แบบเก่าไฟล์คอนฟิกหลักจะอยู่ในไฟล์ /etc/openldap/slapd.conf แต่แบบใหม่คอนฟิกจะถูกเก็บแยกเป็นไฟล์ LDIF เป็นโครงสร้างอยู่ในไดเร็คทอรี /etc/openldap/slapd.d/ และเมื่อรันเซอร์วิส ไฟล์เหล่านี้จะถูกอ่านเข้าไปใน LDAP เลย ซึ่งทำให้เราสามารถแก้ไขคอนฟิกเซิร์ฟเวอร์ ได้ เหมือนกับการแก้ไขข้อมูลอื่นๆ ใน LDAP

รายละเอียดเพิ่มเติมหาอ่านได้จาก ข้อมูลอ้างอิง Configuring slapd

เพื่อความสะดวก ทางทีมพัฒนา OpenLDAP ได้สร้างคำสั่ง slaptest เพื่อใช้ในการเปลี่ยนคอนฟิกแบบเก่าไฟล์เดียว ให้เป็นรูปแบบใหม่ได้

ในบทความนี้จะแสดงขั้นตอนการติดตั้งและคอนฟิก OpenLDAP บนเครื่อง Fedora 13 (x86_64)

ติดตั้ง openldap

ใช้คำสั่ง rpm เพื่อตรวจสอบการติดตั้ง openldap ว่ามีอยู่แล้วหรือไม่

[root@fc13-64a ~]# rpm -qa | grep openldap
openldap-2.4.21-4.fc13.x86_64

เพื่อจะคอนฟิกเป็นเซิร์ฟเวอร์ได้ ต้องติดตั้งไฟล์ rpm เพิ่มเติม บางไฟล์หาได้จากแผ่นดีวีดีติดตั้ง

[root@fc13-64a ~]# mount /dev/scd0 /media
mount: block device /dev/sr0 is write-protected, mounting read-only
[root@fc13-64a ~]# cd /media/Packages/

[root@fc13-64a Packages]# rpm -i libtool-ltdl-2.2.6-20.fc13.x86_64.rpm
[root@fc13-64a Packages]# rpm -i openldap-clients-2.4.21-4.fc13.x86_64.rpm

ดาวน์โหลดไฟล์เพิ่มเติมจาก fc13 Everything แล้วติดตั้ง

[root@fc13-64a Everything]# rpm -i openldap-servers-2.4.21-4.fc13.x86_64.rpm

ไฟล์คอนฟิกดีฟอลต์ของ OpenLDAP จะถูกติดตั้งอยู่ใน /etc/openldap/

[root@fc13-64a ~]# cd /etc/openldap/

[root@fc13-64a openldap]# ls -l
total 24
drwxr-xr-x. 2 root root 4096 Feb 24 16:19 cacerts
-rw-r--r--. 1 root root  245 Feb 24 16:19 ldap.conf
drwxr-xr-x  3 root root 4096 Jul 16 20:37 schema
-rw-r-----  1 root ldap 4153 Feb 24 16:19 slapd.conf.bak
drwx------  3 ldap ldap 4096 Jul 16 20:37 slapd.d

รันเซอร์วิส

ใช้คำสั่ง service เพิ่มรัน slapd (OpenLDAP server)

[root@fc13-64a ~]# service slapd start
/var/lib/ldap/__db.004 is not owned by "ldap"              [WARNING]
/var/lib/ldap/__db.001 is not owned by "ldap"              [WARNING]
/var/lib/ldap/__db.002 is not owned by "ldap"              [WARNING]
/var/lib/ldap/__db.006 is not owned by "ldap"              [WARNING]
/var/lib/ldap/__db.005 is not owned by "ldap"              [WARNING]
/var/lib/ldap/alock is not owned by "ldap"                 [WARNING]
/var/lib/ldap/__db.003 is not owned by "ldap"              [WARNING]
ln: accessing `/var/run/openldap/slapd.pid': No such file or directory

มีข้อผิดพลาดฟ้องเรื่อง permission ไม่ถูกต้อง

[root@fc13-64a ~]# ls -l /var/lib/ldap/
total 884
-rw------- 1 root root   2048 Jul 16 20:37 alock
-rw------- 1 root root  24576 Jul 16 20:37 __db.001
-rw------- 1 root root 212992 Jul 16 20:37 __db.002
-rw------- 1 root root 270336 Jul 16 20:37 __db.003
-rw------- 1 root root 163840 Jul 16 20:37 __db.004
-rw------- 1 root root 802816 Jul 16 20:37 __db.005
-rw------- 1 root root  32768 Jul 16 20:37 __db.006

ใช้คำสัง chown เพื่อเปลี่ยนเจ้าของไฟล์ (owner)

[root@fc13-64a ldap]# chown ldap.ldap *
[root@fc13-64a ldap]# ls -l
total 884
-rw------- 1 ldap ldap   2048 Jul 16 20:37 alock
-rw------- 1 ldap ldap  24576 Jul 16 20:37 __db.001
-rw------- 1 ldap ldap 212992 Jul 16 20:37 __db.002
-rw------- 1 ldap ldap 270336 Jul 16 20:37 __db.003
-rw------- 1 ldap ldap 163840 Jul 16 20:37 __db.004
-rw------- 1 ldap ldap 802816 Jul 16 20:37 __db.005
-rw------- 1 ldap ldap  32768 Jul 16 20:37 __db.006

ใช้คำสั่ง service เพื่อรันเซอร์วิสอีกครั้ง

[root@fc13-64a ldap]# service slapd start
Starting slapd:                                            [  OK  ]

ใช้คำสั่ง ps เพื่อตรวจสอบ process

[root@fc13-64a ldap]# ps -ef | grep ldap
ldap     22636     1  0 21:18 ?        00:00:00 /usr/sbin/slapd -h  ldap:/// -u ldap

ใช้คำสั่ง service เพื่อปิดเซอร์วิส

[root@fc13-64a ldap]# service slapd stop
Stopping slapd:                                            [  OK  ]

แล้วทดลองรันเซอร์วิสอีกครั้ง จะมีข้อความฟ้องเรื่อง performance

[root@fc13-64a ldap]# service slapd start
Checking configuration files for slapd:                    [WARNING]
bdb_db_open: warning - no DB_CONFIG file found in directory /var/lib/ldap: (2).
Expect poor performance for suffix "dc=my-domain,dc=com".
config file testing succeeded
Starting slapd:                                            [  OK  ]

ปิดเซอร์วิสอีกครั้ง

[root@fc13-64a ldap]# service slapd stop
Stopping slapd:                                            [  OK  ]

เพื่อปรับปรุงเรื่อง performance ต้องสร้างไฟล์ DB_CONFIG  จากตัวอย่างไฟล์ใน /usr/share/doc/openldap-servers-2.4.21/

[root@fc13-64a ldap]# cp /usr/share/doc/openldap-servers-2.4.21/DB_CONFIG.example DB_CONFIG
[root@fc13-64a ldap]# chown ldap.ldap DB_CONFIG
[root@fc13-64a ldap]# chmod 600 DB_CONFIG

ทดสอบการเปิด/ปิด เซอร์วิส ครั้งแรกจะมีฟ้องว่า มีการปรับเปลี่ยนคอนฟิก แล้วหลังจากนั้นก็สามารถรันได้ตามปกติ

[root@fc13-64a ldap]# service slapd start
Checking configuration files for slapd:                    [WARNING]
bdb_db_open: DB_CONFIG for suffix "dc=my-domain,dc=com" has changed.
Performing database recovery to activate new settings.
bdb_db_open: database "dc=my-domain,dc=com": recovery skipped in read-only mode. Run manual recovery if errors are encountered.
config file testing succeeded
Starting slapd:                                            [  OK  ]

[root@fc13-64a ldap]# service slapd stop
Stopping slapd:                                            [  OK  ]

[root@fc13-64a ldap]# service slapd start
Starting slapd:                                            [  OK  ]

ข้อมูลอ้างอิง

• ติดตั้ง OpenLDAP Server บน Fedora 10
• OpenLDAP Software 2.4 Administrator’s Guide: Configuring slapd
• Fedora 13 x86_64 Everything

จากการติดตั้งแบบประหยัดพื้นที่สุดจะมี openldap ที่เป็นเฉพาะในส่วน library ที่จำเป็นในการใช้งานเท่านั้น สามารถตรวจสอบ package openldap ได้โดยใช้คำสั่ง rpm

[root@fc10-pdc ~]# rpm -qa | grep openldap
openldap-2.4.12-1.fc10.x86_64

เพื่อจะทำหน้าที่เป็น OpenLDAP Server จำเป็นต้องลง package เพิ่มเติม ไฟล์ rpm สองไฟล์มีอยู่ในแผ่น DVD ติดตั้งแล้ว สามารถ mount แล้วติดตั้งได้เลย

[root@fc10-pdc ~]# mount /dev/scd0 /media/
mount: block device /dev/sr0 is write-protected, mounting read-only

[root@fc10-pdc ~]# rpm -i  /media/package/openldap-clients-2.4.12-1.fc10.x86_64.rpm
[root@fc10-pdc ~]# rpm -i  /media/package/libtool-ltdl-1.5.26-4.fc10.x86_64.rpm

[root@fc10-pdc ~]# umount /media/

อีก package หนึ่ง ที่จำเป็นคือ openldap-servers ต้องดาวน์โหลดมาจาก Fedora 10 Everything  ไฟล์ชื่อ openldap-servers-2.4.12-1.fc10.x86_64.rpm

ใช้คำสั่ง rpm เพื่อติดตั้ง openldap-servers

จะมีข้อความขึ้นบนหน้าจอ ซึ่งเป็นการสร้างคีย์ต่างๆ เพื่อความปลอดภัยของข้อมูล

[root@fc10-pdc ~]# rpm -i openldap-servers-2.4.12-1.fc10.x86_64.rpm
/etc/pki/tls/certs /
umask 77 ; \
        PEM1=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
        PEM2=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
        /usr/bin/openssl req -utf8 -newkey rsa:1024 -keyout $PEM1 -nodes -x509 -days 365 -out $PEM2 -set_serial 0 ; \
        cat $PEM1 >  slapd.pem ; \
        echo ""    >> slapd.pem ; \
        cat $PEM2 >> slapd.pem ; \
        rm -f $PEM1 $PEM2
Generating a 1024 bit RSA private key
..................++++++
....................++++++
writing new private key to '/tmp/openssl.QqH8Pr'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:State or Province Name (full name) [Berkshire]:Locality Name (eg, city) [Newbury]:Organization Name (eg, company) [My Company Ltd]:Organizational Unit Name (eg, section) []:Common Name (eg, your name or your server's hostname) []:Email Address []:/

หลังจากติดตั้งแล้ว สามารถตรวจสอบเวอร์ชั่นของไฟล์ rpm ที่ติดตั้งได้ ดังนี้

[root@fc10-pdc ~]# rpm -qa | grep openldap
openldap-2.4.12-1.fc10.x86_64
openldap-clients-2.4.12-1.fc10.x86_64
openldap-servers-2.4.12-1.fc10.x86_64

แก้ไขคอนฟิกไฟล์ /etc/openldap/slapd.conf

ก่อนที่จะเริ่มแก้ไขไฟล์คอนฟิก ต้องรันคำสั่ง spappasswd เพื่อเข้ารหัส Root PW แล้วนำผลลัพธ์ที่ได้ไปใส่ไว้ส่วนของคอนฟิก rootpw ในไฟล์ slapd.conf โดยรหัสนี้จะใช้เมื่อต้องการแก้ไขข้อมูลที่อยู่ใน LDAP เช่นเพิ่ม แก้ไข ลบ ข้อมูล

ตัวอย่างการรันคำสั่ง spappasswd

[root@fc10-pdc ~]# slappasswd
New password:
Re-enter new password:
{SSHA}fFeU/EgRu6B9dbg7dlo4sxcUu19IMWJ2

ไฟล์คอนฟิกหลักของ OpenLDAP Server คือไฟล์ /etc/openldap/slapd.conf ในเบื้องต้นจะต้องมีการแก้ไขบางส่วนก่อนที่จะเริ่มใช้งานได้ ในที่นี้จะสมมติข้อมูลเบื้องต้นสำหรับการคอนฟิก OpenLDAP Server เป็นดังนี้ โดยแสดงเฉพาะส่วนที่เพิ่มเติมเท่านั้น

[root@fc10-pdc ~]# cat /etc/openldap/slapd.conf
...
include         /etc/openldap/schema/samba.schema
...
database        bdb
suffix          "dc=fc10-ldap,dc=com"
rootdn          "uid=root,ou=People,dc=fc10-ldap,dc=com"
rootpw          {SSHA}fFeU/EgRu6B9dbg7dlo4sxcUu19IMWJ2
...

รันเซอร์วิส ldap

ใช้คำสั่ง service start เพื่อรันเซอร์วิส openldap

[root@fc10-pdc ~]# service ldap start
Starting slapd:                                            [  OK  ]

ตรวจสอบ process ที่รัน

[root@fc10-pdc ~]# ps -ef | grep ldap
ldap      3064     1  0 17:13 ?        00:00:00 /usr/sbin/slapd -h ldap:/// -u ldap

ถึงจุดนี้ OpenLDAP Server สามารถใช้งานได้แล้ว แต่ที่จริงต้องมีไฟล์คอนฟิกเพิ่มเติม เพื่อเพิ่มประสิทธิภาพในการค้นหาข้อมูลใน LDAP

ทดสอบโดยใช้คำสั่ง service stop เพื่อปิดเซอร์วิส openldap และใช้คำสั่ง service start อีกครั้ง จะมีข้อความฟ้องเตือนเรื่องเกี่ยวกับ performance

[root@fc10-pdc ~]# service ldap stop
Stopping slapd:                                            [  OK  ]

[root@fc10-pdc ~]# service ldap start
Checking configuration files for slapd:                    [WARNING]
bdb_db_open: warning - no DB_CONFIG file found in directory /var/lib/ldap: (2).
Expect poor performance for suffix "dc=fc10-ldap,dc=com".
config file testing succeeded
Starting slapd:                                            [  OK  ]

ตรวจสอบไฟล์ที่อยู่ใน /var/lib/ldap/

[root@fc10-pdc ~]# cd /var/lib/ldap/
[root@fc10-pdc ldap]# ls -l
total 964
-rw-r--r-- 1 ldap ldap     2048 2009-05-15 17:14 alock
-rw------- 1 ldap ldap    24576 2009-05-15 17:13 __db.001
-rw------- 1 ldap ldap   188416 2009-05-15 17:13 __db.002
-rw------- 1 ldap ldap   270336 2009-05-15 17:13 __db.003
-rw------- 1 ldap ldap    98304 2009-05-15 17:13 __db.004
-rw------- 1 ldap ldap   729088 2009-05-15 17:13 __db.005
-rw------- 1 ldap ldap    32768 2009-05-15 17:13 __db.006
-rw------- 1 ldap ldap     8192 2009-05-15 17:13 dn2id.bdb
-rw------- 1 ldap ldap    32768 2009-05-15 17:13 id2entry.bdb
-rw------- 1 ldap ldap 10485760 2009-05-15 17:14 log.0000000001

ถึงแม้จะใช้งาน OpenLDAP Server ได้ แต่แนะนำให้ copy ไฟล์ DB_CONFIG มาใส่ไว้ใน /var/lib/ldap/ ด้วย ซึ่งมีตัวอย่างไฟล์อยู่แล้วใน /usr/share/doc/openldap-servers-2.4.12/

ใช้คำสั่ง service stop เพื่อปิดเซอร์วิส openldap ก่อน copy ไฟล์

[root@fc10-pdc ldap]# service ldap stop
Stopping slapd:                                            [  OK  ]

copy ไฟล์ DB_CONFIG.sample และเปลี่ยนชื่อไฟล์เป็น DB_CONFIG พร้อมเปลี่ยน owner, group, permission ของไฟล์ด้วย

[root@fc10-pdc ldap]# cp /usr/share/doc/openldap-servers-2.4.12/DB_CONFIG.example DB_CONFIG
[root@fc10-pdc ldap]# chown ldap.ldap DB_CONFIG
[root@fc10-pdc ldap]# chmod 600 DB_CONFIG

ใช้คำสั่ง service start เพื่อรันเซอร์วิส openldap อีกครั้ง ก็ยังมีข้อความฟ้องเตือนอีก เพราะมีการสร้างไฟล์ index ใหม่

[root@fc10-pdc ldap]# service ldap start
Checking configuration files for slapd:                    [WARNING]
bdb_db_open: DB_CONFIG for suffix "dc=fc10-ldap,dc=com" has changed.
Performing database recovery to activate new settings.
bdb_db_open: database "dc=fc10-ldap,dc=com": recovery skipped in read-only mode. Run manual recovery if errors are encountered.
config file testing succeeded
Starting slapd:                                            [  OK  ]

วิธีการแก้ไขคือ stop แล้ว start ใหม่อีกครั้ง ข้อความคำเตือนก็จะหายไป

[root@fc10-pdc ldap]# service ldap stop
Stopping slapd:                                            [  OK  ]

[root@fc10-pdc ldap]# service ldap start
Starting slapd:                                            [  OK  ]

ตรวจสอบไฟล์ที่อยู่ใน /var/lib/ldap/ จะมีไฟล์ index ขึ้นมาเพิ่มอีกหลายไฟล์ เพื่อทำให้การค้นหาข้อมูลใน LDAP ได้เร็วขึ้น

[root@fc10-pdc ldap]# ls -l
total 22132
-rw-r--r-- 1 ldap ldap      2048 2009-05-16 00:09 alock
-rw------- 1 ldap ldap     16384 2009-05-15 18:55 cn.bdb
-rw------- 1 ldap ldap     24576 2009-05-15 17:15 __db.001
-rw------- 1 ldap ldap   9093120 2009-05-15 17:15 __db.002
-rw------- 1 ldap ldap 335552512 2009-05-15 17:15 __db.003
-rw------- 1 ldap ldap   2359296 2009-05-15 17:15 __db.004
-rw------- 1 ldap ldap    729088 2009-05-15 17:15 __db.005
-rw------- 1 ldap ldap     32768 2009-05-15 17:15 __db.006
-rw------- 1 ldap ldap       921 2009-05-15 17:15 DB_CONFIG
-rw------- 1 ldap ldap      8192 2009-05-15 18:55 dn2id.bdb
-rw------- 1 ldap ldap      8192 2009-05-15 18:55 gidNumber.bdb
-rw------- 1 ldap ldap      8192 2009-05-15 17:45 givenName.bdb
-rw------- 1 ldap ldap     65536 2009-05-15 18:55 id2entry.bdb
-rw------- 1 ldap ldap  10485760 2009-05-16 00:09 log.0000000001
-rw------- 1 ldap ldap      8192 2009-05-15 18:55 loginShell.bdb
-rw------- 1 ldap ldap      8192 2009-05-15 17:30 memberUid.bdb
-rw------- 1 ldap ldap      8192 2009-05-15 18:55 objectClass.bdb
-rw------- 1 ldap ldap      8192 2009-05-15 17:30 ou.bdb
-rw------- 1 ldap ldap      8192 2009-05-15 17:45 sn.bdb
-rw------- 1 ldap ldap      8192 2009-05-15 18:55 uid.bdb
-rw------- 1 ldap ldap      8192 2009-05-15 18:55 uidNumber.bdb

ข้อมูลอ้างอิง

• ติดตั้ง Fedora 10 แบบประหยัดพื้นที่สุด
• ดาวน์โหลด Fedora 10 Everything (x86_64)

เพื่อเพิ่มประสิทธิภาพในการตรวจสอบ user, group จาก LDAP แนะนำให้รันเซอร์วิส nscd (name service cache daemon) บนเครื่อง โดยโปรแกรมนี้จะทำหน้าที่เก็บข้อมูล cache ไว้บนเครื่องตัวเอง ถ้าถามซ้ำกับข้อมูลเดิมที่มีอยู่ใน cache แล้ว ภายในระยะเวลาที่กำหนดไว้ (time to live) จะไม่มีการส่งไปถาม LDAP Server อีก

ข้อเสียของการรันเซอร์วิส nscd อย่างหนึ่งคือ เรื่องการตั้งค่าเวลา (time to live) ทำให้บางครั้งอาจไม่ได้ข้อมูลที่ล่าสุด เช่นดีฟอลต์เวลาที่ cache ไว้สำหรับการเก็บข้อมูลของ user คือ 600 วินาที สำหรับการค้นหาข้อมูลที่สำเร็จ (positive-time-to-live) ถ้ามีการเปลี่ยนแปลงข้อมูลของ user บน LDAP Server จะต้องรอจนเวลานี้ผ่านไป  ข้อมูล cache ใน nscd ถึงจะปรับปรุงเป็นข้อมูลใหม่

ปรับปรุงเวอร์ชั่น nscd

ใช้คำสั่ง rpm เพื่อตรวจสอบเวอร์ชั่นของ nscd ที่ติดตั้งอยู่

[root@ldap-client ~]# rpm -q nscd
nscd-2.8-3.i386

คำแนะนำ ก่อนที่จะรันเซอร์วิส nscd แนะนำให้ปรับปรุงเป็นเวอร์ชั่นล่าสุด เช่น Fedora 9 เวอร์ชั่นล่าสุดที่เขียนบทความนี้คือ nscd-2.8-8

[root@ldap-client ~]# rpm -Uvh nscd-2.8-8.i386.rpm
Preparing...                ########################################### [100%]
   1:nscd                   ########################################### [100%]

คอนฟิกไฟล์ /etc/nscd.conf

ไฟล์คอนฟิกจากการติดตั้ง nscd จะเก็บ cache ของ passwd, group, hosts, services ในที่นี้เราจะเปลี่ยนคอนฟิกเพื่อให้เก็บ cache เฉพาะ passwd, group จาก LDAP

[root@ldap-client ~]# cat /etc/nscd.conf
#
# /etc/nscd.conf
#
server-user             nscd
debug-level             0
paranoia                no

enable-cache            passwd          yes
positive-time-to-live   passwd          600
negative-time-to-live   passwd          20
suggested-size          passwd          211
check-files             passwd          yes
persistent              passwd          yes
shared                  passwd          yes
max-db-size             passwd          33554432
auto-propagate          passwd          yes

enable-cache            group           yes
positive-time-to-live   group           3600
negative-time-to-live   group           60
suggested-size          group           211
check-files             group           yes
persistent              group           yes
shared                  group           yes
max-db-size             group           33554432
auto-propagate          group           yes

enable-cache            hosts           no
enable-cache            services        no

คำแนะนำการคอนฟิกไฟล์ nscd.conf

• ดีฟอลต์คอนฟิกจากการติดตั้ง จะเป็บ cache ของ user (passwd) เป็นเวลา 600 วินาที สำหรับข้อมูลที่ค้นหาได้สำเร็จ (positive-time-to-live) แต่จะเก็บ cache ของ user ที่ค้นหาไม่สำเร็จ (ไม่มีข้อมูลใน LDAP) เป็นเวลา 20 วินาที
• ดีฟอลต์คอนฟิกจากการติดตั้ง จะเป็บ cache ของ group เป็นเวลา 3600 วินาที สำหรับข้อมูลที่ค้นหาได้สำเร็จ (positive-time-to-live) แต่จะเก็บ cache ของ group ที่ค้นหาไม่สำเร็จ (ไม่มีข้อมูลใน LDAP) เป็นเวลา 60 วินาที
• ต้องรอเวลา time-to-live เหล่านี้หมดไป จนกว่า nscd จะทำการตรวจสอบข้อมูลจาก LDAP ใหม่อีกครั้ง ก่อนการใช้งานจริงแนะนำให้ทดลองปรับค่าแล้วดูผลลัพธ์ที่ได้

รันเซอร์วิส nscd

ใช้คำสั่ง service เพื่อรันเซอร์วิส nscd

[root@fc9-k2 ~]# service nscd start
Starting nscd:                                             [  OK  ]

ข้อมูล cache ของ nscd จะถูกเก็บไว้ใน /var/db/nscd/

[root@fc9-k2 ~]# ls -l /var/db/nscd/
total 432
-rw------- 1 root root 217016 2008-11-28 15:39 group
-rw------- 1 root root 217016 2008-11-28 15:39 passwd

ทดสอบ nscd cache

ใช้คำสั่ง time เพื่อเปรียบเทียบความเร็ว ระหว่างการดึงข้อมูล user จาก LDAP ในครั้งแรก และครั้งที่สอง ดึงข้อมูลจาก cache ของ nscd

[root@fc9-k2 ~]# time id user01
uid=1011(user01) gid=513(Domain Users) groups=513(Domain Users)

real    0m0.046s
user    0m0.000s
sys     0m0.007s

[root@fc9-k2 ~]# time id user01
uid=1011(user01) gid=513(Domain Users) groups=513(Domain Users)

real    0m0.007s
user    0m0.000s
sys     0m0.005s

ข้อมูลอ้างอิง

• เพิ่มบัญชีผู้ใช้งานเข้าไปใน OpenLDAP 
• คอนฟิกให้ authenticate จาก Fedora Directory Server

• กำหนดคีย์ (index) ที่ใช้ในการค้นหาข้อมูล
• อนุญาตให้ผู้ใช้สามารถเปลี่ยน password โดยใช้คำสั่ง smbldap-passwd ด้วยตัวเองได้ ไม่ต้องใช้ rootdn

• ซ่อนรหัสผ่าน (password) ไม่ให้สามารถอ่านได้โดยตรง แต่ใช้ในการตรวจสอบสิทธิ (authenticate) ได้

# ------------------------
# /etc/openldap/slapd.conf
# ------------------------
include     /etc/openldap/schema/corba.schema
include     /etc/openldap/schema/core.schema
include     /etc/openldap/schema/cosine.schema
include     /etc/openldap/schema/duaconf.schema
include     /etc/openldap/schema/dyngroup.schema
include     /etc/openldap/schema/inetorgperson.schema
include     /etc/openldap/schema/java.schema
include     /etc/openldap/schema/misc.schema
include     /etc/openldap/schema/nis.schema
include     /etc/openldap/schema/openldap.schema
include     /etc/openldap/schema/ppolicy.schema
include     /etc/openldap/schema/collective.schema

# Samba Schema
include     /etc/openldap/schema/samba.schema

# Allow LDAPv2 client connections.  This is NOT the default.
allow bind_v2

pidfile     /var/run/openldap/slapd.pid
argsfile    /var/run/openldap/slapd.args

# Enable Monitoring
database monitor

# ldbm and/or bdb database definitions
database    bdb
suffix      "dc=test-ldap,dc=com"
rootdn      "uid=root,ou=People,dc=test-ldap,dc=com"
rootpw      {SSHA}xxx
directory   /var/lib/ldap

# Indices to maintain for this database
index objectClass                       eq,pres
index ou,cn,mail,surname,givenname      eq,pres,sub
index uidNumber,gidNumber,loginShell    eq,pres
index uid,memberUid                     eq,pres,sub
index nisMapName,nisMapEntry            eq,pres,sub
index uniqueMember                      eq

# required to support pdb_getsambapwrid()
index displayName                       pres,sub,eq
index sambaSID                          eq
index sambaPrimaryGroupSID              eq
index sambaDomainName                   eq
index sambaSIDList                      eq
index sambaGroupType                    eq
index default                           sub

# users can authenticate and change their password
# hide password fields
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet
      by self write
      by anonymous auth
      by * none

access to attrs=shadowLastChange,shadowMax
      by self write
      by * read

# all others attributes are readable to everybody
access to *
      by * read

# loglevel stats stats2

# EOF.

ในบทความนี้จะคอนฟิกเพิ่มเติมเพื่อให้ Samba ทำหน้าที่เป็น Domain Controller ของ Windows client ได้

แก้ไขไฟล์ /etc/samba/smb.conf

ต้องแก้ไขไฟล์ smb.conf เพิ่มเติมโดยในที่นี้จะแสดงคอนฟิกทั้งหมดของไฟล์นี้เลย เพื่อคอนฟิกให้ Samba ทำหน้าที่เป็น Domain Controller

[global]
 workgroup = SMBLDAP
 server string = Samba Server Version %v

 passdb backend = ldapsam:ldap://127.0.0.1/
 passwd program = /usr/sbin/smbldap-passwd -u "%u"
 passwd chat = "Changing *\nNew password*" %n\n "*Retype new password*" %n\n"
 unix password sync = Yes
 log file = /var/log/samba/log.%U
 max log size = 50
 time server = Yes
 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

 add user script = /usr/sbin/smbldap-useradd -m "%u"
 delete user script = /usr/sbin/smbldap-userdel "%u"
 add group script = /usr/sbin/smbldap-groupadd -p "%g"
 delete group script = /usr/sbin/smbldap-groupdel "%g"
 add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
 delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
 set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
 add machine script = /usr/sbin/smbldap-useradd -t 0 -w "%u"

 logon script = logon.bat
 logon path = \\%L\profiles\%u
 logon drive = H:
 domain logons = Yes
 os level = 65
 preferred master = Yes
 domain master = Yes
 wins support = Yes

 ldap admin dn = uid=root,ou=People,dc=test-ldap,dc=com
 ldap group suffix = ou=Group
 ldap idmap suffix = ou=Idmap
 ldap machine suffix = ou=Computers
 ldap suffix = dc=test-ldap,dc=com
 ldap user suffix = ou=People
 cups options = raw

[homes]
 comment = Home Directories
 read only = No
 browseable = No

[profiles]
 path = /home/profiles
 read only = No
 guest ok = Yes
 browseable = No

คำแนะนำ รันคำสั่ง testparm ทุกครั้งเพื่อตรวจสอบความถูกต้องของคอนฟิกไฟล์ หลังการแก้ไขไฟล์ /etc/samba/smb.conf

สร้างไดเร็คทอรีสำหรับเก็บ profiles ของ user

เพื่อให้ user สามารถล็อกอินจาก Windows หลายๆ เครื่องแล้วมี profiles เหมือนกัน เช่น desktop ต้องสร้างไดเร็คทอรี่บนลีนุกซ์ที่รัน Samba สำหรับเก็บ profiles ของ user

ตัวอย่างการสร้างไดเร็คทอรี สำหรับเก็บ profiles ของ user

[root@fc9-min ~]# cd /home
[root@fc9-min home]# mkdir profiles
[root@fc9-min home]# chgrp "Domain Users" profiles
[root@fc9-min home]# chmod 770 profiles
[root@fc9-min home]# ls -ld profiles
drwxrwx--- 2 root Domain Users 4096 2008-10-19 00:27 profiles

รันเซอร์วิส Samba

เพื่อให้ Samba ทำหน้าที่เป็น Domain Controller ได้นั้น จำเป็นต้องรัน 2 เซอร์วิสคือ smb และ nmb ตามตัวอย่าง

[root@fc9-min ~]# service smb start
Starting SMB services:                                     [  OK  ]

[root@fc9-min ~]# service nmb start
Starting NMB services:                                     [  OK  ]

คอนฟิก Windows ให้ join Domain

ล็อกอินเป็น Administrator บนเครื่องไคลเอนต์ Windows ที่จะ join Domain คลิ้กขวาที่ My Computer แล้วเลือก Properties คลิ้กที่ Computer Name แล้วกดปุ่ม Change ใส่ชื่อ Domain ที่ต้องการ join ในที่นี้คือ SMBLDAP

หน้าจอ “Computer Name Changes” จะให้ใส่ User Name และ Password ที่จะใช้ join domain ให้ใส่ User Name เป็น root และใส่ password ตามที่ระบุใน rootpw

ถ้าถูกต้องจะมีหน้าจอขึ้นข้อความ “Welcome to the SMBLDAP domain.” กดปุ่ม Ok แล้วก็รีสตาร์ตเครื่อง

หลังจากบู๊ตเครื่องเสร็จ หน้าจอ Log On to Windows จะสามารถเลือก Log on to เป็น SMBLDAP ได้ ใส่ user ที่เพิ่มจากคำสั่ง smbldap-useradd ในตัวอย่างคือ user01

เมื่อล๊อกออก (Log Off) จาก user01 จะมีการเก็บ profiles ของ user เข้าไปในไดเร็คทอรี บนลีนุกซ์ที่ตั้งไว้ด้วย

ตัวอย่างไฟล์ profiles ที่ถูกสร้างขึ้น ของ user01

[root@fc9-min ~]# ls -l /home/profiles/user01/
total 568
drwx--x--x+ 4 user01 Domain Users   4096 2008-10-18 17:48 Application Data
drwx--x--x+ 2 user01 Domain Users   4096 2008-05-03 16:20 Cookies
drwx------+ 2 user01 Domain Users   4096 2008-05-03 23:12 Desktop
drwx--x--x+ 3 user01 Domain Users   4096 2008-10-18 17:49 Favorites
drwx--x--x+ 4 user01 Domain Users   4096 2008-10-18 17:49 My Documents
drwx--x--x+ 2 user01 Domain Users   4096 2008-05-03 23:12 NetHood
-rwx------  1 user01 Domain Users 524288 2008-10-18 17:54 NTUSER.DAT
-rwx------  1 user01 Domain Users   1024 2008-10-18 17:54 NTUSER.DAT.LOG
-rw-------  1 user01 Domain Users    268 2008-10-19 00:55 ntuser.ini
drwx--x--x+ 2 user01 Domain Users   4096 2008-05-03 23:12 PrintHood
drwx--x--x+ 2 user01 Domain Users   4096 2008-10-18 17:49 Recent
drwx--x--x+ 2 user01 Domain Users   4096 2008-10-18 17:48 SendTo
drwx--x--x+ 3 user01 Domain Users   4096 2008-05-03 23:12 Start Menu
drwx--x--x+ 2 user01 Domain Users   4096 2008-05-03 16:17 Templates

ข้อมูลอ้างอิง

• ติดตั้ง smbldap-tools บน Fedora 9
• การใช้งานคำสั่งของ smbldap-tools
• ไฟล์คอนฟิก openldap สำหรับ smbldap-tools

หมายเหตุ ทุกคำสั่งของ smbldap-tools สามารถที่จะดูวิธีการใช้งานโดยย่อได้ จากการรันคำสั่งที่ต้องการแล้วต่อท้ายด้วยออปชั่น ‘-h’ หรือ ‘-?’ หรือไม่ก็อ่านรายละเอียดการใช้งานได้จาก man page ของแต่ละคำสั่ง

smbldap-useradd เพิ่ม user

คำสั่ง smbldap-useradd ใช้เพิ่ม user เข้าไปใน LDAP

ตัวอย่างการเพิ่ม user01 เข้าไปใน LDAP

[root@fc9-min ~]# smbldap-useradd -a -m -P user01
Changing UNIX and samba passwords for user01
New password:
Retype new password:

ออปชั่นของคำสั่ง smbldap-useradd ที่ใช้ เพื่อให้ใช้งานร่วมกับ Samba ได้มีดังนี้

• -a เพิ่มข้อมูล Samba ของ user
• -m สร้างไดเร็คทอรี่ Home ของ user ด้วย
• -P ให้เรียกคำสั่ง smbldap-passwd หลังจบคำสั่ง เพื่อตั้งรหัสให้ user

หลังจากที่เพิ่ม user เข้าในระบบแล้ว สามารถใช้คำสั่ง id หรือ getent เพื่อตรวจสอบข้อมูลของ user ได้

[root@fc9-min ~]# id user01
uid=1001(user01) gid=513(Domain Users) groups=513(Domain Users)

[root@fc9-min ~]# getent passwd user01
user01:x:1001:513:System User:/home/user01:/bin/bash

smbldap-passwd เปลี่ยนรหัสผ่านของ user

คำสั้ง smbldap-passwd ใช้เพื่อเปลี่ยนรหัสผ่านของ user ที่อยู่ใน LDAP

[root@fc9-min ~]# smbldap-passwd user01
Changing UNIX and samba passwords for user01
New password:
Retype new password:

smbldap-userlist แสดงรายชื่อ user

คำสั่ง smbldap-userlist ใช้เพื่อแสดงรายชื่อ user ทั้งหมดที่อยู่ใน LDAP

[root@fc9-min ~]# smbldap-userlist
uid  |username

   0 |root                 |
 999 |nobody               |
1001 |user01               |

smbldap-usershow แสดงรายละเอียด user

คำสั่ง smbldap-usershow ใช้เพื่อตรวจสอบข้อมูลทั้งหมดของ user ที่อยู่ใน LDAP

[root@fc9-min ~]# smbldap-usershow user01
dn: uid=user01,ou=People,dc=test-ldap,dc=com
objectClass: top,person,organizationalPerson,inetOrgPerson,posixAccount,shadowAccount,sambaSamAccount
uid: user01
uidNumber: 1001
gidNumber: 513
homeDirectory: /home/user01
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
displayName: user01
sambaSID: S-1-5-21-3697236364-1357617849-1956783867-3002
sambaPrimaryGroupSID: S-1-5-21-3697236364-1357617849-1956783867-513
sambaProfilePath: \\fc9-min\profiles\user01
sambaHomePath: \\fc9-min\user01
sambaHomeDrive: H:
sambaLMPassword: C53C042BF139A7D9AAD3B435B51404EE
sambaAcctFlags: [U]
sambaNTPassword: 152E0323FE05645650DD50FD31C2FCDF
sambaPwdLastSet: 1224343354
sambaPwdMustChange: 1228231354
userPassword: {SSHA}d+ZTyu7BhUarCaM2Ifu9bk/RS0lkSi80
shadowLastChange: 14170
shadowMax: 45
gecos: System User,,,,
cn: System User
sn: User
givenName: System
loginShell: /bin/bash

smbldap-userinfo แก้ไขข้อมูลเบื้องต้นของ user

คำสั่ง smbldap-userinfo ใช้เพื่อแก้ไขข้อมูลเบื้องต้นของ user เช่น User Shell, Full Name ถ้าต้องการแก้ไขข้อมูลอื่นๆ ต้องใช้คำสั่ง smbldap-usermod

[root@fc9-min ~]# smbldap-userinfo user01
Changing the user information for user01
Enter the new value, or press ENTER for the default
 User Shell [/bin/bash]:
 Full Name [System User]: User01 Full Name
 Room Number []:
 Work Phone []:
 Home Phone []:
 Other []:
LDAP updated

ตรวจสอบ Full Name หลังการแก้ไขด้วยคำสั่ง getent

[root@fc9-min ~]# getent passwd user01
user01:x:1001:513:User01 Full Name,,,,:/home/user01:/bin/bash

smbldap-usermod แก้ไขข้อมูลของ user

คำสั่ง smbldap-usermod ใช้เพื่อแก้ข้อมูลของ user ที่อยู่ใน LDAP โดยต้องระบุออปชั่นที่ต้องการแก้ไข

ตัวอย่างการใช้คำสั่ง smbldap-usermod เพื่อแก้ไข Home ของ user01

[root@fc9-min ~]# smbldap-usermod -d /new-home/user01 user01

ตรวจสอบหลังการแก้ไข

[root@fc9-min ~]# getent passwd user01
user01:x:1001:513:User01 Full Name,,,,:/new-home/user01:/bin/bash

เปลี่ยนข้อมูลกลับ

[root@fc9-min ~]# smbldap-usermod -d /home/user01 user01
[root@fc9-min ~]# getent passwd user01
user01:x:1001:513:User01 Full Name,,,,:/home/user01:/bin/bash

smbldap-userdel ลบ user

คำสั่ง smbldap-userdel ใช้เพื่อลบ user ออกจาก LDAP

[root@fc9-min ~]# smbldap-userdel -r user02

smbldap-groupadd เพิ่ม group

คำสั่ง smbldap-groupadd ใช้เพื่อเพิ่ม group ใหม่เข้าไปใน LDAP

ตัวอย่างการเพิ่ม newgroup เข้าไปใน LDAP

[root@fc9-min ~]# smbldap-groupadd newgroup

smbldap-groupshow ดูข้อมูลของ group

คำสั่ง smbldap-groupshow ใช้เพื่อดูข้อมูลรายละเอียดของ group ที่อยู่ใน LDAP

[root@fc9-min ~]# smbldap-groupshow newgroup
dn: cn=newgroup,ou=Group,dc=test-ldap,dc=com
objectClass: top,posixGroup
cn: newgroup
gidNumber: 1000

smbldap-groupmod แก้ไขข้อมูลของ group

คำสั่ง smbldap-groupmod ใช้เพื่อแก้ไขข้อมูลของ group เช่น การเพิ่ม user เข้าไปอยู่ใน group

ตัวอย่างการเพิ่ม user01 เข้าไปอยู่ใน newgroup

[root@fc9-min ~]# smbldap-groupmod -m user01 newgroup
adding user user01 to group newgroup

[root@fc9-min ~]# id user01
uid=1001(user01) gid=513(Domain Users) groups=513(Domain Users),1000(newgroup)

ตัวอย่างการเพิ่มหลายๆ user เข้าไปใน newgroup

[root@fc9-min ~]# smbldap-groupmod -m user02,user03,user04,user05 newgroup
adding user user02 to group newgroup
adding user user03 to group newgroup
adding user user04 to group newgroup
adding user user05 to group newgroup

ตรวจสอบข้อมูลของ newgroup

[root@fc9-min ~]# smbldap-groupshow newgroup
dn: cn=newgroup,ou=Group,dc=test-ldap,dc=com
objectClass: top,posixGroup
cn: newgroup
gidNumber: 1000
memberUid: user01,user02,user03,user04,user05

ตัวอย่างการลบ user ออกจาก group

[root@fc9-min ~]# smbldap-groupmod -x user01 newgroup
deleting user user01 from group newgroup

[root@fc9-min ~]# id user01
uid=1001(user01) gid=513(Domain Users) groups=513(Domain Users)

smbldap-groupdel ลบ group

คำสั่ง smbldap-groupdel ใช้เพื่อลบ group ออกจาก LDAP

ตัวอย่างการลบ newgroup ออกจาก LDAP

[root@fc9-min ~]# smbldap-groupdel newgroup

ข้อมูลอ้างอิง

• ติดตั้ง smbldap-tools บน Fedora 9

• ติดตั้ง OpenLDAP Server บน Fedora 9
• ปรับปรุง samba เป็นเวอร์ชั่นล่าสุดใน Fedora 9

ในบทความนี้จะถือว่าเป็นการติดตั้ง OpenLDAP ใหม่เลย โดยไม่มีข้อมูลใดๆ อยู่ใน LDAP

ติดตั้ง Perl Module ที่จำเป็น

โปรแกรม smbldap-tools เขียนด้วยภาษา Perl จะเรียกใช้ Perl Module ต่างๆ ดังนั้นก่อนที่จะใช้งานได้ ต้องติดตั้ง Perl Module เหล่านี้ก่อน สำหรับ Fedora 9 สามารถดาวน์โหลดไฟล์ต่างๆ ได้จาก Fedora 9 Everything

ตัวอย่างการติดตั้ง Perl Module ที่จำเป็นตามลำดับ บน Fedora 9

[root@fc9-min ~]# rpm -ivh perl-Digest-MD4-1.5-6.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Crypt-SmbHash-0.12-8.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-Digest-SHA1-2.11-7.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Net-SSLeay-1.32-5.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-IO-Socket-SSL-1.12-4.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-Compress-Raw-Zlib-2.008-20.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-IO-Compress-Base-2.008-20.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-IO-Compress-Zlib-2.008-20.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Compress-Zlib-2.008-20.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-HTML-Tagset-3.10-8.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-HTML-Parser-3.56-5.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-URI-1.35-8.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-libwww-perl-5.808-7.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-XML-LibXML-Common-0.13-13.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-XML-NamespaceSupport-1.09-4.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh --nodeps perl-XML-SAX-0.16-5.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-XML-LibXML-1.65-5.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-LDAP-0.34-4.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-Jcode-2.06-6.fc9.noarch.rpm
[root@fc9-min ~]# rpm -ivh perl-Unicode-Map-0.112-14.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Unicode-String-2.09-8.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Unicode-Map8-0.12-17.fc9.i386.rpm
[root@fc9-min ~]# rpm -ivh perl-Unicode-MapUTF8-1.11-6.fc8.noarch.rpm

หลังจากติดตั้ง Perl Module ที่ต้องใช้เรียบร้อยแล้ว ก็ติดตั้งโปรแกรม smbldap-tools โดยสามารถดาวน์โหลดได้จากที่เดียวกัน

[root@fc9-min ~]# rpm -ivh smbldap-tools-0.9.5-2.fc9.noarch.rpm

รันเซอร์วิส Samba เบื้องต้น

ก่อนที่จะเริ่มคอนฟิก smbldap-tools ได้นั้น จำเป็นต้องรันเซอร์วิส Samba ก่อน โดยคอนฟิกที่ต้องเปลี่ยนในไฟล์ /etc/samba/smb.conf ในเบื้องต้นนี้คือส่วน workgroup เพราะค่านี้จะถูกอ่านตอนรันคอนฟิก smbldap-tools ส่วนคอนฟิก อื่นๆ ไว้แก้ไขที่หลังได้

ตัวอย่างไฟล์ smb.conf ที่แก้ไข ก่อนคอนฟิก smbldap-tools

 workgroup = SMBLDAP

ใช้คำสั่ง service เพื่อรันเซอร์วิส Samba

[root@fc9-min ~]# /etc/init.d/smb start
Starting SMB services:                                     [  OK  ]

แก้ไขคอนฟิก OpenLDAP

จากการติดตั้ง OpenLDAP Server ต้องเพิ่มไฟล์ schema ของ Samba เข้าไปในไฟล์ slapd.conf ด้วย

ตัวอย่างไฟล์ /etc/openldap/slapd.conf หลังการแก้ไข

include     /etc/openldap/schema/samba.schema

suffix      "dc=test-ldap,dc=com"
rootdn      "uid=root,ou=People,dc=test-ldap,dc=com"
rootpw      {SSHA}zA4XZB4pD1TUh/mRO31MC0kbUF+V0v2Y

หมายเหตุ คอนฟิกส่วน rootpw ได้มาจากการรันคำสั่ง slappasswd

รันเซอร์วิส OpenLDAP หลังจากแก้ไขคอนฟิกไฟล์ slapd.conf

[root@fc9-min ~]# /etc/init.d/ldap start
Starting slapd:                                            [  OK  ]

รันไฟล์ configure.pl เพื่อคอนฟิก smbldap-tools

ไฟล์คอนฟิกหลักของ smbldap-tools จะอยู่ในไดเร็คทอรี /etc/smbldap-tools/ ซึ่งจะประกอบด้วยคอนฟิกหลายๆ ส่วน เพื่อความสะดวกในการแก้ไขไฟล์ จากการติดตั้ง smbldap-tools จะมีไฟล์ /usr/share/doc/smbldap-tools-0.9.5/configure.pl เพื่อช่วยในการคอนฟิกไฟล์

ตัวอย่างรันไฟล์ configure.pl เพื่อสร้างคอนฟิกไฟล์ของ smbldap-tools

[root@fc9-min ~]# /usr/share/doc/smbldap-tools-0.9.5/configure.pl
$# is no longer supported at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 314.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
       smbldap-tools script configuration
       -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Before starting, check
 . if your samba controller is up and running.
 . if the domain SID is defined (you can get it with the 'net getlocalsid')

 . you can leave the configuration using the Crtl-c key combination
 . empty value can be set with the "." character
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Looking for configuration files...

Samba Configuration File Path [/etc/samba/smb.conf] >

The default directory in which the smbldap configuration files are stored is shown.
If you need to change this, enter the full directory path, then press enter to continue.
Smbldap-tools Configuration Directory Path [/etc/smbldap-tools/] >
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Let's start configuring the smbldap-tools scripts ...

. workgroup name: name of the domain Samba act as a PDC
  workgroup name [SMBLDAP] >
. netbios name: netbios name of the samba controler
  netbios name [] > fc9-min
. logon drive: local path to which the home directory will be connected (for NT Workstations). Ex: 'H:'
  logon drive [] > H:
. logon home: home directory location (for Win95/98 or NT Workstation).
  (use %U as username) Ex:'\\fc9-min\%U'
  logon home (press the "." character if you don't want homeDirectory) [\\fc9-min\%U] >
. logon path: directory where roaming profiles are stored. Ex:'\\fc9-min\profiles\%U'
  logon path (press the "." character if you don't want roaming profile) [\\fc9-min\profiles\%U] >
. home directory prefix (use %U as username) [/home/%U] >
. default users' homeDirectory mode [700] >
. default user netlogon script (use %U as username) [] > \\fc9-min\netlogon\%U
  default password validation time (time in days) [45] >
. ldap suffix [] > dc=test-ldap,dc=com
. ldap group suffix [] > ou=Group
. ldap user suffix [] > ou=People
. ldap machine suffix [] > ou=Computers
. Idmap suffix [ou=Idmap] >
. sambaUnixIdPooldn: object where you want to store the next uidNumber
  and gidNumber available for new users and groups
  sambaUnixIdPooldn object (relative to ${suffix}) [sambaDomainName=PDCTEST] >
Use of uninitialized value $server in substitution (s///) at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 244, <STDIN> line 17.
. ldap master server: IP adress or DNS name of the master (writable) ldap server
Use of uninitialized value $example_value in concatenation (.) or string at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 161, <STDIN> line 17.
Use of uninitialized value $example_value in string at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 162, <STDIN> line 17.
  ldap master server [] > 127.0.0.1
. ldap master port [389] >
. ldap master bind dn [] > uid=root,ou=People,dc=test-ldap,dc=com
. ldap master bind password [] >
. ldap slave server: IP adress or DNS name of the slave ldap server: can also be the master one
Use of uninitialized value $server in string at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 262, <STDIN> line 21.
  ldap slave server [] > 127.0.0.1
. ldap slave port [389] >
. ldap slave bind dn [] > uid=root,ou=People,dc=test-ldap,dc=com
. ldap slave bind password [] >
. ldap tls support (1/0) [0] >
. SID for domain PDCTEST: SID of the domain (can be obtained with 'net getlocalsid fc9-min')
  SID for domain PDCTEST [S-1-5-21-3697236364-1357617849-1956783867] >
. unix password encryption: encryption used for unix passwords
  unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA) [SSHA] >
. default user gidNumber [513] >
. default computer gidNumber [515] >
. default login shell [/bin/bash] >
. default skeleton directory [/etc/skel] >
. default domain name to append to mail adress [] >
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Use of uninitialized value $# in concatenation (.) or string at /usr/share/doc/smbldap-tools-0.9.5/configure.pl line 314, <STDIN> line 33.
backup old configuration files:
  /etc/smbldap-tools/smbldap.conf->/etc/smbldap-tools/smbldap.conf.old
  /etc/smbldap-tools/smbldap_bind.conf->/etc/smbldap-tools/smbldap_bind.conf.old
writing new configuration file:
  /etc/smbldap-tools/smbldap.conf done.
  /etc/smbldap-tools/smbldap_bind.conf done.

รันคำสั่ง smbldap-populate

โปรแกรม smbldap-tools จะมีคำสั่ง smbldap-populate เพื่อช่วยเพิ่มข้อมูลเข้าไปใน OpenLDAP โดยจะอ้างอิงจากคอนฟิกที่รันด้วย configure.pl

หมายเหตุ ในที่นี้จะถือว่า ไม่มีข้อมูลใดๆ อยู่ใน OpenLDAP เลย

ตัวอย่างการรันคำสั่ง smbldap-populate

[root@fc9-min openldap]# smbldap-populate
Populating LDAP directory for domain PDCTEST (S-1-5-21-3697236364-1357617849-1956783867)
(using builtin directory structure)

adding new entry: dc=test-ldap,dc=com
adding new entry: ou=People,dc=test-ldap,dc=com
adding new entry: ou=Group,dc=test-ldap,dc=com
adding new entry: ou=Computers,dc=test-ldap,dc=com
adding new entry: ou=Idmap,dc=test-ldap,dc=com
adding new entry: uid=root,ou=People,dc=test-ldap,dc=com
adding new entry: uid=nobody,ou=People,dc=test-ldap,dc=com
adding new entry: cn=Domain Admins,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Domain Users,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Domain Guests,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Domain Computers,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Administrators,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Account Operators,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Print Operators,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Backup Operators,ou=Group,dc=test-ldap,dc=com
adding new entry: cn=Replicators,ou=Group,dc=test-ldap,dc=com
adding new entry: sambaDomainName=PDCTEST,dc=test-ldap,dc=com

Please provide a password for the domain root:
Changing UNIX and samba passwords for root
New password: ldap1234
Retype new password: ldap1234

หมายเหตุ Password ที่ใส่ในส่วนท้ายของคำสั่ง smbldap-populate เป็น rootpw ที่ระบุในไฟล์ /etc/openldap/slapd.conf

รันคำสั่ง smbpasswd

รันคำสั่ง smbpasswd เพื่อใส่ ldap admin password ที่ Samba ใช้ในการเชื่อมต่อกับ LDAP

[root@fc9-min ~]# smbpasswd -w ldap1234
Setting stored password for "uid=root,ou=People,dc=test-ldap,dc=com" in secrets.tdb

หมายเหตุ ‘ldap1234′ คือ rootpw ที่ระบุในไฟล์ /etc/openldap/slapd.conf

คอนฟิกให้ลีนุกซ์ ตรวจสอบผู้ใช้งานจาก LDAP

ใช้คำสั่ง authconfig-tui เพื่อคอนฟิกให้ ลีนุกซ์ตรวจสอบผู้ใช้งานหรือ authenticate จาก LDAP

คอนฟิก Samba ให้ authenticate จาก LDAP

แก้ไขคอนฟิกไฟล์ของ Samba เพื่อให้ authenticate จาก ldap

ตัวอย่างไฟล์ /etc/samba/smb.conf ที่แก้ไขเพิ่มเติม

 workgroup = SMBLDAP
 security = user
 passdb backend = ldapsam:ldap://127.0.0.1/

 ldap suffix = dc=test-ldap,dc=com
 ldap admin dn = uid=root,ou=People,dc=test-ldap,dc=com
 ldap group suffix = ou=Group
 ldap user suffix = ou=People

เพิ่ม user ใน LDAP

[root@fc9-min ~]# smbldap-useradd -a -m -s /bin/bash -d /home/user01 -P user01
Changing UNIX and samba passwords for user01
New password:
Retype new password:

ทดสอบด้วยคำสั่ง smbclient

ใช้คำสั่ง smbclient เพื่อทดสอบการใช้ Samba เพื่อ authenticate ผู้ใช้จาก LDAP

ตัวอย่างการทดสอบด้วยคำสั่ง smbclient

[root@fc9-min samba]# smbclient '\\localhost\user01' -U user01
Enter user01's password:
Domain=[fc9-min] OS=[Unix] Server=[Samba 3.2.3-0.20.fc9]
smb: \> dir
  .                                   D        0  Sat Oct 18 12:21:59 2008
  ..                                  D        0  Sat Oct 18 11:38:30 2008
  .bashrc                             H      124  Sat Oct 18 11:38:30 2008
  .bash_logout                        H       18  Sat Oct 18 11:38:30 2008
  .bash_profile                       H      176  Sat Oct 18 11:38:30 2008

                60160 blocks of size 65536. 55959 blocks available
smb: \> exit

ข้อมูลอ้างอิง

• ติดตั้ง OpenLDAP Server บน Fedora 9
• ปรับปรุง samba เป็นเวอร์ชั่นล่าสุดใน Fedora 9
• การใช้งานคำสั่งของ smbldap-tools
• คอนฟิก Samba เป็น Domain Controller
• Smbldap-tools User Manual

เพิ่มผู้ใช้งานเข้าไปใน OpenLDAP

ตัวอย่างไฟล์ ldif และการใช้คำสั่ง ldapadd เพิ่ม user01 เข้าไปใน OpenLDAP

[root@fc9-min ldif]# cat add-user01.ldif
dn: uid=user01,ou=People,dc=test-ldap,dc=com
uid: user01
cn: user01
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}!!
shadowLastChange: 14030
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1001
gidNumber: 100
homeDirectory: /home/user01

[root@fc9-min ldif]# ldapadd -x -D uid=root,ou=People,dc=test-ldap,dc=com \
                       -W -f add-user01.ldif
Enter LDAP Password:
adding new entry "uid=user01,ou=People,dc=test-ldap,dc=com"

รหัสผ่าน (Enter LDAP Password) ที่ต้องใส่คือรหัส rootpw ที่ถูกเข้ารหัสแล้วเก็บไว้ในไฟล์ slapd.conf

หลังจากที่เพิ่มผู้ใช้งาน ต้องสร้างไดเร็คทอรีเพื่อเป็น HOME ของ user ด้วย ดังนี้

[root@fc9-min ~]# cd /home
[root@fc9-min home]# mkdir user01
[root@fc9-min home]# cp -av /etc/skel/. user01/
`/etc/skel/./.bash_profile' -> `user01/./.bash_profile'
`/etc/skel/./.bash_logout' -> `user01/./.bash_logout'
`/etc/skel/./.bashrc' -> `user01/./.bashrc'
[root@fc9-min home]# chown user01:users user01/
[root@fc9-min home]# chmod 700 user01

ตรวจสอบผู้ใช้งานจาก OpenLDAP

นอกจากการทดสอบด้วยการล็อกอินแล้ว สามารถใช้คำสั่ง id หรือ getent ในการตรวจสอบผู้ใช้งานจาก OpenLDAP ได้ดังนี้

[root@fc9-min ~]# id user01
uid=1001(user01) gid=100(users) groups=100(users) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

[root@fc9-min ldif]# getent passwd user01
user01:x:1001:100:user01:/home/user01:/bin/bash

เปลี่ยนรหัสผ่าน

ใช้คำสั่ง ldappasswd ในการเปลี่ยนรหัสผู้ใช้งานที่อยู่ใน OpenLDAP โดยต้องระบุ CN ของผู้ใช้นั้นๆ เช่น ต้องการเปลี่ยนรหัสผ่านของ user01 ซึ่งมี CN: uid=user01,ou=People,dc=test-ldap,dc=com สามารถทำได้ดังนี้

[root@fc9-min ldif]# ldappasswd -x -S -W -D uid=root,ou=People,dc=test-ldap,dc=com \
                       uid=user01,ou=People,dc=test-ldap,dc=com

New password: <new-user-password>
Re-enter new password: <new-user-password>
Enter LDAP Password: <rootpw-password>

รหัสสองอันแรกที่ต้องใส่ (New password และ Re-enter new password) เป็นรหัสใหม่ที่ต้องการตั้งให้กับผู้ใช้ ส่วน Enter LDAP Password ต้องใส่รหัสผ่านของ rootpw ที่ระบุในไฟล์ slapd.conf

แก้ไขข้อมูล

ใช้คำสั่ง ldapmodify เพื่อแก้ไขข้อมูลที่อยู่ใน OpenLDAP โดยข้อมูลที่ถูกแก้ไข จะถูกระบุอยู่ในไฟล์ ldif เช่น ตัวอย่างนี้จะเป็นการแก้ไขข้อมูล homeDirectory ของ user01 ให้เป็นค่าใหม่คือ /new-home/user01 และเพิ่ม gecos โดยมีค่าเป็น “User01 GECOS Name”

[root@fc9-min ldif]# cat modify-user01.ldif
dn: uid=user01,ou=People,dc=test-ldap,dc=com
changetype: modify
replace: homeDirectory
homeDirectory: /new-home/user01
-
add: gecos
gecos: User01 GECOS Name
-

ใช้คำสั่ง getent เพื่อเปรียบเทียบข้อมูลก่อนและหลังรันคำสั่ง ldapmodify

[root@fc9-min ldif]# getent passwd user01
user01:x:1001:100:user01:/home/user01:/bin/bash

[root@fc9-min ldif]# ldapmodify -x -D "uid=root,ou=People,dc=test-ldap,dc=com" \
                       -W -f modify-user01.ldif
Enter LDAP Password:
modifying entry "uid=user01,ou=People,dc=test-ldap,dc=com"

[root@fc9-min ldif]# getent passwd user01
user01:x:1001:100:User01 GECOS Name:/new-home/user01:/bin/bash

ลบ user

ใช้คำสั่ง ldapdelete เพื่อลบผู้ใช้งานออกจาก OpenLDAP โดยต้องระบุชื่อผู้ใช้เป็นค่า CN ของผู้ใช้นั้นๆ เช่นต้องการลบ user01 ที่มี CN: uid=user01,ou=People,dc=test-ldap,dc=com

[root@fc9-min bin]# ldapdelete -x -D uid=root,ou=People,dc=test-ldap,dc=com –W \
                      uid=user01,ou=People,dc=test-ldap,dc=com
Enter LDAP Password:

[root@fc9-min bin]# getent passwd user01
[root@fc9-min bin]#

ข้อมูลอ้างอิง

• ติดตั้ง OpenLDAP Server บน Fedora 9
• เพิ่มบัญชีผู้ใช้งานเข้าไปใน OpenLDAP

การเพิ่มข้อมูลเข้าไปใน LDAP ได้นั้น วิธีการหนี่งที่ทำได้คือสร้างไฟล์เป็นรูปแบบ ldif ก่อน แล้วใช้คำสั่ง ldapadd เพื่อเพิ่มข้อมูลเข้าไปใน LDAP

เพิ่มข้อมูลพื้นฐานของ LDAP

ตัวอย่างไฟล์ ldif สำหรับใส่ข้อมูลพื้นฐานของ LDAP  และการใช้คำสั่ง ldapadd เพิ่มข้อมูลเข้าไปใน LDAP

[root@fc9-min ldif]# cat ldap-base.ldif
dn: dc=test-ldap,dc=com
dc: test-ldap
objectClass: top
objectClass: domain

dn: ou=People,dc=test-ldap,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit

dn: ou=Group,dc=test-ldap,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit

[root@fc9-min ldif]# ldapadd -x -D uid=root,ou=People,dc=test-ldap,dc=com -W -f ldap-base.ldif
Enter LDAP Password:
adding new entry "dc=test-ldap,dc=com"

adding new entry "ou=People,dc=test-ldap,dc=com"

adding new entry "ou=Group,dc=test-ldap,dc=com"

หมายเหตุ LDAP Password ที่ต้องใส่ในคำสั่ง ldapadd คือรหัสที่ถูกเข้ารหัสด้วยคำสั่ง slappasswd แล้วนำมาใส่ไว้เป็นคอนฟิก rootpw ในไฟล์ /etc/openldap/slapd.conf

เพิ่ม user01 เข้าไปใน LDAP

ตัวอย่างไฟล์ ldif เพื่อเพิ่ม user01 เข้าไปใน LDAP

[root@fc9-min ldif]# cat add-user01.ldif
dn: uid=user01,ou=People,dc=test-ldap,dc=com
uid: user01
cn: user01
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}!!
shadowLastChange: 14030
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1001
gidNumber: 100
homeDirectory: /home/user01

ใช้คำสั่ง ldapadd เพิ่ม user01 เข้าไปใน LDAP

[root@fc9-min ldif]# ldapadd -x -D uid=root,ou=People,dc=test-ldap,dc=com -W -f add-user01.ldif
Enter LDAP Password:
adding new entry "uid=user01,ou=People,dc=test-ldap,dc=com"

แก้ใขให้ลีนุกซ์ตรวจสอบผู้ใช้งานจาก LDAP

ใช้คำสั่ง authconfig-tui เพื่อคอนฟิกให้อ่านค่าผู้ใช้งาน (User Account) จาก LDAP Server โดยในที่นี้จะให้ LDAP Server รันอยู่บนเครื่องเดียวกัน เราสามารถระบุ Server เป็น 127.0.0.1 หรือ localhost ได้

ในหน้าแรกของคำสั่ง authconfig-tui ส่วนของ User Information  ให้คลิกเลือก [*] Use LDAP และส่วนของ Authentication ให้คลิกเลือก [*] Use LDAP Authentication เสร็จเรียบร้อยให้กด Next

                              ┌────────────────┤ Authentication Configuration ├─────────────────┐
                              │                                                                 │
                              │  User Information        Authentication                         │
                              │  [ ] Cache Information   [ ] Use MD5 Passwords                  │
                              │  [ ] Use Hesiod          [*] Use Shadow Passwords               │
                              │  [*] Use LDAP            [*] Use LDAP Authentication            │
                              │  [ ] Use NIS             [ ] Use Kerberos                       │
                              │  [ ] Use Winbind         [ ] Use SMB Authentication             │
                              │                          [ ] Use Winbind Authentication         │
                              │                          [*] Local authorization is sufficient  │
                              │                                                                 │
                              │            ┌────────┐                      ┌──────┐             │
                              │            │ Cancel │                      │ Next │             │
                              │            └────────┘                      └──────┘             │
                              │                                                                 │
                              │                                                                 │
                              └─────────────────────────────────────────────────────────────────┘

ในหน้าที่สองจะเป็นการระบุ Server เพื่อชี้ไปยัง LDAP Server โดยจะใส่ ldap:// นำหน้า IP Address หรือชื่อ Hostname  อีกส่วนที่ต้องแก้ไขคือ Base DN ซึ่งเป็นค่าเดียวกับที่ตั้งไว้ในไฟล์ slapd.conf เสร็จเรียบร้อยให้กด Ok ออกมา

                                     ┌─────────────────┤ LDAP Settings ├─────────────────┐
                                     │                                                   │
                                     │          [ ] Use TLS                              │
                                     │  Server: ldap://127.0.0.1/_______________________ │
                                     │ Base DN: dc=test-ldap,dc=com_____________________ │
                                     │                                                   │
                                     │         ┌──────┐                  ┌────┐          │
                                     │         │ Back │                  │ Ok │          │
                                     │         └──────┘                  └────┘          │
                                     │                                                   │
                                     │                                                   │
                                     └───────────────────────────────────────────────────┘

ทดสอบตรวจสอบบัญชีผู้ใช้งานจาก LDAP

สามารถใช้คำสั่ง id เพื่อตรวจสอบผู้ใช้งานจาก LDAP ได้ ดังนี้

[root@fc9-min ~]# id user01
uid=1001(user01) gid=100(users) groups=100(users) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

หรือใช้คำสั่ง getent เพื่อดูรายละเอียดเพิ่มเติมของผู้ใช้นั้นๆ

[root@fc9-min ~]# getent passwd user01
user01:x:1001:100:user01:/home/user01:/bin/bash

ข้อมูลอ้างอิง

• ติดตั้ง OpenLDAP Server บน Fedora 9
• เพิ่ม แก้ไข ลบ ผู้ใช้งานใน OpenLDAP

หมายเหตุ ตัวอย่างในบทความนี้จะติดตั้งบนเครื่องที่ ติดตั้ง Fedora 9 แบบประหยัดพื้นที่สุด

ดาวน์โหลดไฟล์ rpm สำหรับติดตั้ง OpenLDAP

สามารถดาวน์โหลดไฟล์ rpm เวอร์ชั่นล่าสุด (update) ของ Fedora 9 สำหรับการติดตั้งได้ที่ http://mirrors.kernel.org/fedora/updates/9/ โดยรายชื่อไฟล์ที่ต้องดาวน์โหลด (ตุลาคม 2551) มีดังนี้

• openldap-2.4.10-1.fc9.i386.rpm
• openldap-clients-2.4.10-1.fc9.i386.rpm
• openldap-servers-2.4.10-1.fc9.i386.rpm

ติดตั้งโปรแกรมไฟล์ rpm ของ openldap

หลังจากได้ไฟล์ที่ดาวน์โหลดมา ใช้คำสั่ง rpm ในการติดตั้ง

ตัวอย่างการติดตั้งไฟล์ rpm โปรแกรม OpenLDAP

[root@fc9-min ~]# rpm -U openldap-2.4.10-1.fc9.i386.rpm
[root@fc9-min ~]# rpm -i openldap-clients-2.4.10-1.fc9.i386.rpm
[root@fc9-min ~]# rpm -i openldap-servers-2.4.10-1.fc9.i386.rpm
/etc/pki/tls/certs /
umask 77 ; \
        PEM1=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
        PEM2=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
        /usr/bin/openssl req -utf8 -newkey rsa:1024 -keyout $PEM1 -nodes -x509 -days 365 -out $PEM2 -set_serial 0 ; \
        cat $PEM1 >  slapd.pem ; \
        echo ""    >> slapd.pem ; \
        cat $PEM2 >> slapd.pem ; \
        rm -f $PEM1 $PEM2
Generating a 1024 bit RSA private key
...++++++
....++++++
writing new private key to '/tmp/openssl.etZSRT'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:State or Province Name (full name) [Berkshire]:Locality Name (eg, city) [Newbury]:Organization Name (eg, company) [My Company Ltd]:Organizational Unit Name (eg, section) []:Common Name (eg, your name or your server's hostname) []:Email Address []:/

หมายเหตุ

• ตัวอย่างนี้ใช้คำสั่ง rpm ด้วยออปชั่น -U (Upgrade) เพราะว่าจากการติดตั้ง Fedora 9 จะมีไฟล์ rpm ของ openldap ติดมาด้วย และมีโปรแกรมอื่นๆ ที่บังคับไม่ให้เราสามารถถอดไฟล์ rpm นี้ออกไปก่อนจะลงใหม่ได้ ออปชั่น -U จะเป็นการสั่งให้ปรับปรุงและแทนที่ด้วยเวอร์ชั่นใหม่ทับของเก่าไป
• การติดตั้ง openldap-servers จะมีข้อความขึ้นมา ซึ่งเป็นการสร้างคีย์ไฟล์เพื่อความปลอดภัยในการรับส่งข้อมูลระหว่างเซิร์ฟเวอร์กับไคลเอนต์  ณ ตอนนี้ไม่ต้องสนใจ

หลังจากติดตั้งแล้ว สามารถตรวจสอบเวอร์ชั่นของไฟล์ rpm ที่ติดตั้งได้ ดังนี้

[root@fc9-min ~]# rpm -qa | grep openldap
openldap-servers-2.4.10-1.fc9.i386
openldap-clients-2.4.10-1.fc9.i386
openldap-2.4.10-1.fc9.i386

แก้ไขคอนฟิกไฟล์ /etc/openldap/slapd.conf

ไฟล์คอนฟิกหลักของ OpenLDAP Server คือไฟล์ /etc/openldap/slapd.conf ในเบื้องต้นจะต้องมีการแก้ไขบางส่วนก่อนที่จะเริ่มใช้งานได้ ในที่นี้จะสมมติข้อมูลเบื้องต้นสำหรับการคอนฟิก OpenLDAP Server เป็นดังนี้

Suffix:  dc=test-ldap,dc=com
Root DN: uid=root,ou=People,dc=test-ldap,dc=com
Root PW: ldap1234

ก่อนที่จะเริ่มแก้ไขไฟล์คอนฟิก ต้องใช้คำสั่ง spappasswd เพื่อเข้ารหัส Root PW แล้วนำผลลัพธ์ที่ได้ไปใส่ไว้ส่วนของคอนฟิก rootpw ในไฟล์ slapd.conf โดยรหัสนี้จะใช้เมื่อต้องการแก้ไขข้อมูลที่อยู่ใน LDAP เช่นเพิ่ม แก้ไข ลบ ข้อมูล

ตัวอย่างการรันคำสั่ง spappasswd

[root@fc9-min openldap]# slappasswd
New password: ldap1234
Re-enter new password: ldap1234
{SSHA}zA4XZB4pD1TUh/mRO31MC0kbUF+V0v2Y

นำผลลัพธ์การเข้ารหัสที่ได้ ไปใส่ไว้ในไฟล์ slapd.conf

ตัวอย่างการแก้ไขไฟล์ slapd.conf

database    bdb
suffix      "dc=test-ldap,dc=com"
rootdn      "uid=root,ou=People,dc=test-ldap,dc=com"
rootpw      {SSHA}zA4XZB4pD1TUh/mRO31MC0kbUF+V0v2Y

directory   /var/lib/ldap

รันเซอร์วิส ldap

ก่อนที่จะรันเซอร์วิส ต้อง copy ไฟล์ DB_CONFIG มาใส่ไว้ในไดเร็คทอรี /var/lib/ldap/ ก่อน แล้วใช้คำสั่ง service เพื่อรันเซอร์วิส ldap ดังนี้

[root@fc9-min ~]# cp /usr/share/doc/openldap-servers-2.4.10/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@fc9-min ~]# chown ldap:ldap /var/lib/ldap/DB_CONFIG
[root@fc9-min ~]# chmod 600 /var/lib/ldap/DB_CONFIG

[root@fc9-min ~]# service ldap start
Starting slapd:                                 [  OK  ]

สามารถตรวจสอบโปรเซสของ ldap ได้จากคำสั่ง ps ดังนี้

[root@fc9-min openldap]# ps -ef | grep ldap
ldap      2382     1  0 13:17 ?        00:00:00 /usr/sbin/slapd -h ldap:/// -u ldap

ไฟล์ข้อมูลของ OpenLDAP Server จะถูกเก็บไว้ในไดเร็คทอรีที่ระบุในส่วนคอนฟิก directory ในไฟล์ slapd.conf จากตัวอย่างด้านบนจะเป็น /var/lib/ldap

[root@fc9-min ~]# ls -l /var/lib/ldap
total 700
-rw-r--r-- 1 ldap ldap     2048 2008-10-12 01:39 alock
-rw------- 1 ldap ldap    24576 2008-10-12 01:39 __db.001
-rw------- 1 ldap ldap   278528 2008-10-12 01:39 __db.002
-rw------- 1 ldap ldap   270336 2008-10-12 01:39 __db.003
-rw------- 1 ldap ldap    98304 2008-10-12 01:39 __db.004
-rw------- 1 ldap ldap   352256 2008-10-12 01:39 __db.005
-rw------- 1 ldap ldap    24576 2008-10-12 01:39 __db.006
-rw------- 1 ldap ldap      921 2008-10-17 16:18 DB_CONFIG
-rw------- 1 ldap ldap     8192 2008-10-12 01:39 dn2id.bdb
-rw------- 1 ldap ldap    32768 2008-10-12 01:39 id2entry.bdb
-rw------- 1 ldap ldap 10485760 2008-10-12 01:39 log.0000000001

ทดสอบการดึงข้อมูลจาก LDAP

ถ้า OpenLDAP Server รันได้ถูกต้อง เราสามารถใช้คำสั่ง ldapsearch เพื่อดึงข้อมูลจาก LDAP ตัวอย่างด้านล่างจะเป็นการทดสอบดึงข้อมูลทั้งหมดมา ซึ่งตอนนี้ยังไม่มีข้อมูล ดังนั้นผลลัพธ์จะแสดงดังนี้

[root@fc9-min ldif]# ldapsearch -x -b "dc=test-ldap,dc=com" "(objectclass=*)"
# extended LDIF
#
# LDAPv3
# base <dc=test-ldap,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# search result
search: 2
result: 32 No such object

# numResponses: 1

ข้อมูลอ้างอิง

• เพิ่มบัญชีผู้ใช้งานเข้าไปใน OpenLDAP
• เพิ่ม แก้ไข ลบ ผู้ใช้งานใน OpenLDAP
• OpenLDAP