389 Directory Server (389ds)

389ds

Der 389 Directory Server (https://directory.fedoraproject.org/) ist ein zentralisierter OpenSource-LDAP-Server und bildet ein zentrales Repository für Benutzerprofile, Benutzereinstellungen und Benutzer-Authentifikation. Er ging 2009 aus dem Fedora Directory Server hervor. Aufgrund der Multi-Master-Replication bietet er eine sehr hohe Ausfallsicherheit, ist dabei sehr schnell, sicher und skalierbar. Mit der verfügbaren grafischen Management Konsole kann der 389 DS leicht konfiguriert und administriert werden. 389 DS braucht nur wenige Hardware-Ressourcen. So kommt er mit 256 MB RAM aus, für hohe Leistung im produktiven Einsatz wird 1 GB empfohlen. An Festplattenspeicher wird 2 bis 4 GB benötigt.

389 DS kann sich mit Active-Directory-Servern abgleichen und beherrscht Access Control Information (ACI). Da 389 DS von Red Hat entwickelt wird, ist es sehr gut in Fedora und RHEL integriert.

Installation

Die benötigten Pakete werden unter den meisten Linux-Derivaten mitgeliefert. Unter Fedora sind die Pakete mit folgendem Befehl zu installieren:

# dnf install 389-ds-base 389-admin 389-adminutil 389-ds 389-ds-console 

Nachdem alle Pakete und deren Abhängigkeiten installiert sind, kann der Directory Server mit setup-ds-admin.pl abschließend konfiguriert werden. Hierbei werden Konfigurationsparameter interaktiv abgefragt oder können in einer Konfigurationsdatei angegeben werden. Nach der Installation muss der Directory Server und der Administration Server gestartet werden:

systemctl start dirsrv.target
systemctl enable dirsrv.target

systemctl start dirsrv-admin
systemctl enable dirsrv-admin 

Standardmäßig läuft der Directory Server auf Port 389 und der Administration Server auf Port 9830. Mit dem Befehl 389-console startet der Administrator die grafische Oberfläche des Administrationsservers.

Zur Administration per Kommandozeile gibt es folgende Tools:

  • dsidm
  • Administriert und konfiguriert Benutzer, Gruppen und Organizational-Units
    • dscreate
  • Erzeugt einen neuen Directory-Server aus einer .inf Datei oder interaktiv
    • dsctl
  • Steuert den Directory-Server (Start, Stopp, …), erstellt Backups, bzw. stellt sie wieder her, prüft die Datenbank auf Fehler
    • dscontainer
  • Erzeugt eine zustandslose Directory Server Instanz für die Ausführung in Containern
    • dsconf
  • Verwaltung, Überwachung und Konfiguration des Directory-Server und der LDAP-Datenbank

  • Mit dem Kommando ldapsearch kann man Anfragen an den LDAP Server stellen. Das Kommando

    dapsearch -x -h localhost -D "cn=Directory Manager" -b "dc=example,dc=com" 
    

    listet alle Benutzer und Gruppen in der Datenbank auf. Damit kann validiert werden, dass der Directory Server läuft und die Verbindung hergestellt werden kann. Es können aber auch komplexere Anfragen an den Directory Server gestellt werden.

    Fazit

    389 Directory Server ist eine moderne Alternative zu älteren Directory Servern wie openLDAP. Es ist Bestandteil des FreeIPA Projektes, in dem Tools wie 389-DS, Kerberos und PKI-Server vereint sind. 

    By accepting you will be accessing a service provided by a third-party external to https://blog.ordix.de/