Zugriff auf die kOOL Adressen über LDAP

kOOL kann so konfiguriert werden, dass sämtliche Adressdaten in Echtzeit über einen LDAP-Server abgerufen werden können. Um dies zu nutzen musst du einen LDAP-Server installiert haben. Die folgenden Installations-Anleitungen wurden auf einem GNU/Linux System (Debian sarge/etch) mit OpenLDAP 2.3.30 getestet.

Es würde den Rahmen dieser Anleitung sprengen, auf alle Details zum Setup oder Unterhalt eines LDAP-Server einzugehen. Bitte konsultiere die entsprechenden Dokumentationen deines LDAP-Servers.

Konfiguration für OpenLDAP

Du benötigst die folgenden Schemata:

include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema

Mit deinem LDAP-Admin Account musst du die folgende LDIF-Datei importieren. Davor musst du einen LDAP-Account einrichten, mit dem der kOOL-Prozess Einträge hinzufügen und löschen kann. In diesem Beispiel heisst dieser Account "kOOL_ldapadmin". Das Passwort für diesen Account kann mit dem Befehl "slappassword" verschlüsselt werden, damit du es in die LDIF-Datei kopieren kannst.

------------------------kool.ldif-------------------------

dn: ou=kOOL_demo,dc=your.ldap.server,dc=com
objectClass: top
objectClass: organizationalUnit
ou: kOOL_demo

dn: ou=login,ou=kOOL_demo,dc=your.ldap.server,dc=com
objectClass: top
objectClass: organizationalUnit
ou: login

dn: cn=kOOL_ldapadmin,ou=login,ou=kOOL_demo,dc=your.ldap.server,dc=com
objectClass: top
objectClass: person
sn: kOOL LDAP Admin
cn: kOOL_ldapadmin
userPassword: {SSHA}ENCODED_PASSWORD

------------------------kool.ldif-------------------------

Nun kannst du diese Struktur in deinen LDAP-Server importieren:

ldapadd -x -v -D cn=admin,dc=your.ldap.server,dc=com -W < kool.ldif

Als letzten Schritt musst du den Zugriff auf dieses LDAP-Directory regeln: Dazu kannst du etwas in dieser Form in deine /etc/ldap/slapd.conf schreiben:

(Ev. musst du bereits vorhandene access Zeilen auskommentieren, die in der Standard-Konfigurations-Datei vorhanden sind, weil diese die untenstehenden überschreiben würden.)

access to attrs=userPassword
              by dn="cn=kOOL_ldapadmin,ou=login,ou=kOOL_demo,dc=your.ldap.server,dc=com" write
              by anonymous auth
              by * none

access to dn.subtree="ou=login,ou=kOOL_demo,dc=your.ldap.server,dc=com"
        by dn="cn=kOOL_ldapadmin,ou=login,ou=kOOL_demo,dc=your.ldap.server,dc=com" write
        by * auth
access to dn.subtree="ou=kOOL_demo,dc=your.ldap.server,dc=com"
        by dn="cn=kOOL_ldapadmin,ou=login,ou=kOOL_demo,dc=your.ldap.server,dc=com" write
        by dn.children="ou=login,ou=kOOL_demo,dc=your.ldap.server,dc=com" read
        by * none

Damit gibst du kOOL_ldapadmin Schreibrechte für den Login-Teil und vergibts der Öffentlichkeit das Recht, sich zu authentifizieren. Der letzte Abschnitt erlaubt es allen kOOL-Benutzern mit den nötigen Rechten, die Adressdaten im LDAP-Directory abzufragen.

LDAP in kOOL aktivieren

Wenn dein LDAP-Server läuft und vorbereitet ist, kannst du den LDAP-Support in kOOL aktivieren. Dies geschieht in der Datei config/ko-config.inc:

$ldap_enabled = TRUE;
$ldap_admin = "kOOL_ldapadmin";
$ldap_admin_pw = "PASSWORD";
$ldap_server = "your.ldap.server.com";
$ldap_dn = "ou=kOOL_demo,dc=your.ldap.server,dc=com";

Von nun an werden alle Adressen in kOOL im LDAP-Directory gespeichert. Ebenso wird allen kOOL-Logins, die Leserechte auf das Leute-Modul haben, der Zugriff auf das LDAP-Directory gewährt.