LDAP

Es gibt komplizierte Prozesse, das über LDAP und Konsole zu tun (siehe unten). Das ist aber komplett unnötig. Wie es einfach geht, steht in diesem Artikel.

Wer aber darauf besteht: Hier ist komplizierte Lösung: Das eigene Passwort kann von einem System mit IPv6-Internet, LDAP-Utils und CAcert-CA mit den folgenden Befehl geändert werden.

Für Mitglieder:

export LDAPTLS_CACERTDIR=/etc/ssl/certs/
ldappasswd -SWH ldaps://ldap.chaotikum.net -D uid=$USERNAME,ou=users,ou=internal,dc=chaotikum,dc=org

Für externe Benutzer (Nicht-Mitglieder):

export LDAPTLS_CACERTDIR=/etc/ssl/certs/
ldappasswd -SWH ldaps://ldap.chaotikum.net -D uid=$USERNAME,ou=users,ou=external,dc=chaotikum,dc=org

• Domain: ldaps://ldap.chaotikum.net
• Zertifikat: CAcert

• Base-DN: dc=chaotikum,dc=org bzw. ou=internal,dc=chaotikum,dc=org
• Mitglieder: ou=users,ou=internal,dc=chaotikum,dc=org
• Nicht-Mitglieder: ou=users,ou=external,dc=chaotikum,dc=org
• Gruppen: ou=groups,ou=internal,dc=chaotikum,dc=org

Auch Gruppenzugehörigkeiten für Nicht-Mitglieder sind unter ou=groups,ou=internal zu finden, sodass entweder dc=chaotikum,dc=org oder ou=internal,dc=chaotikum,dc=org als Base-DN konfiguriert werden kann.

• Ohne Login aus 2a01:4f8:160:3067::/64, 2a01:4f8:172:1ba6:1::/64
• Mit Login eines der LDAP-User

• Admin: cn=admin,dc=chaotikum,dc=org
• UIDs & GIDs jeweils ab 2000
• User können Passwort & loginShell selbst ändern
• Primäre Gruppe aller User ist cn=ldapusers,ou=groups,ou=internal,dc=chaotikum,dc=org (GID 2000)
• Passwort hat der Vorstand

• Base-DN: cn=config
• Admin: cn=admin,cn=config
• Gleiches Passwort wie cn=admin,dc=chaotikum,dc=org

Bei diesen Systemen kannst du dich mit dem Chaotikum Account einloggen. Meist ist ein seperater login nötig, außer bei Systemen, die unten unter Systeme mit SingleSignOn über me.chaotikum.org aufgelistet sind.

Nur für Mitglieder des Chaotikums

https://wiki.chaotikum.org/intern:ldap:freischalten

LDAP Konten können grafisch mit ApacheDirectStudio angelegt und gepflegt werden.

* https://directory.apache.org/studio/downloads.html

Mit diesem Tool kann jede Person auch ihren Namen, Display-Name, Email und Passwort pflegen.

• Installieren, Starten
• Im Menü LDAP → Neue verbindung
• Der Hostname ist der LDAP Server ohne das „ldaps://“, Port ist 636, verschlüsselung SSL
• Weiter
• …

• Installieren, Starten
• Im Menü LDAP → Neue verbindung
• Der Hostname ist der LDAP Server ohne das „ldaps://“, Port ist 636, verschlüsselung SSL
• Weiter
• Der Benutzer ist der gesammte String: cn=admin,dc=chaotikum,dc=org
• Passwort im Safe
• Weiter
• Basis-DNs-Abrufen
• Weiter
• Fertigstellen

• Zuersteinmal gehe man durch alle user INTERn UND EXTERN und suche die höchste uid
• Man finde einen User, der kein Admin ist. das geht so
  • Rechtsklick auf den User → Neu → „Neuer Eintrag…“
  • Ändere alle Daten entsprechend (Name, homeverzeichniss, email…)
  • Vergebe die nächst höhere uid
  • Lasse den User ein Passwort eingeben

Fertig.

Wir benutzen certbot, um SSL-Zertifikate bei Let's Encrypt zu erneuern.

Die Zertifikate liegen unter

/etc/letsencrypt/live/ldap.chaotikum.net

Es ist wichtig, dass slapd die Zertifikate auch lesen kann. Deswegen muss das eXecute Bit bei folgenden Ordnern gesetzt sein:

/etc/letsencrypt/live
/etc/letsencrypt/archive

Das kann man testen mit

sudo -u openldap cat /etc/letsencrypt/live/ldap.chaotikum.net/cert.pem

Damit der Certbot das LDAP neustartet, wenn ein Zertifikat erneuert wurde, steht in der Datei

/etc/letsencrypt/renewal/ldap.chaotikum.net.conf

die Zeile

renew_hook = systemctl restart slapd

certbot erneuert das Zertifikat automatisch. Man kann das aber auch manuell anstoßen:

certbot renew

In das Textfeld einfach das Datum der Wartung eintragen, am besten in der Form yyyy-mm-dd.