Suche

Verzeichnisdienst (LDAP-Server)


Verzeichnisdienst (LDAP-Server)

Das Rechenzentrum betreibt eine Datenbank, in der zu jeder RZ-Benutzerkennung Informationen wie UID-Nummer, Gruppenzugehörigkeit und Name gespeichert sind. Diese Datenbank kann per LDAP abgefragt werden und ermöglicht somit, daß diese Benutzerkennungen und Gruppen auf beliebigen Rechnern an der Universität verwendet werden können.

Diese Anleitung beschreibt, wie man die Datenbank abfragen kann und wie man sie für die Auflösung von Benutzer- und Gruppennamen unter Linux (am Beispiel von Ubuntu) verwendet.

Benutzer- und Gruppeninformationen abfragen

Die LDAP-Server sind unter folgenden Namen erreichbar:


ldap2.rz.uni-augsburg.de
ldap3.rz.uni-augsburg.de

Die Portnummern sind 389 (unverschlüsselt) bzw. 636 (TLS).

Beide Server enthalten die selben Informationen. Diese sind dort — ähnlich wie man es von Dateisystemen kennt — in einer hierarchischen Struktur gespeichert. Die Pfadkomponenten werden jedoch in umgekehrter Reihenfolge angegeben, d.h. ein Unterverzeichnis steht links von seinem übergeordneten Verzeichnis. Als Trennzeichen zwischen den Pfadkomponenten wird das Komma verwendet.

Die Benutzerobjekte findet man unter dem Pfad

ou=users,dc=uaux,dc=de“.

Sie enthalten u.a. folgende Attribute:

  • uid (Benutzerkennung)
  • uidNumber (UID-Nummer)
  • gidNumber (GID-Nummer der Primärgruppe)
  • homeDirectory (Homeverzeichnis)

Die Informationen zu einer Benutzerkennung kann man beispielsweise mit dem Kommandozeilenprogramm ldapsearch aus dem Paket „ldap-utils“ folgendermaßen abfragen:


ldapsearch -xh ldap2.rz.uni-augsburg.de -b ou=users,dc=uaux,dc=de -s one '(uid=Benutzerkennung)'

Das letzte Argument ist hierbei der sog. Search Filter, d.h. das Kriterium für die Suche in der Datenbank. Hier kann eine Bedingung für ein beliebiges Attribut angegeben werden.

Die Benutzerobjekte liegen unter dem angegebenen Pfad in einer flachen Struktur, d.h. es müssen keine Unterverzeichnisse durchsucht werden. Daher genügt hier eine „one-level“-Suche („-s one“). Die Option „-x“ bewirkt, daß sich ldapsearch ohne Paßwort am Server anmeldet. Die LDAP-Server können ohne Authentifizierung abgefragt werden.

Die Gruppeninformationen liegen nach Organisationseinheiten (OUs) strukturiert unter

ou=idmorg,dc=uaux,dc=de“.

Das Gruppenobjekt „rzserv-m“ beispielsweise hat den Pfad „cn=rzserv-m,ou=_groups,ou=rzserv,ou=rz,ou=idmorg,dc=uaux,dc=de“, denn es gehört zur OU „rzserv“, die eine unter-OU von „rz“ ist. Daher ist hier eine „subtree“-Suche notwendig („-s sub“):


ldapsearch -xh ldap2.rz.uni-augsburg.de -b ou=idmorg,dc=uaux,dc=de -s sub '(cn=rzserv-m)'

Ein Gruppenobjekt enthält die folgenden Attribute (memberUid kann beliebig oft vorkommen und enthält jeweils eine einzige Benutzerkennung):

  • cn (Name der Gruppe)
  • gidNumber (GID-Nummer)
  • memberUid (Benutzerkennung eines Mitglieds)

Umsetzung zwischen Benutzer- bzw. Gruppennamen und UID- bzw. GID-Nummern

Um RZ-Benutzerkennungen auf einem Linux-System verwenden zu können, muß der Rechner die Benutzer- und Gruppennamen in die entsprechenden Nummern umsetzen können (und umgekehrt). Unter Ubuntu genügt hierfür die Installation des Pakets „uaux-nss-ldap“ und das Ausführen des Kommandos „uaux-nss-ldap enable“ als root:


apt-get install uaux-nss-ldap
uaux-nss-ldap enable

Nun sollten Sie mit „id RZ-Benutzerkennung“ jede RZ-Benutzerkennung auflösen können.

Das Paket „uaux-nss-ldap“ kann aus dem Repository http://apt.rz.uni-augsburg.de/ubuntu/ bezogen werden, welches auf Rechnern, die per SUSI installiert wurden, bereits eingetragen ist.

Um die Namensauflösung zu beschleunigen, können Sie zusätzlich den „Name Service Cache Daemon“ (nscd) installieren, der die Ergebnisse der LDAP-Abfragen zwischenspeichert:


apt-get install nscd

Falls Sie Fragen zu diesem Dienst haben sollten, wenden Sie sich bitte an aai@rz.uni-augsburg.de.