dhcp mit ldap koppeln - aber wie??

[Jacky2k4]

Hallo!

Erstmal vorab: Bin neu hier, wenn ich was falsch mache, weißt mich bitte darauf hin und ich bitte schon mal im Voraus um Entschuldigung
Also, ich baue zur Zeit mit einem Freund einen PDC für eine Schule (etwa 1600 SchülerInnen). Das ganze ist zunächst noch ein Fun-Projekt, aber wenn das was wird bekommt die Schule den Server.
Das ganze läuft unter Debian 4.0 Etch mit den neusten updates.
Die Windows-Anmeldung und die Profile funktionieren schon wunderbar und als nächstes war halt der DHCP dran.
Es soll im Prinzip jeder PC am Ende eine feste IP bekommen.
Ich habe hier auf unser Test-Maschine bereits dhcp3-server installiert und versucht den an ldap zu binden. Habe die /etc/dhcp3/dhcp.conf so angepasst:

Code: Alles auswählen

ldap-server="localhost";
ldap-port="389";
ldap-username="cn=admin,dc=bbs-buxtehude,dc=de";
ldap-password="alibaba";
ldap-base-dn="cn=DHCP Config,dc=bbs-buxtehude,dc=de";
ldap-method="dynamic";
ldap-debug-file="/var/log/dhcp-ldap-startup.log";

So, nun wisst Ihr auch wie die Schule heißt
Dann habe ich hier für euch mal die gesamte ldap-Datenbank als ldif-export:

Code: Alles auswählen

# LDIF Export for: dc=bbs-buxtehude,dc=de
# Generated by phpLDAPadmin ( http://phpldapadmin.sourceforge.net/ ) on October 18, 2007 3:17 am
# Server: My LDAP Server (localhost)
# Search Scope: sub
# Search Filter: (objectClass=*)
# Total Entries: 26

dn: dc=bbs-buxtehude,dc=de
objectClass: top
objectClass: dcObject
objectClass: organization
o: bbs-bux
dc: bbs-buxtehude

dn: cn=admin,dc=bbs-buxtehude,dc=de
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword: {crypt}34paZquHgzzSs

dn: cn=DHCP Config,dc=bbs-buxtehude,dc=de
cn: DHCP Config
objectClass: top
objectClass: dhcpService
objectClass: dhcpOptions
dhcpStatements: ddns-update-style none
dhcpStatements: default-lease-time 600
dhcpStatements: max-lease-time 7200
dhcpStatements: log-facility local7
dhcpOption: domain-name "bbs-buxtehude.de"
dhcpOption: domain-name-servers 192.168.0.1
dhcpPrimaryDN: cn=DHCP COnfig,dc=bbs-buxtehude,dc=de

dn: cn=192.168.0.0,cn=DHCP Config,dc=bbs-buxtehude,dc=de
cn: 192.168.0.0
objectClass: top
objectClass: dhcpSubnet
objectClass: dhcpOptions
dhcpNetMask: 24
dhcpRange: 192.168.0.101 192.168.0.120
dhcpStatements: default-lease-time 86400
dhcpStatements: max-lease-time 604800
dhcpOption: domain-name "bbs-buxtehude.de"
dhcpOption: domain-name-servers 192.168.0.1
dhcpOption: routers 192.168.0.1
dhcpOption: broadcast-address 192.168.0.255

dn: cn=fabian-win,cn=192.168.0.0,cn=DHCP Config,dc=bbs-buxtehude,dc=de
cn: fabian-win
dhcpStatements: fixed-address 192.168.0.101
objectClass: dhcpHost
objectClass: top
dhcpHWAddress: ethernet 00:0E:A6:02:09:72

dn: ou=groups,dc=bbs-buxtehude,dc=de
ou: groups
objectClass: organizationalUnit
objectClass: top

dn: cn=Account Operators,ou=groups,dc=bbs-buxtehude,dc=de
objectClass: top
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 548
cn: Account Operators
description: Netbios Domain Users to manipulate users accounts
sambaSID: S-1-5-32-548
sambaGroupType: 5
displayName: Account Operators

dn: cn=Administrators,ou=groups,dc=bbs-buxtehude,dc=de
objectClass: top
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 544
cn: Administrators
description: Netbios Domain Members can fully administer the computer/sambaD
 omainName
sambaSID: S-1-5-32-544
sambaGroupType: 5
displayName: Administrators

dn: cn=Backup Operators,ou=groups,dc=bbs-buxtehude,dc=de
objectClass: top
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 551
cn: Backup Operators
description: Netbios Domain Members can bypass file security to back up file
 s
sambaSID: S-1-5-32-551
sambaGroupType: 5
displayName: Backup Operators

dn: cn=Domain Admins,ou=groups,dc=bbs-buxtehude,dc=de
objectClass: top
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 512
cn: Domain Admins
memberUid: root
description: Netbios Domain Administrators
sambaSID: S-1-5-21-1600380145-3222731018-1489116032-512
sambaGroupType: 2
displayName: Domain Admins

dn: cn=Domain Computers,ou=groups,dc=bbs-buxtehude,dc=de
objectClass: top
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 515
cn: Domain Computers
description: Netbios Domain Computers accounts
sambaSID: S-1-5-21-1600380145-3222731018-1489116032-515
sambaGroupType: 2
displayName: Domain Computers

dn: cn=Domain Guests,ou=groups,dc=bbs-buxtehude,dc=de
objectClass: top
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 514
cn: Domain Guests
description: Netbios Domain Guests Users
sambaSID: S-1-5-21-1600380145-3222731018-1489116032-514
sambaGroupType: 2
displayName: Domain Guests

dn: cn=Domain Users,ou=groups,dc=bbs-buxtehude,dc=de
objectClass: top
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 513
cn: Domain Users
description: Netbios Domain Users
sambaSID: S-1-5-21-1600380145-3222731018-1489116032-513
sambaGroupType: 2
displayName: Domain Users

dn: cn=Print Operators,ou=groups,dc=bbs-buxtehude,dc=de
objectClass: top
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 550
cn: Print Operators
description: Netbios Domain Print Operators
sambaSID: S-1-5-32-550
sambaGroupType: 5
displayName: Print Operators

dn: cn=Replicators,ou=groups,dc=bbs-buxtehude,dc=de
objectClass: top
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 552
cn: Replicators
description: Netbios Domain Supports file replication in a sambaDomainName
sambaSID: S-1-5-32-552
sambaGroupType: 5
displayName: Replicators

dn: cn=sambaadmins,ou=groups,dc=bbs-buxtehude,dc=de
cn: sambaadmins
displayName: Domain Admins
gidNumber: 20000
sambaSID: S-1-5-21-1600380145-3222731018-1489116032-512
sambaGroupType: 2
objectClass: posixGroup
objectClass: sambaGroupMapping
objectClass: top

dn: cn=sambaguests,ou=groups,dc=bbs-buxtehude,dc=de
cn: sambaguests
displayName: Domain Guests
gidNumber: 20002
sambaSID: S-1-5-21-1600380145-3222731018-1489116032-514
sambaGroupType: 2
objectClass: posixGroup
objectClass: sambaGroupMapping
objectClass: top

dn: cn=sambamachines,ou=groups,dc=bbs-buxtehude,dc=de
cn: sambamachines
displayName: Domain Computers
gidNumber: 20003
sambaSID: S-1-5-21-1600380145-3222731018-1489116032-515
sambaGroupType: 2
objectClass: posixGroup
objectClass: sambaGroupMapping
objectClass: top

dn: cn=sambausers,ou=groups,dc=bbs-buxtehude,dc=de
cn: sambausers
displayName: Domain Users
gidNumber: 20001
sambaSID: S-1-5-21-1600380145-3222731018-1489116032-513
sambaGroupType: 2
objectClass: posixGroup
objectClass: sambaGroupMapping
objectClass: top

dn: ou=machines,dc=bbs-buxtehude,dc=de
ou: machines
objectClass: organizationalUnit
objectClass: top

dn: uid=fabian-win$,ou=machines,dc=bbs-buxtehude,dc=de
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: sambaSamAccount
cn: fabian-win$
sn: fabian-win$
uid: fabian-win$
uidNumber: 1000
gidNumber: 20003
homeDirectory: /dev/null
loginShell: /bin/false
description: Computer
gecos: Computer
sambaSID: S-1-5-21-1600380145-3222731018-1489116032-1001
displayName: FABIAN-WIN$
sambaAcctFlags: [W          ]
sambaPwdCanChange: 1192655937
sambaPwdMustChange: 2147483647
sambaNTPassword: 1981CD651F542E2504D98AE0DBB93115
sambaPwdLastSet: 1192655937

dn: ou=users,dc=bbs-buxtehude,dc=de
ou: users
objectClass: organizationalUnit
objectClass: top

dn: uid=nobody,ou=users,dc=bbs-buxtehude,dc=de
cn: nobody
sn: nobody
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: sambaSamAccount
objectClass: posixAccount
objectClass: shadowAccount
gidNumber: 514
uid: nobody
uidNumber: 999
homeDirectory: /dev/null
sambaPwdLastSet: 0
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaPwdMustChange: 2147483647
sambaPrimaryGroupSID: S-1-5-21-1600380145-3222731018-1489116032-514
sambaLMPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
sambaNTPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
sambaAcctFlags: [NUD        ]
sambaSID: S-1-5-21-1600380145-3222731018-1489116032-2998
loginShell: /bin/false

dn: uid=root,ou=users,dc=bbs-buxtehude,dc=de
cn: root
sn: root
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: sambaSamAccount
objectClass: posixAccount
objectClass: shadowAccount
gidNumber: 0
uid: root
uidNumber: 0
homeDirectory: /home/root
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaPwdMustChange: 2147483647
sambaPrimaryGroupSID: S-1-5-21-1600380145-3222731018-1489116032-512
sambaAcctFlags: [U          ]
sambaSID: S-1-5-21-1600380145-3222731018-1489116032-500
loginShell: /bin/false
gecos: Netbios Domain Administrator
sambaLMPassword: F9E1CF0BB901710FAAD3B435B51404EE
sambaNTPassword: B8C174EE4696239D1838BDBFD57CE02C
sambaPwdLastSet: 1192660709
userPassword: {MD5}/8zFKzk9aps2brf+Pf+atQ==

dn: uid=wurzelgnom,ou=users,dc=bbs-buxtehude,dc=de
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPrimaryGroupSID: S-1-5-21-1600380145-3222731018-1489116032-512
sambaNTPassword: B8C174EE4696239D1838BDBFD57CE02C
userPassword: {MD5}/8zFKzk9aps2brf+Pf+atQ==
sambaPwdMustChange: 2147483647
sambaPwdCanChange: 0
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: sambaSamAccount
objectClass: posixAccount
objectClass: shadowAccount
sambaLMPassword: F9E1CF0BB901710FAAD3B435B51404EE
sambaLogonTime: 0
gecos: Netbios Domain Administrator
sambaPwdLastSet: 1192653708
loginShell: /bin/false
sambaAcctFlags: [U          ]
uid: wurzelgnom
sambaSID: S-1-5-21-1600380145-3222731018-1489116032-3001
sn: wurzelgnom
uidNumber: 123
cn: wurzelgnom
gidNumber: 544
homeDirectory: /home/wurzelgnom

dn: sambaDomainName=BBS-BUX,dc=bbs-buxtehude,dc=de
sambaAlgorithmicRidBase: 1000
sambaNextUserRid: 1000
sambaMinPwdLength: 5
sambaPwdHistoryLength: 0
sambaLogonToChgPwd: 0
sambaMaxPwdAge: -1
sambaMinPwdAge: 0
sambaLockoutDuration: 30
sambaLockoutObservationWindow: 30
sambaLockoutThreshold: 0
sambaForceLogoff: -1
sambaRefuseMachinePwdChange: 0
sambaNextRid: 1001
gidNumber: 1000
uidNumber: 1000
objectClass: top
objectClass: sambaDomain
objectClass: sambaUnixIdPool
sambaSID: S-1-5-21-1600380145-3222731018-1489116032
sambaDomainName: BBS-BUX

So, wenn ich nun /etc/init.d/dhcp3-server restart ausführe sagt er mir das:

Code: Alles auswählen

# /etc/init.d/dhcp3-server restart
Stopping DHCP server: dhcpd3.
Starting DHCP server: dhcpd3 failed to start - check syslog for diagnostics.

In der Syslog steht das:

Code: Alles auswählen

Oct 18 03:18:51 bbs-bux dhcpd: Internet Systems Consortium DHCP Server V3.0.4
Oct 18 03:18:51 bbs-bux dhcpd: Copyright 2004-2006 Internet Systems Consortium.
Oct 18 03:18:51 bbs-bux dhcpd: All rights reserved.
Oct 18 03:18:51 bbs-bux dhcpd: For info, please visit http://www.isc.org/sw/dhcp/
Oct 18 03:18:53 bbs-bux dhcpd: Internet Systems Consortium DHCP Server V3.0.4
Oct 18 03:18:53 bbs-bux dhcpd: Copyright 2004-2006 Internet Systems Consortium.
Oct 18 03:18:53 bbs-bux dhcpd: All rights reserved.
Oct 18 03:18:53 bbs-bux dhcpd: For info, please visit http://www.isc.org/sw/dhcp/
Oct 18 03:18:53 bbs-bux dhcpd: Wrote 0 leases to leases file.
Oct 18 03:18:53 bbs-bux dhcpd:
Oct 18 03:18:53 bbs-bux dhcpd: No subnet declaration for eth1 (192.168.0.27).
Oct 18 03:18:53 bbs-bux dhcpd: ** Ignoring requests on eth1.  If this is not what
Oct 18 03:18:53 bbs-bux dhcpd:    you want, please write a subnet declaration
Oct 18 03:18:53 bbs-bux dhcpd:    in your dhcpd.conf file for the network segment
Oct 18 03:18:53 bbs-bux dhcpd:    to which interface eth1 is attached. **
Oct 18 03:18:53 bbs-bux dhcpd:
Oct 18 03:18:53 bbs-bux dhcpd:
Oct 18 03:18:53 bbs-bux dhcpd: Not configured to listen on any interfaces!

Er will mir also sagen, dass ich keine interfaces konfiguriert habe... habe ich ja auch nicht - zumindest nicht in der config-Datei. Aber im ldap-Baum steht da was drin. Aber da steht nix von eth1 (ist das interface was verwendet werden muss).
Dann wundert mich immer wieder, dass er diese Struktur einfach so erkennt. Mag sein, dass das an der Art von LDAP liegt (habe da noch nicht so die großen Erfahrungen mit gesammelt...) denn in jedem Tutorial (wenn man mal überhaupt eins findet und dann eigenelich nie für Debian...) steht eine andere Struktur die man verwenden soll.
Dann hatte ich anfangs extreme Probleme diese Datei dhcp.schema aufzutreiben, denn bei Debian scheint die nicht mit dabei zu sein, wenn man ldap installiert. Ein apt-file ergab auch keine Pakete, die die Datei beinhalten.
Dementsprechend habe ich auch dieses komische Perl-Script nicht gefunden, was angeblich die Konfigurations-Datei von dhcp in eine ldif-Datei konvertieren soll. Habe ich mir dann auch besorgt, allerdings gbt die Datei relativen Schrott aus, der so in der LDAP-Datenbank nicht funktioniert. Ich musste den Krempel erst anpassen und da kann es natürlich sein, dass ich was gemacht habe was nicht sein solle
Also weiß jemand, wie ich das ordentlich mache? Und auch so, dass ich es danach noch ein 2. und 3. mal machen kann ohne wieder in tausend Sackgassen zu landen bevor ich zum Ziel komme?

[ThorstenS]

Das liegt wohl daran, dass der debian dhcp3-server keinen ldap patch hat - den musst du selbst patchen.
(es ist kein 4er Arktur, wo der dhcp3 gepatched wurde...)

[Pawel]

Ein Workaround dafür ist, sich ein PERL Programm (auch andere Sprachen möglich) zu schreiben, was die Daten aus dem LDAP liest und bei einer Änderung, die Daten formatiert, in eine Datei schreibt und den DHCP Server neustartet. Die Datei wird innerhalb der dhcpd.conf mit folgendem Befehl eingebunden:

Code: Alles auswählen

Include "/usr/...."

[Jacky2k4]

Das liegt wohl daran, dass der debian dhcp3-server keinen ldap patch hat - den musst du selbst patchen.
(es ist kein 4er Arktur, wo der dhcp3 gepatched wurde...)

Aha OK. Aber warum zum Teufel haut er mir dann nicht die Zeilen in der Config um die Ohren???
Wenn ich das patchen will, wie mach ich das denn? (ich werde auch nochmal selber suchen...)
Ist das denn dann sinnvoll das zu machen oder gibt es da noch ne einfachere Möglichkeit? Also ich kanns ja auch in einer Config-Datei machen, die Regelmäßig durch einen cron-Job aus der Datenbank aktualisiert wird, aber überlebt der DHCP das, wenn da an die 400 Einträge sind?

Ein Workaround dafür ist, sich ein PERL Programm (auch andere Sprachen möglich) zu schreiben, was die Daten aus dem LDAP liest und bei einer Änderung, die Daten formatiert, in eine Datei schreibt und den DHCP Server neustartet. Die Datei wird innerhalb der dhcpd.conf mit folgendem Befehl eingebunden:

Code: Alles auswählen

Include "/usr/...."

Aha... ok, hört sich ja nicht schlecht an. Spontän würde ich das erstmal mit php probieren. Aber wenn ich diese Datei da nun einbinde, wann wird sie aufgerufen? Nur beim Starten einmal? Soll in der Datei dann eine Endlos-Schleife sein? Oder soll ich die Datei mit einem Cron-Job ausführen? Aber wozu dann noch der Include?

MfG

Jacky2k4

[Pawel]

Aber wenn ich diese Datei da nun einbinde, wann wird sie aufgerufen? Nur beim Starten einmal? Soll in der Datei dann eine Endlos-Schleife sein? Oder soll ich die Datei mit einem Cron-Job ausführen? Aber wozu dann noch der Include?

Du benutzt das Wort "Datei" sehr verwirrend für mich.
Also erklär ich das ganze von meiner Seite aus etwas ausführlicher, vlt. kommen wir dann zu einem Konsens.

Du schreibst dir ein Skript, was aus der Datenbank die entsprechenden MAC-Adresse und IP-Adressen liest und für den DHCP Server verständlich in eine Datei (z.B. /etc/dhcp3/myhosts.conf) schreibt. Ein Eintrag sieht dabei wie folgt aus:

Code: Alles auswählen

host ip-192.168.1.100 {
        hardware ethernet 00:00:00:00:00:00;
        fixed-address 192.168.1.100;
}

Diese Konfigurationsdatei fügst du mit der Direktive 'include "/etc/dhcp3/myhosts.conf"' in die dhcpd.conf ein, um erstens eine Trennung von dynamischen und statischen Daten zu haben und damit zweitens Änderungen an der dhcpd.conf nicht durch das Skript (für einen aussenstehen unerklärlich) überschrieben werden.
Das sieht in der dhcpd.conf dann ungefähr wie folgt aus:

Code: Alles auswählen

subnet 192.168.1.0 netmask 255.255.255.0 {
        option routers 192.168.1.1;
        option broadcast-address 192.168.1.255;
        option subnet-mask 255.255.255.0;
        option domain-name-servers 192.168.1.1;

        # Unbekannte Hosts werden ignoriert.
        deny unknown-clients;

        # Die Datei mit den Host Deklarationen.
        include "/etc/dhcp3/myhosts.conf";
}

Das Skript selbst wird dann alle x Minuten/Stunden durch Cron ausgeführt. Bei Änderungen sollte der DHCP Server auch neugestartet werden, damit er die Änderungen in der Konfigurationsdatei übernimmt.
Ich hoffe, das sollte das jetzt etwas genauer erklärt haben.

[Jacky2k4]

Ja das ist genau genug, so hatte ich es auch in Erinnerung von einigen anderen Programmen (z.B. Confixx...)

Aber zwei Fragen hab ich dann noch:

deny unknown-clients;

Da wir ja irgendwann von einem auf den anderen Server umstellen (müssen) wäre es gut, wenn in der Zeit alle anderen Rechner, die wir noch nicht umgemeldet haben (da wir das sicherlich nicht alles an einem Tag schaffen) noch ins Internet könnten. Dafür brauchen Sie ene IP Also, wie lautet dann der Befehl, um unbekannte nicht zu ignorieren?

Code: Alles auswählen

allow unknown-clients;

?
Oder den Kram einfach auskommentieren?
Dann noch was: Du sagst man soll den DHCP neu starten. Reicht es nicht ein reload zu machen?

[Pawel]

Ja das ist genau genug, so hatte ich es auch in Erinnerung von einigen anderen Programmen (z.B. Confixx...)

deny unknown-clients;

Da wir ja irgendwann von einem auf den anderen Server umstellen (müssen) wäre es gut, wenn in der Zeit alle anderen Rechner, die wir noch nicht umgemeldet haben (da wir das sicherlich nicht alles an einem Tag schaffen) noch ins Internet könnten. Dafür brauchen Sie ene IP Also, wie lautet dann der Befehl, um unbekannte nicht zu ignorieren?

Code: Alles auswählen

allow unknown-clients;

?
Oder den Kram einfach auskommentieren?

Hier mal ein Beispiel aus der Manpage von dhcpd.conf. Ich hoffe, es ist selbsterklärend

Code: Alles auswählen

       subnet 10.0.0.0 netmask 255.255.255.0 {
         option routers 10.0.0.254;

         # Unknown clients get this pool.
         pool {
           option domain-name-servers bogus.example.com;
           max-lease-time 300;
           range 10.0.0.200 10.0.0.253;
           allow unknown-clients;
         }

         # Known clients get this pool.
         pool {
           option domain-name-servers ns1.example.com, ns2.example.com;
           max-lease-time 28800;
           include "/etc/dhcpd/myhosts.conf"
           deny unknown-clients;
         }
       }

Dann noch was: Du sagst man soll den DHCP neu starten. Reicht es nicht ein reload zu machen?

Wenn du dir das Init-Skript vom DHCP Server anschaust, dann wirst du sehen, dass "force-reload" und "restart" das selbe sind. Ich gebe dir aber prinzipiell recht, dass ein reload bevorzugt werden sollte.

[Jacky2k4]

Mhh ok!
Vielen dank dafür!