Date: Wed, 1 Jun 2016 17:04:53 +0000 (UTC) From: Bjoern Heidotting <bhd@FreeBSD.org> To: doc-committers@freebsd.org, svn-doc-all@freebsd.org, svn-doc-head@freebsd.org Subject: svn commit: r48887 - head/de_DE.ISO8859-1/books/handbook/network-servers Message-ID: <201606011704.u51H4rjZ044362@repo.freebsd.org>
next in thread | raw e-mail | index | archive | help
Author: bhd Date: Wed Jun 1 17:04:53 2016 New Revision: 48887 URL: https://svnweb.freebsd.org/changeset/doc/48887 Log: Update to r44567: Initial editorial pass through config section of LDAP. Modified: head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Modified: head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml ============================================================================== --- head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Wed Jun 1 15:50:05 2016 (r48886) +++ head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Wed Jun 1 17:04:53 2016 (r48887) @@ -5,7 +5,7 @@ $FreeBSD$ $FreeBSDde: de-docproj/books/handbook/network-servers/chapter.xml,v 1.103 2011/12/24 15:51:18 bcr Exp $ - basiert auf: r44566 + basiert auf: r44567 --> <chapter xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0" xml:id="network-servers"> <!-- @@ -2405,15 +2405,12 @@ result: 0 Success besteht darin, die Client-Zertifikate zu erstellen und zu signieren:</para> - <screen>&prompt.root; <userinput>openssl req -days <replaceable>365</replaceable> -nodes -new -keyout client.key -out client.csr</userinput></screen> - - <screen>&prompt.root; <userinput>openssl x509 -req -days 3650 -in client.csr -out ../client.crt -CAkey ca.key</userinput></screen> + <screen>&prompt.root; <userinput>openssl req -days <replaceable>365</replaceable> -nodes -new -keyout client.key -out client.csr</userinput> +&prompt.root; <userinput>openssl x509 -req -days 3650 -in client.csr -out ../client.crt -CAkey ca.key</userinput></screen> <para>Achten Sie wieder auf das Attribut - <literal>Common name</literal>. Dies sorgt häufig - für Verwirrung bei der erstmaligen Konfiguration von - <acronym>LDAP</acronym>. Stellen Sie außerdem sicher, dass - bei diesem Verfahren acht (8) neue Dateien erzeugt worden + <literal>Common name</literal>. Stellen Sie außerdem sicher, + dass bei diesem Verfahren acht (8) neue Dateien erzeugt worden sind. Der nächste Schritt besteht darin, <filename>/usr/local/etc/openldap/slapd.conf</filename> zu editieren und folgende Optionen hinzuzufügen:</para> @@ -2423,46 +2420,44 @@ TLSCertificateFile /usr/local/etc/openld TLSCertificateKeyFile /usr/local/etc/openldap/private/server.key TLSCACertificateFile /usr/local/etc/openldap/ca.crt</programlisting> - <para>Editieren Sie zusätzlich + <para>Danach bearbeiten Sie <filename>/usr/local/etc/openldap/ldap.conf</filename> und - fügen die folgenden Zeilen hinzu:</para> + fügen folgende Zeilen hinzu:</para> <programlisting>TLS_CACERT /usr/local/etc/openldap/ca.crt TLS_CIPHER_SUITE HIGH:MEDIUM:+SSLv3</programlisting> - <para>Setzen Sie für <option>BASE</option> die gewünschten Werte - ein und kommentieren Sie die Optionen <option>URI</option>, - <option>SIZELIMIT</option> und <option>TIMELIMIT</option> aus. - Setzen Sie bei <option>URI</option> <option>ldap://</option> - und <option>ldaps://</option> ein.</para> - - <para>Die daraus resultierende Datei sollte der hier gezeigten - ähnlich sehen:</para> + <para>Kommentieren Sie die folgenden Einträge aus und setzen Sie + sie auf die gewünschten Werte: <option>BASE</option>, + <option>URI</option>, <option>SIZELIMIT</option> und + <option>TIMELIMIT</option>. Setzen Sie bei + <option>URI</option> <option>ldap://</option> und + <option>ldaps://</option> ein. Fügen Sie danach zwei Einträge + ein, die auf die Zertifizierungsstelle verweisen. Wenn Sie + fertig sind, sollten die Einträge wie folgt aussehen:</para> <programlisting>BASE dc=example,dc=com URI ldap:// ldaps:// SIZELIMIT 12 TIMELIMIT 15 -#DEREF never -TLS_CACERT /usr/local/etc/openldap/ca.crt$ +TLS_CACERT /usr/local/etc/openldap/ca.crt TLS_CIPHER_SUITE HIGH:MEDIUM:+SSLv3</programlisting> <para>Anschließend sollte das Standardpasswort für den Server - geändert werden. Das folgende Kommando schreibt die Ausgabe - in <filename>slapd.conf</filename>:</para> + geändert werden:</para> <screen>&prompt.root; <userinput>slappasswd -h "{SHA}" >> /usr/local/etc/openldap/slapd.conf</userinput></screen> <para>Dieser Befehl wird nach einem Passwort fragen und, wenn der Prozess nicht fehlschlägt, ein Passwort-Hash an das - Ende von <filename>slapd.conf</filename> hinzufügen. - <command>slappasswd</command> versteht verschiedene - Hash-Formate. Weitere Informationen hierzu finden Sie in der - Manualpage.</para> + Ende von <filename>slapd.conf</filename> hinzufügen. Es + werden verschiedene Hash-Formate unterstützt. Weitere + Informationen hierzu finden Sie in der Manualpage von + <command>slappasswd</command>.</para> - <para>Bearbeiten Sie + <para>Als nächstes bearbeiten Sie <filename>/usr/local/etc/openldap/slapd.conf</filename> und fügen folgende Zeilen hinzu:</para> @@ -2470,9 +2465,9 @@ TLS_CIPHER_SUITE HIGH:MEDIUM:+SSLv3</pro allow bind_v2</programlisting> <para>Das Suffix in dieser Datei muss <option>BASE</option> aus - der vorherigen Konfiguration entsprechen. Zudem sollte die - Option <option>rootdn</option> ebenfalls gesetzt werden. Ein - guter Vorschlag ist beispielsweise + <filename>/usr/local/etc/openldap/ldap.conf</filename> + entsprechen. Zudem sollte die Option <option>rootdn</option> + ebenfalls gesetzt werden. Ein guter Wert ist beispielsweise <option>cn=Manager</option>. Bevor die Datei gespeichert wird, setzen Sie die Passwortausgabe von <command>slappasswd</command> hinter die Option @@ -2487,26 +2482,24 @@ rootpw {SHA}W6ph5Mm5Pz8GgiULbPgzG37mj9g= <para>Aktivieren Sie abschließend <application>OpenLDAP</application> in - <filename>/etc/rc.conf</filename>. Zu diesem Zeitpunkt kann - es sinnvoll sein, eine <acronym>URI</acronym> sowie die Gruppe - und den Benutzer einzurichten. Editieren Sie dazu - <filename>/etc/rc.conf</filename> und fügen folgende Zeilen - hinzu:</para> + <filename>/etc/rc.conf</filename> und setzen Sie die + <acronym>URI</acronym>:</para> <programlisting>slapd_enable="YES" slapd_flags="-4 -h ldaps:///"</programlisting> - <para>An dieser Stelle sollte der Server bereit sein, gestartet - und getestet zu werden. Führen Sie dazu folgenden Befehl - aus:</para> + <para>An dieser Stelle kann der Server gestartet und getestet + werden:</para> <screen>&prompt.root; <userinput>service slapd start</userinput></screen> - <para>Wurde alles richtig konfiguriert, sollte eine Suche im + <para>Wenn alles richtig konfiguriert ist, sollte eine Suche im Verzeichnis, wie in diesem Beispiel, eine erfolgreiche Verbindung mit einer Antwort liefern:</para> - <programlisting># extended LDIF + <screen>&prompt.root; <userinput>ldapsearch -Z</userinput> +# extended LDIF + # # LDAPv3 # base <dc=example,dc=com> (default) with scope subtree @@ -2517,57 +2510,52 @@ slapd_flags="-4 -h ldaps:///"</programli search: 3 result: 32 No such object -# numResponses: 1</programlisting> - - <para>Wenn der Dienst wie im Beispiel oben antwortet, kann das - Verzeichnis mit dem Befehl <command>ldapadd</command> bestückt - werden. In diesem Beispiel gibt es eine Datei mit einer Liste - von Benutzern, die diesem Verzeichnis hinzugefügt werden. - Erstellen Sie zunächst eine Datei mit folgendem Datensatz für - den Import:</para> - - <programlisting>dn: dc=example,dc=com -objectclass: dcObject -objectclass: organization -o: Example -dc: Example - -dn: cn=Manager,dc=example,dc=com -objectclass: organizationalRole -cn: Manager</programlisting> +# numResponses: 1</screen> <note> - <para>Zur Fehlersuche, stoppen Sie den - <command>slapd</command>-Dienst mit dem - <command>service</command>-Befehl. Starten Sie anschließend - die Anwendung mit + <para>Wenn der Befehl fehlschlägt, aber die Konfiguration + richtig aussieht, stoppen Sie den + <command>slapd</command>-Dienst. Starten Sie anschließend + den Dienst mit <foreignphrase>Debugging</foreignphrase>-Optionen:</para> - <screen>&prompt.root; <userinput>/usr/local/libexec/slapd -d -1</userinput></screen> + <screen>&prompt.root; <userinput>service slapd stop</userinput> +&prompt.root; <userinput>/usr/local/libexec/slapd -d -1</userinput></screen> </note> - <para>Angenommen das die Importdatei - <filename>import.ldif</filename> heißt, geben Sie folgenden - Befehl ein, um die Datendatei zu importieren:</para> + <para>Sobald der Dienst antwortet, kann das Verzeichnis mit dem + Befehl <command>ldapadd</command> bestückt werden. In diesem + Beispiel gibt es eine Datei mit einer Liste von Benutzern, die + diesem Verzeichnis hinzugefügt werden. Die Einträge sollten + das folgende Format haben:</para> + + <programlisting>dn: dc=<replaceable>example</replaceable>,dc=<replaceable>com</replaceable> +objectclass: dcObject +objectclass: organization +o: <replaceable>Example</replaceable> +dc: <replaceable>Example</replaceable> - <screen>&prompt.root; <userinput>ldapadd -Z -D "cn=Manager,dc=example,dc=com" -W -f <replaceable>import.ldif</replaceable></userinput></screen> +dn: cn=<replaceable>Manager</replaceable>,dc=<replaceable>example</replaceable>,dc=<replaceable>com</replaceable> +objectclass: organizationalRole +cn: <replaceable>Manager</replaceable></programlisting> - <para>Es wird wieder eine Aufforderung zur Passworteingabe - geben und die Ausgabe sollte wie folgt aussehen:</para> + <para>Um diese Datei zu importieren, geben Sie den Dateinamen + an. Bei dem folgenden Befehl werden Sie wieder zur Eingabe + des Passworts aufgefordert, das Sie zuvor eingegeben haben. + Die Ausgabe sollte wie folgt aussehen:</para> - <screen>Enter LDAP Password: + <screen>&prompt.root; <userinput>ldapadd -Z -D "cn=<replaceable>Manager</replaceable>,dc=<replaceable>example</replaceable>,dc=<replaceable>com</replaceable>" -W -f <replaceable>import.ldif</replaceable></userinput> +Enter LDAP Password: adding new entry "dc=example,dc=com" adding new entry "cn=Manager,dc=example,dc=com"</screen> <para>Stellen Sie mit einer Suche auf dem Server sicher, dass die Daten importiert wurden. Nutzen Sie dazu - <command>ldapsearch</command>. In diesem Fall sollte die - Ausgabe wie folgt aussehen:</para> + <command>ldapsearch</command>:</para> - <screen>&prompt.user; <userinput>ldapsearch -Z</userinput></screen> - - <screen># extended LDIF + <screen>&prompt.user; <userinput>ldapsearch -Z</userinput> +# extended LDIF # # LDAPv3 # base <dc=example,dc=com> (default) with scope subtree @@ -2594,11 +2582,8 @@ result: 0 Success # numResponses: 3 # numEntries: 2</screen> - <para>Es ist natürlich sinnvoll, sich über die Struktur der - <acronym>LDAP</acronym>-Verzeichnisse in den hier erwähnten - Manualpages zu informieren. An dieser Stelle sollte der - Server konfiguriert sein und ordnungsgemäß - funktionieren.</para> + <para>An dieser Stelle sollte der Server konfiguriert sein und + ordnungsgemäß funktionieren.</para> </sect2> </sect1>
Want to link to this message? Use this URL: <https://mail-archive.FreeBSD.org/cgi/mid.cgi?201606011704.u51H4rjZ044362>