Adresářová služba s LDAP [4]: ​​OpenLDAP (I)

fico

12 minut

Dobrý den, přátelé!. Pojďme se pustit do práce a jak vždy doporučujeme, přečtěte si tři předchozí články v sérii:

DNS, DHCP a NTP jsou minimální základní služby pro náš jednoduchý adresář založený na OpenLDAP nativní, funguje správně na Debian 6.0 „Squeeze“, nebo v Ubuntu 12.04 LTS „Precise Pangolin“.

Příklad sítě:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

V první části uvidíme:

  • Instalace OpenLDAP (slapd 2.4.23-7.3)
  • Kontroly po instalaci
  • Indexy, které je třeba zohlednit
  • Pravidla kontroly přístupu k datům
  • Generování certifikátů TLS ve Squeeze

zatímco ve druhé části budeme pokračovat:

  • Místní ověřování uživatelů
  • Naplňte databázi
  • Spravujte databázi pomocí obslužných programů konzoly
  • Shrnutí zatím ...

Instalace OpenLDAP (slapd 2.4.23-7.3)

Server OpenLDAP je nainstalován pomocí balíčku plácnutí. Musíme také nainstalovat balíček ldap-utils, který nám poskytuje některé nástroje na straně klienta i vlastní nástroje OpenLDAP.

: ~ # aptitude install slapd ldap-utils

Během procesu instalace se debconf Požádá nás o heslo správce nebo uživatele «administrátor«. Je také nainstalována řada závislostí; uživatel je vytvořen openldap; je vytvořena počáteční konfigurace serveru i adresář LDAP.

V dřívějších verzích OpenLDAP byla konfigurace démona plácnutí bylo provedeno zcela prostřednictvím souboru /etc/ldap/slapd.conf. Ve verzi, kterou používáme, a později se konfigurace provádí stejně plácnutí, a za tímto účelem a DIT «Informační strom adresáře»Nebo strom adresářových informací, zvlášť.

Metoda konfigurace známá jako RTC «Konfigurace v reálném čase»Konfigurace v reálném čase nebo jako metoda cn = konfigurace, nám umožňuje dynamicky konfigurovat plácnutí bez nutnosti restartování služby.

Konfigurační databáze se skládá z kolekce textových souborů ve formátu LDIF «Formát výměny dat LDAP»Formát LDAP pro výměnu dat, který se nachází ve složce /etc/ldap/slapd.d.

Chcete-li získat představu o organizaci složek slapd.d, utíkejme:

: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: celkem 8 drwxr-x --- 3 openldap openldap 4096 16. února 11:08 cn = config -rw ------- 1 openldap openldap 407 16. února 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: celkem 28 -rw ------- 1 openldap openldap 383 16. února 11:08 cn = modul {0} .ldif drwxr-x --- 2 openldap openldap 4096 16. února 11:08 cn = schema -rw ------- 1 openldap openldap 325 16. února 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 16. února 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 16. února 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16. února 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16. února 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schéma: celkem 40 -rw ------- 1 openldap openldap 15474 16. února 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 16. února 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 16. února 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 16. února 11:08 cn = {3} inetorgperson.ldif

Podíváme-li se trochu na předchozí výstup, uvidíme, že backend použitý ve Squeeze je typ databáze hdb, což je varianta bdb „Berkeley Database“ a že je plně hierarchická a podporuje přejmenování dílčích stromů. Chcete-li se dozvědět více o možných Backendy který podporuje OpenLDAP, navštivte http://es.wikipedia.org/wiki/OpenLDAP.

Vidíme také, že se používají tři samostatné databáze, tedy jedna vyhrazená pro konfiguraci, druhá pro Frontenda poslední, kterou je databáze hdb per se.

Kromě toho, plácnutí je ve výchozím nastavení nainstalován se schématy Jádro, kosinus, duben e internetová osoba.

Kontroly po instalaci

V terminálu klidně provádíme a čteme výstupy. Zkontrolujeme, zejména u druhého příkazu, konfiguraci odvozenou od výpisu složky slapd.d.

: ~ # ldapsearch -Q -LLL -Y EXTERNÍ -H ldapi: /// -b cn = config | více: ~ # ldapsearch -Q -LLL -Y EXTERNÍ -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = modul {0}, cn = config dn: cn = schéma, cn = config dn: cn = {0} jádro, cn = schéma, cn = config dn: cn = {1} kosinus , cn = schema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetorgperson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} rozhraní, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config

Vysvětlení každého výstupu:

  • cn = konfigurace: Globální parametry.
  • cn = modul {0}, cn = konfigurace: Dynamicky načtený modul.
  • cn = schéma, cn = konfigurace: Obsahuje napevno na úrovni systémových schémat.
  • cn = {0} jádro, cn = schéma, cn = konfigurace: napevno schématu jádra.
  • cn = {1} kosinus, cn = schéma, cn = konfigurace: Schéma Kosinus.
  • cn = {2} nis, cn = schéma, cn = konfigurace: Schéma Niš.
  • cn = {3} inetorgperson, cn = schéma, cn = konfigurace: Schéma internetová osoba.
  • olcBackend = {0} hdb, cn = konfigurace: backend typ úložiště dat hdb.
  • olcDatabase = {- 1} rozhraní, cn = konfigurace: Frontend databáze a výchozí parametry pro ostatní databáze.
  • olcDatabase = {0} config, cn = config: konfigurační databáze plácnutí (cn = konfigurace).
  • olcDatabase = {1} hdb, cn = config: Naše instance databáze (dc = přátelé, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = příklad, dc = com dn
dn: dc = přátelé, dc = cu dn: cn = správce, dc = přátelé, dc = cu
  • dc = přátelé, dc = cu: DIT Základní informační strom adresáře
  • cn = admin, dc = přátelé, dc = cu: Správce (rootDN) DIT deklarovaný během instalace.

poznámka: Základní přípona dc = přátelé, dc = cu, vzal to debconf během instalace od FQDN server mildap.amigos.cu.

Indexy, které je třeba zohlednit

Indexování záznamů se provádí za účelem zlepšení výkonu vyhledávání na serveru DIT, s kritérii filtru. Indexy, které vezmeme v úvahu, jsou minimální doporučené podle atributů deklarovaných ve výchozích schématech.

Abychom dynamicky upravili indexy v databázi, vytvoříme textový soubor ve formátu LDIFa později jej přidáme do databáze. Vytvoříme soubor olcDbIndex.ldif a necháme to s následujícím obsahem:

: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: upravit add: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: členUid eq, olc: eld, eq, olc: - add: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, sub, eq - add: olcDbIndex olcDbIndex: givenName, - add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: default sub - add: olcDbIndex olcDbIndex: mail eq, subinitial - add: olcDbIndex olcDbIndex: dc eq

Přidáme indexy do databáze a zkontrolujeme úpravu:

: ~ # ldapmodify -Y EXTERNÍ -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # ldapsearch -Q -LLL -Y EXTERNÍ -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex

dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: uid pres, subq, eq ol olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: výchozí sub olcDbIndex: e-mail eq, podřízený olcDbIndex: dc eq

Pravidla kontroly přístupu k datům

Řízení přístupu se nazývá pravidla, která jsou stanovena tak, aby uživatelé mohli číst, upravovat, přidávat a mazat data v databázi adresáře, zatímco my budeme volat Seznamy řízení přístupu nebo «Seznam řízení přístupu ACL»K zásadám, které konfigurují pravidla.

Vědět které ACL byly ve výchozím nastavení deklarovány během procesu instalace plácnutí, provádíme:

: ~ # ldapsearch -Q -LLL -Y EXTERNÍ -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNÍ -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} frontend)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNÍ -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNÍ -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Každý z předchozích příkazů nám ukáže ACL že jsme dosud deklarovali v našem adresáři. Poslední příkaz je konkrétně zobrazuje všechny, zatímco první tři nám dávají pravidla řízení přístupu pro všechny tři. DIT podílející se na našem plácnutí.

Na téma ACL a aby nevznikl mnohem delší článek, doporučujeme přečíst si manuálové stránky muž slapd. přístup.

Zajistit přístup uživatelů a správců k aktualizaci jejich záznamů z přihlašovací prostředí y Gekoni, přidáme následující ACL:

## Vytvoříme soubor olcAccess.ldif a necháme jej s následujícím obsahem: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcAccess olcAccess: {1} to attrs = loginShell, gecos by dn = "cn = admin, dc = friends, dc = cu" write by self write by * číst

## Přidáme ACL
: ~ # ldapmodify -Y EXTERNÍ -H ldapi: /// -f ./olcAccess.ldif

# Zkontrolujeme změny
ldapsearch -Q -LLL -Y EXTERNÍ -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Generování certifikátů TLS ve Squeeze

Abychom mohli mít zabezpečené ověřování na serveru OpenLDAP, musíme to dělat prostřednictvím šifrované relace, které můžeme dosáhnout pomocí TLS «Zabezpečení transportní vrstvy» o Zabezpečená transportní vrstva.

Server OpenLDAP a jeho klienti jsou schopni používat rámec TLS k zajištění ochrany integrity a důvěrnosti a také k podpoře zabezpečené autentizace LDAP prostřednictvím mechanismu SASL «Jednoduchá vrstva ověřování a zabezpečení« Externí.

Moderní servery OpenLDAP upřednostňují použití */ StartTLS /* o Spusťte zabezpečenou transportní vrstvu do /LDAPS: ///, který je zastaralý. Máte-li jakékoli dotazy, navštivte * Spusťte TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html

Ve výchozím nastavení nechejte soubor nainstalovaný / etc / default / slapd s prohlášením SLAPD_SERVICES = »ldap: /// ldapi: ///», aby bylo možné použít šifrovaný kanál mezi klientem a serverem a samotnými pomocnými aplikacemi ke správě OpenLDAP, které jsou nainstalovány místně.

Zde popsaná metoda založená na balíčcích gnutls-bin y ssl-cert je platný pro Debian 6 „Squeeze“ a také pro Ubuntu Server 12.04. Pro Debian 7 „Wheezy“ jiná metoda založená na OpenSSL.

Generování certifikátů ve Squeeze se provádí následovně:

1. - Nainstalujeme potřebné balíčky
: ~ # aptitude install gnutls-bin ssl-cert

2.- Vytvoříme primární klíč pro certifikační autoritu
: ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3.- Vytvoříme šablonu pro definici CA (Certifikační autorita)
: ~ # nano /etc/ssl/ca.info cn = Kubánští přátelé ca cert_signing_key

4.- Pro klienty vytváříme certifikát CA s vlastním podpisem nebo certifikát s vlastním podpisem
: ~ # certtool --generate-self-signed \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem

5.- Generujeme soukromý klíč pro server
: ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem

poznámka: Nahradit „Měkká mapa„v názvu výše uvedeného souboru jménem vašeho vlastního serveru. Pojmenování certifikátu a klíče, jak pro server, tak pro službu, která jej používá, nám pomáhá udržovat přehled.

6.- Vytvoříme soubor /etc/ssl/mildap.info s následujícím obsahem:
: ~ # nano /etc/ssl/mildap.info organization = Kubánští přátelé cn = mildap.amigos.cu tls_www_server encryption_key podpis_key expirace_dny = 3650

poznámka: V předchozím obsahu prohlašujeme, že certifikát je platný po dobu 10 let. Parametr musí být přizpůsoben našemu pohodlí.

7.- Vytvoříme certifikát serveru
: ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem

Zatím jsme vygenerovali potřebné soubory, do adresáře musíme pouze přidat umístění certifikátu podepsaného svým držitelem cacert.pem; certifikátu serveru mildap-cert.pem; a soukromý klíč serveru Mildap-key.pem. Musíme také upravit oprávnění a vlastníka vygenerovaných souborů.

: ~ # nano /etc/ssl/certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTLSCertifikát. /mildap-key.pem

8.- Přidat: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

9.- Upravujeme vlastníka a oprávnění
: ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod nebo /etc/ssl/private/mildap-key.pem

Certifikát cacert.pem Je to ten, který musíme zkopírovat u každého klienta. Aby byl tento certifikát použit na samotném serveru, musíme jej deklarovat v souboru /etc/ldap/ldap.conf. Za tímto účelem soubor upravíme a necháme jej s následujícím obsahem:

: ~ # nano /etc/ldap/ldap.conf
BASE dc = přátelé, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

Nakonec a také jako kontrolu restartujeme službu plácnutí a zkontrolujeme výstup syslog ze serveru zjistit, zda byla služba správně restartována pomocí nově deklarovaného certifikátu.

: ~ # restartování služby slapd
: ~ # tail / var / log / syslog

Pokud se služba nerestartuje správně nebo pozorujeme vážnou chybu v syslogNenechme se odradit. Můžeme zkusit opravit poškození nebo začít znovu. Pokud se rozhodneme začít od nuly s instalací plácnutí, není nutné náš server formátovat.

Chcete-li vymazat vše, co jsme doposud z nějakého důvodu provedli, musíme balíček odinstalovat plácnutía poté složku odstraňte / var / lib / ldap. Musíme také ponechat soubor v původní verzi /etc/ldap/ldap.conf.

Je zřídka, že vše funguje správně na první pokus. 🙂

Nezapomeňte, že v další části uvidíme:

  • Místní ověřování uživatelů
  • Naplňte databázi
  • Spravujte databázi pomocí obslužných programů konzoly
  • Shrnutí zatím ...

Uvidíme se brzy přátelé!


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Odpovědný za údaje: Miguel Ángel Gatón
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.

  1.   Hugo řekl
    před 10 let

    Učitel!!!
    STALO SE TUTO!
    je vynikající
    VŠECHNY RÁDY SVĚTA PRO VÁS.
    ????

    Odpověď Hugovi
    1.    Federico řekl
      před 10 let

      Děkuji moc, Hugo !!! Počkejte na další články na toto téma.

      Odpovědět federico
  2.   toto jméno je falešné řekl
    před 10 let

    Ahoj

    zajímavá vaše série článků.

    Překvapilo mě, když jsem si přečetl toto prohlášení: „Moderní servery OpenLDAP upřednostňují použití StartTLS nebo Spustit bezpečnou transportní vrstvu před starým protokolem TLS / SSL, který je zastaralý.“

    Tvrdíte, že ve všech případech i mimo rozsah LDAP je STARTTLS ochranným mechanismem nadřazeným TSL / SSL?

    Odpovědět thisnameisfalse
    1.    Federico řekl
      před 10 let

      Děkuji za komentář. Všimněte si, že mám na mysli OpenLDAP. Nepřesahuji. v http://www.openldap.org/faq/data/cache/185.html, si můžete přečíst následující:

      Zabezpečení TLS (Transport Layer Security) je standardní název pro SSL (Secure Socket Layer). Podmínky (pokud nejsou specifikovány konkrétními čísly verzí) jsou obecně zaměnitelné.

      StartTLS je název standardní operace LDAP pro zahájení TLS / SSL. TLS / SSL se inicializuje po úspěšném dokončení této operace LDAP. Není nutný žádný alternativní port. Někdy se označuje jako operace upgradu TLS, protože upgraduje normální připojení LDAP na připojení chráněné pomocí TLS / SSL.

      ldaps: // a LDAPS označuje „LDAP přes TLS / SSL“ nebo „LDAP zabezpečeno“. TLS / SSL se inicializuje po připojení k alternativnímu portu (obvykle 636). Ačkoli je pro toto použití registrován port LDAPS (636), podrobnosti o iniciačním mechanismu TLS / SSL nejsou standardizovány.

      Po zahájení není žádný rozdíl mezi ldaps: // a StartTLS. Sdílejí stejné možnosti konfigurace (s výjimkou ldaps: // vyžaduje konfiguraci samostatného posluchače, viz možnost s-h slapd (8)) a výsledkem je vytvoření podobných bezpečnostních služeb.
      Poznámka:
      1) ldap: // + StartTLS by měl být směrován na normální port LDAP (obvykle 389), nikoli na port ldaps: //.
      2) ldaps: // by měl být směrován na port LDAPS (obvykle 636), nikoli na port LDAP.

      Odpovědět federico
      1.    toto jméno je falešné řekl
        před 10 let

        Omlouváme se, ale stále si nejsem jistý, proč tvrdíte, že: 1) moderní servery upřednostňují STARTTLS před SSL / TLS; 2) STARTTLS je moderní, oproti SSL / TLS, který je zastaralý.

        Už půl měsíce bojuji s konfigurací různých poštovních klientů, kteří přistupují na server pomocí SSL (pomocí knihoven openssl, jak to dělá většina svobodného softwaru), s certifikáty CA v / etc / ssl / certs / a dalším příslušenstvím. A to, co jsem se naučil, je, že: 1) STARTTLS šifruje pouze autentizaci relace a vše ostatní se odesílá nezašifrované; 2) SSL šifruje absolutně veškerý obsah relace. Proto v žádném případě není STARTTLS technicky lepší než SSL; Raději bych měl sklon si myslet opak, protože obsah vaší relace cestuje nezašifrovaný po síti.

        Další odlišná věc je, že STARTTLS se doporučuje z jiných důvodů, které neznám: pro kompatibilitu s MSWindows, protože implementace je stabilnější nebo je lépe testována ... nevím. Proto se vás ptám.

        Z citace manuálu, který jste mi přiložili ve své odpovědi, vidím, že rozdíl mezi ldap: // a ldaps: // je ekvivalentní rozdílu mezi imap: // a imaps: //, nebo mezi smtp: // a smtps: //: použije se jiný port, do konfiguračního souboru se přidá další položka, ale zbytek parametrů se zachová. Ale to nenaznačuje nic o upřednostňování STARTTLS nebo ne.

        Zdravím a omlouvám se za odpověď. Jen se snažím naučit trochu víc.

        Odpovědět thisnameisfalse
        1.    Federico řekl
          před 10 let

          Podívejte se, je velmi vzácné, že ve svých článcích uplatňuji tvrzení tohoto kalibru, aniž bych byl podporován nějakou seriózní publikací. Na konci seriálu uvedu všechny odkazy na dokumentaci, kterou považuji za vážnou a kterou jsem při psaní příspěvku konzultoval. Předkládám vám následující odkazy:

          https://wiki.debian.org/LDAP/OpenLDAPSetup
          Průvodce serverem Ubuntu https://code.launchpad.net/serverguide
          OpenLDAP-Official http://www.openldap.org/doc/admin24/index.html
          LDAP přes SSL / TLS a StartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/

          A dále jsem konzultoval průvodní dokumentaci, která je nainstalována u každého balíčku.

          Otázka bezpečnosti obecně a rozdíly mezi StartTLS a TLS / SSL jsou velmi technické a tak hluboké, že se nepovažuji za odborníka potřebného k tomu, abych mohl takové vysvětlení podat. Myslím, že můžeme pokračovat v rozhovoru prostřednictvím e-mailu.

          Dále nikde neuvádím, že LDAPS: // nelze použít. Pokud to považujete za bezpečnější, pokračujte !!!

          Už vám nemohu pomoci a opravdu si vážím vašich komentářů.

          Odpovědět federico
        2.    Federico řekl
          před 10 let

          Trochu více srozumitelnosti můžete získat - vždy o OpenLDAP- v:
          http://www.openldap.org/faq/data/cache/605.html

          Rozšířená operace StartTLS [RFC 2830] je standardní mechanismus LDAPv3 umožňující ochranu důvěrnosti dat TLS (SSL). Tento mechanismus používá k navázání šifrovaného připojení SSL / TLS v rámci již navázaného připojení LDAP rozšířenou operaci LDAPv3. Zatímco mechanismus je navržen pro použití s ​​TLSv1, většina implementací se v případě potřeby vrátí k SSLv3 (a SSLv2).

          ldaps: // je mechanismus pro navázání šifrovaného připojení SSL / TLS pro LDAP. Vyžaduje použití samostatného portu, obvykle 636. Ačkoli byl původně navržen pro použití s ​​LDAPv2 a SSLv2, mnoho implementací podporuje jeho použití s ​​LDAPv3 a TLSv1. Ačkoli pro ldaps: // neexistuje žádná technická specifikace, je široce používána.

          Podpora ldaps: // ve prospěch spuštění TLS [RFC2830]. OpenLDAP 2.0 podporuje obojí.
          Z bezpečnostních důvodů by měl být server nakonfigurován tak, aby nepřijímal SSLv2.

          Odpovědět federico
  3.   freebsddick řekl
    před 10 let

    Bude to jeden z článků, ve kterých uživatelé nebudou komentovat, protože jelikož sledují porno pouze na svých linuxových stanicích, prostě je nezajímají. O ldapu mám několik souvisejících služeb v heterogenní síti pro společnost, pro kterou pracuji. Dobrý článek !!

    Odpovědět freebsddick
    1.    Federico řekl
      před 10 let

      Děkuji za komentář !!!. A vaše prohlášení týkající se několika komentářů v mnoha mých článcích je velmi pravdivé. Dostávám však korespondenci od čtenářů, kteří o to mají zájem, nebo od ostatních, kteří si článek stáhnou pro pozdější čtení a použití.

      Vždy je velmi užitečné mít zpětnou vazbu prostřednictvím komentářů, i když jsou: Uložil jsem si ji pro pozdější čtení, zajímavý nebo jiný názor.

      pozdravy

      Odpovědět federico
  4.   Federico řekl
    před 10 let

    Freeke !!! Děkuji za komentář. Váš komentář jsem obdržel e-mailem, ale nevidím ho, i když stránku několikrát aktualizuji. Příteli, můžete si tento a předchozí články bez problémů vyzkoušet na Squeeze nebo Ubuntu Server 12.04. V Wheezy jsou certifikáty generovány odlišně pomocí OpenSSL. Ale nic. S pozdravem, bratře !!!

    Odpovědět federico
  5.   Federico řekl
    před 10 let

    @thisnameisfalse: Nejlepší úředník je rozmazaný. Díky vašim komentářům si myslím, že dotyčný odstavec by měl být následující:

    Moderní servery OpenLDAP upřednostňují použití StartTLS nebo Spustit zabezpečenou transportní vrstvu před zastaralým protokolem LDAPS: //. Máte-li jakékoli dotazy, navštivte Start TLS v. ldaps: // en http://www.openldap.org/faq/data/cache/605.html

    pozdravy

    Odpovědět federico
  6.   Jose Monge řekl
    před 10 let

    Perfektní, právě teď mám domácí úkoly na ldap

    Odpověď jose monge
  7.   walter řekl
    před 10 let

    Nemůžete vložit vše do jednoho souboru, abyste si mohli stáhnout kompletní výukový program

    Odpovědět Walterovi
  8.   vůbec řekl
    před 10 let

    Jsem počítačový technik s rozsáhlými zkušenostmi s Linuxem, přesto jsem se uprostřed článku ztratil. Pak to přečtu opatrněji. Moc děkuji za tutoriál.
    I když je pravda, že nám umožňuje mnohem více pochopit, proč je pro tyto věci obvykle vybrán ActiveDirectory. Pokud jde o jednoduchost konfigurace a implementace, existuje vesmír rozdílů.
    pozdravy

    Odpovědět na eVeR
  9.   Federico řekl
    před 10 let

    Děkuji všem za komentář !!!
    @Jose Monge, doufám, že vám pomůže
    @ walter na konci všech příspěvků, uvidím, jestli mohu vytvořit kompendium ve formátu html nebo pdf
    @eVeR naopak, OpenLDAP je jednodušší - i když to nevypadá jako Active Directory. počkejte na další články a uvidíte.

    Odpovědět federico
  10.   Marcelo řekl
    před 10 let

    Dotaz, provádím instalaci krok za krokem, ale při restartu služby slapd mi hodí následující chybu>

    30. července 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (17. března 2014 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / debian / build / servery / slapd
    30. července 15:27:37 xxxxx slapd [1219]: NEZNÁMÝ atribut Vložen popis „CHANGETYPE“.
    30. července 15:27:37 xxxxx slapd [1219]: NEZNÁMÝ atribut Vložen popis „PŘIDAT“.
    30. července 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): prázdný AttributeDescription
    30. července 15:27:37 xxxxx slapd [1219]: slapd zastaveno.
    30. července 15:27:37 xxxxx [1219]: connections_destroy: nic na zničení.

    Odpověď Marcelovi
    1.    x11tete11x řekl
      před 10 let

      můžete se zeptat ve fóru 😀 http://foro.desdelinux.net/

      Odpovědět x11tete11x
  11.   petrop řekl
    před 9 let

    Pro každého, kdo vidí tento vynikající a dobře vysvětlený příspěvek, se tento problém stane při vytváření seznamů ACL:
    ldapmodify: neplatný formát (řádek 5) položka: "olcDatabase = {1} hdb, dc = config"

    Poté, co jsem si prohledal internet, ukázalo se, že ldapmodify je nejpřesnější typ na tváři webu. Je to hysterické s nesprávně umístěnými postavami i koncovými mezerami. Bez dalších okolků se doporučuje psát podmínku vedle sebe, tj. Podle X psát samostatně, psát * číst. Pokud to stále nefunguje, nainstalujte si Poznámkový blok ++> Zobrazit> Zobrazit symbol a nakonec smrt neviditelným znakům. Doufám, že někdo pomůže.

    Odpověď pedropovi
  12.   petrop řekl
    před 9 let

    Generujte certifikáty pro Debian Wheezy na základě OpenSSL, které může sloužit:
    http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/

    Odpověď pedropovi