Usluga direktorija sa LDAP-om [4]: ​​OpenLDAP (I)

Pozdrav prijatelji! Prijeđimo na posao i, kao što uvijek preporučujemo, pročitajte tri prethodna članka iz serije:

DNS, DHCP i NTP minimalni su osnovni servisi za naš jednostavni direktorij zasnovan na OpenLDAP izvorni, ispravno radi na Debian 6.0 "Stisni"ili u Ubuntu 12.04 LTS "Precizni pangolin".

Primjer mreže:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

U prvom dijelu vidjet ćemo:

  • Instalacija OpenLDAP (slapd 2.4.23-7.3)
  • Provjere nakon instalacije
  • Indeksi koje treba uzeti u obzir
  • Pravila kontrole pristupa podacima
  • Stvaranje TLS certifikata u stisku

dok ćemo u drugom dijelu nastaviti sa:

  • Lokalna autentifikacija korisnika
  • Popunite bazu podataka
  • Upravljajte bazom podataka pomoću uslužnih programa konzole
  • Sažetak do sada ...

Instalacija OpenLDAP (slapd 2.4.23-7.3)

OpenLDAP poslužitelj se instalira pomoću paketa slapd. Moramo i instalirati paket ldap-utils, koji nam pruža neke alate na strani klijenta, kao i vlastite uslužne programe OpenLDAP-a.

: ~ # aptitude instalirati slapd ldap-utils

Tijekom postupka instalacije, debconf Zatražit će od nas lozinku administratora ili korisnika «admin«. Takođe je instaliran niz zavisnosti; korisnik je kreiran openldap; kreira se početna konfiguracija poslužitelja, kao i LDAP direktorij.

U ranijim verzijama OpenLDAP-a, konfiguracija demona slapd je urađen u cijelosti putem datoteke /etc/ldap/slapd.conf. U verziji koju koristimo i kasnije, konfiguracija se vrši na isti način slapd, a u tu svrhu a DIT «Stablo informacija direktorija»Ili drvo informacija o direktorijumu, posebno.

Metoda konfiguracije poznata kao RTC «Konfiguracija u stvarnom vremenu»Konfiguracija u stvarnom vremenu ili kao metoda cn = config, omogućava nam dinamičko konfiguriranje slapd bez potrebe za ponovnim pokretanjem usluge.

Baza podataka o konfiguraciji sastoji se od zbirke tekstualnih datoteka u formatu LDIF «LDAP format razmjene podataka»LDAP format za razmjenu podataka, smješten u mapi /etc/ldap/slapd.d.

Da biste stekli ideju o organizaciji foldera slapd.d, pokrenimo:

: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: ukupno 8 drwxr-x --- 3 openldap openldap 4096 16. februara 11:08 cn = config -rw ------- 1 openldap openldap 407 16. februara 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: ukupno 28 -rw ------- 1 openldap openldap 383 16. februara 11:08 cn = modul {0} .ldif drwxr-x --- 2 openldap openldap 4096 16. februara 11:08 cn = schema -rw ------- 1 openldap openldap 325 16. februara 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 16. februara 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 16. februara 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16. februara 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16. februara 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schema: ukupno 40 -rw ------- 1 openldap openldap 15474 16. februara 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 16. februara 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 16. februara 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 16. februara 11:08 cn = {3} inetorgperson.ldif

Ako malo pogledamo prethodni izlaz, vidimo da backend U Squeeze se koristi tip baze podataka hdb, što je varijanta bdb "Berkeley baza podataka", te da je potpuno hijerarhijska i podržava preimenovanje podstabala. Da biste saznali više o mogućem Backends koji podržava OpenLDAP, posjetite http://es.wikipedia.org/wiki/OpenLDAP.

Takođe vidimo da se koriste tri odvojene baze podataka, odnosno jedna posvećena konfiguraciji, a druga frontend, i posljednja koja je baza podataka hdb per se.

Sa druge strane, slapd je standardno instaliran sa šemama jezgro, kosinus, nis e Inetorgperson.

Provjere nakon instalacije

U terminalu mirno izvršavamo i čitamo izlaze. Provjerit ćemo, posebno drugom naredbom, konfiguraciju izvedenu iz popisa mape slapd.d.

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config | više: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = module {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} core, cn = schema, cn = config dn: cn = {1} kosinus , cn = shema, cn = config dn: cn = {2} nis, cn = shema, cn = config dn: cn = {3} inetorgperson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config

Objašnjenje svakog izlaza:

  • cn = config: Globalni parametri.
  • cn = modul {0}, cn = config: Dinamički učitan modul.
  • cn = shema, cn = config: Sadrži tvrdo kodiran na nivou sistemskih šema.
  • cn = {0} jezgra, cn = shema, cn = config: The tvrdo kodiran sheme jezgra.
  • cn = {1} kosinus, cn = shema, cn = config: Šema Kosinus.
  • cn = {2} nis, cn = shema, cn = config: Šema Niš.
  • cn = {3} inetorgperson, cn = shema, cn = config: Šema Inetorgperson.
  • olcBackend = {0} hdb, cn = config: backend tip pohrane podataka hdb.
  • olcDatabase = {- 1} frontend, cn = config: frontend baze podataka i zadani parametri za ostale baze podataka.
  • olcDatabase = {0} config, cn = config: Konfiguracijska baza podataka slapd (cn = config).
  • olcDatabase = {1} hdb, cn = config: Naša instanca baze podataka (dc = prijatelji, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = primjer, dc = com dn
dn: dc = prijatelji, dc = cu dn: cn = admin, dc = prijatelji, dc = cu
  • dc = prijatelji, dc = cu: DIT informacijsko stablo baze direktorija
  • cn = admin, dc = prijatelji, dc = cu: Administrator (rootDN) DIT-a deklariran tijekom instalacije.

nota: Osnovni sufiks dc = prijatelji, dc = cu, uzeo je debconf tokom instalacije od FQDN sa servera mildap.amigos.cu.

Indeksi koje treba uzeti u obzir

Indeksiranje unosa vrši se radi poboljšanja performansi pretraživanja na DIT, s kriterijima filtra. Indeksi koje ćemo uzeti u obzir su minimum preporučen prema atributima deklariranim u zadanim shemama.

Da bismo dinamički modificirali indekse u bazi podataka, kreiramo tekstualnu datoteku u formatu LDIF, a kasnije ga dodajemo u bazu podataka. Mi kreiramo datoteku olcDbIndex.ldif i ostavljamo ga sa sljedećim sadržajem:

: ~ # nano olcDbIndex.ldif
DN: olcDatabase = {1} HDB, cn = config changetype: modify dodati: olcDbIndex olcDbIndex: uidNumber EQ - dodatak: olcDbIndex olcDbIndex: gidNumber EQ - dodatak: olcDbIndex olcDbIndex: memberUid EQ, olcDbIndex: prijava EQ, olcDbIndex: loginShell EQ, olcDbIndex: loginShell EQ, olcDbIndex: prijava - dodaj: olcDbIndex olcDbIndex: uid pres, sub, eq - dodaj: olcDbIndex olcDbIndex: cn pres, sub, eq - dodaj: olcDbIndex olcDbIndex: sn pres, sub, eq - dodaj: olcDbIndex olcDbIndex: given n, eq - dodaj: olcDbIndex olcDbIndex: displayName pres, sub, eq - dodaj: olcDbIndex olcDbIndex: zadani pod - dodaj: olcDbIndex olcDbIndex: mail eq, subinitial - dodaj: olcDbIndex olcDbIndex: dc eq

Indekse dodajemo u bazu podataka i provjeravamo izmjene:

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex

dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: eq olcDbIndex: uc olk pres, eq pres, eq pres, eq pres, eq presc, eq pres pres, eq presc, eq olcDbIndex: eq olcDbIndex: ec olcDbIndex: uc olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: default sub olcDbIndex: mail eq, subinitial olcDbIndex: dc eq

Pravila kontrole pristupa podacima

Pravila koja su uspostavljena tako da korisnici mogu čitati, mijenjati, dodavati i brisati podatke u bazi podataka direktorija nazivaju se kontrola pristupa, dok ćemo mi zvati liste kontrole pristupa ili «Lista ACL kontrole pristupa»Na politike koje konfiguriraju pravila.

Da znam koji ACL su deklarirane po defaultu tijekom procesa instalacije slapd, izvršavamo:

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} frontend)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Svaka od prethodnih naredbi pokazat će nam ACL koje smo do sada deklarirali u našem direktorijumu. Konkretno, zadnja naredba ih prikazuje sve, dok nam prve tri daju pravila kontrole pristupa za sve tri. DIT uključeni u naš slapd.

Na temu ACL a kako ne biste napravili mnogo duži članak, preporučujemo vam čitanje stranica priručnika man slapd.access.

Da bi zajamčio pristup korisnicima i administratorima da ažuriraju svoje unose loginShell y Gekoni, dodaćemo sljedeći ACL:

## Kreiramo datoteku olcAccess.ldif i ostavljamo je sa sljedećim sadržajem: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcAccess olcAccess: {1} to attrs = loginShell, gecos by dn = "cn = admin, dc = friends, dc = cu" napiši sam napiši po * pročitajte

## Dodamo ACL
: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif

# Provjeravamo promjene
ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Izrada certifikata TLS Squeeze

Da bismo imali sigurnu provjeru autentičnosti s OpenLDAP serverom, moramo to učiniti kroz šifriranu sesiju koju možemo postići korištenjem TLS «Sigurnost transportnog sloja» o Sigurnosni transportni sloj.

OpenLDAP poslužitelj i njegovi klijenti mogu koristiti okvir TLS za pružanje zaštite integriteta i povjerljivosti, kao i za podršku sigurnoj LDAP provjeri autentičnosti putem mehanizma SASL «Jednostavna razina provjere autentičnosti i sigurnosti« Vanjski.

Savremeni OpenLDAP serveri favorizuju upotrebu */ StartTLS /* o Pokrenite sloj sigurnog transporta na /LDAPS: ///, koji je zastario. Ako imate pitanja, posjetite * Start TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html

Samo ostavite datoteku onako kako je zadana / etc / default / slapd sa izjavom SLAPD_SERVICES = »ldap: /// ldapi: ///», s ciljem korištenja šifriranog kanala između klijenta i poslužitelja, te samih pomoćnih aplikacija za administraciju OpenLDAP-a koji su instalirani lokalno.

Ovdje opisana metoda, zasnovana na paketima gnutls-bin y ssl-cert vrijedi za Debian 6 "Squeeze", a također i za Ubuntu Server 12.04. Za Debian 7 "Wheezy" druga metoda zasnovana na OpenSSL.

Generiranje certifikata u Squeeze vrši se na sljedeći način:

1.- Instaliramo potrebne pakete
: ~ # aptitude instaliraj gnutls-bin ssl-cert

2.- Kreiramo primarni ključ za tijelo za izdavanje certifikata
: ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3.- Kreiramo predložak za definiranje CA (Certificate Authority)
: ~ # nano /etc/ssl/ca.info cn = Kubanski prijatelji ca cert_signing_key

4. - Izrađujemo CA samopotpisan ili samopotpisan certifikat za klijente
: ~ # certtool --generate-self-signed \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem

5. - Generiramo privatni ključ za poslužitelj
: ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem

nota: Zamijeni "mildap"u ime gornje datoteke s imenom vašeg vlastitog servera. Imenovanje certifikata i ključa, kako za server, tako i za uslugu koja ga koristi, pomaže nam da stvari budu jasne.

6.- Kreiramo datoteku /etc/ssl/mildap.info sa sljedećim sadržajem:
: ~ # nano /etc/ssl/mildap.info organization = Kubanski prijatelji cn = mildap.amigos.cu tls_www_server encryption_key sign_key expiration_days = 3650

nota: U prethodnom sadržaju izjavljujemo da certifikat vrijedi 10 godina. Parametar se mora prilagoditi našoj udobnosti.

7.- Izrađujemo sertifikat servera
: ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem

Do sada smo generirali potrebne datoteke, u Direktorij moramo dodati samo mjesto samopotpisanog certifikata cacert.pem; onaj sertifikata servera mildap-cert.pem; i privatni ključ servera mildap-key.pem. Moramo također prilagoditi dozvole i vlasnika generiranih datoteka.

: ~ # nano /etc/ssl/certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - dodaj: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTec / TSC / skripte / olcTeC / TSC / adder: olcTec / TSC / skripte / olcTeC / TSC / adder: olcTLSCACertificateFile /mildap-key.pem

8.- Dodamo: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

9.- Prilagođavamo vlasnika i dozvole
: ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod ili /etc/ssl/private/mildap-key.pem

Potvrda cacert.pem To je onaj koji moramo kopirati kod svakog klijenta. Da bi se ovaj certifikat koristio na samom serveru, moramo ga prijaviti u datoteci /etc/ldap/ldap.conf. Da bismo to učinili, mijenjamo datoteku i ostavljamo je sa sljedećim sadržajem:

: ~ # nano /etc/ldap/ldap.conf
BAZA dc = prijatelji, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

Na kraju, a takođe i kao provjera, ponovo pokrećemo uslugu slapd i provjeravamo izlaz syslog sa servera da biste saznali je li usluga ponovno pokrenuta pravilno koristeći novoproglašeni certifikat.

: ~ # ponovno pokretanje usluge slapd
: ~ # tail / var / log / syslog

Ako se usluga ne pokrene pravilno ili primijetimo ozbiljnu grešku u syslog, nemojmo se obeshrabriti. Možemo pokušati popraviti štetu ili krenuti ispočetka. Ako se odlučimo za početak instalacije slapd, nije potrebno formatirati naš server.

Da bismo izbrisali sve što smo do sada radili iz jednog ili drugog razloga, moramo deinstalirati paket slapd, a zatim izbrišite mapu / var / lib / ldap. Datoteku takođe moramo ostaviti u izvornoj verziji /etc/ldap/ldap.conf.

Rijetko kada sve funkcionira ispravno u prvom pokušaju. 🙂

Zapamtite da ćemo u sljedećem dijelu vidjeti:

  • Lokalna autentifikacija korisnika
  • Popunite bazu podataka
  • Upravljajte bazom podataka pomoću uslužnih programa konzole
  • Sažetak do sada ...

Vidimo se uskoro prijatelji !.


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

19 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   hugo rekao je

    Učiteljice !!!
    DOGODILO SE SA TUTOM!
    je izvrsno
    svi LIKOVI SVIJETA ZA VAS.
    ????

    1.    federico rekao je

      Puno ti hvala, Hugo !!! Pričekajte sljedeće članke na tu temu.

  2.   thisnameisfalse rekao je

    Zdravo

    zanimljiva vaša serija članaka.

    Iznenadio sam se pročitavši ovu izjavu: "Moderni OpenLDAP serveri više vole upotrebu StartTLS-a ili Pokretanje sigurnog transportnog sloja od starog TLS / SSL protokola, koji je zastario."

    Tvrdite li da je u svim slučajevima čak i izvan dometa LDAP, STARTTLS zaštitni mehanizam superiorniji od TSL / SSL?

    1.    federico rekao je

      Hvala na komentaru. Imajte na umu da mislim na OpenLDAP. Ne pretjerujem. In http://www.openldap.org/faq/data/cache/185.html, možete pročitati sljedeće:

      Sigurnost transportnog sloja (TLS) je standardni naziv za sloj sigurne utičnice (SSL). Izrazi (osim ako nisu kvalificirani određenim brojevima verzija) uglavnom su međusobno zamjenjivi.

      StartTLS je naziv standardne LDAP operacije za pokretanje TLS / SSL-a. TLS / SSL se pokreće nakon uspješnog završetka ove LDAP operacije. Nije potreban alternativni port. Ponekad se naziva operacijom nadogradnje TLS-a, jer nadograđuje normalnu LDAP vezu na onu zaštićenu TLS / SSL-om.

      ldaps: // i LDAPS se odnosi na "LDAP preko TLS / SSL" ili "LDAP osiguran". TLS / SSL se pokreće nakon povezivanja na alternativni port (obično 636). Iako je LDAPS port (636) registriran za ovu upotrebu, detalji mehanizma za pokretanje TLS / SSL nisu standardizirani.

      Jednom pokrenut, nema razlike između ldaps: // i StartTLS. Dijele iste opcije konfiguracije (osim ldaps: // zahtijeva konfiguraciju odvojenog preslušača, pogledajte opciju slapd (8) -h) i rezultiraju uspostavljanjem sličnih sigurnosnih usluga.
      Bilješka:
      1) ldap: // + StartTLS treba biti usmjeren na uobičajeni LDAP port (obično 389), a ne na ldaps: // port.
      2) ldaps: // treba usmjeriti na LDAPS port (obično 636), a ne na LDAP port.

      1.    thisnameisfalse rekao je

        Izvinite, ali još uvijek nisam siguran zašto tvrdite da: 1) moderni serveri preferiraju STARTTLS od SSL / TLS; 2) da je STARTTLS moderan, nasuprot SSL / TLS koji je zastario.

        Pola mjeseca se borim s konfiguracijom različitih klijenata pošte koji serveru pristupaju putem SSL-a (koristeći knjižnice openssl, kao što to čini većina besplatnog softvera), sa CA certifikatima u / etc / ssl / certs / i ostalim priborom. I ono što sam naučio je da: 1) STARTTLS šifrira samo provjeru autentičnosti sesije, a sve ostalo se šalje nešifrirano; 2) SSL šifrira apsolutno sav sadržaj sesije. Stoga, STARTTLS ni u kojem slučaju nije tehnički superiorniji od SSL-a; Radije bih bio sklon misliti drugačije, jer sadržaj vaše sesije putuje nešifriran mrežom.

        Druga je druga stvar to što se STARTTLS preporučuje iz drugih razloga koje ja ne znam: zbog kompatibilnosti s MSWindowsom, jer je implementacija stabilnija ili je bolje testirana ... Ne znam. Zato vas i pitam.

        Iz citata iz priručnika koji ste mi priložili u svom odgovoru vidim da je razlika između ldap: // i ldaps: // ekvivalentna razlici između imap: // i imaps: // ili između smtp : // i smtps: //: koristi se drugi port, doda se neki dodatni unos u konfiguracijsku datoteku, ali se ostatak parametara zadržava. Ali to ne znači ništa o tome da li više volite STARTTLS ili ne.

        Pozdrav, izvinite na odgovoru. Samo pokušavam naučiti malo više.

        1.    federico rekao je

          Gledajte, vrlo je rijetko da u svojim člancima iznosim tvrdnje takvog kalibra, a da me ne potkrepi nijedna ozbiljna publikacija. Na kraju serije uvrstit ću sve veze do dokumentacije koju smatram ozbiljnom i koju sam savjetovao da napišem post. Predstavljam vam sljedeće linkove:

          https://wiki.debian.org/LDAP/OpenLDAPSetup
          Ubuntu ServerGuide https://code.launchpad.net/serverguide
          OpenLDAP-Official http://www.openldap.org/doc/admin24/index.html
          LDAP preko SSL / TLS i StartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/

          Nadalje, pregledao sam prateću dokumentaciju koja je instalirana uz svaki paket.

          Pitanje sigurnosti općenito i razlike između StartTLS-a i TLS / SSL-a vrlo su tehničke i takve dubine da ne smatram da imam potrebno znanje za davanje takvih objašnjenja. Mislim da možemo nastaviti razgovor putem e-maila.

          Nadalje, nigdje ne navodim da se LDAPS: // ne može koristiti. Ako to smatrate sigurnijim, samo naprijed !!!

          Ne mogu vam više pomoći i zaista cijenim vaše komentare.

        2.    federico rekao je

          Još malo jasnosti možete dobiti - uvijek o OpenLDAP - u:
          http://www.openldap.org/faq/data/cache/605.html

          Proširena operacija StartTLS [RFC 2830] je LDAPv3 standardni mehanizam za omogućavanje zaštite povjerljivosti podataka TLS (SSL). Mehanizam koristi LDAPv3 proširenu operaciju za uspostavljanje šifrirane SSL / TLS veze unutar već uspostavljene LDAP veze. Iako je mehanizam dizajniran za upotrebu s TLSv1, većina implementacija će se vratiti na SSLv3 (i SSLv2) ako je potrebno.

          ldaps: // je mehanizam za uspostavljanje šifrirane SSL / TLS veze za LDAP. Zahtijeva upotrebu zasebnog porta, obično 636. Iako je izvorno dizajniran za upotrebu s LDAPv2 i SSLv2, mnoge implementacije podržavaju njegovu upotrebu s LDAPv3 i TLSv1. Iako ne postoji tehnička specifikacija za ldaps: // ona se široko koristi.

          ldaps: // zastario je u korist pokretanja TLS-a [RFC2830]. OpenLDAP 2.0 podržava oboje.
          Iz sigurnosnih razloga poslužitelj treba biti konfiguriran da ne prihvaća SSLv2.

  3.   freebsddick rekao je

    Ovo će biti jedan od onih članaka u kojima korisnici neće komentirati, jer kako gledaju pornografiju samo na svojim Linux stanicama, jednostavno ih ne zanima.O ldap-u imam nekoliko srodnih usluga u okviru heterogene mreže za kompaniju u kojoj radim. Dobar članak !!

    1.    federico rekao je

      Hvala na komentaru !!!. A vaša izjava je vrlo tačna u vezi s nekoliko komentara u mnogim mojim člancima. Međutim, primam dopise od zainteresovanih čitatelja ili od drugih koji preuzmu članak za kasnije čitanje i prijavu.

      Uvijek je vrlo korisno imati povratne informacije putem komentara, čak i ako jesu: sačuvao sam ih za kasnije čitanje, zanimljivo ili neko drugo mišljenje.

      Saludos

  4.   federico rekao je

    The Freeke !!! Hvala na komentaru. Primio sam vaš komentar poštom, ali ga ne vidim iako osvježavam stranicu nekoliko puta. Prijatelju, ovaj i prethodne članke možete bez problema isprobati na Squeeze ili Ubuntu Server 12.04. U Wheezy se certifikati generiraju drugačije, koristeći OpenSSL. Ali ništa. Pozdrav, brate !!!

  5.   federico rekao je

    @thisnameisfalse: Najbolji službenik se zamuti. Zahvaljujući vašim komentarima, mislim da bi dotični odlomak trebao biti sljedeći:

    Moderni OpenLDAP serveri preferiraju upotrebu StartTLS-a ili Pokretanje sigurnog transportnog sloja od protokola LDAPS: // koji je zastario. Ako imate pitanja, posjetite Start TLS v. ldaps: // en http://www.openldap.org/faq/data/cache/605.html

    Saludos

  6.   Jose Monge rekao je

    Savršeno, trenutno imam domaću zadaću na LDAP-u

  7.   walter rekao je

    Ne možete sve staviti u jednu datoteku, tako da možete preuzeti kompletan vodič

  8.   eVeR rekao je

    Ja sam računalni tehničar s velikim iskustvom u Linuxu, ali ipak sam se izgubio usred članka. Tada ću ga pažljivije pročitati. Puno vam hvala na lekciji.
    Iako je istina da nam omogućava da shvatimo mnogo više zašto se za te stvari obično bira ActiveDirectory. Postoji univerzum razlika kada je u pitanju jednostavnost konfiguracije i implementacije.
    Saludos

  9.   federico rekao je

    Hvala svima na komentaru !!!
    @jose monge, nadam se da će ti pomoći
    @walter na kraju svih postova, vidjet ću mogu li napraviti sažetak u html ili pdf formatu
    @eVeR, obrnuto, OpenLDAP je jednostavniji - čak i ako se ne čini kao Active Directory. sačekajte sljedeće članke i vidjet ćete.

  10.   marcelo rekao je

    Upit, radim instalaciju korak po korak, ali prilikom ponovnog pokretanja usluge slapd, izbacuje mi sljedeću grešku>

    30. jula 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (17. marta 2014. 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / debian / build / servers / slapd
    30. srpnja 15:27:37 xxxxx slapd [1219]: Umetnut je NEPOZNATI atributOpis "CHANGETYPE".
    30. srpnja 15:27:37 xxxxx slapd [1219]: Umetnut je NEPOZNATI atributOpis "DODAJ".
    30. srpnja 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): prazno AttributeDescription
    30. srpnja 15:27:37 xxxxx slapd [1219]: slapd zaustavljen.
    30. jul 15:27:37 xxxxx [1219]: connections_destroy: ništa za uništavanje.

    1.    x11tete11x rekao je

      možete pitati na forumu 😀 http://foro.desdelinux.net/

  11.   pedrop rekao je

    Za sve koji vide ovaj izvrsni i dobro objašnjeni post, a ovaj problem se događa prilikom stvaranja ACL-ova:
    ldapmodify: nevažeći format (red 5) unos: "olcDatabase = {1} hdb, dc = config"

    Nakon razbijanja glave pretražujući Internet, ispostavilo se da je ldapmodify najtačniji tip na licu Mreže. Histerična je s pogrešno postavljenim likovima, kao i sa praznim razmacima. Bez daljnjeg savjeta, savjet je da napišete uvjet jedan pored drugog ili da X napišete samostalno, napišite * read. Ako i dalje ne uspije, instalirajte Notepad ++> Pogled> Prikaži simbol i konačno smrt nevidljivim likovima. Nadam se da će neko biti od pomoći.

  12.   pedrop rekao je

    Generirajte certifikate za Debian Wheezy na osnovu OpenSSL-a koji mogu služiti:
    http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/