OpenLDAP konfigurieren: Dringende Literaturempfehlung!

Für unser internes Netzwerk sollte ein LDAP-Server her. Wichtige Anwendungsgebiete dafür waren vor allem folgende Überlegungen:

  • Diese WordPress Installation sollte eine zentrale Nutzerdatenbank bekommen,
  • die gleiche Benutzerdatenbank soll möglichst auch für HTTP-Auth mit Apache gelten, ebenso wie für
  • Mailman,
  • Bugzilla
  • und Mediawiki.

Daher war die Ãœberlegung, nicht gleich den „Overkill“ mit einem Microsoft Windows Server für ActiveDirectory, sondern mit einem preiswerten, opensource basierten OpenLDAP Server zu beginnen.

Eigentlich ist der OpenLDAP-Server nicht besonders schwierig zu konfigurieren. Die meisten Direktiven sind auch in der Online-Dokumentation recht gut erklärt. Der größte Stolperstein jedoch, der uns Tage(!) gekostet hat, war die aufgesetzte SSL/TLS Verschlüsselung.

Zunächst hatte ich mir das Buch: „LDAP verstehen, OpenLDAP einsetzen: Grundlagen und Praxiseinsatz“ von Dieter Klünter und Jochen Laser gekauft.

Gut fand ich an dem Buch:

  • Guter theoretischer Grundlagenteil, wenn auch eher sachlich-trocken formuliert,
  • Umfasst alle wesentlichen Aspekte der OpenLDAP Konfiguration.

Schlecht fand ich an dem Buch:

  • Trotz mehr als 8 Jahren Linux-Server Erfahrung (natürlich ohne LDAP 🙂 und Programmiererfahrung gelang es mir nach der Beschreibung nicht, die OpenLDAP Client-Server Verschlüsselung zum Laufen zu bekommen.
  • Die einzelnen Kapitel wirken relativ zusammenhangslos, ich habe den roten Faden vermisst!

Danach habe ich mir dann noch das Buch OpenLDAP: Grundlagen und Installation. Konfiguration und Verwaltung von Oliver Liebel und John Martin Ungar gekauft. Der Grund warum ich mich nicht gleich für dieses Buch entschieden habe war, dass es ein Älteres Erscheinungsjahr hat. Dennoch: Dieses Buch ist meine absolute Empfehlung für den OpenLDAP-Einstiegt! Und zwar aus folgenden Gründen:

  • Man merkt, dass die Autoren „richtig Ahnung“ von OpenLDAP haben,
  • daher ist es auch locker, enstpannt, tlw. witzig, aber fachlich präzise geschrieben.
  • Es ist ein klarer „roter Faden“ zwischen den Artikeln erkennbar!
  • Mit diesem Buch gelang mir die Einrichtung des OpenLDAP-Servers sofort!
Bookmark
philipp

Autor: philipp

Webmaster des Location Bretagne Blogs und Verantwortlicher für die Seite http://www.location-bretagne.de

4 Gedanken zu „OpenLDAP konfigurieren: Dringende Literaturempfehlung!“

  1. Hallo,
    ich frage mich, was an der TLS Konfiguration zu schwieig ist? Einfacher als
    CA.pl -newca
    CA.pl -newrq
    CA.pl -sign
    geht es doch nicht, beschrieben auf Seite 138.
    Übrigens, das Buch ist nicht als HowTo und auch nicht als Roman konzipiert, sondern als Begleiter für die tägliche Arbeit. Die Untergliederung in diverse, von einander unabhängigen Kapiteln ist daher gewollt.

    -Dieter

  2. Hallo Dieter,

    vielen Dank für Deinen Kommentar. Auf der Seite 138 steht „Für den erfahrenen Administrator werden hier als Kurzanleitung die erforderlichen Schritte aufgelistet“ und dann folgen 6 (kommentarlose) Zeilen, wie ein solches Zertifikat erstellt werden kann. Ohne TLS kann man LDAP kaum betreiben und für ein Buch mit dem Untertitel „..Grundlagen und Praxiseinsatz“ hätte hier m.E. das Ganze deutlich ausführlicher beschrieben werden können.

    Keinesfalls wollte ich das Buch jedoch „schlecht“ reden, ich hatte im Beitrag vom August lediglich meine Erfahrungen beschrieben…vielleicht ein wertvoller Hinweis für die 3. Auflage?

    Möglicherweise hast Du mit der Formulierung „…ich frage mich, was an der TLS Konfiguration zu schwierig ist?“ genau den Nagel auf den Kopf getroffen. Es ist schwierig für jedmanden, der weder die Hintergründe im Zusammenhang mit LDAP kennt noch es schon einmal gemacht hat.

  3. Hallo Philipp,

    da, wie du richtig sagst, TLS nicht ganz trivial ist, habe ich ja auch den gesamten Konplex der Transportsicherheit auf mehr als 10 Seiten beschrieben. Allein die unterschiedlichen Grade der Integritätsprüfung werden auf den Seiten 142 bis 146 beschrieben. Je nach Anforderung ergeben sich daraus unterschiedliche Zertifikate und Konfigurationsparameter und im Anhang sind noch Beispiele einer openssl.cnf. Du kannst also nicht sagen, dass ich es noch ausführlicher beschreiben könnte.

    Tim Howes z.B. behandelt TLS nur auf zwei Seiten (wobei ich meine Kompetenz hier nicht mit der von Tim Howes vergleichen möchte).

    Als Administrator muss man schon die Konsequenzen der Integritätsprüfung verstehen, sonst funktioniert es nicht, wie du ja selbst beschreibst. Aber da du bist nicht allein, denn ca. 30 % der Mails auf der Mailingliste openldap-software betreffen die TLS-Konfiguration. Wenn man aber dann den Prozess verstanden hat, ist es wirklich simpel.

    Eine Dritte Auflage wird es vermutlich nicht geben, da mit Veröffentlichung der RFC-4510 die neue ‚Technical Specification‘ veröffentlicht wurde.

    Gruss
    Dieter

  4. Hallo Dieter,

    danke für die Hinweise. Bezüglich der Schwierigkeiten mit dem TLS stimme ich Dir zu. Ich selbst bin kein großer Fan davon, mir rohe Requests for comments durchzuarbeiten, aber ich denke, für die Leser verlinke ich den RFC-4510 hier.

    Wenn ich Zeit finde, werde ich mit meinem neuen Camtasia Studio mal einen Screencast zu TLS unter LDAP aufzeichen und hier verlinken (aber vielleicht kommst Du mir als „Profi“ ja zuvor… ; )

    Viele Grüße

    Philipp

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *