14.12 Neue Benutzer im LDAP-Baum
Wenn Sie jetzt neue Benutzer zum LDAP-Baum hinzufügen wollen, müssen Sie dies immer in zwei Schritten realisieren. Im ersten Schritt legen Sie den Benutzer mit einer LDIF-Datei an, anschließend spielen Sie die LDIF-Datei in den LDAP-Baum ein. Ein Beispiel für eine LDIF-Datei sehen Sie in Listing 14.57:
dn: uid=ktom,ou=users,dc=example,dc=net
cn: Kater Tom
gidNumber: 10000
givenName: Kater
homeDirectory: /home/ktom
loginShell: /bin/bash
objectClass: posixAccount
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
sn: Tom
uid: ktom
uidNumber: 10004
Listing 14.57 LDIF-Datei für einen neuen Benutzer
Nachdem Sie die LDIF-Datei erzeugt haben, spielen Sie sie wie in Listing 14.58 in den LDAP-Baum ein:
root@k1:~# ldapadd -x -D "cn=admin,dc=example,dc=net" -W -f ktom.ldif
Enter LDAP Password:
adding new entry "uid=ktom,ou=users,dc=example,dc=net"
root@k1:~# ldapsearch -x "uid=ktom" -LLL
dn: uid=ktom,ou=users,dc=example,dc=net
cn: Kater Tom
gidNumber: 10000
givenName: Kater
homeDirectory: /home/ktom
loginShell: /bin/bash
objectClass: posixAccount
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
sn: Tom
uid: ktom
uidNumber: 10004
Listing 14.58 Anlegen eines neuen Benutzers
Im zweiten Schritt erweitern Sie den neuen Account um die Kerberos-Attribute. In Listing 14.59 sehen Sie die Vorgehensweise:
root@k1:~# kadmin
Authenticating as principal root/admin@EXAMPLE.NET with password.
Password for root/admin@EXAMPLE.NET:
kadmin: add_principal -x dn="uid=ktom,ou=users,dc=example,dc=net" -pw geheim ktom
WARNING: no policy specified for ktom@EXAMPLE.NET; defaulting to no policy
Principal "ktom@EXAMPLE.NET" created.
root@k1:~# kinit ktom
Password for ktom@EXAMPLE.NET:
root@k1:~# exit
root@k1:~# ldapsearch -x "uid=ktom" -LLL
dn: uid=ktom,ou=users,dc=example,dc=net
cn: Kater Tom
gidNumber: 10000
givenName: Kater
homeDirectory: /home/ktom
loginShell: /bin/bash
objectClass: posixAccount
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: krbPrincipalAux
objectClass: krbTicketPolicyAux
sn: Tom
uid: ktom
uidNumber: 10004
krbLoginFailedCount: 0
krbPrincipalName: ktom@EXAMPLE.NET
krbPrincipalKey:: MIIbfcvrR3oEm5g=
krbLastPwdChange: 20160529174307Z
krbLastSuccessfulAuth: 20160529174331Z
krbExtraData:: AAIrKktXcm9vdC9hZG1pbkBFWEFNUExFLk5FVAA=
krbExtraData:: AAgBAA==
Listing 14.59 Anlegen der Kerberos-Attribute
Natürlich gibt es auch grafische Werkzeuge, die Ihnen das Anlegen der Benutzer vereinfachen. Der LDAP Account Manager (LAM) in der Pro-Version unterstützt Kerberos bei der Benutzerverwaltung, ist aber nicht kostenfrei verfügbar. In einer größeren Umgebung ist ein grafisches Werkzeug aber sicher eine sehr gute Hilfe.