LDAP-Server-Client in Miniausführung

[Eugenex]

Endlich habe ich eine Urlaubswoche bekommen, wo ich mit meinem Hobby-Freund ein neues Thema erlernen kann.

Hallo liebe Forummitglieder, gemeinsam unter VirualBox installierten wir uns jeweils zwei Debiansysteme "Buster":

Debianserver
Debianclient

Hinzu sind zwei LDIF Dateien vorbereitet
base.ldif

Code: Alles auswählen

dn: ou=anwender,dc=beispiel,dc=de

objectClass: organisationsEinheit

ou: anwender

dn: ou=gruppen,dc=beispiel,dc=de

objectClass: organisationsEinheit

ou: gruppen

und
ldapusers.ldif

Code: Alles auswählen

dn: uid=testAnwender,ou=anwender,dc=beispiel,dc=de

objectClass: inetOrgPerson

objectClass: posixAccount

objectClass: shadowAccount

cn: Test

sn: Anwender

userPassword: testpasswort

loginShell: /bin/bash

homeDirectory: /home/testAnwender

uidNumber: 1002

gidNumber: 1002

Bei der Eingabe: ldapadd -x -v -D cn=root,dc=beispiel,dc=de -W -f basedn.ldif
erscheint:

Code: Alles auswählen

Enter LDAP Password:
ldap_bind: Invalid credentials (49)

Der Server war nach der Howtodo Anweisung vorbereitet. Weiter kommen wir nicht.
Welche Dateien müssen wir konfigurieren, damit das Verzeichnisdienst für den Client ansprechbar wäre?

Bitte um eine Hilfestellung!

[bluestar]

Der Server war nach der Howtodo Anweisung vorbereitet. Weiter kommen wir nicht.

Welche Anleitung? Link? Kannst du bitte mal beschreiben, wie du deinen LDAP-Server installiert & konfiguriert hast.

Welche Dateien müssen wir konfigurieren, damit das Verzeichnisdienst für den Client ansprechbar wäre?

Welche Funktion der Server bei dir übernehmen soll, "ansprechbar" ist recht nichtssagend ... Siri bzw. Alexa sind ansprechbar und antworten auch

Bitte um eine Hilfestellung!

Und wobei genau brauchst du Hilfe?

[ThorstenS]

Kann es sein, dass du die Anleitung hast übersetzen lassen? objectClass: organisationsEinheit gibt es nicht, das heißt organizationalUnit.

[Eugenex]

objectClass: organisationsEinheit gibt es nicht, das heißt organizationalUnit

Spielt es eine Rolle, wie ich objectClass definiere? Dann ändere ich es.

Inzwischen habe ich den LDAP-Server neu konfiguriert in der VirtualBox.
Link https://devconnected.com/how-to-setup-o ... debian-10/

Im nächsten Schritt brauche ich eine neue gültige funktionierende Domäne, denn nach der Eingabe domainname sollte server.beispiel.de herauskommen und nicht (none).
Wie könnte ich das Ziel realisieren? Ein DNS-BIND-Server ins virtuelle Netz stellen? Oder gibt es alternative weniger komplexe Lösungen?

Die FritzBox hat ebenso eine Domäne "fritz.box". Läßt sich diese Möglichkeit ausnutzen.

[bluestar]

Im nächsten Schritt brauche ich eine neue gültige funktionierende Domäne, denn nach der Eingabe domainname sollte server.beispiel.de herauskommen und nicht (none).

Funktioniert denn deine Benutzeranmeldung über LDAP inzwischen?

Wie könnte ich das Ziel realisieren? Ein DNS-BIND-Server ins virtuelle Netz stellen? Oder gibt es alternative weniger komplexe Lösungen?

Du kannst natürlich Bind an LDAP anklemmen, dazu erweiterst den LDAP Server um das passende Schema und legst die passenden Einträge im LDAP an.

Die FritzBox hat ebenso eine Domäne "fritz.box". Läßt sich diese Möglichkeit ausnutzen.

Davon würde ich abraten.

[Eugenex]

Funktioniert denn deine Benutzeranmeldung über LDAP inzwischen?

Bis dahin bin ich noch nicht gekommen, aber habe mich mit den anderen ITlern unterhalten.

Die FritzBox hat ebenso eine Domäne "fritz.box". Läßt sich diese Möglichkeit ausnutzen.

Davon würde ich abraten.
[/quote][/quote]

Darf ich fragen, warum?

[bluestar]

Funktioniert denn deine Benutzeranmeldung über LDAP inzwischen?

Bis dahin bin ich noch nicht gekommen, aber habe mich mit den anderen ITlern unterhalten.

Dann mach das doch erst mal fertig, bevor du die zweite LDAP Baustelle mit DNS aufmachst...

Die FritzBox hat ebenso eine Domäne "fritz.box". Läßt sich diese Möglichkeit ausnutzen.

Davon würde ich abraten.

Darf ich fragen, warum?
[/quote]

Ja, da deine Fritzbox für die Domäne „fritz.box“ autorativ (verantwortlich) ist und du die so die Diagnose beim DNS unnötig erschwerst, da du deine Fritzbox nicht an deinen LDAP-Server anbinden kannst.

Beispielsweise kann es sein, dass du „zufällig“ von deiner Fritzbox einige DNS-Anfragen beantwortet bekommst, du zufällig auch deinen DNS-Einträgen im
LDAP entsprechen, du merkst aber erst einmal gar nicht das der falsche DNS-Server dir geantwortet hat.

Apropos LDAP - Wann beantwortest du eigentlich die Frage, die ich gestellt hatte?

Welche Funktion der Server bei dir übernehmen soll, "ansprechbar" ist recht nichtssagend ... Siri bzw. Alexa sind ansprechbar und antworten auch

[Eugenex]

@bluestar: Danke auf deine Frage, dann implementiere ich ein BIND-Server ins virtuelle VBOX-Netz.

#Welche Funktion soll der Server übernehmen?
Ich sollte mich als testAnwender über das Client auf dem LDAP-Server anmelden können.
Es ist alles noch auf Kinderstube und ich habe noch wenig Ahnung davon.

Der Plan:
1. DNS-Server konfigurieren
2. LDAP-Server anpassen
3. LDAP-Client " "

[ThorstenS]

nimm als dns Server nicht den bind und schon gar nicht mit LDAP backend. Das überfordert dich als blutigen Anfänger.
Es gibt haufenweise Anleitungen, wie man den dnsmasq als DNS und DHCP Server betreibt. Das wäre in deinem Fall sicherlich die richtige Software, um möglichst schnell zum Ziel zu kommen

Möglicherweise wäre auch eine virtualisierte pfSense mit zwei Netzwerkkarten im virtualbox eine schnell aufzusetzende Sache. Die debian VMs hängen dann in einem eigenenNetz hinter der pfSense. Das Setup wäre portabel und hängt nicht von irgendwelchen Einstellungen in deinem echten LAN, mit der frotz.box ab.

[bluestar]

Der Plan:
1. DNS-Server konfigurieren
2. LDAP-Server anpassen
3. LDAP-Client " "

Den Punkt 1 kannst du auch getrost streichen, du brauchst keinen DNS-Server um in deinem LDAP-Server irgendeine Domain zu konfigurieren.

[ThorstenS]

Hier gibt es einiges zu LDAP zu lesen: http://openbook.rheinwerk-verlag.de/linux/ vllt. solltest du dir das mal in Ruhe durchlesen.

[Eugenex]

Hier gibt es einiges zu LDAP zu lesen: http://openbook.rheinwerk-verlag.de/linux/ vllt. solltest du dir das mal in Ruhe durchlesen.

ein guter Link. Dazu habe ich heute ein Buch ausgeliehen bekommen.

Jetzt kämpfe ich einbißchen mit meinen BIND-Server:

Code: Alles auswählen

; db.beispiel
;; Fordwardlookzone

$TTL 2D
@       IN      SOA     bind.beispiel.de. root.beispiel.de. (
                        2020042401
                        8H
                        2H
                        4W
                        3H )

@       IN      NS      bind.beispiel.de.
        IN      A       192.168.178.35

bind    IN      A       192.168.178.35

server  IN      A       192.168.178.32
client  IN      A       192.168.178.33

Code: Alles auswählen

; db.168.192.in-addr.arpa
;; Reversezone

$TTL 2D
@       IN      SOA     bind.beispiel.de. root.beispiel.de. (
                        2020042401
                        8H
                        2H
                        4W
                        2D

@       IN      NS      bind.beispiel.de.

178.35  IN      PTR     bind.beispiel.de.

178.32  IN      PTR     server.beispiel.de

178.33  IN      PTR     client.beispiel.de

Fehlerausgabe:

Code: Alles auswählen

Apr 24 14:42:48 bind named[989]: dns_rdata_fromtext: /var/cache/bind/db.rev-beispiel:10: near '@': extra input text
Apr 24 14:42:48 bind named[989]: zone 178.168.192.in-addr.arpa/IN: loading from master file /var/cache/bind/db.rev-beispiel failed: extra input text
Apr 24 14:42:48 bind named[989]: zone 178.168.192.in-addr.arpa/IN: not loaded due to errors.
Apr 24 14:42:48 bind named[989]: zone localhost/IN: loaded serial 2
Apr 24 14:42:48 bind named[989]: zone 255.in-addr.arpa/IN: loaded serial 1
Apr 24 14:42:48 bind named[989]: all zones loaded
Apr 24 14:42:48 bind named[989]: running
Apr 24 14:42:48 bind systemd[1]: Started BIND Domain Name Server.
Apr 24 14:42:48 bind named[989]: managed-keys-zone: Key 20326 for zone . acceptance timer complete: key now trusted

Wo könnte der Fehler liegen?

[bluestar]

Code: Alles auswählen

; db.168.196.in-addr.arpa
;; Reversezone

$TTL 2D
@       IN      SOA     bind.beispiel.de. root.bind.beispiel.de. (
                        2020042401
                        8H
                        2H
                        4W
                        2D

Wo könnte der Fehler liegen?

Da fehlt die schließende Klammer in dem SOA Record deiner Reverse-Zone

[Eugenex]

Code: Alles auswählen

; db.168.196.in-addr.arpa
;; Reversezone

$TTL 2D
@       IN      SOA     bind.beispiel.de. root.bind.beispiel.de. (
                        2020042401
                        8H
                        2H
                        4W
                        2D

Wo könnte der Fehler liegen?

Da fehlt die schließende Klammer in dem SOA Record deiner Reverse-Zone

Danke bluestar, ich fand noch mehr Fehler. Gleich berichte ich, ob es was geworden ist.

[Eugenex]

Code: Alles auswählen

zone 178.168.192.in-addr.arpa/IN: not loaded due to errors.

Als Fehler. Muss ich später in aller Ruhe die Eingaben kontrollieren.

[ThorstenS]

named-checkconf sollte dir beim Beheben der Fehler helfen.

[Eugenex]

named-checkconf sollte dir beim Beheben der Fehler helfen.

So bin ich jetzt weiter gekommen:
nach

Code: Alles auswählen

export PATH="/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin"

konnte das Befehl named-checkconf ausgeführt werden, dabei kam jedoch nichts raus.

Nun beim weiteren Test:

Code: Alles auswählen

oot@bind:/etc/bind# systemctl restart bind9
[root@bind:/etc/bind]# domainname
(none)
[root@bind:/etc/bind]# tail -f /var/log/syslog 
Apr 25 14:58:17 bind named[1174]: zone 127.in-addr.arpa/IN: loaded serial 1
Apr 25 14:58:17 bind named[1174]: zone 255.in-addr.arpa/IN: loaded serial 1
Apr 25 14:58:17 bind named[1174]: zone bind.beispiel.de/IN: loaded serial 2020042401
Apr 25 14:58:17 bind named[1174]: zone 178.168.192.in-addr.arpa/IN: loaded serial 2020042401
Apr 25 14:58:17 bind named[1174]: zone localhost/IN: loaded serial 2
Apr 25 14:58:17 bind named[1174]: all zones loaded
Apr 25 14:58:17 bind named[1174]: running
Apr 25 14:58:17 bind systemd[1]: Started BIND Domain Name Server.
Apr 25 14:58:17 bind named[1174]: [b]managed-keys-zone: Key 20326 for zone . acceptance timer complete: key now trusted[/b]

Was das auch heißen soll?

[bluestar]

So bin ich jetzt weiter gekommen:
nach

Code: Alles auswählen

export PATH="/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin"

Ach su - hat sich bis zu dir noch nicht rumgesprochen.

Code: Alles auswählen

oot@bind:/etc/bind# systemctl restart bind9
[root@bind:/etc/bind]# domainname
(none)
[root@bind:/etc/bind]# tail -f /var/log/syslog 
Apr 25 14:58:17 bind named[1174]: zone 127.in-addr.arpa/IN: loaded serial 1
Apr 25 14:58:17 bind named[1174]: zone 255.in-addr.arpa/IN: loaded serial 1
Apr 25 14:58:17 bind named[1174]: zone bind.beispiel.de/IN: loaded serial <a href="tel:2020042401">2020042401</a>
Apr 25 14:58:17 bind named[1174]: zone 178.168.192.in-addr.arpa/IN: loaded serial <a href="tel:2020042401">2020042401</a>
Apr 25 14:58:17 bind named[1174]: zone localhost/IN: loaded serial 2
Apr 25 14:58:17 bind named[1174]: all zones loaded
Apr 25 14:58:17 bind named[1174]: running
Apr 25 14:58:17 bind systemd[1]: Started BIND Domain Name Server.
Apr 25 14:58:17 bind named[1174]: [b]managed-keys-zone: Key 20326 for zone . acceptance timer complete: key now trusted[/b]

Was das auch heißen soll?

Das sieht doch gut aus, die timer Meldung kommt von DNSsec her.

[Eugenex]

Hallo bluestar und alle anderen, nun bin ich zurück und habe mehr Zeit meiner Aufgabe zu widmen.

Bind, LDAP-Server und - Client habe ich in der virtuelle Blase der VBox gepackt.

bind.beispiel.de 192.168.56.1
server.beispiel.de 192.168.56.2
client.beispiel.de 192.168.56.3

Domäne mit # domainname -b beispiel.de eingefügt.

Wie man es sieht, habe ich den 3 Hosts die statischen IP-Adressen vergeben.

1. Bind scheint in Takt zu sein
2. LDAP-Server: base.ldif -> Fehlercode 2, Argumente sollen nicht stimmen.
ldapusers.ldif -> ldapadd wird ausgeführt, aber mit Fehlercode 32 am Ende.
3. LDAP-Client wurde ebenfalls angepasst:
dpkg-reconfigure libnss-ldap -> IP auf 192.168.56.3 geändert;
cd /usr/share/pam-configs/#
nano mkhomedir:

Name: activate mkhomedir
Default: yes
Priority: 900
Session-Type: Additional
Session: required pam_mkhomedir.so umask=0022 skell=/etc/skell

# pam-auth-update --force
# /etc/init.d/nscd restart
# getent passws -> ohne testAnwender!

Sind die LDIF-Dateien falsch oder liegt die Fehlkonfiguration auf dem[n] Server[n]?

[bluestar]

2. LDAP-Server: base.ldif -> Fehlercode 2, Argumente sollen nicht stimmen.
ldapusers.ldif -> ldapadd wird ausgeführt, aber mit Fehlercode 32 am Ende.

Hier solltest du anfangen,du hast wohl Probleme Objekte in deinem LDAP Server anzulegen. Zum Testen bietet sich übrigens ldapsearch an.

Sind die LDIF-Dateien falsch oder liegt die Fehlkonfiguration auf dem[n] Server[n]?

Dein Post sagt schon mal das ersteres mit Sicherheit dein Problem ist.

[Eugenex]

Code: Alles auswählen

eugen@server:~$ ldapsearch -x -b "cn=admin,dc=beispiel,dc=de"
# extended LDIF
#
# LDAPv3
# base <cn=admin,dc=beispiel,dc=de> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# admin, beispiel.de
dn: cn=admin,dc=beispiel,dc=de
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator

# search result
search: 2
result: 0 Success #dann sind wohl die Daten nicht eingelegt worden!?

# numResponses: 2
# numEntries: 1

[bluestar]

dann sind wohl die Daten nicht eingelegt worden!?

Damit bestätigst du meine Vermutung.