Sun Solaris 10 als (open)LDAP client

Wenn im Netzwerk eine Single-Sign-On Authentifizierung via openLDAP existiert und eine neue Solaris Maschine angebunden werden soll benötigt man dort das ldapclient Kommando.

Zuerst sollte man aber einen genaueren Blick in die Datei

/etc/nsswitch.ldap

werfen. Denn diese Datei wird nach mit dem Aufruf des ldapclient Kommandos nach /etc/nsswitch.conf kopiert. Wenn man bspw. nur Accounts mit openLDAP verwaltet, Hostnamen aber via DNS, dann muss man den Eintrag

hosts: ldap [NOTFOUND=return] files

in

hosts: files dns

ändern. Denn sonst funktioniert bestenfalls keine Hostnamensauflösung mehr, schlechtestenfalls bootet der Rechner gar nicht mehr, falls in /etc/hosts der eigene Rechnername nicht gelistet ist.

Nach dem ändern dieser Datei wird nun das Kommando aufgerufen, dass eine persistente – also einen Neustart überlebende – LDAP Anbindung schafft. Das erste Argument kann init oder manual lauten. „init“ setzt eine automatische Konfiguration voraus, welche im LDAP Repository schon vorhanden ist. Falls nicht kann man diese aber auch mit diesem Befehl erzeugen und im LDAP Server dann einspielen – näheres sagt die manpage über diesen Befehl.

Der andere Weg ist die manuelle Anbindung. Beispielhaft sieht sowas folgendermaßen aus:

ldapclient manual -a „defaultSearchBase=o=myOrganization,c=de“ -a „defaultServerList=ldaphost.mydomain.de“ -a serviceAuthentificationMethod=pam_ldap:tls:simple“

Dieser Befehl schreibt diese Konfiguration dann nach /var/ldap und startet via SMF den ldap/client. Der Befehl

svcs -l ldap/client

sollte dann den Status online ausgeben.

Falls „getent passwd“ oder „getent group“ nicht die gewünschte Anbindung anzeigt, muss ev. mit dem Attribut „serviceSearchDescriptor“ nachgeholfen werden. Nachträgliche Änderungen erfolgen mit ldapclient mod

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.