Autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj
  • Hrvatski
  • English

Kako promijeniti LDAP domenu ustanove?

LDAP domena ustanove u pravilu mora odgovarati DNS domeni. Ako ustanova mijenja svoju DNS domenu, potrebno je promjeniti i LDAP domenu ustanove. Promjenom LDAP domene mijenjaju se i korisničke oznake svih korisnika iz te ustanove (jedna ustanova ne može istodobno imati dvije različite LDAP domene) na sljedeći način:

nesto@stara_domena.hr -> nesto@nova_domena.hr

Svim korisnicima koji se nalaze u LDAP imeniku ustanove obavezno treba najaviti točan datum promjene korisničkih oznaka jer nakon što prebacite LDAP imenik na novu domenu, autentikacija sa starim korisničkim oznakama više neće biti moguća. Također, obavijest o datumu promjene LDAP domene potrebno je poslati i održavateljima središnjeg dijela AAI@EduHr sustava na adresu aai@srce.hr.

Procedura promjene LDAP domene na lokalnom poslužitelju ustanove opisana je u nastavku.

 

Promjena kofiguracije LDAP poslužitelja

  1. Spustite LDAP, RADIUS i AOSI poslužitelj izvršavanjem naredbi:

    /etc/init.d/aosi stop
    /etc/init.d/freeradius stop
    /etc/init.d/slapd stop

     
  2. Eksportirajte podatke iz LDAP imenika u .ldif datoteku:

    # slapcat -l /var/backups/openldap-backup.ldif
     
  3. Za svaki slučaj, napravite backup direktorija /var/lib/ldap/:

    # tar cfvz /var/backups/ldap.tar.gz /var/lib/ldap/
     
  4. Zamjenite staru domenu novom uporabom naredbe:

    # sed s/stara_domena/nova_domena/g /var/backups/openldap-backup.ldif > /var/backups/openldap-new.ldif

    (sve u jednom retku) i pritom pripazite da se možda string stara_domena ne poklapa s nečim što se ne bi smjelo promijeniti. Takve stvari ručno popravite editirajući datoteku /var/backups/openldap-new.ldif
     
  5. Zatim prekonfigurirajte LDAP:

    # dpkg-reconfigure slapd

    (u postupku rekonfiguracije potrebno je upisati novu domenu):

    # dpkg-reconfigure openldap-aai
     
  6. Obrišite LDAP bazu s diska:

    # rm -f /var/lib/ldap/*

    te pokrenite LDAP poslužitelj kako bi se kreirala nova baza pa zatim spustite LDAP poslužitelj:

    /etc/init.d/slapd start
    /etc/init.d/slapd stop

     
  7. U novi LDAP imenik unesite korisnike iz openldap-new.ldif datoteke koju ste kreirali u 4. koraku:

    # slapadd -l /var/backups/openldap-new.ldif
     

Postavite odgovarajuće ovlasti nad datotekama u /var/lib/ldap/ direktoriju. Ovisno o distribuciji, sve datoteke trebaju biti u vlasništvu korisnika ldap ili openldap tj. potrebno je izvršiti jednu od sljedećih naredbi:

# chown -R ldap:ldap /var/lib/ldap/

ili

# chown -R openldap:openldap /var/lib/ldap/
 

Promjena konfiguracije RADIUS poslužitelja

  1. U datoteci /etc/freeradius/modules/ldap-aai liniju:

    basedn = "dc=stara_domena,dc=hr"

    zamijenite linijom:

    basedn = "dc=nova_domena,dc=hr"

    Prema potrebi, u istoj datoteci promjenite i naziv poslužitelja u liniji:

    server = "naziv_posluzitelja"

  2. U datotekama /etc/freeradius/proxy-eduroam.conf i /etc/freeradius/sites-available/aai liniju:

    realm stara_domena.hr {

    zamijenite linijom:

    realm nova_domena.hr {
     
  3. Prema uputama na ovoj stranici generirati novi rootCA i poslužiteljski certifikat koji će imati ispravnu vrijednost nove domene;
     
  4. Prema uputama na ovoj stranici predati novi rootCA i novi logo institucije u installer uslugu;
     
  5. Ako institucija ima uvedenu eduroam uslugu, zatražite novu vrijednost atributa Operator-Name slanjem elektroničke pošte na adresu admin@eduroam.hr. Novu vrijednost unesite u konfiguraciju RADIUS poslužitelja prema uputama datim na STRANICI;
     
  6. Obavijestite sve korisnike da je zbog promjene domene potrebno ponovno konfigurirati uređaje za spajanje na eduroam uslugu. Najjednostavniji način za rekonfiguraciju je korištenjem eduroam installer alata;
     

Promjena konfiguracije AOSI poslužitelja

  1. U datoteci /etc/aosi/config.pm redak

    $base_dn='dc=stara_domena,dc=hr';

    zamijenite s:


    $base_dn='dc=nova_domena,dc=hr';
     
  2. U datoteci /etc/aosi-www/config.php u retcima:

    define ('REALM', 'stara_domena.hr');
    define ('BASE_DN', 'dc=stara_domena,dc=hr');


    potrebno je umjesto stare domene upisati novu LDAP domenu ustanove:

    define ('REALM', 'nova_domena.hr');
    define ('BASE_DN', 'dc=nova_domena,dc=hr');

     
  3. Ako je potrebno, u datoteci /var/lib/aosi/www/aosi.wsdl pri dnu datoteke u retku koji počinje s <wsdlsoap:address location="... promjenite adresu poslužitelja.

     

I na kraju...

  1. Ako to još niste napravili u nekom od prethodnih koraka, pokrenite LDAP, AOSI i RADIUS poslužitelje naredbama:
     

    /etc/init.d/slapd start
    /etc/init.d/aosi start
    /etc/init.d/freeradius start

  2. Obavezno na aai@srce.hr pošaljite obavijest da ste izvršili promjenu domene kako bismo mogli ažurirati odgovarajuće parametre u središnjem dijelu AAI@EduHr sustava.