LDAP SRV Record

Aus Xinux Wiki
Version vom 13. März 2025, 09:40 Uhr von Maximilian.pottgiesser (Diskussion | Beiträge) (→‎Installation)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen
  • LDAP Clients sollten über SRV-Einträge automatisch eine Verbindung zum LDAP Server ihrer jeweiligen Domäne finden können
  • Die Syntax der SRV-Einträge folgen generell der Syntax _dienstname._tcp/udp.domain.tld

DNS Server

  • Ein SRV-Eintrag muss zusätzlich diese Parameter nach der Record-Art angeben:
    • Priorität (kleinere Zahl bedeutet höhere Priorität)
    • Verteilung (Wert zwischen 0 und 100 für eine Prozentzahl)
    • Port
  • Um einen LDAP Server in der Domäne zu publizieren würde eine Zonendatei folgende Einträge beinhalten
  • vim /var/cache/bind/domain.tld 
ldap1_server_hostname	IN	A	ip.des.ldap1.servers
ldap2_server_hostname	IN	A	ip.des.ldap2.servers
_ldap._tcp		IN	SRV	10 100 389 ldap1_server_hostname
_ldap._tcp		IN	SRV	20 100 389 ldap2_server_hostname
  • Der SRV-Eintrag weist der Domäne 2 LDAP-Server zu mit den Prioritäten 10 und 20
  • Da die LDAP-Server unterschiedliche Prioritäten haben müssen die Server 100% der Anfragen beantworten
  • Der Port ist hierbei TCP 389

Installation

  • env DEBIAN_FRONTEND=noninteractive apt install -yqq libnss-ldap libpam-ldap
Wir konfigurieren von Hand

Konfiguration des Clients

ldap.conf

  • cat /etc/ldap/ldap.conf
base            dc=it21, dc=int
uri             ldap://server.it21.int
ldap_version    3
rootbinddn      cn=admin, dc=it21, dc=int
pam_password    md5

Passwort für den Adminzugang eintragen

  • echo 123Start$ > /etc/ldap.secret

Wir benutzen nur eine Konfigurationdatei

  • ln -fs /etc/ldap/ldap.conf /etc/libnss-ldap.conf
  • ln -fs /etc/ldap/ldap.conf /etc/pam_ldap.conf

PAM anpassen

  • Muss man eigentlich nicht

LDAP Client

  • Das Paket nslcd unter Debian ist dafür verantwortlich Benutzerauthentifikation mittls LDAP durchzuführen
  • Damit Linux die Benutzer, Gruppen und Passwörter zusätzlich aus einer LDAP-Datenbank findet muss die Datei /etc/nsswitch.conf angepasst werden
  • vim /etc/nsswitch.conf 
passwd: files systemd ldap
group: files systemd ldap
shadow: files systemd ldap
  • Damit nslcd nach SRV-Einträgen der aktuellen Domäne sucht müssen /etc/resolv.conf und /etc/nslcd.conf aufeinander abgestimmt werden
  • vim /etc/resolv.conf 
domain domain.tld
nameserver ip.des.dns.servers
  • vim /etc/nslcd.conf 
...
uri ldap://ldap.it113.int
base dc=domain,dc=tld
...

Reboot

!!!Reboot!!!

Quellen

Abgerufen von „http://wiki.ixheim.de/index.php?title=LDAP_SRV_Record&oldid=59686