مرحبا اصدقاء !. دعنا نبدأ العمل ، وكما نوصي دائمًا ، اقرأ المقالات الثلاثة السابقة في السلسلة:
- خدمة الدليل مع LDAP. المقدمة.
- خدمة الدليل مع LDAP [2]: NTP و dnsmasq.
- خدمة الدليل مع LDAP [3]: Isc-DHCP-Server و Bind9.
DNS و DHCP و NTP هي الحد الأدنى من الخدمات الأساسية لدليلنا البسيط الذي يعتمد على ب OpenLDAP أصلي ، يعمل بشكل صحيح على Debian 6.0 "ضغط"، أو في Ubuntu 12.04 LTS "Precise Pangolin".
مثال على الشبكة:
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
سنرى في الجزء الأول:
- تثبيت OpenLDAP (صفعة 2.4.23-7.3)
- الشيكات بعد التثبيت
- المؤشرات التي يجب مراعاتها
- قواعد التحكم في الوصول إلى البيانات
- إنشاء شهادات TLS في الضغط
بينما في الجزء الثاني سنتابع:
- مصادقة المستخدم المحلي
- قم بتعبئة قاعدة البيانات
- إدارة قاعدة البيانات باستخدام الأدوات المساعدة لوحدة التحكم
- ملخص حتى الآن ...
تثبيت OpenLDAP (صفعة 2.4.23-7.3)
يتم تثبيت خادم OpenLDAP باستخدام الحزمة صفعة. يجب علينا أيضًا تثبيت الحزمة أدوات ldap، والتي توفر لنا بعض الأدوات من جانب العميل ، بالإضافة إلى أدوات OpenLDAP الخاصة.
: ~ # aptitude install slapd ldap-utils
أثناء عملية التثبيت ، يقوم ملف com.debconf سيطلب منا كلمة مرور المسؤول أو المستخدم «مشرف«. يتم أيضًا تثبيت عدد من التبعيات ؛ تم إنشاء المستخدم com.openldap؛ يتم إنشاء التكوين الأولي للخادم بالإضافة إلى دليل LDAP.
في الإصدارات السابقة من OpenLDAP ، كان التكوين الخفي صفعة تم إجراؤه بالكامل من خلال الملف /etc/ldap/slapd.conf. في الإصدار الذي نستخدمه وما بعده ، يتم التكوين بنفس الطريقة صفعة، ولهذا الغرض أ DIT «شجرة معلومات الدليل»أو شجرة معلومات الدليل ، بشكل منفصل.
طريقة التكوين المعروفة باسم RTC «التكوين في الوقت الحقيقي»تكوين الوقت الحقيقي ، أو كطريقة cn = config، يتيح لنا تكوين ملف صفعة دون الحاجة إلى إعادة تشغيل الخدمة.
تتكون قاعدة بيانات التكوين من مجموعة من الملفات النصية بالتنسيق لدييف «تنسيق تبادل البيانات LDAP»تنسيق LDAP لتبادل البيانات ، الموجود في المجلد /etc/ldap/slapd.d.
للحصول على فكرة عن تنظيم المجلد صفعة. د، هيا نركض:
: ~ # ليرة سورية -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: المجموع 8 drwxr-x --- 3 openldap openldap 4096 فبراير 16 11:08 cn = config -rw ------- 1 openldap 407 فبراير 16 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: total 28 -rw ------- 1 openldap openldap 383 فبراير 16 11:08 cn = وحدة {0} .ldif drwxr-x --- 2 openldap openldap 4096 فبراير 16 11:08 cn = مخطط -rw ------- 1 openldap openldap 325 فبراير 16 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 16 فبراير 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 فبراير 16 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16 فبراير 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16 فبراير 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schema: total 40 -rw ------- 1 openldap openldap 15474 16 فبراير 11:08 cn = {0} core.ldif -rw ------- 1 openldap 11308 16 فبراير 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 فبراير 16 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 16 فبراير 11:08 cn = {3} inetorgperson.ldif
إذا نظرنا إلى الناتج السابق قليلاً ، فإننا نرى أن ملف الخلفية المستخدم في Squeeze هو نوع قاعدة البيانات بنك التعمير والإسكان، وهو متغير من بنك البحرين للتنمية "قاعدة بيانات بيركلي" ، وأنها هرمية بالكامل وتدعم إعادة تسمية الأشجار الفرعية. لمعرفة المزيد عن الممكن الخلفيات الذي يدعم OpenLDAP ، قم بزيارة http://es.wikipedia.org/wiki/OpenLDAP.
نرى أيضًا أنه يتم استخدام ثلاث قواعد بيانات منفصلة ، أي واحدة مخصصة للتكوين ، وأخرى لـ الواجهة، وآخرها قاعدة البيانات بنك التعمير والإسكان في حد ذاته.
وعلاوة على ذلك، صفعة بشكل افتراضي مع المخططات جوهر, جيب التمام, نيس e شخص الإنترنت.
الشيكات بعد التثبيت
في المحطة ننفذ بهدوء ونقرأ المخرجات. سوف نتحقق ، خاصة مع الأمر الثاني ، من التكوين المستخلص من سرد المجلد صفعة. د.
: ~ # ldapsearch -Q -LLL -Y خارجي -H ldapi: /// -b cn = config | المزيد: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = وحدة نمطية {0} ، cn = config dn: cn = مخطط ، cn = config dn: cn = {0} core ، cn = schema ، cn = config dn: cn = {1} جيب التمام ، cn = schema، cn = config dn: cn = {2} nis، cn = مخطط، cn = config dn: cn = {3} inetorgperson، cn = schema، cn = config dn: olcBackend = {0} hdb، cn = config dn: olcDatabase = {- 1} الواجهة الأمامية ، cn = config dn: olcDatabase = {0} config ، cn = config dn: olcDatabase = {1} hdb، cn = config
شرح كل مخرجات:
- cn = config: المعلمات العالمية.
- cn = وحدة {0} ، cn = config: وحدة محملة ديناميكيًا.
- cn = المخطط ، cn = التكوين: يحتوي على الثابت ترميز على مستوى مخططات النظام.
- cn = {0} core، cn = schema، cn = config: إن الثابت ترميز التخطيطي للنواة.
- cn = {1} cosine، cn = schema، cn = config: المخطط جيب التمام.
- cn = {2} nis، cn = schema، cn = config: المخطط شيكل.
- cn = {3} inetorgperson، cn = schema، cn = config: المخطط شخص الإنترنت.
- olcBackend = {0} hdb، cn = config: الخلفية نوع تخزين البيانات بنك التعمير والإسكان.
- olcDatabase = {- 1} frontend، cn = config: الواجهة من قاعدة البيانات والمعلمات الافتراضية لقواعد البيانات الأخرى.
- olcDatabase = {0} config، cn = config: قاعدة بيانات التكوين الخاصة بـ صفعة (cn = config).
- olcDatabase = {1} hdb، cn = config: مثيلنا لقاعدة البيانات (dc = أصدقاء ، dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = مثال ، dc = com dn dn: dc = أصدقاء ، dc = cu dn: cn = admin ، dc = friends ، dc = cu
- dc = أصدقاء ، dc = cu: شجرة معلومات دليل قاعدة DIT
- cn = admin ، dc = friends ، dc = cu: تم الإعلان عن المسؤول (rootDN) الخاص بـ DIT أثناء التثبيت.
مذكرة: اللاحقة الأساسية dc = أصدقاء ، dc = cu، أخذها com.debconf أثناء التثبيت من FQDN الخادم Mouldap.amigos.cu.
المؤشرات التي يجب مراعاتها
يتم إجراء فهرسة الإدخالات لتحسين أداء عمليات البحث على DIT، مع معايير التصفية. الفهارس التي سننظر فيها هي الحد الأدنى الموصى به وفقًا للسمات المعلنة في المخططات الافتراضية.
لتعديل الفهارس في قاعدة البيانات ديناميكيًا ، نقوم بإنشاء ملف نصي بالتنسيق لدييف، وبعد ذلك نضيفه إلى قاعدة البيانات. نقوم بإنشاء الملف olcDbIndex.ldif ونتركه بالمحتوى التالي:
: ~ # نانو olcDbIndex.ldif
dn: olcDatabase = {1} hdb، cn = config changetype: تعديل إضافة: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: loginUid eq، olcDbIndex: loginUid eq، olcDbIndex: loginUid eq، olcDbIndex: loginUid eq، olcDbIndex: memberUid eq - إضافة: olcDbIndex olcDbIndex: uid pres، sub، eq - add: olcDbIndex olcDbIndex: cn pres، sub، eq - add: olcDbIndex olcDbIndex: sn pres، sub، eq - add: olcDbIndex pres olcDbIndex - إضافة: olcDbIndex olcDbIndex: displayName pres، sub، eq - add: olcDbIndex olcDbIndex: default sub - add: olcDbIndex olcDbIndex: mail eq، subinitial - add: olcDbIndex olcDbIndex: dc eq
نضيف الفهارس إلى قاعدة البيانات ونتحقق من التعديل:
: ~ # ldapmodify -Y خارجي -H ldapi: /// -f ./olcDbIndex.ldif
: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex
dn: olcDatabase = {1} hdb، cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber، gidNumber eq olcDbIndex: memberUid eq، pres، sub olcDbIndex: loginShell eq olcDbIndex: uid presc، subq، eq olcDbIndex: sn pres، sub، eq olcDbIndex: GivenName، ou pres، eq، sub olcDbIndex: displayName pres، sub، eq olcDbIndex: default sub olcDbIndex: mail eq، subinitial olcDbIndex: dc eq
قواعد التحكم في الوصول إلى البيانات
يُطلق على التحكم في الوصول القواعد التي يتم وضعها بحيث يمكن للمستخدمين قراءة البيانات وتعديلها وإضافتها وحذفها في قاعدة بيانات الدليل ، بينما سنطلق على قوائم التحكم في الوصول أو «قائمة التحكم في الوصول ACL»للسياسات التي تكوّن القواعد.
لمعرفة أي قوائم ACL تم الإعلان عنها بشكل افتراضي أثناء عملية تثبيت صفعة، ننفذ:
: ~ # ldapsearch -Q -LLL -Y خارجي -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess
: ~ # ldapsearch -Q -LLL -Y خارجي -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} الواجهة الأمامية)' olcAccess
: ~ # ldapsearch -Q -LLL -Y خارجي -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess
: ~ # ldapsearch -Q -LLL -Y خارجي -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix
سيظهر لنا كل أمر من الأوامر السابقة ملف قوائم ACL حتى الآن أعلنا في دليلنا. على وجه التحديد ، يوضح الأمر الأخير كل منهم ، بينما تمنحنا الثلاثة الأولى قواعد التحكم في الوصول لجميع الثلاثة. DIT تشارك في أعمالنا صفعة.
في موضوع قوائم ACL ولكي لا تصنع مقالة أطول ، نوصي بقراءة صفحات الدليل رجل صفعة.
لضمان وصول المستخدمين والمسؤولين لتحديث إدخالاتهم من تسجيل الدخول y أبو حزم رحمه الله، سوف نضيف ACL التالي:
## ننشئ ملف olcAccess.ldif ونتركه بالمحتوى التالي: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb، cn = config changetype: تعديل الإضافة: olcAccess olcAccess: {1} to attrs = loginShell، gecos by dn = "cn = admin، dc = friends، dc = cu" اكتب عن طريق الكتابة الذاتية بواسطة * اقرأ
## نضيف ACL
: ~ # ldapmodify -Y خارجي -H ldapi: /// -f ./olcAccess.ldif
# نتحقق من التغييرات
ldapsearch -Q -LLL -Y خارجي -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix
توليد الشهادات TLS في ضغط
للحصول على مصادقة آمنة مع خادم OpenLDAP ، يجب أن نقوم بذلك من خلال جلسة مشفرة يمكننا تحقيقها باستخدام TLS «أمان طبقة النقل» o طبقة النقل الآمنة.
يستطيع خادم OpenLDAP وعملائه استخدام امتداد الإطار TLS لتوفير الحماية فيما يتعلق بالسلامة والسرية ، بالإضافة إلى دعم مصادقة LDAP الآمنة من خلال الآلية SASL «المصادقة البسيطة وطبقة الأمان« خارجي.
تفضل خوادم OpenLDAP الحديثة استخدام */ StartTLS /* o ابدأ طبقة نقل آمنة إلى /LDAPS: ///الذي عفا عليه الزمن. لأي أسئلة ، تفضل بزيارة * Start TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html
فقط اترك الملف مثبتًا بشكل افتراضي / etc / default / slapd مع البيان SLAPD_SERVICES = »ldap: /// ldapi: ///»، من أجل استخدام قناة مشفرة بين العميل والخادم ، والتطبيقات المساعدة نفسها لإدارة OpenLDAP المثبتة محليًا.
الطريقة الموضحة هنا ، بناءً على الحزم بن gnutls y ssl- سيرت إنه صالح لـ Debian 6 "Squeeze" وكذلك لـ Ubuntu Server 12.04. لديبيان 7 "Wheezy" طريقة أخرى تعتمد على بينسل.
يتم إنشاء الشهادات في Squeeze على النحو التالي:
1.- نقوم بتثبيت الحزم اللازمة : ~ # aptitude install gnutls-bin ssl-cert 2.- نقوم بإنشاء المفتاح الأساسي للمرجع المصدق : ~ # sh -c "certtool - Generate-privkey> /etc/ssl/private/cakey.pem" 3.- نقوم بإنشاء قالب لتعريف CA (المرجع المصدق) : ~ # nano /etc/ssl/ca.info cn = الأصدقاء الكوبيون ca cert_signing_key 4.- نقوم بإنشاء شهادة CA موقعة ذاتيًا أو موقعة ذاتيًا للعملاء : ~ # certtool - إنشاء ذاتي التوقيع \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem 5.- نقوم بإنشاء مفتاح خاص للخادم : ~ # certtool - Generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem مذكرة: يحل محل "معتدل"في اسم الملف أعلاه من خلال اسم الخادم الخاص بك. تساعدنا تسمية الشهادة والمفتاح ، لكل من الخادم والخدمة التي تستخدمه ، في توضيح الأمور. 6.- نقوم بإنشاء ملف /etc/ssl/mildap.info بالمحتوى التالي: : ~ # nano /etc/ssl/mildap.info Organization = الكوبيون الأصدقاء cn = lightap.amigos.cu tls_www_server encryption_key signature_key expiration_days = 3650 مذكرة: في المحتوى السابق نعلن أن الشهادة صالحة لمدة 10 سنوات. يجب تعديل المعلمة لراحتنا. 7.- نقوم بإنشاء شهادة الخادم : ~ # certtool - Generate-Certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-Certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem
لقد أنشأنا حتى الآن الملفات الضرورية ، علينا فقط أن نضيف إلى الدليل موقع الشهادة الموقعة ذاتيًا cacert.pem؛ ذلك من شهادة الخادم Mouldap-cert.pem؛ والمفتاح الخاص للخادم Mouldap-key.pem. يجب علينا أيضًا ضبط الأذونات ومالك الملفات التي تم إنشاؤها.
: ~ # nano /etc/ssl/certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTLSCertificate /mildap-key.pem 8.- إضافة: ~ # ldapmodify -Y خارجي -H ldapi: /// -f /etc/ssl/certinfo.ldif 9.- نقوم بضبط المالك والأذونات : ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod أو /etc/ssl/private/mildap-key.pem
الشهادة cacert.pem إنه الشخص الذي يجب نسخه في كل عميل. لاستخدام هذه الشهادة على الخادم نفسه ، يجب التصريح عنها في الملف /etc/ldap/ldap.conf. للقيام بذلك ، نقوم بتعديل الملف ونتركه بالمحتوى التالي:
: ~ # nano /etc/ldap/ldap.conf BASE dc = friends، dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem
أخيرًا وأيضًا كتحقق ، نعيد تشغيل الخدمة صفعة ونتحقق من إخراج ملف سيسلوغ من الخادم ، لمعرفة ما إذا تمت إعادة تشغيل الخدمة بشكل صحيح باستخدام الشهادة المُعلنة حديثًا.
: ~ # إعادة تشغيل خدمة slapd : ~ # tail / var / log / syslog
إذا لم يتم إعادة تشغيل الخدمة بشكل صحيح أو لاحظنا خطأ فادحًا في سيسلوغ، دعونا لا نشعر بالإحباط. يمكننا محاولة إصلاح الضرر أو البدء من جديد. إذا قررنا البدء من الصفر ، يتم تثبيت صفعة، ليس من الضروري تهيئة خادمنا.
لمحو كل ما فعلناه حتى الآن لسبب أو لآخر ، يجب علينا إلغاء تثبيت الحزمة صفعة، ثم احذف المجلد / var / lib / ldap. يجب علينا أيضًا ترك الملف في نسخته الأصلية /etc/ldap/ldap.conf.
من النادر أن يعمل كل شيء بشكل صحيح في المحاولة الأولى. 🙂
تذكر أنه في الدفعة التالية سنرى:
- مصادقة المستخدم المحلي
- قم بتعبئة قاعدة البيانات
- إدارة قاعدة البيانات باستخدام الأدوات المساعدة لوحدة التحكم
- ملخص حتى الآن ...
نراكم قريبا أيها الأصدقاء !.
مدرس!!!
حدث ذلك مع TUTO!
هو ممتاز
كل ما يشبه العالم بالنسبة لك.
<img draggable="false" class="emoji" alt="" src="https://s.w.org/images/core/emoji/2.2.1/svg/1f600.svg">
شكرا جزيلا لك يا هوغو !!! انتظر المقالات التالية حول هذا الموضوع.
مرحبا
مثيرة للاهتمام سلسلة من المقالات الخاصة بك.
لقد فوجئت بقراءة هذا البيان: "تفضل خوادم OpenLDAP الحديثة استخدام StartTLS أو بدء طبقة نقل آمنة على بروتوكول TLS / SSL القديم ، والذي عفا عليه الزمن."
هل تدعي أنه في جميع الحالات حتى خارج نطاق LDAP ، تعتبر STARTTLS آلية حماية متفوقة على TSL / SSL؟
شكرا لتعليق. لاحظ أنني أعني OpenLDAP. أنا لا أبالغ. في http://www.openldap.org/faq/data/cache/185.htmlيمكنك قراءة ما يلي:
أمان طبقة النقل (TLS) هو الاسم القياسي لطبقة المقابس الآمنة (SSL). المصطلحات (ما لم تكن مؤهلة بأرقام إصدار محددة) قابلة للتبديل بشكل عام.
StartTLS هو اسم عملية LDAP القياسية لبدء TLS / SSL. يتم بدء TLS / SSL عند الانتهاء بنجاح من عملية LDAP هذه. لا يوجد منفذ بديل ضروري. يُشار إليها أحيانًا باسم عملية ترقية TLS ، لأنها تقوم بترقية اتصال LDAP العادي إلى اتصال محمي بواسطة TLS / SSL.
ldaps: // ويشير LDAPS إلى "LDAP عبر TLS / SSL" أو "LDAP Secured". يتم بدء TLS / SSL عند الاتصال بمنفذ بديل (عادةً 636). على الرغم من تسجيل منفذ LDAPS (636) لهذا الاستخدام ، إلا أن تفاصيل آلية بدء TLS / SSL ليست موحدة.
بمجرد البدء ، لا يوجد فرق بين ldaps: // و StartTLS. يشتركون في نفس خيارات التكوين (باستثناء ldaps: // يتطلب تكوين مستمع منفصل ، راجع خيار s -h slapd (8)) ويؤدي إلى إنشاء مثل خدمات الأمان.
ملحوظة:
1) يجب توجيه ldap: // + StartTLS إلى منفذ LDAP عادي (عادةً 389) ، وليس منفذ ldaps: //.
2) يجب توجيه ldaps: // إلى منفذ LDAPS (عادةً 636) ، وليس منفذ LDAP.
عذرًا ، لكنني ما زلت غير متأكد من سبب ادعائك: 1) تفضل الخوادم الحديثة STARTTLS على SSL / TLS ؛ 2) أن STARTTLS حديثة ، مقابل SSL / TLS التي عفا عليها الزمن.
لقد كنت أقاتل لمدة نصف شهر مع تكوين عملاء بريد مختلفين يصلون إلى الخادم عن طريق SSL (باستخدام مكتبات opensl ، كما تفعل معظم البرامج المجانية) ، مع شهادات CA في / etc / ssl / certs / وأدوات أخرى. وما تعلمته هو أن: 1) STARTTLS تقوم فقط بتشفير مصادقة الجلسة ، وكل شيء آخر يتم إرساله بدون تشفير ؛ 2) يقوم بروتوكول SSL بتشفير جميع محتويات الجلسة تمامًا. لذلك ، لا تتفوق STARTTLS تقنيًا بأي حال من الأحوال على SSL ؛ أفضل أن أفكر بخلاف ذلك ، لأن محتوى جلستك ينتقل بدون تشفير عبر الشبكة.
شيء آخر مختلف هو أن STARTTLS موصى به لأسباب أخرى لا أعرفها: للتوافق مع MSWindows ، لأن التطبيق أكثر استقرارًا أو تم اختباره بشكل أفضل ... لا أعرف. لهذا السبب أسألك.
من خلال الاستشهاد بالدليل الذي أرفقته إلي في إجابتك ، أرى أن الفرق بين ldap: // و ldaps: // يعادل الفرق بين imap: // و imaps: // ، أو بين smtp: // و smtps: //: يتم استخدام منفذ مختلف ، تتم إضافة بعض المدخلات الإضافية في ملف التكوين ، ولكن يتم الاحتفاظ ببقية المعلمات. لكن هذا لا يشير إلى أي شيء عن تفضيل STARTTLS أم لا.
تحياتي ، وآسف على الرد. أنا فقط أحاول أن أتعلم المزيد.
انظر ، من النادر جدًا أن أقوم في مقالاتي بتقديم ادعاءات بهذا المستوى دون أن تكون مدعومة من قبل بعض المنشورات الجادة. في نهاية السلسلة ، سأقوم بتضمين جميع روابط الوثائق التي أعتبرها جادة ، والتي استشرتها لكتابة المنشور. أقدم لكم الروابط التالية:
https://wiki.debian.org/LDAP/OpenLDAPSetup
دليل خادم أوبونتو https://code.launchpad.net/serverguide
OpenLDAP- مسؤول http://www.openldap.org/doc/admin24/index.html
LDAP عبر SSL / TLS و StartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/
علاوة على ذلك ، راجعت الوثائق المصاحبة المثبتة مع كل حزمة.
تعتبر مسألة الأمان بشكل عام والاختلافات بين StartTLS و TLS / SSL تقنية للغاية ومن هذا العمق أنني لا أعتبر نفسي أمتلك المعرفة اللازمة لتقديم مثل هذه التفسيرات. أعتقد أنه يمكننا مواصلة الحديث عبر البريد الإلكتروني.
علاوة على ذلك ، لا أذكر في أي مكان أنه لا يمكن استخدام LDAPS: //. إذا كنت تعتبره أكثر أمانًا ، فاستمر !!!
لا يمكنني مساعدتك بعد الآن وأنا أقدر تعليقاتك حقًا.
مزيد من الوضوح الذي يمكنك الحصول عليه دائمًا حول OpenLDAP في:
http://www.openldap.org/faq/data/cache/605.html
عملية StartTLS الموسعة [RFC 2830] هي آلية LDAPv3 القياسية لتمكين حماية سرية بيانات TLS (SSL). تستخدم الآلية عملية LDAPv3 ممتدة لإنشاء اتصال SSL / TLS مشفر ضمن اتصال LDAP تم إنشاؤه بالفعل. بينما تم تصميم الآلية للاستخدام مع TLSv1 ، فإن معظم عمليات التنفيذ ستعود إلى SSLv3 (و SSLv2) إذا لزم الأمر.
ldaps: // هي آلية لإنشاء اتصال SSL / TLS مشفر لـ LDAP. يتطلب استخدام منفذ منفصل ، بشكل عام 636. على الرغم من أنه مصمم أصلاً للاستخدام مع LDAPv2 و SSLv2 ، فإن العديد من التطبيقات تدعم استخدامه مع LDAPv3 و TLSv1. على الرغم من عدم وجود مواصفات فنية لـ ldaps: // فهي تستخدم على نطاق واسع.
ldaps: // تم إهماله لصالح Start TLS [RFC2830]. يدعم OpenLDAP 2.0 كلاهما.
لأسباب تتعلق بالأمان ، يجب تكوين الخادم بحيث لا يقبل SSLv2.
ستكون هذه واحدة من تلك المقالات التي لن يقوم المستخدمون بالتعليق عليها لأنهم يشاهدون المواد الإباحية فقط على محطات Linux الخاصة بهم ، فهم ببساطة غير مهتمين. حول ldap لدي العديد من الخدمات ذات الصلة داخل الشبكة غير المتجانسة للشركة التي أعمل بها. مادة جيدة!!
شكرا لتعليق !!!. وبيانك صحيح للغاية فيما يتعلق بالتعليقات القليلة في العديد من مقالاتي. ومع ذلك ، أتلقى مراسلات من القراء المهتمين ، أو من الآخرين الذين يقومون بتنزيل المقالة لقراءتها لاحقًا والتطبيق.
من المفيد دائمًا الحصول على تعليقات من خلال التعليقات ، حتى لو كانت كذلك: لقد حفظتها لقراءة لاحقة أو مثيرة للاهتمام أو رأي آخر.
تحياتي
الفريك !!! شكرا لتعليق. لقد تلقيت تعليقك في البريد ولكني لا أراه على الرغم من تحديث الصفحة عدة مرات. صديقي ، يمكنك تجربة هذا والمقالات السابقة دون مشاكل على Squeeze أو Ubuntu Server 12.04. في Wheezy ، يتم إنشاء الشهادات بطريقة مختلفة باستخدام OpenSSL. لكن لا شيء. تحياتي يا أخي !!!.
thisnameisfalse: أفضل كاتب لديه ضبابية. بفضل تعليقاتكم ، أعتقد أن الفقرة المعنية ينبغي أن تكون على النحو التالي:
تفضل خوادم OpenLDAP الحديثة استخدام StartTLS ، أو بدء طبقة نقل آمنة ، على بروتوكول LDAPS: // ، الذي عفا عليه الزمن. لأي أسئلة ، تفضل بزيارة Start TLS v. ldaps: // en http://www.openldap.org/faq/data/cache/605.html
تحياتي
رائع ، الآن لدي واجب منزلي على ldap
لا يمكنك وضع كل شيء في ملف واحد حتى تتمكن من تنزيل البرنامج التعليمي الكامل
أنا فني كمبيوتر ولدي خبرة واسعة في نظام Linux ، ولكن ما زلت أضيع في منتصف المقال. ثم سأعيد قراءتها بعناية أكبر. شكرا جزيلا على البرنامج التعليمي لك.
على الرغم من حقيقة أنه يسمح لنا بفهم أسباب اختيار ActiveDirectory عادةً لهذه الأشياء. هناك عالم من الاختلاف عندما يتعلق الأمر بساطة التكوين والتنفيذ.
تحياتي
شكرا لكم جميعا على التعليق !!!
jose monge ، آمل أن يساعدك
walter في نهاية جميع المنشورات ، سأرى ما إذا كان بإمكاني إنشاء خلاصة وافية بتنسيق html أو pdf
eVeR على العكس من ذلك ، فإن OpenLDAP أبسط - حتى إذا لم يكن يبدو مثل Active Directory. انتظر المقالات التالية وسترى.
استعلام ، أقوم بالتثبيت خطوة بخطوة ولكن عند إعادة تشغيل خدمة slapd ، يلقي لي الخطأ التالي>
30 يوليو 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (17 مارس 2014 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / debian / build / سيرفرات / slapd
30 يوليو 15:27:37 xxxxx slapd [1219]: تم إدراج سمة غير معروفة الوصف "CHANGETYPE".
30 يوليو 15:27:37 xxxxx slapd [1219]: تم إدراج سمة غير معروفة الوصف "ADD".
يوليو 30 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): وصف سمة فارغ
30 يوليو 15:27:37 xxxxx slapd [1219]: توقف slapd.
30 يوليو 15:27:37 xxxxx [1219]: links_destroy: لا شيء للتدمير.
يمكنك أن تسأل في المنتدى 😀 http://foro.desdelinux.net/
لكل من يرى هذا المنشور الممتاز والموضح جيدًا وتحدث هذه المشكلة عند إنشاء قوائم ACL:
ldapmodify: إدخال تنسيق غير صالح (السطر 5): "olcDatabase = {1} hdb، dc = config"
بعد أن أجرف رأسي في البحث في الإنترنت ، اتضح أن ldapmodify هو النوع الأكثر دقة على وجه الويب. إنها حالة هستيرية مع وجود أحرف في غير محلها وكذلك مسافات زائدة. دون مزيد من اللغط ، فإن النصيحة هي كتابة الشرط جنبًا إلى جنب بحيث يكتب X عن طريق الكتابة الذاتية بواسطة * القراءة. إذا كان لا يزال لا يعمل ، فقم بتثبيت Notepad ++> View> Show الرمز وأخيراً الموت للأحرف غير المرئية. آمل أن يساعد شخص ما.
قم بإنشاء شهادات لـ Debian Wheezy بناءً على OpenSSL يمكن أن يخدم ذلك:
http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/