11.7.3. Konten mit LDAP verwalten
Jetzt, da die LDAP-Datenbank einige nützliche Informationen enthält, ist es an der Zeit diese Daten zu nutzen. Dieser Abschnitt richtet sein Augenmerk darauf, wie ein Linux-System so zu konfigurieren ist, dass die verschiedenen Systemverzeichnisse die LDAP-Datenbank benutzen.
11.7.3.1. NSS konfigurieren
Das NSS-System (Name Service Switch, siehe Seitenleiste
WEITERE SCHRITTE NSS und Systemdatenbanken) ist ein modulares System, das Informationen für Systemverzeichnisse festlegen oder einholen kann. Um LDAP als Datenquelle für NSS verwenden zu können, muss das Paket
libnss-ldap installiert werden. Bei seiner Installierung werden einige Fragen gestellt; die Antworten sind in
Tabelle 11.2 zusammengefasst.
Tabelle 11.2. Das Paket libnss-ldap konfigurieren
|
Frage
|
Antwort
|
|---|
|
Uniform Resource Identifier des LDAP-Servers
|
ldap://ldap.falcot.com
|
|
Kennzeichnender Name der Suchbasis
|
dc=falcot,dc=com
|
|
Zu verwendende LDAP-Version
|
3
|
|
Benötigt die LDAP-Datenbank eine Anmeldung?
|
nein
|
|
LDAP-Administratorkonto
|
cn=admin,dc=falcot,dc=com
|
|
Passwort des LDAP-Administratorkontos
|
das Verwaltungspasswort
|
Die Datei /etc/nsswitch.conf muss nun angepasst werden, um NSS so zu konfigurieren, dass es das neu installierte ldap-Modul benutzt.
Beispiel 11.31. Die Datei /etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
passwd: ldap compat
group: ldap compat
shadow: ldap compat
hosts: files dns ldap
networks: ldap files
protocols: ldap db files
services: ldap db files
ethers: ldap db files
rpc: ldap db files
netgroup: files
Das ldap-Modul wird normalerweise vor den anderen aufgenommen und wird daher zuerst abgefragt. Eine beachtenswerte Ausnahme stellt der hosts-Dienst dar, da zunächst der DNS befragt werden muss (um ldap.falcot.com aufzulösen), bevor mit dem LDAP-Server Verbindung aufgenommen werden kann. Ohne diese Ausnahme würde eine Anfrage nach einem Hostnamen an den LDAP-Server gerichtet; dies würde eine Namensauflösung für den LDAP-Server auslösen, und so weiter in einer unendlichen Schleife. Was die netgroup-Dienste angeht, so werden sie noch nicht vom LDAP-Modul gehandhabt.
Falls der LDAP-Server als maßgeblich angesehen werden soll (und die lokalen vom Modul files benutzten Dateien ignoriert werden sollen), können die Dienste mit der folgenden Syntax konfiguriert werden:
dienst: ldap [NOTFOUND=return] files
Falls der gesuchte Eintrag in der LDAP-Datenbank nicht vorhanden ist, wird die Anfrage die Antwort „nicht vorhanden“ ergeben, selbst wenn er in einer der lokalen Dateien vorhanden ist; diese lokalen Dateien werden nur benutzt, wenn der LDAP-Service abgeschaltet ist.
