389 Directory Server (389ds)
Der 389 Directory Server (https://directory.fedoraproject.org/) ist ein zentralisierter OpenSource-LDAP-Server und bildet ein zentrales Repository für Benutzerprofile, Benutzereinstellungen und Benutzer-Authentifikation. Er ging 2009 aus dem Fedora Directory Server hervor. Aufgrund der Multi-Master-Replication bietet er eine sehr hohe Ausfallsicherheit, ist dabei sehr schnell, sicher und skalierbar. Mit der verfügbaren grafischen Management Konsole kann der 389 DS leicht konfiguriert und administriert werden. 389 DS braucht nur wenige Hardware-Ressourcen. So kommt er mit 256 MB RAM aus, für hohe Leistung im produktiven Einsatz wird 1 GB empfohlen. An Festplattenspeicher wird 2 bis 4 GB benötigt.
389 DS kann sich mit Active-Directory-Servern abgleichen und beherrscht Access Control Information (ACI). Da 389 DS von Red Hat entwickelt wird, ist es sehr gut in Fedora und RHEL integriert.
Installation
Die benötigten Pakete werden unter den meisten Linux-Derivaten mitgeliefert. Unter Fedora sind die Pakete mit folgendem Befehl zu installieren:
# dnf install 389-ds-base 389-admin 389-adminutil 389-ds 389-ds-console
Nachdem alle Pakete und deren Abhängigkeiten installiert sind, kann der Directory Server mit setup-ds-admin.pl abschließend konfiguriert werden. Hierbei werden Konfigurationsparameter interaktiv abgefragt oder können in einer Konfigurationsdatei angegeben werden. Nach der Installation muss der Directory Server und der Administration Server gestartet werden:
systemctl start dirsrv.target systemctl enable dirsrv.target systemctl start dirsrv-admin systemctl enable dirsrv-admin
Standardmäßig läuft der Directory Server auf Port 389 und der Administration Server auf Port 9830. Mit dem Befehl 389-console startet der Administrator die grafische Oberfläche des Administrationsservers.
Zur Administration per Kommandozeile gibt es folgende Tools:
| |
| |
| |
| |
| |
Mit dem Kommando ldapsearch kann man Anfragen an den LDAP Server stellen. Das Kommando
dapsearch -x -h localhost -D "cn=Directory Manager" -b "dc=example,dc=com"
listet alle Benutzer und Gruppen in der Datenbank auf. Damit kann validiert werden, dass der Directory Server läuft und die Verbindung hergestellt werden kann. Es können aber auch komplexere Anfragen an den Directory Server gestellt werden.
Fazit
389 Directory Server ist eine moderne Alternative zu älteren Directory Servern wie openLDAP. Es ist Bestandteil des FreeIPA Projektes, in dem Tools wie 389-DS, Kerberos und PKI-Server vereint sind.
Consultant bei ORDIX.
Bei Updates im Blog, informieren wir per E-Mail.
Kommentare