Contents

6. Kiegészítõ információk és lehetõségek

Ebben a fejezetben információk találhatók a Netscape Address Book-ról, a címtár lekérdezéséhez használható LDAP kliensrõl. Szintén bemutatásra kerül a Netscape Navigator-ban található Roaming Access megvalósításának részletei. Az OpenLDAP levelezõ listán sok szó esett már a Roaming Access-rõl, mert ez a lehetõség nincs teljes mértéken implemenálva. A legtöbb ember nem szereti, ha a Netscape Navigator mûveleteket végez az LDAP szerveren amíg le vagy feltöltenek. Ha az itt leírtak elolvasása után sem az elvártaknak megfelelõ a Roamin Access mûködése, fel a fejjel, sok ember van hasonló helyzetben. A cél ennek a jellemzõnek a bemutatásával minnél több emberel megismertetni az LDAP protokol képességeit. Végül az slap process biztonságps leállításáról és az slapd logjairól találhatók ismeretek.

6.1 Roaming Access

A Roaming Access célja, hogy a Net-en bárhol ugyanazokat a könyvjelzõk, beállítások, levélszûrõk, stb legyenek használhatók a Netscape Navigator-ban az LDAP szerver hasnzálatával. Ez nagyon kellemes lehetõség, hiszen bárhol érhetõ is el a Web, a böngészõ ugyanazokat a beállításokat használja. Ha utazás közben a helyi könyvjezõk között tárolt valuta oldalra van szükség, nem kell elszomorodni, csak fel kell tölteni a beállításokat és a könyvjezõket az LDAP szerverre, és késõbb minden helyfüggetlenül visszakaphatók.

A Roaminng Access megvalóstásához a következõ lépések elvégzése szükséges:

- Az attribútum leíró file megváltoztatása: Szükséges az slapd.at.conf attribútum lista bõvítése az szükséges attribútumokkal (ez a file rendszerint a /etc/openldap könyvtárban található, és az slapd.conf-ban include-ként szerepel) :
attribute       nsLIPtrURL              ces 
attribute       nsLIPrefs               ces 
attribute       nsLIProfileName         cis 
attribute       nsLIData                bin 
attribute       nsLIElementType         cis 
attribute       nsLIServerType          cis 
attribute       nsLIVersion             cis


- Az objektumosztály leíró file megváltoztatása: szükség van néhány új osztály definiálására az slapd.oc.conf  -ban (ez egy másik include file az slapd.conf-ban és rendszerin a /etc/openldap könyvtárban található):

objectclass nsLIPtr 
requires 
        objectclass 
allows 
        nsliptrurl, 
        owner 

objectclass nsLIProfile 
requires 
        objectclass, 
        nsliprofilename 
allows 
        nsliprefs, 
        uid, 
        owner 

objectclass nsLIProfileElement 
requires 
        objectclass, 
        nslielementtype 
allows 
        owner, 
        nslidata, 
        nsliversion 

objectclass nsLIServer 
requires 
        objectclass, 
        serverhostname 
allows 
        description, 
        cn, 
        nsserverport, 
        nsliservertype, 
        serverroot


- Az LDIF file megváltoztatása: most módosítani kell az LDIF file-t a profile bejegyzésekkel minden felhasználó számára, aki ki akarja próbálni a Netscape Roaming Access képességeit. A következõ példa egy egyszerû LDIF file a szükséges profile bejegyzésekkel:

dn: o=Nns,c=Hu 
o: Nns
objectclass: organization 

dn: cn=Gabor Halasz, ou=People,o=Nns,c=Hu 
cn: Gabor Halasz
userpassword: myPassword 
objectclass: top 
objectclass: person 

dn: nsLIProfileName=HalaszG,ou=Roaming,o=Nns,c=Hu 
changetype: add 
objectclass: top 
owner: cn=Gabor Halasz,ou=People,o=Nns,c=Hu 
objectclass: top 
objectclass: nsLIProfile


A következõ lépés a Netscape beállítása a Roaming Access engedályezése: A sorozat a következõ:

- Menu Edit -> Preferences -> Roaming User

Elõszõr engedélyezni kell a Roaming Access-t az aktuális profile-ban, be kell kattintani az opciónak megfelelõ checkbox-ot.

- Ki kell tölteni a username-et a megfelelõ értékkel, például HalaszG

A Preferences ablak bal oldalána Roaming User opciónál az egérrel kattintva láthatóvá válnak a Roaming Access alopciói.

- A Server Information-ra kattintva engedélyezhetõ az LDAP server használata, és dobozban a következõ információt kell megadni:

Address: ldap:/ldap.nns.hu/nsLIProfileName=$USERID,ou=Roaming,o=Nns,c=Hu

User DN: cn=$USERID,ou=People,o=Nns,c=Hu

FONTOS: a Netscape automatikusan helyettesíti a $USERID értékét a böngészõ elindítása elõtt kiválasztott profile nevével. Ha a profile neve HalaszG, akkor a $USERID értéke HalaszG lesz, ha a profile SzaboJ, akkor a behelyettesíti a $USEID-t SzaboJ-vel. A Profile Manager alkalmazás a Netscape Communicator csomagban található. Ez a program látja el az ugyanazon a gépen több felhasználó által használt böngészõ mindenkinek a saját beállításai szerint mûködjön.
 

Az utolsó lépés a szerver leállítása a 6.6 fejezetben leírtaknak megfelelõen, és a 4. fejezetben ismertetett újraindítása.

6.2 Netscape Address Book

Ha egyszer az LDAP szerver mûködik, különbözõ kliensekkel lehet elérni (pl. az ldapsearch parancssori program). Az egyikk érdekes a Netscape Address Book. Ez a Netscape 4.x változataiban érhetõk el,  de stabilan csak a 4.5 és az újabb változatokban képes együttmûködni az LDAP szerverrel.

A következõk szükségesek :

Netscape Navigator -> Communicator Menu -> Address Book

A Netscape Address Book néhány alapértelmezett LDAP címtárral indul. Hozzá kell adni a saját LDAP szervert is!

 File Menu -> New Directory

A szövegdobozokat a szerver adataival kell kitölteni. Például:

- Description : Nns

- LDAP Server : ldap.nns.hu

- Server Root : o=Nns, c=Hu

Az alapértelmezett LDAP port a 389, ezt nem kell megváltoztatni, kivéve ha a szerver konfigurálásakor megváltozott.

Most egyszerûen lekérdezhetõ a szerver a Show Names Containing doboz használatával, vagy a Search for gomb használható bonyolultabb keresésekhez.

6.3 Az LDAP Migration Tools

Az LDAP Migration Tools perl script-ek gyûjteménye konfigurációs file-ok konvertálásához LDIF formába. Ezeket a script-eket PADL Software Ltd készítette, és használatuk elõtt ajánlott a licensz feltételek elolvasása, bár szabad software. Ha felmerül az LDAP szerver használata a userek azonosításhoz, ezek nagyon hasznos programok. A Migration Tools használható a NIS vagy a password archívumok LDIF formába konvertálásához, ezeket a file-okat kompatibilissé téve az LDAP szerverrel. Ezeknek a Perl scripteknek alkalmazásával atköltöztethetpk a user-ek, group-ok, alias-ok, host-ok, netgroup-ok, network-ok, protocol-ok, PRC-k és service-k a meglevõ szolgáltatóktól (NIS, file-ok, és NetInfo) LDIF fomátumúvá. Az LDAP Migration Tools letölthetõ, és további információk találhatók a következõ címen:
http://www.padl.com/tools.html
A csomagban találhat README file, és a script-ek neve egyértelmû. A script-ek alkalmazása elõtt el kell olvasni a README file-t.

6.4 Azonosítás LDAP használatával

Az LDAP szerver képes a felhasználók azonosítására a PAM (Pluggable Authentication Modules) mechanizmus használatával. A UNIX kezdetei óta a felhasználók azonosítása a felhasználó által begépelt jelszó és a /etc/passwd file-ban tárolt hiteles, kódolt jelszó összehasonlításával történik.

Ez volt a kezdet. Azóta számos új út vált népszerûvé a felhszanálók azonosítására, beleértve a /etc/passwd file bonyolultabbra cserélését és a hardware eszközöket, mint a SmartCard eszközök. A probléma minden új azonosítási rendszer kifejlesztésekor, hogy az összes szükséges program (login, ftpd, stb...) újraírása szükséges a használatához. A PAM segítséget nyújt az azonosítási rendszertõl függetlenül programok fejlesztéséhez. Ezeknek a programoknak "authenticaton module"-ra van szüksége futás közben a megfelelõ mûködéshez.

Ez az azonosító modul az LDAP számára elérhetõk tarball formájában a következõ címen:

http://www.padl.com/pam_ldap.html
Az alábbiak feltétele, hogy a használt Linux disztribúciót felkészítették a PAM használatára. Ha nem , a következõ url segíthet: http://www.kernel.org/pub/linux/libs/pam. Pillanatnyilag a különbözõ Linux disztribúciók különbözõ standard beállításokat PAM használnak. Rendszerint a PAM konfigurációs file-ok a /etc/pam.d/ könyvtárban találhatók. Valamennyi, a gépen futó szolgáltatáshoz megtalálható egy file. Például, ahhoz, hogy az LDAP szerver naplózza a felhasználók tevékenységét a Linux elindulása után, akkor a Linuxot PAM kompatibilissé kell tenni (a bekezdés elején leírtak szerint), telepíteni kell az LDAP PAM modult és editálni kell a login nevu file-t a PAM konfigurációs (/etc/pam.d) könyvtárban, a következõk szerint:
#%PAM-1.0
auth       required     /lib/security/pam_securetty.so
auth       required     /lib/security/pam_nologin.so
auth       sufficient   /lib/security/pam_ldap.so
auth       required     /lib/security/pam_unix_auth.so try_first_pass
account    sufficient   /lib/security/pam_ldap.so
account    required     /lib/security/pam_unix_acct.so
password   required     /lib/security/pam_cracklib.so
password   required     /lib/security/pam_ldap.so
password   required     /lib/security/pam_pwdb.so use_first_pass
session    required     /lib/security/pam_unix_session.so

6.5 Grafikus LDAP eszközök

A kldap egy grafikus ldap kliens a KDE környezetet számára. A Kldap kényelmes felölettel rendelkezik, és képes
valamennyi, a címtárban tárolt információs fa megjelentítésére. Néhány kép látható az alkalmazásról, és letölthetõ:
http://www.mountpoint.ch/oliver/kldap
A GQ egy másik grafikus LDAP klien egyszerû felülettel és a Gnome környezet számára készült. Mûködik KDE alatt is, mint ahogy a Kldap is fut Gnome környezetben. További információk és a program letölthetõ:
http://biot.com/gq/

6.6 aZ  LDAP szerver leállítása

Az slapd biztonságoz leállításához a következõhöz hasonló parancs szükséges:

kill -TERM `cat $(ETCDIR)/slapd.pid`

Az slapd leállítása még drasztikusabb eljárás, ami az LDBM adatbázis sérülését okozhatja, mivel szükséges a különbözõ pufferek kiürítése a kilépés elõtt. Az slapd a pid-jét az slapd.pid file-ba írja az slapd.conf-ban meghatározott könyvtárba, például:  /var/run/slapd.pid.

A pid file helye megváltoztatható az include/ldapconfig.h file-ban található SLAP_PIDFILE szerkesztésével.

Az slapd az slapd.conf fileban beállított könyvtárban létrehozott slapd.args file-ba írja az argumentumait, például a /var/run/slapd.args.

Az argumentum file helye megváltoztatható az include/ldapconfig.h file-ban található SLAP_ARGSFILE szerkesztésével.

6.7 Naplók

Az slapd a syslog(8) képességeit használja naplózásra. Alapértelmezés szerinti syslog(8) jellemzõ a user LOCAL4, de az értéke LOCAL0, LOCAL1, egészen LOCAL7-ig engedélyezett.

A naplók létrehozásához szerkeszteni kell a syslog.conf file-t, rendszerint a /etc könyvtárban.

Ehhez hasonló sort kell létrehozni:

local4.*     /usr/adm/ldalog

Ez az alapértelmezett LOCAL4 usert állítja be a syslog jellemzõnek. A syslog szintaxisában kevésbé járatosak számára a syslog, a syslog.conf és a syslogd man oldalai segítenek. Ha meg kell változtatni az alapértelmezett user-t vagy szintet, akkor a következõ opciókkal kell elindítani az slapd-t:

-s syslog-level: Ez az opció mondja meg, hogy az lsapd milyen hibakeresõ állapotait naplózzon a syslog(8). A szint leírja az üzenetek mennyiségét, és a következõ kulcsszavak használhatók csökkenõ sorrendben: emerg, alert, crit, err, warning, notice, info, debug.

Például:

slapd -f myslapd.conf -s debug

-l syslog-local-user: Kiválasztja a syslog(8) jellemzõ user-ét. Az értékek a LOCAL0, LOCAL1, egészen LOCAL7-ig terjedhetnek. LOCAL4 az alapértelmezett. Viszont ez a lehetõség csak azokon a rendszereken engedélyezett, amelyek támogatják a helyi usereket a syslog(8) jellemzõként.

Néhány pillantás a létrehozott naplókra segíthet felderíteni és megoldani sok problémát.


Contents