OpenLDAP ist eine Open-Source-Implementierung des Lightweight Directory Access Protocol (LDAP) und wird zur zentralen Verwaltung von Benutzern und Authentifizierungen genutzt. Diese Anleitung zeigt, wie OpenLDAP auf Ubuntu eingerichtet wird.
Voraussetzungen
- Ubuntu 22.04 oder neuer
- Benutzer mit
sudo
-Rechten - Statische IP-Adresse empfohlen
1. OpenLDAP und Tools installieren
Aktualisieren der Paketlisten und Installation von OpenLDAP:
sudo apt update && sudo apt upgrade -y sudo apt install slapd ldap-utils -y
Während der Installation wird ein Passwort für den admin
-Benutzer der LDAP-Datenbank abgefragt.
Falls keine Abfrage erfolgt, kann die Initialisierung später manuell durchgeführt werden:
sudo dpkg-reconfigure slapd
2. LDAP-Domain und Basis-DN ermitteln
Die Standarddomain kann überprüft werden mit:
sudo slapcat | grep "dn: dc="
Falls eine neue Konfiguration notwendig ist, kann das slapd
-Paket zurückgesetzt werden:
sudo apt remove --purge slapd -y sudo apt install slapd ldap-utils -y sudo dpkg-reconfigure slapd
Beispiel für eine Domain example.com
, Basis-DN:
dc=example,dc=com
3. LDAP-Verzeichnisstruktur testen
Um zu prüfen, ob OpenLDAP läuft und erreichbar ist:
ldapsearch -x -LLL -H ldap://localhost -b dc=example,dc=com
Falls die Standardkonfiguration ausgegeben wird, ist LDAP einsatzbereit.
4. Administrativen Zugang mit ldapadd
konfigurieren
Erstellen einer neuen LDIF-Datei für eine Benutzerorganisation:
sudo nano base.ldif
Inhalt anpassen (Domain ersetzen):
dn: ou=users,dc=example,dc=com objectClass: organizationalUnit ou: users
Einfügen mit:
ldapadd -x -D cn=admin,dc=example,dc=com -W -f base.ldif
5. Benutzer hinzufügen
Beispiel für einen neuen LDAP-Benutzer (testuser
):
sudo nano user.ldif
Inhalt anpassen:
dn: uid=testuser,ou=users,dc=example,dc=com objectClass: inetOrgPerson cn: Test User sn: User uid: testuser userPassword: {SSHA}PASSWORD_HASH
Passwort-Hash generieren mit:
slappasswd
Den generierten Hash in userPassword
einfügen und mit folgendem Befehl hinzufügen:
ldapadd -x -D cn=admin,dc=example,dc=com -W -f user.ldif
6. LDAP-Benutzer suchen
Überprüfung der Einträge:
ldapsearch -x -LLL -b dc=example,dc=com "(objectClass=inetOrgPerson)"
7. OpenLDAP-Authentifizierung testen
Einloggen als testuser
:
ldapwhoami -x -D uid=testuser,ou=users,dc=example,dc=com -W
Falls dn: uid=testuser,ou=users,dc=example,dc=com
als Antwort kommt, ist die Authentifizierung erfolgreich.