• LDAP Clients sollten über SRV-Einträge automatisch eine Verbindung zum LDAP Server ihrer jeweiligen Domäne finden können
• Die Syntax der SRV-Einträge folgen generell der Syntax _dienstname._tcp/udp.domain.tld

DNS Server

• Ein SRV-Eintrag muss zusätzlich diese Parameter nach der Record-Art angeben:
  • Priorität (kleinere Zahl bedeutet höhere Priorität)
  • Verteilung (Wert zwischen 0 und 100 für eine Prozentzahl)
  • Port
• Um einen LDAP Server in der Domäne zu publizieren würde eine Zonendatei folgende Einträge beinhalten
• vim /var/cache/bind/domain.tld

ldap1_server_hostname	IN	A	ip.des.ldap1.servers
ldap2_server_hostname	IN	A	ip.des.ldap2.servers
_ldap._tcp		IN	SRV	10 100 389 ldap1_server_hostname
_ldap._tcp		IN	SRV	20 100 389 ldap2_server_hostname

• Der SRV-Eintrag weist der Domäne 2 LDAP-Server zu mit den Prioritäten 10 und 20
• Da die LDAP-Server unterschiedliche Prioritäten haben müssen die Server 100% der Anfragen beantworten
• Der Port ist hierbei TCP 389

Installation

• env DEBIAN_FRONTEND=noninteractive apt install -yqq libnss-ldap libpam-ldap

Wir konfigurieren von Hand

Wir benutzen nur eine Konfigurationdatei

• ln -fs /etc/ldap/ldap.conf /etc/libnss-ldap.conf
• ln -fs /etc/ldap/ldap.conf /etc/pam_ldap.conf

PAM anpassen

• Muss man eigentlich nicht

LDAP Client

• Das Paket nslcd unter Debian ist dafür verantwortlich Benutzerauthentifikation mittls LDAP durchzuführen
• Damit Linux die Benutzer, Gruppen und Passwörter zusätzlich aus einer LDAP-Datenbank findet muss die Datei /etc/nsswitch.conf angepasst werden
• vim /etc/nsswitch.conf

passwd: files systemd ldap
group: files systemd ldap
shadow: files systemd ldap

• Damit nslcd nach SRV-Einträgen der aktuellen Domäne sucht müssen /etc/resolv.conf und /etc/nslcd.conf aufeinander abgestimmt werden
• vim /etc/resolv.conf

domain domain.tld
nameserver ip.des.dns.servers

• vim /etc/nslcd.conf

...
uri ldap://ldap.it113.int
base dc=domain,dc=tld
...

Reboot

!!!Reboot!!!

Quellen

• https://ldap.com/dns-srv-records-for-ldap/