Aktivieren von memberOf und refint in OpenLDAP

Aus Xinux Wiki
Version vom 17. November 2025, 19:44 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „= Um was geht es? = ;Dieses Dokument zeigt, wie man unter Debian das memberOf-Overlay und das refint-Overlay korrekt aktiviert. ;memberOf ergänzt automatis…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Um was geht es?

Dieses Dokument zeigt, wie man unter Debian das memberOf-Overlay und das refint-Overlay korrekt aktiviert.
memberOf ergänzt automatisch die Gruppenmitgliedschaften eines Benutzers.
refint sorgt dafür, dass diese Verweise konsistent bleiben, wenn Gruppen oder Benutzer geändert werden.

Module prüfen

Überprüfen, welche Module bereits geladen sind
  • ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config '(objectClass=olcModuleList)' olcModuleLoad

memberOf-Modul laden

Damit das memberOf-Overlay funktioniert, muss zuerst das Modul geladen werden
  • ldapmodify -Y EXTERNAL -H ldapi:/// <<EOF

dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: memberof.la EOF

memberOf-Overlay aktivieren

Das Overlay der Datenbank {1}mdb hinzufügen, damit Benutzer memberOf-Attribute erhalten
  • ldapmodify -Y EXTERNAL -H ldapi:/// <<EOF

dn: olcOverlay=memberof,olcDatabase={1}mdb,cn=config changetype: add objectClass: olcConfig objectClass: olcOverlayConfig objectClass: olcMemberOf olcOverlay: memberof olcMemberOfRefInt: TRUE EOF

refint-Modul laden

refint sorgt dafür, dass memberOf-Einträge automatisch korrigiert werden, wenn Gruppen verändert werden
  • ldapmodify -Y EXTERNAL -H ldapi:/// <<EOF

dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: refint.la EOF

refint-Overlay aktivieren

Das refint-Overlay zur Datenbank hinzufügen
  • ldapmodify -Y EXTERNAL -H ldapi:/// <<EOF

dn: olcOverlay=refint,olcDatabase={1}mdb,cn=config changetype: add objectClass: olcOverlayConfig objectClass: olcRefintConfig olcOverlay: refint olcRefintAttribute: member olcRefintAttribute: memberUid olcRefintAttribute: memberof EOF

Dienst neu starten

slapd neu laden, damit die Änderungen aktiv werden
  • systemctl restart slapd

Kontrolle

memberOf prüfen
  • ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config '(olcOverlay=memberof)'
refint prüfen
  • ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=config '(olcOverlay=refint)'

Funktionstest

Benutzer zu einer Gruppe hinzufügen (Beispiel)
  • ldapmodify -x -H ldaps://ldap.it213.int -D cn=admin,dc=it213,dc=int -W <<EOF

dn: cn=it,ou=groups,dc=it213,dc=int changetype: modify add: memberUid memberUid: leroy EOF

Überprüfen, ob der Benutzer nun das memberOf-Attribut trägt
  • ldapsearch -x -H ldaps://ldap.it213.int -b dc=it213,dc=int uid=leroy memberOf
Abgerufen von „http://wiki.ixheim.de/index.php?title=Aktivieren_von_memberOf_und_refint_in_OpenLDAP&oldid=65668