YaST & LDAP

Totgesagte leben länger:
das gilt in der IT oft auch für Software-Tools. Heute schauen wir uns an, wie man trotz des Deprecated-Status von YaST einen LDAP-Server auf OpenSUSE Leap aufsetzt. Auch wenn die offizielle Empfehlung zunehmend Richtung Kommandozeile geht: Die YaST-Module funktionieren weiterhin erstaunlich gut. Ich zeige euch heute den Ablauf und erkläre, an welchen Stellen aufgepasst werden muss, um im Zweifelsfall auf die manuelle Terminal-Konfiguration ausweichen zu können.

Vorgehensweise

Zuerst wird die aktuelle Liste an benötigten Paketen laden. Entweder über den Yast Paketmanager oder diesen Code im Terminal:

# Alle Pakete in einem Befehl laden
sudo zypper in 389-ds sssd sssd-common sssd-ldap yast2-auth-server yast2-ldap yast2-auth-client openldap2-client

Obacht bei der Konfiguration über YaST

YaST Beispieleinstellung
Das Root Passwort muss mindestens 8 Zeichen lang sein, ansonsten bricht die Installation ab und man ist gezwungen die entsprechende Fehlermeldung aus den log Dateien suchen, da YaST keine direkte Rückmeldung dazu gibt.

Log dazu ist in /var/log/YaST2/y2log

Datei hosts anpassen

Den Host mit Ip Adresse, FQDN und Hostnamen in der letzten Zeile eintragen.

sudo nano /etc/hosts

 192.168.xxx.xxx VM-Server.domäne.intern VM-Server

In Yast

Wechseln zu Netzwerkdienste → Benutzeranmeldung

YaST Beispieleinstellung
Im nächsten Fenster eingetragene Werte überprüfen. Auf Einstellungen ändern klicken und entsprechend der nächsten Grafiken anpassen, wobei Domänenname und IP an die persönliche Domäne angepasst wird. Sollte in diesem Fenster “Name ist not resolvable” zu lesen sein, ist es eine gute Idee die Konfiguration in /etc/hosts erneut auf Korrektheit zu prüfen.
Grafiken
YaST Beispieleinstellung
YaST Beispieleinstellung
YaST Beispieleinstellung
YaST Beispieleinstellung

So sollte die Konfiguration dann in YaST aussehen

YaST Beispieleinstellung

Firewall-Einstellungen hinzufügen, um Verbindungen zuzulassen

Damit der Server Verbindungen zulässt, muss die Firewall noch dementsprechend konfiguriert werden. Die bekannten ports für LDAP sind 389 und 636 LDAPS

# LDAP (Port 389) und LDAPS (Port 636) permanent erlauben
sudo firewall-cmd --zone=public --add-service=ldap --permanent
sudo firewall-cmd --zone=public --add-service=ldaps --permanent

# Dann die firewall  neustarten
sudo firewall-cmd --reload

Funktionsprüfung des Dienstes

Um die bisherigen Auswirkungen der Konfiguration zu bestätigen, ist es ratsam den Dienst zu überprüfen

# Dienststatus prüfen
systemctl status "dirsrv@*"

# oder mit den integrierten Tool von 389-DS 
sudo dsctl --list
dsctl INSTANZNAME status

# lauschende Ports abfragen (389,636 müssen offen sein)
sudo ss -tulpn
Systemctl Ausgabe nach erfolgreichem Starten des Dienstes
Systemctl - Erfolg!

Verwaltung

Ab hier bietet es sich an eine grafische Oberfläche zur Verwaltung zu Installieren auf die ich vielleicht in einem späteren BLog Post weiter eingehe. Gut geeignete Programme sind z.B.:

  • Apache Directory Studio
  • LDAP Account Manager (LAM)
  • JXplorer

Fazit

Die Einrichtung eines LDAP-Servers über YaST mag unter OpenSUSE Leap nicht mehr der “modernste” Weg sein, aber sie ist für kleinere Setups zu Testzwecken und in Lab-Umgebungen nach wie vor unschlagbar schnell. Der größte Vorteil ist, dass YaST die komplexen Abhängigkeiten zwischen 389-ds und sssd im Hintergrund weitgehend automatisch auflöst.

Wer jedoch plant, LDAP in einer großen Produktionsumgebung einzusetzen, sollte sich frühzeitig mit dsconf und dsctl auf der Kommandozeile vertraut machen, da YaST bei sehr spezifischen Schemata oder komplexen Replikationsszenarien an seine Grenzen stößt.

Ähnliche Beiträge: