LDAP SRV Record: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „Kategorie: DNS Kategorie: LDAP * LDAP Clients sollten über SRV-Einträge automatisch eine Verbindung zum LDAP Server ihrer jeweiligen Domäne finden k…“) |
|||
| (15 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 2: | Zeile 2: | ||
[[Kategorie: LDAP]] | [[Kategorie: LDAP]] | ||
* LDAP Clients sollten über SRV-Einträge automatisch eine Verbindung zum LDAP Server ihrer jeweiligen Domäne finden können | * LDAP Clients sollten über SRV-Einträge automatisch eine Verbindung zum LDAP Server ihrer jeweiligen Domäne finden können | ||
| − | * Die Syntax der SRV-Einträge folgen generell der Syntax ''_dienstname._tcp/udp. | + | * Die Syntax der SRV-Einträge folgen generell der Syntax ''_dienstname._tcp/udp.domain.tld'' |
| + | |||
| + | = DNS Server = | ||
| + | * Ein SRV-Eintrag muss zusätzlich diese Parameter nach der Record-Art angeben: | ||
| + | ** Priorität (kleinere Zahl bedeutet höhere Priorität) | ||
| + | ** Verteilung (Wert zwischen 0 und 100 für eine Prozentzahl) | ||
| + | ** Port | ||
| + | * Um einen LDAP Server in der Domäne zu publizieren würde eine Zonendatei folgende Einträge beinhalten | ||
| + | * '''vim ''/var/cache/bind/domain.tld'' ''' | ||
| + | ''ldap1_server_hostname'' IN A ''ip.des.ldap1.servers'' | ||
| + | ''ldap2_server_hostname'' IN A ''ip.des.ldap2.servers'' | ||
| + | _ldap._tcp IN SRV 10 100 389 ''ldap1_server_hostname'' | ||
| + | _ldap._tcp IN SRV 20 100 389 ''ldap2_server_hostname'' | ||
| + | |||
| + | * Der SRV-Eintrag weist der Domäne 2 LDAP-Server zu mit den Prioritäten ''10'' und ''20'' | ||
| + | * Da die LDAP-Server unterschiedliche Prioritäten haben müssen die Server ''100''% der Anfragen beantworten | ||
| + | * Der Port ist hierbei ''TCP 389'' | ||
| + | |||
| + | ==Installation== | ||
| + | *env DEBIAN_FRONTEND=noninteractive apt install -yqq libnss-ldap libpam-ldap | ||
| + | ;Wir konfigurieren von Hand | ||
| + | |||
| + | =Konfiguration des Clients= | ||
| + | ==ldap.conf== | ||
| + | *cat /etc/ldap/ldap.conf | ||
| + | base dc=it21, dc=int | ||
| + | uri ldap://server.it21.int | ||
| + | ldap_version 3 | ||
| + | rootbinddn cn=admin, dc=it21, dc=int | ||
| + | pam_password md5 | ||
| + | ==Passwort für den Adminzugang eintragen== | ||
| + | *echo 123Start$ > /etc/ldap.secret | ||
| + | |||
| + | ==Wir benutzen nur eine Konfigurationdatei== | ||
| + | *ln -fs /etc/ldap/ldap.conf /etc/libnss-ldap.conf | ||
| + | *ln -fs /etc/ldap/ldap.conf /etc/pam_ldap.conf | ||
| + | ==PAM anpassen== | ||
| + | *Muss man eigentlich nicht | ||
| + | |||
| + | = LDAP Client = | ||
| + | * Das Paket '''nslcd''' unter [[:Kategorie:Debian|Debian]] ist dafür verantwortlich Benutzerauthentifikation mittls LDAP durchzuführen | ||
| + | * Damit Linux die Benutzer, Gruppen und Passwörter zusätzlich aus einer LDAP-Datenbank findet muss die Datei ''/etc/nsswitch.conf'' angepasst werden | ||
| + | * '''vim ''/etc/nsswitch.conf'' ''' | ||
| + | |||
| + | passwd: files systemd '''ldap''' | ||
| + | group: files systemd '''ldap''' | ||
| + | shadow: files systemd '''ldap''' | ||
| + | |||
| + | * Damit '''nslcd''' nach SRV-Einträgen der aktuellen Domäne sucht müssen ''/etc/resolv.conf'' und ''/etc/nslcd.conf'' aufeinander abgestimmt werden | ||
| + | * '''vim ''/etc/resolv.conf'' ''' | ||
| + | domain ''domain.tld'' | ||
| + | nameserver ip.des.dns.servers | ||
| + | |||
| + | * '''vim ''/etc/nslcd.conf'' ''' | ||
| + | ... | ||
| + | uri '''ldap://ldap.it113.int''' | ||
| + | base dc=''domain'',dc=''tld'' | ||
| + | ... | ||
| + | |||
| + | ==Reboot== | ||
| + | !!!Reboot!!! | ||
| + | |||
| + | = Quellen = | ||
| + | * https://ldap.com/dns-srv-records-for-ldap/ | ||
Aktuelle Version vom 13. März 2025, 09:40 Uhr
- LDAP Clients sollten über SRV-Einträge automatisch eine Verbindung zum LDAP Server ihrer jeweiligen Domäne finden können
- Die Syntax der SRV-Einträge folgen generell der Syntax _dienstname._tcp/udp.domain.tld
DNS Server
- Ein SRV-Eintrag muss zusätzlich diese Parameter nach der Record-Art angeben:
- Priorität (kleinere Zahl bedeutet höhere Priorität)
- Verteilung (Wert zwischen 0 und 100 für eine Prozentzahl)
- Port
- Um einen LDAP Server in der Domäne zu publizieren würde eine Zonendatei folgende Einträge beinhalten
- vim /var/cache/bind/domain.tld
ldap1_server_hostname IN A ip.des.ldap1.servers ldap2_server_hostname IN A ip.des.ldap2.servers _ldap._tcp IN SRV 10 100 389 ldap1_server_hostname _ldap._tcp IN SRV 20 100 389 ldap2_server_hostname
- Der SRV-Eintrag weist der Domäne 2 LDAP-Server zu mit den Prioritäten 10 und 20
- Da die LDAP-Server unterschiedliche Prioritäten haben müssen die Server 100% der Anfragen beantworten
- Der Port ist hierbei TCP 389
Installation
- env DEBIAN_FRONTEND=noninteractive apt install -yqq libnss-ldap libpam-ldap
- Wir konfigurieren von Hand
Konfiguration des Clients
ldap.conf
- cat /etc/ldap/ldap.conf
base dc=it21, dc=int uri ldap://server.it21.int ldap_version 3 rootbinddn cn=admin, dc=it21, dc=int pam_password md5
Passwort für den Adminzugang eintragen
- echo 123Start$ > /etc/ldap.secret
Wir benutzen nur eine Konfigurationdatei
- ln -fs /etc/ldap/ldap.conf /etc/libnss-ldap.conf
- ln -fs /etc/ldap/ldap.conf /etc/pam_ldap.conf
PAM anpassen
- Muss man eigentlich nicht
LDAP Client
- Das Paket nslcd unter Debian ist dafür verantwortlich Benutzerauthentifikation mittls LDAP durchzuführen
- Damit Linux die Benutzer, Gruppen und Passwörter zusätzlich aus einer LDAP-Datenbank findet muss die Datei /etc/nsswitch.conf angepasst werden
- vim /etc/nsswitch.conf
passwd: files systemd ldap group: files systemd ldap shadow: files systemd ldap
- Damit nslcd nach SRV-Einträgen der aktuellen Domäne sucht müssen /etc/resolv.conf und /etc/nslcd.conf aufeinander abgestimmt werden
- vim /etc/resolv.conf
domain domain.tld nameserver ip.des.dns.servers
- vim /etc/nslcd.conf
... uri ldap://ldap.it113.int base dc=domain,dc=tld ...
Reboot
!!!Reboot!!!