS                              │
│  Server: ldap://localhost/_______________________ │
│ Base DN: dc=your-domain,dc=com___________________ │
│                                                   │
│         ┌──────┐                  ┌────┐          │
│         │ Back │                  │ Ok │          │
│         └──────┘                  └────┘          │
│                                                   │
│                                                   │
└───────────────────────────────────────────────────┘

ใส่คอนฟิกของ Server เป็น ldap://localhost และ ใส่ Base DN: เป็น dn=your-domain, dc=com แล้วกดปุ่ม Ok

คำสั่ง authconfig-tui จะไปแก้ไฟล์ /etc/ldap.conf และไฟล์ต่างๆ ใน /etc/pam.d/ ซึ่งหลังจากแก้ไขแล้ว ต่อไปเวลาตรวจสอบชื่อหรือรหัสผู้ใช้งาน ระบบจะตรวจสอบจากไฟล์ /etc/passwd และ /etc/group ก่อน ถ้าหาไม่พบถึงจะไปค้นหาใน LDAP อีกที

ทดสอบการใช้งาน
สามารถใช้คำสั่ง id เพื่อตรวจสอบ User Account จาก LDAP ได้ โดยผลลัพธ์ที่ได้จะมี uid, group ของผู้ใช้งานนั้นๆ

ตัวอย่างการใช้คำสั่ง id เพื่อตรวจสอบ User จาก LDAP

[root@server ~]# id user01
uid=601(user01) gid=600(ldapusers) groups=600(ldapusers)

ถ้าต้องการเปลี่ยนแปลงข้อมูล เช่น password หรือต้องการลบ แนะนำให้ใช้ Management Console ได้ จากการรันคำสั่ง fedora-idm-console ใน X Window

ข้อมูลอ้างอิง

• ติดตั้งและคอนฟิก Fedora Directory Server เบื้องต้น
• PAM Configuration for LDAP Client Systems

ในบทความนี้จะกล่าวถึงการติดตั้งโปรแกรมและคอนฟิก Fedora Directory Server เบื้องต้น เพื่อสร้างคอนฟิกของ directory พื้นฐานสำหรับการใช้งานต่อไป

ส่วนประกอบของ Fedora Directory Server

ในแกนหลักของโปรแกรมจะประกอบด้วย

• Directory Server: ทำหน้าที่เป็น LDAP Server (เหมือนกับ OpenLDAP)
• Directory Server Console: เป็นโปรแกรมที่รันบน X Window เพื่อช่วยในการจัดการ ตั้งค่า คอนฟิกต่างๆ ของ Directory Server
• Administration Server: รันเป็น Web Server อยู่บน LDAP Server เพื่อรองรับการเชื่อมต่อจาก Directory Server Console ผู้ใช้งานสามาถใช้ Browser เรียกเข้าใช้งานได้เหมือนกันแต่คุณสมบัติต่างๆ ที่ใช้ได้จะน้อยกว่าการใช้งานจาก Directory Server Console

ระบบที่ทดสอบและเวอร์ชั่นของโปรแกรมที่ใช้

• fedora 9
• fedora-ds-1.1 (based on RedHat Directory Server 8.0)

การติดตั้งโปรแกรม
ตัวอย่างการติดตั้งไฟล์ rpm ที่จะต้องติดตั้งก่อนใช้งาน Fedora Directory Server บน Fedora 9 (x64)

• svrcore-4.0.4-2.fc9.x86_64.rpm
• mozldap-6.0.5-2.fc9.x86_64.rpm
• mozldap-tools-6.0.5-2.fc9.x86_64.rpm
• perl-Mozilla-LDAP-1.5.2-4.fc9.1.x86_64.rpm
• cyrus-sasl-gssapi-2.1.22-13.fc9.i386.rpm
• lm_sensors-3.0.1-5.fc9.i386.rpm
• net-snmp-libs-5.4.1-14.fc9.i386.rpm
• fedora-ds-base-1.1.0.1-4.fc9.x86_64.rpm
• mod_nss-1.0.7-5.fc9.x86_64.rpm
• adminutil-1.1.6-1.fc9.x86_64.rpm
• fedora-ds-admin-1.1.4-1.fc9.x86_64.rpm
• fedora-ds-console-1.1.1-3.fc9.noarch.rpm
• fedora-ds-dsgw-1.1.0-1.fc9.x86_64.rpm
• fedora-ds-admin-console-1.1.1-3.fc9.noarch.rpm
• jss-4.2.5-2.fc9.x86_64.rpm
• ldapjdk-4.18-1.fc9.x86_64.rpm
• idm-console-framework-1.1.1-1.fc8.noarch.rpm
• fedora-idm-console-1.1.1-2.fc9.x86_64.rpm
• fedora-ds-1.1.1-3.fc9.x86_64.rpm

เริ่มต้นคอนฟิก

ไฟล์คอนฟิกหลักของโปรแกรมจะอยู่ใน /etc/dirsrv/  เริ่มต้นต้องใช้คำสั่ง setup-ds-admin.pl เพื่อช่วยในการเริ่มคอนฟิกได้

หมายเหตุ ในตัวอย่างด้านล่างนี้จะรันเพื่อสร้างคอนฟิกทดสอบเท่านั้น จะเห็นว่ามีการตรวจสอบคอนฟิกพื้นฐานของเครื่องอยู่ ซึ่งจะมีข้อความหรือคำเตือนฟ้องขึ้นมา ว่าไม่เหมาะกับการใช้งานในระดับ production
ตัวอย่างการใช้คำสั่ง setup-ds-admin.pl เพื่อสร้างคอนฟิก directory ของโดเมน your-domain.com

[root@server dirsrv]# setup-ds-admin.pl

==============================================================================
This program will set up the Fedora Directory and Administration Servers.

It is recommended that you have "root" privilege to set up the software.
Tips for using this program:
  - Press "Enter" to choose the default and go to the next screen
  - Type "Control-B" then "Enter" to go back to the previous screen
  - Type "Control-C" to cancel the setup program

Would you like to continue with set up? [yes]: yes

==============================================================================
BY SETTING UP AND USING THIS SOFTWARE YOU ARE CONSENTING TO BE BOUND BY
AND ARE BECOMING A PARTY TO THE AGREEMENT FOUND IN THE
LICENSE.TXT FILE. IF YOU DO NOT AGREE TO ALL OF THE TERMS
OF THIS AGREEMENT, PLEASE DO NOT SET UP OR USE THIS SOFTWARE.

Do you agree to the license terms? [no]: yes

==============================================================================
Your system has been scanned for potential problems, missing patches,
etc.  The following output is a report of the items found that need to
be addressed before running this software in a production
environment.

Fedora Directory Server system tuning analysis version 10-AUGUST-2007.

NOTICE : System is i686-unknown-linux2.6.25-14.fc9.i686 (1 processor).

WARNING: 502MB of physical memory is available on the system. 1024MB is recommended for best performance on large production system.

NOTICE : The net.ipv4.tcp_keepalive_time is set to 7200000 milliseconds
(120 minutes).  This may cause temporary server congestion from lost
client connections.

WARNING: There are only 1024 file descriptors (hard limit) available, which
limit the number of simultaneous connections.

WARNING: There are only 1024 file descriptors (soft limit) available, which
limit the number of simultaneous connections.

Would you like to continue? [no]: yes

==============================================================================
Choose a setup type:

   1. Express
       Allows you to quickly set up the servers using the most
       common options and pre-defined defaults. Useful for quick
       evaluation of the products.

   2. Typical
       Allows you to specify common defaults and options.

   3. Custom
       Allows you to specify more advanced options. This is
       recommended for experienced server administrators only.

To accept the default shown in brackets, press the Enter key.

Choose a setup type [2]: 2

==============================================================================
Enter the fully qualified domain name of the computer
on which you're setting up server software. Using the form
<hostname>.<domainname>
Example: eros.example.com.

To accept the default shown in brackets, press the Enter key.

Computer name [server.your-domain.com]: server.your-domain.com

==============================================================================
The servers must run as a specific user in a specific group.
It is strongly recommended that this user should have no privileges
on the computer (i.e. a non-root user).  The setup procedure
will give this user/group some permissions in specific paths/files
to perform server-specific operations.

If you have not yet created a user and group for the servers,
create this user and group using your native operating
system utilities.

System User [nobody]: nobody
System Group [nobody]: nobody

==============================================================================
Server information is stored in the configuration directory server.
This information is used by the console and administration server to
configure and manage your servers.  If you have already set up a
configuration directory server, you should register any servers you
set up or create with the configuration server.  To do so, the
following information about the configuration server is required: the
fully qualified host name of the form
<hostname>.<domainname>(e.g. hostname.example.com), the port number
(default 389), the suffix, the DN and password of a user having
permission to write the configuration information, usually the
configuration directory administrator, and if you are using security
(TLS/SSL).  If you are using TLS/SSL, specify the TLS/SSL (LDAPS) port
number (default 636) instead of the regular LDAP port number, and
provide the CA certificate (in PEM/ASCII format).

If you do not yet have a configuration directory server, enter 'No' to
be prompted to set up one.

Do you want to register this software with an existing
configuration directory server? [no]: no

==============================================================================
Please enter the administrator ID for the configuration directory
server.  This is the ID typically used to log in to the console.  You
will also be prompted for the password.

Configuration directory server
administrator ID [admin]:
Password:
Password (confirm):

==============================================================================
The information stored in the configuration directory server can be
separated into different Administration Domains.  If you are managing
multiple software releases at the same time, or managing information
about multiple domains, you may use the Administration Domain to keep
them separate.

If you are not using administrative domains, press Enter to select the
default.  Otherwise, enter some descriptive, unique name for the
administration domain, such as the name of the organization
responsible for managing the domain.

Administration Domain [your-domain.com]: your-domain.com

==============================================================================
The standard directory server network port number is 389.  However, if
you are not logged as the superuser, or port 389 is in use, the
default value will be a random unused port number greater than 1024.
If you want to use port 389, make sure that you are logged in as the
superuser, that port 389 is not in use.

Directory server network port [389]: 389

==============================================================================
Each instance of a directory server requires a unique identifier.
This identifier is used to name the various
instance specific files and directories in the file system,
as well as for other uses as a server instance identifier.

Directory server identifier [server]: server

==============================================================================
The suffix is the root of your directory tree.  The suffix must be a valid DN.
It is recommended that you use the dc=domaincomponent suffix convention.
For example, if your domain is example.com,
you should use dc=example,dc=com for your suffix.
Setup will create this initial suffix for you,
but you may have more than one suffix.
Use the directory server utilities to create additional suffixes.

Suffix [dc=your-domain, dc=com]: dc=your-domain, dc=com

==============================================================================
Certain directory server operations require an administrative user.
This user is referred to as the Directory Manager and typically has a
bind Distinguished Name (DN) of cn=Directory Manager.
You will also be prompted for the password for this user.  The password must
be at least 8 characters long, and contain no spaces.

Directory Manager DN [cn=Directory Manager]:
Password:
Password (confirm):

==============================================================================
The Administration Server is separate from any of your web or application
servers since it listens to a different port and access to it is
restricted.

Pick a port number between 1024 and 65535 to run your Administration
Server on. You should NOT use a port number which you plan to
run a web or application server on, rather, select a number which you
will remember and which will not be used for anything else.

Administration port [9830]:

==============================================================================
The interactive phase is complete.  The script will now set up your
servers.  Enter No or go Back if you want to change something.

Are you ready to set up your servers? [yes]: yes
Creating directory server . . .
Your new DS instance 'server' was successfully created.
Creating the configuration directory server . . .
Beginning Admin Server creation . . .
Creating Admin Server files and directories . . .
Updating adm.conf . . .
Updating admpw . . .
Registering admin server with the configuration directory server . . .
Updating adm.conf with information from configuration directory server . . .
Updating the configuration for the httpd engine . . .
Starting admin server . . .
The admin server was successfully started.
Admin server was successfully created, configured, and started.
Exiting . . .
Log file is '/tmp/setupqDGNPJ.log'

[root@server dirsrv]#

คอนฟิก dsgw (Fedora Directory Server Gateway)

ใน Fedora Directory จะมีโปรแกรมหนึ่งชื่อว่า dsgw ช่วยให้ผู้ใช้งานสามารถสร้างและแก้ไขข้อมูลของ user ใน Directory ผ่านเว็บได้

ใช้คำสั่ง setup-ds-dsgw เพื่อเพิ่ม dsgw เข้าไปในหน้าเว็บ Administration server ด้วย

[root@server dsgw]# setup-ds-dsgw
######################################################################
This shell script will configure the Directory Server
Gateway, Phonebook and Org Chart web applications to
work with the Administration Server.

Reading parameters from Administration Server config . . .
Using Administration Server URL http://server.your-domain.com:9830 . . .
Reading parameters from Directory Server /etc/dirsrv/slapd-server . . .
Using Directory Server URL ldap://server.your-domain.com:389/dc=your-domain, dc=com . . .
Generating config file /etc/dirsrv/dsgw/dsgw.conf . . .
Generating config file /etc/dirsrv/dsgw/pb.conf . . .
Generating config file /etc/dirsrv/dsgw/orgchart.conf . . .
Generating config file /etc/dirsrv/dsgw/default.conf . . .
Generating the credential database directory . . .
Adding configuration to httpd config file /etc/dirsrv/admin-serv/httpd.conf . . .
Enabling links to web apps from Administration Server home page . . .
/usr/share/dirsrv/html/admserv_dsgw.html already exists - not copying . . .
/usr/share/dirsrv/html/admserv_phonebook.html already exists - not copying . . .
/usr/share/dirsrv/html/admserv_orgchart.html already exists - not copying . . .

The Directory Server Gateway web applications have been successfully configured.
You will need to restart your Administration Server.
######################################################################

ตรวจสอบสถานะของ Directory Server

1. ตรวจสอบ process
ตัวอย่างด้านล่างจะแสดง process ที่รันขึ้นมาโดยอัตโนมัติจากการใช้คำสั่ง setup-ds-admin.pl

[root@server dirsrv]# ps –ef
…
nobody   26774     1  2 20:09 ?        00:00:00 ./ns-slapd -D /etc/dirsrv/slapd-server -i /var/run/dirsrv/slapd-server.pid -w /v
root     26859     1  0 20:09 ?        00:00:00 /usr/sbin/httpd.worker -k start -f /etc/dirsrv/admin-serv/httpd.conf
root     26860 26859  0 20:09 ?        00:00:00 /usr/sbin/httpd.worker -k start -f /etc/dirsrv/admin-serv/httpd.conf
nobody   26861 26859  0 20:09 ?        00:00:00 /usr/sbin/httpd.worker -k start -f /etc/dirsrv/admin-serv/httpd.conf

2. ใช้โปรแกรม Directory Server Console
เข้าไปใน X Window ใช้คำสั่ง fedora-idm-console แล้วใส่ User ID, Password, Administration URL ให้ถูกต้อง

ตัวอย่างการใช้โปรแกรม Directory Server Console เพื่อควบคุมสถานะของ LDAP Server

3. ใช้ Browser
อีกวิธีหนึ่งคือทดสอบใช้ browser ตรวจสอบสถานะ โดยอ้างอิงไปที่ ip ของ Directory Server และระบุพอร์ตเป็น 9830 เช่น http://192.168.1.1:9830/

ข้อมูลอ้างอิง

• Fedora Directory Server (Open Source LDAP)
• Red Hat Directory Server Documentation