Re: LDAP Fragen zu openeXchange installation
Markus Coners schrieb:
Hallo zusammen,
inzwischen bekomme ich die eigentliche
Installation des OX soweit hin. Dabei gehe ich gemäß der Anleitung auf der
Seite http://gpl.netixia.com/openxchange/openxchange-sarge-howto.html vor.
Es ist richtig jeweils nochmal die Bezuege in einem neuen Thread mit-
anzugeben.
Leider zerschiesse ich mir dabei das ldap :-(
Wieder mal eine praezise Problembeschreibung. X-(
Wie sind die ldap Daten der Anleitung anzupassen, ohne dem tjener in die
Quere zu kommen.
Also bei der configruration des ox
./configure \
--prefix=/usr/local/openxchange \
--with-mailjar=/usr/local/javamail/mail.jar \
--with-activationjar=/usr/local/jaf/activation.jar \
--with-jdomjar=/usr/local/jdom/build/jdom.jar \
--with-xercesjar=/usr/local/xerces/xercesImpl.jar \
--with-jsdkjar=/usr/local/tomcat/common/lib/servlet-api.jar \
--with-jdbcjar=/usr/local/jdbc/pg74.215.jdbc3.jar \
--with-dbpass=<your db password here> \
--with-runuid=www-data --with-rungid=nogroup \
--with-domain=mydomain.org \
--with-organisation="example organisation" \
--with-basedn="dc=mydomain,dc=org" \
--with-rootdn="cn=Manager,dc=mydomain,dc=org" \
--with-rootpw=secret --enable-webdav
Hier habe ich die bestehenden Skoledaten eingetragen. Bei Der Domain, jedoch
die des Inhabers, also nichts mit Skole oder so. Basedn und rootdn wurden
auf die Skolewerte angepasst.
Dagegen bringt es nichts, wenn du Abschnitte aus der Anleitung blosz hierhin
duplizierst.
Das was oben steht kann man auch per o.a. Link nachlesen.
(Ein copy-paste hierhin ist blosz ForOurConvenience[tm]).
*Wesentlich* sind *nicht* so sehr die Daten die du _nicht_benutzt_ hast,
sondern *die* Daten, die du _benutzt_ hast!
Ebenso /selbstverstaendlich/ wie ebendies, sollte auch sein, dasz man
die benutzten Passworte natuerlich widerum *nicht* hier zitiert.
Also...
--with-domain=intern
--with-organisation="was und wo auch immer"
BaseDN und RootDN haengen davon ab, ob OX da wirklich den Zeiger zu allen
Infos haben will, oder es nur darum geht, wo die Userkonten herumhaengen.
Idealerweise greift eine Anwendung zur Authentifizierung nicht auf LDAP
direkt zu, sondern nutzt PAM -- welches bei Skolelinux auf Nutzung von LDAP
eingestellt ist -- und wendet sich erst direkt an die LDAP-DB, wenn sie dort
ihre speziellen eigenen Daten hinterlegen/abfragen will.
So koennte man sich mit den bestehenden Nutzerkonten zumindest bei der
Anwendung anmelden, ohne dasz spezielle Einstellung oder LDAP-Aenderungen
noetig sind. Fuer alle weiteren Funktionen wuerde man dann mehr oder weniger
Fehlermeldungen bekommen. ...Aber man waere zumindest erstmal 'drin'.
Es ist also die Frage, ob OX in der LDAP-DB seinen eigenen unabhaengigen Ast
aufbaut, oder es versucht, die Daten den bestehenden Nutzerkonten usw.
direkt 'unterzuschieben' bzw. sie dort 'aufzuhaengen'.
Im ersteren Falle waere wohl die normale Skolelinux-BaseDN zu nehmen
--with-basedn="dc=skole,dc=skolelinux,dc=no"
und die OX-Nutzerkonten waeren unabhaengig von den System-Nutzerkonten.
Im letzeren muesste man wohl direkt auf den Nutzerkonten-Knoten zeigen
--with-basedn="ou=People,dc=skole,dc=skolelinux,dc=no"
...oder auch nicht (s.u.).
http://www.open-xchange.org/oxwiki/OX_20and_20OpenLDAP_20Configuration
macht den Anschein, dasz OX seinen eigenen Ast "OxObjects" mit den Unter-
teilungen "Users", "AdressBook" usw. aufmacht.
http://www.open-xchange.org/oxwiki/OX_20and_20Samba_20Login_20through_20LDAP
(insbesondere der kleinere Anfangsteil vor dem Draft HOWTO) laesst aber auch
hoffen, dass man OX dazu bringen kann, sich in vorhandene LDAP-Strukturen
einzufuegen, so dasz System-Nutzerkonten auch OX-Nutzerkonten werden/sind.
http://www.open-xchange.org/oxwiki/OX_20with_20existing_20LDAP_20DIT
erklaert genauer, wie das geht und was dabei zu beachten ist.
(Z.Bsp. LDAP_BASEDN=dc=skole,.... und LDAP_USER_BASEDN=ou=People)
Der "Manager", also der zum Aendern (von Standardnutzerkonten des Systems in
der LDAP-DB) Berechtigte, ist bei Skolelinux
--with-rootdn="cn=admin,ou=People,dc=skole,dc=skolelinux,dc=no"
Den sollte man aber gem. letzterer Anleitung nicht nehmen.
Ob man es tun soll/musz oder nicht, haengt davon ab, auf welche Weise man
OX in Skolelinux integrieren will/kann.
Es erschliszt sich mir nicht, warum an dieser Stelle das "rootpw" angegeben
werden musz!
Soweit ich weisz, verwendet Skolelinux keine "rootpw"-Zeile in der LDAP-
Konfiguration.
Mit so einer Zeile kann man das Passwort des zugehoerigen "Manager"/"admin"-
Kontos der RootDN uebersteuern. Z.Bsp. braucht man das bei der *allerersten*
Initialisierung einer LDAP-DB, weil zu diesem Zeitpunkt noch gar keine
Nutzerkonten hinterlegt sind (auch nicht die des LDAP-Admin [=RootDN]);
...oder einfach weil man ebenjenes Passwort gerade vergessen hat. ;-)
Das "admin"-Konto ist bereits von Skolelinux angelegt, und man (auch OX)
kann sich damit direkt gegen LDAP ausweisen, um danach in der LDAP-DB machen
zu koennen, was es will.
Ggf. ist es aber sinnvoller ein separates OX-Admin Nutzerkonto zu benutzen;
das haengt von der angestrebten Integration ab (s.o.).
Falls OX meint, es muesste das LDAP-Admin-Konto erst anlegen, dann kann
es auch gut sein, dasz das in die Hose geht.
Auch wenn eine Integration verlockend erscheint wuerde ich dir raten, OX
zunaechst 'separat' in der LDAP-DB zu installieren, d.h. mit unabhaengigen
Nutzerkonten. Dann kannst du naeher an den vorhandenen Anleitungen bleiben
und erstmal die Huerde der ersten Installation nicht unnoetig erschweren.
Nach gegluecktem 'Raketenstart' kann man ja immer noch einen neuen Versuch
unternehmen.
Fuers Arbeiten an/in der LDAP-DB gibt es z.Bsp.
* als grafisches Interface: gq -> Paket gq
* als textuelles Interface: ldapvi -> Paket ldapvi
* auf der Kommandozeile: ldap{add,compare,delete,...} -> Paket ldap-utils
Zu ldapserach usw. habe ich einen 'Spickzettel' hinterlegt unter
http://www.skolelinux.org/de/documentation/tips_and_tricks
HTH
Beste Gruesze,
Patrick
PS: zum 'Reingucken' geht gq einfach so; falls man Aendern will braucht
man eine authentifizierte Verbindung zum LDAP-Server, die man von Hand in
der gq-Konfigurationsdatei einrichten muss, weil der Einstellungsdialog
diesbzgl. 'broken' ist.
Reply to: