HowTo für Tiny LDAP?

[hawkeye78]

Hallo,

ich schlage mich derzeit mit Tiny LDAP herum aber leider läuft das nicht so ganz ich habe nach dieser Anleitung[1] (Seite 41ff.) zu richten und das make bei der dietlibc läuft auch ohne Problem durch aber sobald ich versuche ein make install zu machen schreit er herum das er einige *.so Dateien nicht findet[2]. Da aus den Fehlermeldungen für mich auch nicht so ganz hervorgeht was ihm noch zum installieren fehlt bin ich nun etwas Ratlos und habe die Hoffnung das hier evtl. jemand tinyldap bereits mal erfolgreich installiert hat.
Viele Grüsse
Dan

PS
ich habe bereits dietlibc-dev installiert aber das ändert auch nicht wirklich was an der Situation


[1] http://digilib.happy-security.de/files/ ... _IPSec.pdf
[2] http://debianforum.de/forum/pastebin.ph ... ew&s=34547

[hawkeye78]

Hallo,

nachdem der Forumsbeitrag so vor sich hindümpelt, dachte ich mir, ich berichte hier mal von meinen Erfahrungen. Denn mittlerweile hat sich yeti ein Herz genommen und mir geholfen, wobei ich jetzt hier eigentlich nur beschreibe, wie ich yetis Fußspuren folgend dann doch noch tinyldap zum Laufen gebracht habe. Darum an dieser Stelle noch mal ein Dankeschön an yeti für seine Hilfe.
Ich habe mich dabei an der Seminararbeit[1] von ThomasWalpuski und diesem Wikibeitrag[2] orientiert. Nun hoffe ich einfach mal, dass ich keine Urheberrechtsverletzung begehe und damit in Zukunft jemand helfen kann, der auch einen kleinen LDAP-Server als Adressbuch o.ä. benötigt.

1. Grundsystem
Ich gehe bei der Installation von einem frisch installierten Debian "Lenny" aus, auf dem ich aus Bequemlichkeit openssh-server, vim und mc installierte. Zusätzlich habe ich die für die Installation notwendigen Pakete

• - build-essential
  - cvs
  - dietlibc-dev
  - libowfat-dev
  - dietlibc

installiert


2. Herunterladen / Installation der Sourcen für tinylap
Neben den oben angegebenen Paketen müssen noch libowfat sowie der eigentliche tinyldap server heruntergeladen und installiert werden. Hierbei soll zunächst libowfat mittels

Code: Alles auswählen

root@zeus:~# mkdir src
root@zeus:~# cd src

root@zeus:~/src# CVSROOT=:pserver:cvs@cvs.fefe.de/cvs
root@zeus:~/src# cvs login
Logging in to :pserver:cvs@cvs.fefe.de:2401/cvs
CVS password:

root@zeus:~/src#  cvs co libowfat

root@zeus:~/src# cd libowfat

root@zeus:~/src/libowfat#  make

root@zeus:~/src/libowfat#  sudo make install

root@zeus:~/src# cd ..

heruntergeladen und installiert werden. Nun können die Quellcodes für tinyldap herunter geladen werden

Code: Alles auswählen

root@zeus:~/src#  cvs co tinyldap

root@zeus:~/src# cd tinyldap

bevor diese allerdings installiert werden können, muss der Pfad für die dietlibc Binaries angepasst werden. Dies geschieht indem im Makefile (hier zu finden unter ~/src/tinyldap/Makefile) der Pfad von DIET zu

Code: Alles auswählen

DIET=/usr/lib/diet/bin/diet -Os

geändert wird. Schließlich können auch die sourcen von tinyldap kompiliert werden

Code: Alles auswählen

root@zeus:~/src/tinyldap# make

3. Einbinden des LDAP-Baums
Bevor nun tinyldap gestartet werden kann muss zunächst der LDAP-Baum eingebunden werden. Dieses geschieht indem im Verzeichnis von tinyldap eine Datei mit dem Namen exp.ldif angelegt wird. In diesen kann nun der Baum z.B. mittels

Code: Alles auswählen

dn: o=your,o=company,c=de
objectClass: top

dn: cn=Peter Mustermann,o=your,o=company,c=de
objectClass: inetOrgPerson
cn: Peter Mustermann
sn: Peter
mail: peter.mustermann@your-company.de
[...]

definiert werden. Dieser wird nun durch den Befehl

Code: Alles auswählen

./parse

in tinyldap eingelesen.


4. Starten von tinyldap
Wenn nun alles funktioniert, kann der Server mittels

Code: Alles auswählen

./tinyldap_standalone

oder für ein erstes Debuggen

Code: Alles auswählen

./tinyldap_debug

gestartet werden.

Zum Schluß sei vielleicht noch angemerkt, dass tinyldap nur lesende Zugriffe zulässt, d.h. es ist als Grundlage für einen Authentifizierungsserver o.ä. nur bedingt geeignet. Darüber hinaus merke ich noch an, dass ich ganz bewußt hier und nicht ins Wiki geschrieben habe, dens so können zum einen die Moderatoren zunächst absegnen, ob ich nicht doch das Urheberrecht verletzt habe, zum anderen habe ich so meine Zweifel, dass sich überhaupt irgendjemand für einen solchen Artikel näher interessieren würde. Was aber insbesondere den zweiten Punkt betrifft, lasse ich mich gerne eines besseren belehren und stelle gerne jemand den Artikel (auch in reinem Quellcode ohne Forumsformatierung) zum Einpflegen ins Wiki zur Verfügung.
Viele Grüsse
Dan

Quellen:
[1] http://digilib.happy-security.de/files/ ... _IPSec.pdf
[2] http://www.myertor.com/doku.php/app/uni ... nyldap_doc

[Saxman]

[...]Darüber hinaus merke ich noch an, dass ich ganz bewußt hier und nicht ins Wiki geschrieben habe, dens so können zum einen die Moderatoren zunächst absegnen, ob ich nicht doch das Urheberrecht verletzt habe[...]

Von meiner Seite aus gibt es hier keine Beanstandungen.
Du hast ein Vorgehen aufgezeigt ,dass du dir mithilfe anderer Quellen angeeignet hast, die du Fairness halber sogar verlinkt hast.
Auch hast du, soweit ich das überblicke, keine Textpassagen kopiert, und als deine eigenen ausgegeben.

In meinen Augen ist das in Ordnung.

[ThorstenS]

Eine schöne Anleitung, das macht mir direkt Lust auf tinyldap.
Im Wiki wäre das sehr gut aufgehoben.

[hawkeye78]

Hallo Thorsten,

ich habe vor einiger Zeit mal diesen Artikel[1] ins Wiki gesetzt, den Du ja auch erweitert hast und dafür vielen Dank an dieser Stelle. Nachdem ich dann mit dem Artikel soweit fertig war, fragte ich jemand aus dem df.de-Chat ob er mal darüber schauen könnte ob das alles so in Ordnung ist, oder ob ich Bockmist verzapft habe. Das ganze ist nun bestimmt schon 4 Monate her und seit dem hat sich daran nichts mehr (wenn man mal von deiner Änderung absieht) getan.
Ich werde sobald ich die Lust dazu verspüre diese Anleitung in mein eigenes privates Wiki aufnehmen und dann hier den Link posten, aber das Wiki von df.de werde ich absehbarerzeit nicht mehr anfassen, da ich ehrlich gesagt nicht einsehe warum ich eine Anleitung schreiben soll die dann niemanden interessiert. In meinen Augen besteht eine Community aus geben und nehmen, aber wenn hier mehr gebe als ich zurück bekomme ist das Thema für mich durch...
Viele Grüsse
Dan

[1] http://wiki.debianforum.de/LdapSambaFreeRadiusHowto

[ThorstenS]

Hi Dan,
deinen Frust kann ich nachvollziehen. Dummerweise gibt es auf der Welt ganz wenig Macher aber viele Konsumenten.
In der OSS Welt ist das genauso, ansonsten hätten wir ja alle unsere eigenen Programme geschrieben und Dokus
bräuchte keiner schreiben, weil der Sourcecode von jedem einfach zu lesen wäre.
Die Aktivsten hier im Forum sind diejenigen, die Fragen beantworten - und die bekommen nichtmal immer ein
Danke für die Lösung eines Problems. Das mit dem Geben und Nehmen ist selten ausgeglichen.

Es gibt soweit ich sehe keinen Zugriffszähler ür die Wikiseiten. Ich denke aber dein Artikel gehört zu denen, die öfter gelesen werden.
Da man sich am Wiki anmelden muss, ist die Hürde für ein Kommentar oder eine Verbesserun relativ hoch. Ich hoffe das wird mit
der neuen Wikisoftware einfacher.

Was deinem Artikel noch fehlt ist die TLS-Konfiguration bei ldap und das patchen/neucompilieren des radius-Servers für TLS. Dann ist das ein echt anständiger Artikel, mit dem man was anfangen kann.
Editiere ihn, schreib an den Anfang einen Link in dein Wiki und sag, dass dort u.U. eine aktuellere Version zu finden ist. Keiner kann dich zwingen hier deine Doku abzulegen, ich persönlich würde es aber sehr begrüßen...

Grüße
/thorsten

[hawkeye78]

Hallo Thorsten,

ich muss gestehen ich habe in den letzten Jahren auch mehr gefragt als wirklich geantwortet und ich finde das auch ok, es gibt nun mal Leute (zu denen ich mich auch zähle) die mehr Fragen als Antworten haben.
Was mich ärgert ist die unzuverlässigkeit, wenn ich jemanden meine Hilfe zusage dann helfe ich ihm auch und schiebe es nicht auf die lange Bank den das ist zum einen frustierend und zum anderen fühle ich mich dann bis zu einem gewissen punkt verar*****.
Viele Grüsse
Dan