Hei ystävät!. Aloitetaan asiasta, ja kuten aina suosittelemme, lue sarjan kolme edellistä artikkelia:
- Hakemistopalvelu LDAP: llä. Johdanto.
- Hakemistopalvelu LDAP: llä [2]: NTP ja dnsmasq.
- Hakemistopalvelu LDAP: llä [3]: Isc-DHCP-palvelin ja Bind9.
DNS, DHCP ja NTP ovat välttämättömät vähimmäispalvelut yksinkertaisen hakemistomme perusteella OpenLDAP syntyperäinen, toimii kunnolla Debian 6.0 "Purista"tai Ubuntu 12.04 LTS: ssä "Precise Pangolin".
Esimerkkiverkko:
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
Ensimmäisessä osassa näemme:
- OpenLDAP-asennus (slapd 2.4.23-7.3)
- Tarkistukset asennuksen jälkeen
- Huomioon otettavat indeksit
- Tietojen käytön valvonnan säännöt
- TLS-varmenteiden luominen puristuksessa
kun taas toisessa osassa jatkamme:
- Paikallinen käyttäjän todennus
- Täytä tietokanta
- Hallitse tietokantaa konsolin apuohjelmien avulla
- Yhteenveto tähän mennessä ...
OpenLDAP-asennus (slapd 2.4.23-7.3)
OpenLDAP-palvelin asennetaan paketin avulla läimäyttää. Meidän on myös asennettava paketti ldap-utils, joka tarjoaa meille joitain asiakaspuolen työkaluja sekä omia OpenLDAP-apuohjelmia.
: ~ # aptitude asenna slapd ldap-utils
Asennuksen aikana debconf Se pyytää meiltä järjestelmänvalvojan tai käyttäjän salasanaa «admin«. Asennetaan myös useita riippuvuuksia; käyttäjä on luotu openldap; palvelimen alkuasetukset ja LDAP-hakemisto luodaan.
Aikaisemmissa OpenLDAP-versioissa daemon-kokoonpano läimäyttää tehtiin kokonaan tiedoston kautta /etc/ldap/slapd.conf. Käyttämässämme ja uudemmassa versiossa määritys tehdään samalla tavalla läimäyttääja tätä tarkoitusta varten a DIT «Hakemistotietopuu»Tai hakemistotietopuu, erikseen.
Konfigurointimenetelmä, joka tunnetaan nimellä RTC «Reaaliaikainen kokoonpano»Reaaliaikainen kokoonpano tai menetelmä cn = kokoonpano, avulla voimme määrittää dynaamisesti läimäyttää vaatimatta palvelun uudelleenkäynnistystä.
Kokoonpanotietokanta koostuu kokoelmasta tiedostomuotoja muodossa LDIF «LDAP-tiedonsiirtomuoto»Kansiossa oleva LDAP-muoto tiedonsiirtoa varten /etc/ldap/slapd.d.
Saadaksesi käsityksen kansion organisaatiosta slapd.d, juostaan:
: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: yhteensä 8 drwxr-x --- 3 openldap openldap 4096 16. helmikuuta 11:08 cn = config -rw ------- 1 openldap openldap 407 16. helmikuuta 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: yhteensä 28 -rw ------- 1 openldap openldap 383 16. helmikuuta 11:08 cn = module {0} .ldif drwxr-x --- 2 openldap openldap 4096 16. helmikuuta 11:08 cn = schema -rw ------- 1 openldap openldap 325 16. helmikuuta 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 16. helmikuuta 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 16. helmikuuta 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16. helmikuuta 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16. helmikuuta 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = skeema: yhteensä 40 -rw ------- 1 openldap openldap 15474 16. helmikuuta 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 16. helmikuuta 11:08 cn = {1} kosini.ldif -rw ------- 1 openldap openldap 6438 16. helmikuuta 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 16. helmikuuta 11:08 cn = {3} inetorgperson.ldif
Jos katsomme edellistä lähtöä hieman, näemme, että taustaosa Squeezessä käytetty tietokantatyyppi hdb, joka on variantti BdB "Berkeley Database" ja että se on täysin hierarkkinen ja tukee alipuiden uudelleennimeämistä. Lisätietoja mahdollisista backends joka tukee OpenLDAP: tä, käy osoitteessa http://es.wikipedia.org/wiki/OpenLDAP.
Näemme myös, että käytetään kolmea erillistä tietokantaa, toisin sanoen yksi omistettu määrityksille, toinen Frontendja viimeinen, joka on tietokanta hdb sinänsä.
Lisäksi, läimäyttää on asennettu oletuksena kaavojen kanssa Ydin, Kosini, Nis e Tiedonvälittäjä.
Tarkistukset asennuksen jälkeen
Terminaalissa suoritamme ja lukemme lähdöt rauhallisesti. Tarkistamme erityisesti toisen komennon kanssa kokoonpanon, joka on päätetty kansion luettelosta slapd.d.
: ~ # ldapsearch -Q -LLL -Y ULKOINEN -H ldapi: /// -b cn = config | lisää: ~ # ldapsearch -Q -LLL -Y ULKOINEN -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = moduuli {0}, cn = config dn: cn = skeema, cn = config dn: cn = {0} ydin, cn = skeema, cn = config dn: cn = {1} kosini , cn = skeema, cn = config dn: cn = {2} nis, cn = skeema, cn = config dn: cn = {3} inetorgperson, cn = skeema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} käyttöliittymä, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config
Jokaisen lähdön selitys:
- cn = kokoonpano: Yleiset parametrit.
- cn = moduuli {0}, cn = kokoonpano: Dynaamisesti ladattu moduuli.
- cn = skeema, cn = konfig: Sisältää kovakoodattuja järjestelmäjärjestelmien tasolla.
- cn = {0} ydin, cn = skeema, cn = konfig: Tällä kovakoodattuja ytimen kaaviokuva.
- cn = {1} kosini, cn = skeema, cn = konfig: Järjestelmä Kosini.
- cn = {2} nis, cn = skeema, cn = konfig: Järjestelmä Nis.
- cn = {3} inetorgperson, cn = skeema, cn = config: Järjestelmä Tiedonvälittäjä.
- olcBackend = {0} hdb, cn = kokoonpano: taustaosa tietojen tallennustyyppi hdb.
- olcDatabase = {- 1} käyttöliittymä, cn = config: Frontend tietokannan ja muiden tietokantojen oletusparametrit.
- olcDatabase = {0} config, cn = config: läimäyttää (cn = kokoonpano).
- olcDatabase = {1} hdb, cn = config: Tietokannan esiintymä (dc = ystävät, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = esimerkki, dc = com dn dn: dc = ystävät, dc = cu dn: cn = admin, dc = ystävät, dc = cu
- dc = ystävät, dc = cu: DIT-pohjahakemiston tietopuu
- cn = admin, dc = ystävät, dc = cu: Asennuksen aikana ilmoitetun DIT: n järjestelmänvalvoja (rootDN).
Huomata: Pohjan jälkiliite dc = ystävät, dc = cu, otti sen debconf asennuksen aikana FQDN palvelimen mildap.amigos.cu.
Huomioon otettavat indeksit
Merkintöjen indeksointi suoritetaan hakujen suorituskyvyn parantamiseksi DIT, suodatinkriteereillä. Harkitut indeksit ovat vähimmäissuositus oletusskaavioissa ilmoitettujen ominaisuuksien mukaan.
Voit muokata tietokannan hakemistoja dynaamisesti luomalla tekstitiedoston muodossa LDIF, ja myöhemmin lisäämme sen tietokantaan. Luomme tiedoston olcDbIndex.ldif ja jätämme siihen seuraavan sisällön:
: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex, login: loginShidc: loginUd eq, loginSisäänkirjautuminen : loginShell eq, olcDbIndex: kirjautuminen - lisää: olcDbIndex olcDbIndex: uid pres, sub, eq - lisää: olcDbIndex olcDbIndex: cn pres, sub, eq - lisää: olcDbIndex olcDbIndex: sn pres, sub, eqNdde: add , ou pres, eq, sub - add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: oletusosio - add: olcDbIndex olcDbIndex: mail eq, subinitial - add: olcDbIndex olcDbIn
Lisätään hakemistot tietokantaan ja tarkistamme muutokset:
: ~ # ldapmodify -Y ULKOINEN -H ldapi: /// -f ./olcDbIndex.ldif
: ~ # ldapsearch -Q -LLL -Y ULKOINEN -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex
dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: uid presq, uid presq, uid presq, uid presq, uid esq cn presq olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: oletusarvo sub olcDbIndex: posti eq, subinitial olcDbIndex: dc eq
Tietojen käytön valvonnan säännöt
Sääntöjä, jotka on luotu siten, että käyttäjät voivat lukea, muokata, lisätä ja poistaa tietoja hakemistotietokannasta, kutsutaan pääsynhallinnaksi, kun taas kutsumme pääsynvalvontaluetteloita tai «ACL-pääsynhallintaluettelo»Käytäntöihin, jotka määrittävät säännöt.
Tietää mikä aCLs ilmoitettiin oletusarvoisesti läimäyttää, suoritamme:
: ~ # ldapsearch -Q -LLL -Y ULKOINEN -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess
: ~ # ldapsearch -Q -LLL -Y ULKOINEN -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} käyttöliittymä)' olcAccess
: ~ # ldapsearch -Q -LLL -Y ULKOINEN -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess
: ~ # ldapsearch -Q -LLL -Y ULKOINEN -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix
Kukin edellisistä komennoista näyttää meille aCLs että tähän asti olemme ilmoittaneet hakemistossamme. Viimeinen komento näyttää ne kaikki, kun taas kolme ensimmäistä antaa meille pääsynvalvontasäännöt kaikille kolmelle. DIT mukana meidän läimäyttää.
Aiheesta aCLs ja jotta ei tekisi paljon pidempää artikkelia, suosittelemme lukemaan ohjekirjan sivut mies slapd. pääsy.
Takaamalla käyttäjien ja järjestelmänvalvojien pääsy päivittämään verkkotunnuksensa kirjautuminenShell y Geckos, lisätään seuraava ACL:
## Luomme olcAccess.ldif-tiedoston ja jätämme siihen seuraavan sisällön: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcAccess olcAccess: {1} to attrs = loginShell, gecos by dn = "cn = admin, dc = ystävät, dc = cu" kirjoittaa itse kirjoittamalla * lukea
## Lisätään ACL
: ~ # ldapmodify -Y ULKOINEN -H ldapi: /// -f ./olcAccess.ldif
# Tarkistamme muutokset
ldapsearch -Q -LLL -Y ULKOINEN -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix
Sertifikaattien luominen TLS Squeezessä
Saadaksesi suojatun todennuksen OpenLDAP-palvelimen kanssa, meidän on tehtävä se salatulla istunnolla, jonka voimme saavuttaa käyttämällä TLS «Kuljetustason suojaus» o Suojattu kuljetuskerros.
OpenLDAP-palvelin ja sen asiakkaat voivat käyttää puitteet TLS tarjoaa suojan eheydelle ja luottamuksellisuudelle sekä tukee suojattua LDAP-todennusta mekanismin avulla SASL «Yksinkertainen todennus- ja suojauskerros« Ulkoinen.
Nykyaikaiset OpenLDAP-palvelimet suosivat */ StartTLS /* o Aloita suojattu siirtokerros /LDAPS: ///, joka on vanhentunut. Jos sinulla on kysyttävää, käy osoitteessa * Start TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html
Jätä tiedosto vain asennettuna oletuksena / etc / default / slapd lausunnon kanssa SLAPD_SERVICES = »ldap: /// ldapi: ///», jonka tarkoituksena on käyttää salattua kanavaa asiakkaan ja palvelimen sekä apusovellusten välillä paikallisesti asennetun OpenLDAP: n hallitsemiseksi.
Tässä kuvattu menetelmä, joka perustuu paketteihin gnutls-bin y SSL-sertti se on voimassa Debian 6 "Squeeze" -ohjelmassa ja myös Ubuntu Server 12.04: ssä. Debian 7: lle "Wheezy" toinen menetelmä, joka perustuu OpenSSL.
Sertifikaatit luodaan Squeezessä seuraavasti:
1.- Asennamme tarvittavat paketit : ~ # aptitude asenna gnutls-bin ssl-cert 2. - Luomme ensisijaisen avaimen varmentajalle : ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem" 3. - Luomme mallin varmenteen myöntäjän määrittelemiseksi : ~ # nano /etc/ssl/ca.info cn = Kuuban ystävät ca cert_signing_key 4.- Luomme CA: n itse allekirjoittaman tai itse allekirjoittaman varmenteen asiakkaille : ~ # certtool --generate-self-signeerattu \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem 5.- Luomme yksityisen avaimen palvelimelle : ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem Huomata: Korvaa "lievä"yllä olevan tiedoston nimessä oman palvelimesi nimessä. Varmenteen ja avaimen nimeäminen sekä palvelimelle että sitä käyttävälle palvelulle auttaa meitä pitämään asiat selvinä. 6.- Luomme tiedoston /etc/ssl/mildap.info, jonka sisältö on seuraava: : ~ # nano /etc/ssl/mildap.info organization = Kuuban ystävät cn = mildap.amigos.cu tls_www_server encryption_key signing_key expiration_days = 3650 Huomata: Edellisessä sisällössä ilmoitamme, että varmenne on voimassa 10 vuotta. Parametri on säädettävä mukavuutemme mukaisesti. 7.- Luomme palvelinvarmenteen : ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem
Toistaiseksi olemme luoneet tarvittavat tiedostot, meidän on vain lisättävä hakemistoon itse allekirjoitetun varmenteen sijainti cacert.pem; palvelinvarmenteen vastaava mildap-cert.pem; ja palvelimen yksityinen avain mildap-key.pem. Meidän on myös muutettava luotujen tiedostojen käyttöoikeuksia ja omistajaa.
: ~ # nano /etc/ssl/certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem / add / privateK sc - Luku / yksityinen: sc /mildap-key.pem 8.- Lisäämme: ~ # ldapmodify -Y ULKOINEN -H ldapi: /// -f /etc/ssl/certinfo.ldif 9.- Säädämme omistajaa ja käyttöoikeuksia : ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod tai /etc/ssl/private/mildap-key.pem
Sertifikaatti cacert.pem Se on yksi, joka meidän on kopioitava jokaisessa asiakkaassa. Jotta tätä varmentetta voidaan käyttää itse palvelimessa, meidän on ilmoitettava se tiedostossa /etc/ldap/ldap.conf. Tätä varten muokkaamme tiedostoa ja jätämme siihen seuraavan sisällön:
: ~ # nano /etc/ldap/ldap.conf PERUS dc = ystävät, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem
Lopuksi ja myös tarkistuksena käynnistämme palvelun uudelleen läimäyttää ja tarkistamme syslog palvelimelta saadaksesi selville, onko palvelu käynnistetty uudelleen oikein käyttämällä uutta ilmoitettua varmentetta.
: ~ # palvelu slapd uudelleenkäynnistys : ~ # tail / var / log / syslog
Jos palvelu ei käynnisty uudelleen oikein tai havaitsemme vakavan virheen syslog, älä lannistu. Voimme yrittää korjata vahingot tai aloittaa alusta. Jos päätämme aloittaa tyhjästä läimäyttää, palvelinta ei tarvitse alustaa.
Poista kaikki paketit, jotka olemme tähän mennessä tehneet syystä tai toisesta läimäyttääja poista sitten kansio / var / lib / ldap. Meidän on myös jätettävä tiedosto alkuperäiseen versioon /etc/ldap/ldap.conf.
On harvinaista, että kaikki toimii oikein ensimmäisellä yrityksellä. 🙂
Muista, että seuraavassa erässä näemme:
- Paikallinen käyttäjän todennus
- Täytä tietokanta
- Hallitse tietokantaa konsolin apuohjelmien avulla
- Yhteenveto tähän mennessä ...
Nähdään pian ystäviä !.
Opettaja!!!
Se tapahtui TUTON kanssa!
on erinomainen
kaikki MAAILMAN PALVELUT TEILLE.
????
Paljon kiitoksia, Hugo !!! Odota seuraavia aihetta koskevia artikkeleita.
Hei
mielenkiintoinen artikkelisarjasi.
Olin yllättynyt lukiessani tämän lausunnon: "Modernit OpenLDAP-palvelimet suosivat StartTLS: n tai Start a Secure Transport Layerin käyttöä vanhaan TLS / SSL-protokollaan, joka on vanhentunut."
Väitätkö, että kaikissa tapauksissa, jopa LDAP-suojauksen ulkopuolella, STARTTLS on parempi suojausmekanismi kuin TSL / SSL?
Kiitos kommentista. Huomaa, että tarkoitan OpenLDAP: tä. En tavoita liikaa. Sisään http://www.openldap.org/faq/data/cache/185.html, voit lukea seuraavat:
Transport Layer Security (TLS) on Secure Socket Layer (SSL) -nimi. Termit (ellei niitä ole määritelty tietyillä versionumeroilla) ovat yleensä vaihdettavissa.
StartTLS on tavallisen LDAP-toiminnan nimi TLS / SSL: n aloittamiseksi. TLS / SSL käynnistetään, kun tämä LDAP-operaatio on suoritettu onnistuneesti. Vaihtoehtoista porttia ei tarvita. Sitä kutsutaan joskus TLS-päivitystoiminnoksi, koska se päivittää normaalin LDAP-yhteyden TLS / SSL-suojattuun.
ldaps: // ja LDAPS viittaavat "LDAP over TLS / SSL" tai "LDAP Secured". TLS / SSL käynnistetään yhdistettäessä vaihtoehtoiseen porttiin (tavallisesti 636). Vaikka LDAPS-portti (636) on rekisteröity tähän käyttötarkoitukseen, TLS / SSL-aloitusmekanismin yksityiskohtia ei ole standardoitu.
Käynnistyksen jälkeen ldaps: //: n ja StartTLS: n välillä ei ole eroa. Heillä on samat asetusvaihtoehdot (paitsi ldaps: // vaatii erillisen kuuntelijan määrityksen, katso slapd (8) -h -vaihtoehto) ja johtavat samankaltaisten turvallisuuspalveluiden perustamiseen.
Huomautus:
1) ldap: // + StartTLS tulisi ohjata normaaliin LDAP-porttiin (yleensä 389), ei ldaps: // -porttiin.
2) ldaps: // tulee ohjata LDAPS-porttiin (yleensä 636), ei LDAP-porttiin.
Anteeksi, mutta en vieläkään ole varma, miksi väität, että: 1) modernit palvelimet suosivat STARTTLS: ää SSL / TLS: ään; 2) että STARTTLS on moderni verrattuna vanhentuneeseen SSL / TLS: ään.
Olen taistellut puolen kuukauden ajan erilaisten sähköpostiohjelmien kokoonpanon kanssa, jotka käyttävät palvelinta SSL: n avulla (käyttämällä openssl-kirjastoja, kuten useimmat ilmaiset ohjelmistot tekevät), CA-varmenteilla / etc / ssl / certs / ja muilla tavaroilla. Ja olen oppinut, että: 1) STARTTLS salaa vain istunnon todennuksen, ja kaikki muu lähetetään salaamattomana; 2) SSL salaa ehdottomasti koko istunnon sisällön. Siksi STARTTLS ei missään tapauksessa ole teknisesti parempi kuin SSL; Haluaisin mieluummin ajatella toisin, koska istuntosi sisältö kulkee salaamattomana verkon kautta.
Toinen erilainen asia on se, että STARTTLS: ää suositellaan muista syistä, joita en tiedä: yhteensopivuudesta MSWindowsin kanssa, koska toteutus on vakaampaa tai testattu paremmin ... en tiedä. Siksi kysyn sinulta.
Vastauksessasi liitetyn käsikirjan lainauksesta näen, että ero ldap: //: n ja ldaps: //: n välillä on sama kuin imap: // ja imaps: // tai smtp: // ja smtps: //: käytetään eri porttia, määritystiedostoon lisätään lisää merkintöjä, mutta muut parametrit säilytetään. Mutta se ei osoita mitään STARTTLS: n suosimisesta tai ei.
Terveisiä ja anteeksi vastauksesta. Yritän vain oppia hieman enemmän.
Katsokaa, on hyvin harvinaista, että kirjoitan artikkeleissani tuon kaliiperin väitteitä ilman, että joku vakava julkaisu tukee sitä. Sarjan lopussa sisällytän kaikki linkit asiakirjoihin, joita pidän vakavina ja joita olen neuvonut kirjoittamaan viestin. Annan sinulle seuraavat linkit:
https://wiki.debian.org/LDAP/OpenLDAPSetup
Ubuntu ServerGuide https://code.launchpad.net/serverguide
OpenLDAP-virallinen http://www.openldap.org/doc/admin24/index.html
LDAP SSL / TLS: n ja StartTLS: n kautta http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/
Ja lisäksi tutustuin mukana toimitettuihin asiakirjoihin, jotka asennetaan jokaisen paketin mukana.
Turvallisuuskysymys yleensä ja StartTLS: n ja TLS / SSL: n erot ovat hyvin teknisiä ja niin syvällisiä, että en usko minulla olevan tarvittavaa tietoa tällaisten selitysten antamiseksi. Luulen, että voimme jatkaa keskustelua sähköpostitse.
Lisäksi missään ei sanota, että LDAPS: //: ta ei voida käyttää. Jos pidät sitä turvallisempana, jatka sitten !!!
En voi auttaa sinua enää ja arvostan todella kommenttejasi.
Hieman enemmän selkeyttä voit saada - aina OpenLDAP: sta -:
http://www.openldap.org/faq/data/cache/605.html
StartTLS-laajennettu toiminto [RFC 2830] on LDAPv3: n vakiomekanismi TLS (SSL) -tietojen luottamuksellisuuden suojaamiseksi. Mekanismi käyttää laajennettua LDAPv3-operaatiota salatun SSL / TLS-yhteyden muodostamiseen jo muodostetun LDAP-yhteyden sisällä. Vaikka mekanismi on suunniteltu käytettäväksi TLSv1: n kanssa, useimmat toteutukset korvaavat tarvittaessa SSLv3: n (ja SSLv2: n).
ldaps: // on mekanismi salatun SSL / TLS-yhteyden muodostamiseksi LDAP: lle. Se vaatii erillisen portin, yleisesti 636., käytön, vaikka se on alun perin suunniteltu käytettäväksi LDAPv2: n ja SSLv2: n kanssa, monet toteutukset tukevat sen käyttöä LDAPv3: n ja TLSv1: n kanssa. Vaikka ldaps: lle ei ole teknistä eritelmää: // sitä käytetään laajasti.
ldaps: // on poistettu käytöstä Start TLS: n [RFC2830] eduksi. OpenLDAP 2.0 tukee molempia.
Turvallisuussyistä palvelin tulisi määrittää olemaan hyväksymättä SSLv2: ta.
Tämä on yksi niistä artikkeleista, joissa käyttäjät eivät kommentoi, koska koska he katsovat pornoa vain Linux-asemillaan, he eivät yksinkertaisesti välitä siitä. Tietoja ldapista Minulla on useita liittyviä palveluja heterogeenisessä verkossa yrityksessä, jossa työskentelen. Hyvä artikkeli!
Kiitos kommentista !!!. Ja lausuntosi, joka koskee muutamia kommentteja monissa artikkeleissani, on hyvin totta. Saan kuitenkin kirjeenvaihtoa kiinnostuneilta lukijoilta tai muilta, jotka lataavat artikkelin myöhempää lukemista ja sovellusta varten.
Aina on erittäin hyödyllistä saada palautetta kommenttien kautta, vaikka ne olisivatkin: tallensin sen myöhempää lukemista, mielenkiintoista tai muuta mielipidettä varten.
terveiset
Freeke !!! Kiitos kommentista. Sain kommenttisi postitse, mutta en näe sitä, vaikka päivitän sivua useita kertoja. Ystävä, voit kokeilla tätä ja edellisiä artikkeleita ongelmitta Squeezessä tai Ubuntu Server 12.04: ssä. Wheezyssä sertifikaatit luodaan eri tavalla OpenSSL: n avulla. Mutta ei mitään. Terveisin, veli !!!.
@thisnameisfalse: Paras virkailija hämärtää. Kommenttisi ansiosta katson, että kyseessä olevan kappaleen tulisi olla seuraava:
Nykyaikaiset OpenLDAP-palvelimet suosivat StartTLS: n tai Start a Secure Transport Layerin käyttöä vanhentuneelle LDAPS: // -protokollalle. Jos sinulla on kysyttävää, siirry kohtaan Käynnistä TLS v. ldaps: // fi http://www.openldap.org/faq/data/cache/605.html
terveiset
Täydellinen, tällä hetkellä minulla on kotitehtäviä LDAP: lla
Et voi laittaa kaikkea yhteen tiedostoon, joten voit ladata koko opetusohjelman
Olen tietotekniikka, jolla on laaja kokemus Linuxista, mutta eksyin silti artikkelin keskelle. Sitten aion lukea sen uudelleen huolellisemmin. Paljon kiitoksia opetusohjelmasta.
Vaikka onkin totta, että sen avulla voimme ymmärtää paljon enemmän, miksi ActiveDirectory valitaan yleensä näihin asioihin. Konfiguroinnin ja toteutuksen yksinkertaisuudessa on eroja.
terveiset
Kiitos kaikille kommentoinnista !!!
@jose monge, toivottavasti se auttaa sinua
@walter kaikkien viestien lopussa, näen, voinko tehdä yhteenvedon html- tai pdf-muodossa
@eVeR päinvastoin, OpenLDAP on yksinkertaisempi - vaikka se ei näytä olevan Active Directory. odota seuraavia artikkeleita ja näet.
Kysely, teen asennuksen askel askeleelta, mutta kun slapd-palvelu käynnistetään uudelleen, se heittää minulle seuraavan virheen>
30. heinäkuuta 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (17. maaliskuuta 2014 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / debian / build / palvelimet / slapd
30. heinäkuuta 15:27:37 xxxxx slapd [1219]: Tuntematon attribuutti Kuvaus "CHANGETYPE" lisätty.
30. heinäkuuta 15:27:37 xxxxx slapd [1219]: Tuntematon attribuutti Kuvaus "ADD" lisätty.
30. heinäkuuta 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): tyhjä AttributeDescription
30. heinäkuuta 15:27:37 xxxxx slapd [1219]: slapd lopetettiin.
30. heinäkuuta 15:27:37 xxxxx [1219]: connections_destroy: ei mitään tuhottavaa.
voit kysyä foorumilla 😀 http://foro.desdelinux.net/
Kaikille, jotka näkevät tämän erinomaisen ja hyvin selitetyn viestin ja tämä ongelma tapahtuu, kun luot ACL-luetteloita:
ldapmodify: virheellinen muoto (rivi 5): "olcDatabase = {1} hdb, dc = config"
Internetin hakemisen jälkeen pääni on käynyt ilmi, että ldapmodify on tarkin tyyppi Internetissä. Se on hysteeristä sekä väärin sijoitettujen merkkien että jäljessä olevien välilyöntien kanssa. Ilman jatkoa neuvoja on kirjoittaa ehtojen mukaan vierekkäin tai X kirjoittamalla itse kirjoittamalla * lukemaan. Jos se ei vieläkään toimi, asenna Notepad ++> Näytä> Näytä symboli ja lopulta kuolema näkymättömille hahmoille. Toivottavasti joku auttaa.
Luo Debian Wheezy -sertifikaatit OpenSSL: n perusteella, jota voidaan käyttää:
http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/