Seirbhís Eolaire le LDAP [4]: ​​OpenLDAP (I)

Dia duit a chairde !. Caithfimid gnó a dhéanamh, agus mar a mholtar i gcónaí, léigh na trí alt roimhe seo sa tsraith:

Is iad DNS, DHCP agus NTP na seirbhísí riachtanacha íosta dár n-eolaire simplí bunaithe ar OpenLDAP dúchais, oibríonn i gceart ar an Debian 6.0 "Fáscadh", nó sa Ubuntu 12.04 LTS "Beachtas Pangolin".

Líonra samplach:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

I gCuid a hAon feicfimid:

  • Suiteáil OpenLDAP (slapd 2.4.23-7.3)
  • Seiceálacha tar éis a suiteála
  • Innéacsanna le cur san áireamh
  • Rialacha Rialaithe Rochtana Sonraí
  • Deimhnithe TLS a ghiniúint i mbrú

agus sa Dara Cuid leanfaimid ar aghaidh le:

  • Fíordheimhniú úsáideora áitiúil
  • Daonra an bhunachar sonraí
  • Bainistigh an bunachar sonraí ag úsáid fóntais consól
  • Achoimre go dtí seo ...

Suiteáil OpenLDAP (slapd 2.4.23-7.3)

Tá an freastalaí OpenLDAP suiteáilte ag úsáid an phacáiste slapd. Ní mór dúinn an pacáiste a shuiteáil freisin ldap-utils, a sholáthraíonn roinnt uirlisí taobh cliaint dúinn, chomh maith le fóntais OpenLDAP féin.

: ~ # aptitude install slapd ldap-utils

Le linn an phróisis suiteála, rinne an debconf Iarrfaidh sé pasfhocal an riarthóra nó an úsáideora orainn «admin«. Suiteáiltear roinnt spleáchas freisin; cruthaítear úsáideoir mapa oscailte; cruthaítear cumraíocht tosaigh an fhreastalaí chomh maith leis an eolaire LDAP.

I leaganacha níos luaithe de OpenLDAP, cumraíocht an deamhan slapd rinneadh go hiomlán tríd an gcomhad /etc/ldap/slapd.conf. Sa leagan atá á úsáid againn agus níos déanaí, déantar an chumraíocht sa chéanna slapd, agus chun na críche seo a DIT «Crann Faisnéise Eolaire»Nó Crann Faisnéise Eolaire, ar leithligh.

An modh cumraíochta ar a dtugtar RTC «Cumraíocht Fíor-ama»Cumraíocht Fíor-ama, nó mar an Modh cn = config, ligeann dúinn an slapd gan an tseirbhís a atosú.

Is éard atá sa bhunachar sonraí cumraíochta bailiúchán de chomhaid téacs san fhormáid LDIF «Formáid Idirmhalartaithe Sonraí LDAP»Formáid LDAP le haghaidh Malartú Sonraí, atá san fhillteán /etc/ldap/slapd.d.

Chun smaoineamh a fháil ar eagraíocht na bhfillteán slapd.d, rithimis:

: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: iomlán 8 drwxr-x --- 3 openldap openldap 4096 Feb 16 11:08 cn = config -rw ------- 1 openldap openldap 407 Feb 16 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: iomlán 28 -rw ------- 1 openldap openldap 383 Feb 16 11:08 cn = modúl {0} .ldif drwxr-x --- 2 openldap openldap 4096 Feb 16 11:08 cn = schema -rw ------- 1 openldap openldap 325 Feb 16 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 Feb 16 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 Feb 16 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 Feb 16 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 Feb 16 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schema: iomlán 40 -rw ------- 1 openldap openldap 15474 Feb 16 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 Feb 16 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 Feb 16 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 Feb 16 11:08 cn = {3} inetorgperson.ldif

Má fhéachaimid ar an aschur roimhe seo beagán, feicimid go bhfuil an Inneall is é an cineál bunachar sonraí a úsáidtear i Squeeze hdb, atá ina mhalairt de bdb "Bunachar Sonraí Berkeley", agus go bhfuil sé ordlathach go hiomlán agus go dtacaíonn sé le fo-chrainn a athainmniú. Chun níos mó a fhoghlaim faoi na rudaí is féidir Backends a thacaíonn le OpenLDAP, tabhair cuairt http://es.wikipedia.org/wiki/OpenLDAP.

Feicimid freisin go n-úsáidtear trí bhunachar sonraí ar leithligh, is é sin, ceann atá tiomnaithe do chumraíocht, agus ceann eile do Frontend, agus an ceann deireanach atá mar bhunachar sonraí hdb per se.

ina theannta sin, slapd suiteáilte de réir réamhshocraithe leis na schematics Core, Cosine, Nis e Inetorgperson.

Seiceálacha tar éis a suiteála

I gcríochfort déanaimid na haschuir a fhorghníomhú agus a léamh go socair. Déanfaimid seiceáil, go háirithe leis an dara hordú, ar an gcumraíocht a bhaintear as an bhfillteán a liostáil slapd.d.

: ~ # ldapsearch -Q -LLL -Y SEACHTRACH -H ldapi: /// -b cn = config | níos mó: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = modúl {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} croí, cn = schema, cn = config dn: cn = {1} cosine , cn = schema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetorgperson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config

Míniú ar gach aschur:

  • cn = config: Paraiméadair dhomhanda.
  • cn = modúl {0}, cn = config: Modúl luchtaithe go dinimiciúil.
  • cn = schema, cn = config: Tá an códaithe crua ar leibhéal na scéimre córais.
  • cn = {0} croí, cn = schema, cn = config: An códaithe crua den scéimre eithne.
  • cn = {1} cosine, cn = schema, cn = config: An scéim Cosine.
  • cn = {2} nis, cn = schema, cn = config: An scéim Nis.
  • cn = {3} inetorgperson, cn = schema, cn = config: An scéim Inetorgperson.
  • olcBackend = {0} hdb, cn = config: Inneall cineál stórála sonraí hdb.
  • olcDatabase = {- 1} frontend, cn = config: Frontend den bhunachar sonraí agus paraiméadair réamhshocraithe na mbunachar sonraí eile.
  • olcDatabase = {0} config, cn = config: Bunachar sonraí cumraíochta an slapd (cn = config).
  • olcDatabase = {1} hdb, cn = config: Ár sampla den bhunachar sonraí (dc = cairde, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = sampla, dc = com dn
dn: dc = cairde, dc = cu dn: cn = admin, dc = cairde, dc = cu
  • dc = cairde, dc = cu: Crann Faisnéise Eolaire Bonn DIT
  • cn = admin, dc = cairde, dc = cu: Riarthóir (rootDN) an DIT a dearbhaíodh le linn na suiteála.

nóta: An iarmhír bonn dc = cairde, dc = cu, thóg sé debconf le linn na suiteála ó FQDN ón bhfreastalaí mildap.amigos.cu.

Innéacsanna le cur san áireamh

Déantar innéacsú na n-iontrálacha chun feidhmíocht na gcuardach ar an DIT, le critéir scagaire. Is iad na hinnéacsanna a bhreithneoimid an t-íosmhéid a mholtar de réir na tréithe a dhearbhaítear sna scéimeanna réamhshocraithe.

Chun na hinnéacsanna sa bhunachar sonraí a mhodhnú go dinimiciúil, cruthaímid comhad téacs san fhormáid LDIF, agus ina dhiaidh sin cuirimid leis an mbunachar sonraí é. Cruthaímid an comhad olcDbIndex.ldif agus fágaimid leis an ábhar seo a leanas é:

: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: athraigh add: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: memberUid eq, logDbDnd. : loginShell eq, olcDbIndex: logáil isteach - cuir: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, sub, eq - add: olcDbIndex olc; , ou pres, eq, sub-add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: fo-bhreiseán réamhshocraithe: olcDbIndex olcDbIndex: mail eq, subinitial - add: olcDbIndex olcDbIndex: dc eq

Cuirimid na hinnéacsanna leis an mbunachar sonraí agus seiceálaimid an modhnú:

: ~ # ldapmodify -Y SEACHTRACH -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex

dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: uid presq, sub, eq olcn: eq olc. cn presq olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: default sub olcDbIndex: mail eq, subinitial olcDbIndex: dc eq

Rialacha Rialaithe Rochtana Sonraí

Tugtar Rialú Rochtana ar na rialacha a bhunaítear ionas gur féidir le húsáideoirí sonraí i mbunachar sonraí an Eolaire a léamh, a mhodhnú, a chur leis agus a scriosadh, agus tabharfaimid Liostaí Rialaithe Rochtana nó «Liosta Rialaithe Rochtana ACL»Do na beartais a chumraíonn na rialacha.

Go mbeadh a fhios agat cé acu ACLanna dearbhaíodh de réir réamhshocraithe iad le linn phróiseas suiteála an slapd, déanaimid forghníomhú:

: ~ # ldapsearch -Q -LLL -Y SEACHTRACH -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess

: ~ # ldapsearch -Q -LLL -Y SEACHTRACH -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} frontend)' olcAccess

: ~ # ldapsearch -Q -LLL -Y SEACHTRACH -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess

: ~ # ldapsearch -Q -LLL -Y SEACHTRACH -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Taispeánfaidh gach ceann de na horduithe roimhe seo an ACLanna go bhfuil dearbhaithe againn go dtí seo inár Eolaire. Go sonrach, taispeánann an t-ordú deireanach iad go léir, agus tugann na chéad trí rialacha rialaithe rochtana dúinn do na trí cinn. DIT baint lenár slapd.

Ar ábhar na ACLanna agus d’fhonn gan alt i bhfad níos faide a dhéanamh, molaimid na leathanaigh láimhe a léamh fear slapd.access.

Rochtain úsáideoirí agus riarthóirí a ráthú chun a n-iontrálacha de logáil isteachShell y Geckos, cuirfimid an ACL seo a leanas leis:

## Cruthaímid an comhad olcAccess.ldif agus fágaimid leis an ábhar seo a leanas é: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcAccess olcAccess: {1} to attrs = loginShell, gecos le dn = "cn = admin, dc = friends, dc = cu" scríobh le féin-scríobh le * léigh

## Cuirimid an ACL leis
: ~ # ldapmodify -Y SEACHTRACH -H ldapi: /// -f ./olcAccess.ldif

# Seiceálaimid na hathruithe
ldapsearch -Q -LLL -Y SEACHTRACH -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Deimhnithe a Ghiniúint TLS i Squeeze

Chun fíordheimhniú slán a bheith againn leis an bhfreastalaí OpenLDAP, ní mór dúinn é a dhéanamh trí sheisiún criptithe is féidir linn a bhaint amach trí úsáid a bhaint as an TLS «Slándáil Sraithe Iompair» o Sraith Iompair Shlán.

Tá an freastalaí OpenLDAP agus a chliaint in ann an creat TLS chun cosaint a sholáthar maidir le hiomláine agus rúndacht, chomh maith le tacaíocht d’fhíordheimhniú slán LDAP tríd an meicníocht SASL «Ciseal Fíordheimhnithe agus Slándála Simplí« Seachtrach.

Is fearr le freastalaithe nua-aimseartha OpenLDAP úsáid a bhaint as */ StartTLS /* o Cuir tús le Sraith Iompair Shlán chuig an /LDAPS: ///, atá i léig. Ceisteanna ar bith, tabhair cuairt ar * Start TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html

Fág an comhad mar atá suiteáilte de réir réamhshocraithe / etc / default / slapd leis an ráiteas SLAPD_SERVICES = »ldap: /// ldapi: ///», agus é mar aidhm cainéal criptithe a úsáid idir an cliant agus an freastalaí, agus na feidhmchláir chúnta iad féin chun an OpenLDAP atá suiteáilte go háitiúil a bhainistiú.

An modh a thuairiscítear anseo, bunaithe ar na pacáistí gnutls-bin y ssl-cert tá sé bailí do Debian 6 "Squeeze" agus do Ubuntu Server 12.04 freisin. Do Debian 7 "Wheezy" modh eile bunaithe ar OpenSSL.

Déantar giniúint na ndeimhnithe i Squeeze mar seo a leanas:

1.- Suiteáilimid na pacáistí riachtanacha
: ~ # aptitude install gnutls-bin ssl-cert

2.- Cruthaímid an Eochair Bhunscoile don Údarás Teastas
: ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3.- Cruthaímid teimpléad chun an CA (Údarás Teastas) a shainiú
: ~ # nano /etc/ssl/ca.info cn = Cairde Cúba ca cert_signing_key

4.- Cruthaímid an Teastas Féin-Shínithe CA nó Féin-Shínithe do chliaint
: ~ # certtool --generate-self -igned \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem

5.- Ginimid Eochair Phríobháideach don Fhreastalaí
: ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem

nóta: Ionadaigh "mildap"in ainm an chomhaid thuas do do fhreastalaí féin. Cuidíonn ainmniú an Teastais agus an Eochair, don fhreastalaí agus don tseirbhís a úsáideann é, linn rudaí a choinneáil soiléir.

6.- Cruthaímid an comhad /etc/ssl/mildap.info leis an ábhar seo a leanas:
: ~ # nano /etc/ssl/mildap.info eagraíocht = Cairde Cúba cn = mildap.amigos.cu tls_www_server encryption_key sign_key expiration_days = 3650

nóta: San ábhar roimhe seo dearbhaímid go bhfuil an deimhniú bailí ar feadh tréimhse 10 mbliana. Caithfear an paraiméadar a choigeartú de réir ár n-áise.

7.- Cruthaímid an Teastas Freastalaí
: ~ # certtool --generate-cert \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-cert /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem

Go dtí seo tá na comhaid riachtanacha ginte againn, níl le déanamh againn ach suíomh an Teastais Féin-Shínithe a chur leis an Eolaire cacert.pem; sin an Teastas Freastalaí mildap-cert.pem; agus Eochair Phríobháideach an Fhreastalaí mildap-key.pem. Ní mór dúinn ceadanna agus úinéir na gcomhad ginte a choigeartú freisin.

: ~ # nano /etc/ssl/certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - cuir: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTLSCertKeySCertate / preifat -key.pem

8.- Cuirimid: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

9.- Déanaimid úinéir agus ceadanna a choigeartú
: ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod nó /etc/ssl/private/mildap-key.pem

An deimhniú cacert.pem Is é an ceann a chaithfimid a chóipeáil i ngach cliant. Chun an deimhniú seo a úsáid ar an bhfreastalaí féin, ní mór dúinn é a dhearbhú sa chomhad /etc/ldap/ldap.conf. Chun seo a dhéanamh, déanaimid an comhad a mhodhnú agus é a fhágáil leis an ábhar seo a leanas:

: ~ # nano /etc/ldap/ldap.conf
BASE dc = cairde, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

Faoi dheireadh agus freisin mar sheic, déanaimid an tseirbhís a atosú slapd agus seiceálaimid aschur an syslog ón bhfreastalaí, chun a fháil amach an ndearnadh an tseirbhís a atosú i gceart ag baint úsáide as an deimhniú nua-dhearbhaithe.

: ~ # atosú slapd seirbhíse
: ~ # eireaball / var / log / syslog

Mura n-atosóidh an tseirbhís i gceart nó má bhreathnaímid ar earráid thromchúiseach sa syslog, ná bíodh díspreagadh orainn. Is féidir linn iarracht a dhéanamh an damáiste a dheisiú nó tosú arís. Má shocraíonn muid tosú ón tús suiteáil an slapd, ní gá ár bhfreastalaí a fhormáidiú.

Chun gach rud atá déanta againn go dtí seo a scriosadh ar chúis amháin nó ar chúis eile, ní mór dúinn an pacáiste a dhíshuiteáil slapd, agus ansin scrios an fillteán / var / lib / ldap. Ní mór dúinn an comhad a fhágáil ina bhunleagan freisin /etc/ldap/ldap.conf.

Is annamh a oibríonn gach rud i gceart ar an gcéad iarracht. 🙂

Cuimhnigh go bhfeicfimid sa chéad tráthchuid eile:

  • Fíordheimhniú úsáideora áitiúil
  • Daonra an bhunachar sonraí
  • Bainistigh an bunachar sonraí ag úsáid fóntais consól
  • Achoimre go dtí seo ...

Féach leat go luath a chairde !.


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

19 trácht, fág mise

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.

  1.   Hugo a dúirt

    Múinteoir !!!
    TAR ÉIS LEIS AN TUTO!
    ar fheabhas
    LIKES AN DOMHAN DO CHUID.
    ????

    1.    Federico a dúirt

      Go raibh míle maith agat, Hugo !!! Fan go mbeidh na chéad ailt eile ar an ábhar.

  2.   ainmainm seo a dúirt

    Hi

    suimiúil do shraith alt.

    Chuir sé iontas orm an ráiteas seo a léamh: "Is fearr le freastalaithe nua-aimseartha OpenLDAP úsáid StartTLS nó Sraith Iompair Shlán a Thosú ná an seanphrótacal TLS / SSL, atá i léig."

    An maíonn tú, i ngach cás fiú lasmuigh de scóip LDAP, gur meicníocht chosanta é STARTTLS is fearr ná TSL / SSL?

    1.    Federico a dúirt

      Go raibh maith agat as trácht. Tabhair faoi deara go bhfuil OpenLDAP i gceist agam. Ní dhéanaim for-rochtain. I http://www.openldap.org/faq/data/cache/185.html, is féidir leat an méid seo a leanas a léamh:

      Slándáil Sraithe Iompair (TLS) an t-ainm caighdeánach don Chiseal Soicéad Slán (SSL). De ghnáth bíonn na téarmaí (mura bhfuil siad cáilithe le huimhreacha leaganacha ar leith) in-idirmhalartaithe.

      StartTLS is ainm don oibríocht chaighdeánach LDAP chun TLS / SSL a thionscnamh. Cuirtear tús le TLS / SSL ar chríochnú rathúil na hoibríochta LDAP seo. Níl aon phort malartach riachtanach. Uaireanta tugtar oibríocht uasghrádaithe TLS air, toisc go ndéanann sé uasghrádú ar ghnáthnasc LDAP le nasc atá faoi chosaint TLS / SSL.

      ldaps: // agus tagraíonn LDAPS do "LDAP thar TLS / SSL" nó "LDAP Secured". Tionscnaítear TLS / SSL ar nasc le calafort malartach (636 de ghnáth). Cé go bhfuil calafort LDAPS (636) cláraithe don úsáid seo, ní dhéantar sonraí na meicníochta tionscanta TLS / SSL a chaighdeánú.

      Nuair a bheidh sé tionscanta, níl aon difríocht idir ldaps: // agus StartTLS. Tá na roghanna cumraíochta céanna acu (seachas ldaps: // éilíonn cumraíocht éisteora ar leithligh, féach rogha slapd (8) s -h) agus mar thoradh air sin bunaítear seirbhísí slándála mar an gcéanna.
      Nóta:
      1) ldap: // + Ba chóir StartTLS a dhíriú chuig gnáthphort LDAP (389 de ghnáth), ní na ldaps: // port.
      2) ldaps: ba chóir // a dhíriú chuig calafort LDAPS (636 de ghnáth), ní chuig calafort LDAP.

      1.    ainmainm seo a dúirt

        Tá brón orm, ach nílim cinnte fós cén fáth a maíonn tú: 1) gur fearr le freastalaithe nua-aimseartha STARTTLS ná SSL / TLS; 2) go bhfuil STARTTLS nua-aimseartha, i gcoinne SSL / TLS atá i léig.

        Bhí mé ag troid ar feadh leath mhí le cumraíocht na gcliant ríomhphoist éagsúla a dhéanann rochtain ar SSL ar an bhfreastalaí (ag baint úsáide as leabharlanna Opensl, mar a dhéanann an chuid is mó de na bogearraí saor in aisce), le teastais CA in / etc / ssl / certs / agus paraphernalia eile. Agus is é an rud atá foghlamtha agam: 1) Ní dhéanann STARTTLS ach fíordheimhniú seisiún a chriptiú, agus seoltar gach rud eile gan chriptiú; 2) Déanann SSL ábhar uile an tseisiúin a chriptiú go hiomlán. Dá bhrí sin, níl STARTTLS níos fearr go teicniúil ná SSL in aon chás; B’fhearr liom smaoineamh a mhalairt, ós rud é go dtaistealaíonn ábhar do sheisiúin gan chriptiú thar an líonra.

        Rud difriúil eile ná go moltar STARTTLS ar chúiseanna eile nach eol dom: ar mhaithe le comhoiriúnacht le MSWindows, toisc go bhfuil an cur i bhfeidhm níos cobhsaí nó go ndéantar tástáil níos fearr air ... níl a fhios agam. Sin an fáth go bhfuilim ag cur ceiste ort.

        Ó lua an lámhleabhair a cheangail tú liom i do fhreagra, feicim go bhfuil an difríocht idir ldap: // agus ldaps: // comhionann leis an difríocht idir imap: // agus imaps: //, nó idir smtp: // agus smtps: //: úsáidtear calafort difriúil, cuirtear roinnt iontrála breise sa chomhad cumraíochta, ach coimeádtar an chuid eile de na paraiméadair. Ach ní léiríonn sé sin aon rud faoi STARTTLS a roghnú nó nach fearr.

        Beannachtaí, agus tá brón orm as an bhfreagra. Nílim ach ag iarraidh beagán níos mó a fhoghlaim.

        1.    Federico a dúirt

          Féach, is fíor-annamh a dhéanaim éilimh ar an gcaighdeán sin i mo chuid alt gan tacaíocht a fháil ó fhoilseachán tromchúiseach éigin. Ag deireadh na sraithe cuirfidh mé na naisc uile le cáipéisíocht a mheasaim a bheith tromchúiseach san áireamh, agus a ndeachaigh mé i gcomhairle leo chun an post a scríobh. Cuirim na naisc seo a leanas ar aghaidh chugat:

          https://wiki.debian.org/LDAP/OpenLDAPSetup
          Ubuntu ServerGuide https://code.launchpad.net/serverguide
          OpenLDAP-Oifigiúil http://www.openldap.org/doc/admin24/index.html
          LDAP thar SSL / TLS agus StartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/

          Ina theannta sin, chuaigh mé i gcomhairle leis an doiciméadacht a ghabhann leis atá suiteáilte le gach pacáiste.

          Tá ceist na slándála i gcoitinne agus na difríochtaí idir StartTLS agus TLS / SSL an-theicniúil agus chomh domhain sin nach dóigh liom go bhfuil an t-eolas riachtanach agam chun a leithéid de mhínithe a thabhairt. Sílim gur féidir linn leanúint ar aghaidh ag caint trí r-phost.

          Ina theannta sin, ní deirim in áit ar bith nach féidir LDAPS: // a úsáid. Má mheasann tú go bhfuil sé níos sábháilte, ansin téigh ar aghaidh !!!

          Ní féidir liom cabhrú leat níos mó agus is mór agam do chuid tuairimí.

        2.    Federico a dúirt

          Le beagán níos soiléire is féidir leat a fháil - bealaí faoi OpenLDAP- i:
          http://www.openldap.org/faq/data/cache/605.html

          Is í an oibríocht leathnaithe StartTLS [RFC 2830] meicníocht chaighdeánach LDAPv3 chun cosaint rúndachta sonraí TLS (SSL) a chumasú. Úsáideann an mheicníocht oibríocht leathnaithe LDAPv3 chun nasc criptithe SSL / TLS a bhunú laistigh de nasc LDAP atá bunaithe cheana féin. Cé go bhfuil an mheicníocht deartha le húsáid le TLSv1, tiocfaidh an chuid is mó de na cur chun feidhme ar ais go SSLv3 (agus SSLv2) más gá.

          ldaps: Is meicníocht é // chun nasc criptithe SSL / TLS a bhunú do LDAP. Éilíonn sé calafort ar leithligh a úsáid, go coitianta 636. Cé gur dearadh é ar dtús le húsáid le LDAPv2 agus SSLv2, tacaíonn a lán cur chun feidhme lena úsáid le LDAPv3 agus TLSv1. Cé nach bhfuil aon tsonraíocht theicniúil ann le haghaidh ldaps: // úsáidtear go forleathan é.

          ldaps: Ní mheastar // i bhfabhar Start TLS [RFC2830]. Tacaíonn OpenLDAP 2.0 leis an dá rud.
          Ar chúiseanna slándála ba cheart an freastalaí a chumrú gan glacadh le SSLv2.

  3.   freebsddick a dúirt

    Beidh sé seo ar cheann de na hailt sin nach ndéanfaidh úsáideoirí trácht orthu mar ós rud é nach bhféachann siad ar porn ach ar a stáisiúin Linux, níl suim acu ann. Maidir le ldap tá roinnt seirbhísí gaolmhara agam laistigh den líonra ilchineálach don chuideachta a mbím ag obair dó. Alt maith !!

    1.    Federico a dúirt

      Go raibh maith agat as trácht !!!. Agus tá do ráiteas maidir leis an gcúpla trácht i go leor de mo chuid alt an-fíor. Faighim comhfhreagras, áfach, ó léitheoirí leasmhara, nó ó dhaoine eile a íoslódálann an t-alt lena léamh agus lena chur i bhfeidhm níos déanaí.

      Tá sé an-úsáideach i gcónaí aiseolas a fháil trí thráchtanna, fiú má tá siad: Shábháil mé é le haghaidh léitheoireachta níos déanaí, suimiúil nó tuairim eile.

      Maidir is

  4.   Federico a dúirt

    An Freeke !!! Go raibh maith agat as trácht. Fuair ​​mé do thrácht sa phost ach ní fheicim é cé go ndéanaim an leathanach a athnuachan arís agus arís eile. A chara, is féidir leat triail a bhaint as seo agus as na hailt roimhe seo gan fadhbanna ar Squeeze nó Ubuntu Server 12.04. Gintear teastais Wheezy ar bhealach difriúil, ag baint úsáide as OpenSSL. Ach rud ar bith. Mo bhuíochas, a dheartháir !!!.

  5.   Federico a dúirt

    @thisnameisfalse: Faigheann an cléireach is fearr doiléir. A bhuíochas le do chuid tuairimí, sílim gur chóir go mbeadh an mhír atá i gceist mar seo a leanas:

    Is fearr le freastalaithe nua-aimseartha OpenLDAP úsáid StartTLS, nó Start a Secure Transport Layer, a úsáid chun prótacal LDAPS: //, atá i léig. Ceisteanna ar bith, tabhair cuairt ar Start TLS v. ldaps: // ga http://www.openldap.org/faq/data/cache/605.html

    Maidir is

  6.   Jose Monge a dúirt

    Foirfe, anois tá obair bhaile agam ar ldap

  7.   Walter a dúirt

    Ní féidir leat gach rud a chur i gcomhad aonair ionas gur féidir leat an rang teagaisc iomlán a íoslódáil

  8.   eVeR a dúirt

    Is teicneoir ríomhaireachta mé a bhfuil taithí fhairsing aige ar Linux, ach fós chuaigh mé amú i lár an ailt. Ansin táim chun é a athléamh níos cúramach. Go raibh míle maith agat as an rang teagaisc.
    Cé go bhfuil sé fíor go dtugann sé deis dúinn i bhfad níos mó a thuiscint cén fáth a roghnaítear ActiveDirectory de ghnáth le haghaidh na rudaí seo. Tá Cruinne difríochta ann maidir le simplíocht cumraíochta agus cur chun feidhme.
    Maidir is

  9.   Federico a dúirt

    Go raibh míle maith agaibh go léir as trácht !!!
    @jose monge, tá súil agam go gcabhróidh sé leat
    @walter ag deireadh gach post, feicfidh mé an féidir liom compendium a dhéanamh i bhformáid html nó pdf
    @eVeR an bealach eile, tá OpenLDAP níos simplí - más rud é nach cosúil gur Eolaire Gníomhach é. fan ar na chéad ailt eile agus feicfidh tú.

  10.   Marcelo a dúirt

    Ceist, déanaim an tsuiteáil céim ar chéim ach nuair a atosóidh mé an tseirbhís slapd, caitheann sé an earráid seo a leanas dom>

    Jul 30 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (Márta 17 2014 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / debian / build / freastalaithe / slapd
    Jul 30 15:27:37 xxxxx slapd [1219]: tréith UNKNOWNDescription "CHANGETYPE" curtha isteach.
    Jul 30 15:27:37 xxxxx slapd [1219]: UNKNOWN attributeDescription "ADD" curtha isteach.
    Jul 30 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): AttributeDescription folamh
    Jul 30 15:27:37 xxxxx slapd [1219]: stop slapd.
    Jul 30 15:27:37 xxxxx [1219]: links_destroy: rud ar bith le scriosadh.

    1.    x11tete11x a dúirt

      is féidir leat a iarraidh san fhóram 😀 http://foro.desdelinux.net/

  11.   pedrop a dúirt

    Do gach duine a fheiceann an post sármhaith seo atá mínithe go maith agus tarlaíonn an fhadhb seo agus ACLanna á gcruthú:
    ldapmodify: formáid neamhbhailí (líne 5) iontráil: "olcDatabase = {1} hdb, dc = config"

    Tar éis dom mo cheann a chuardach ag cuardach an idirlín, tharlaíonn sé gurb é ldapmodify an cineál is cruinne atá amuigh ansin ar aghaidh an ghréasáin. Tá sé hysterical le carachtair misplaced chomh maith le spásanna trailing. Gan a thuilleadh a rá, is í an chomhairle an coinníoll a scríobh taobh le taobh atá le X scríobh trí fhéin-scríobh le * léigh. Mura n-oibríonn sé fós suiteáil Notepad ++> View> Taispeáin siombail agus ar deireadh bás do charachtair dofheicthe. Tá súil agam go gcuidíonn duine éigin.

  12.   pedrop a dúirt

    Cruthaigh teastais do Debian Wheezy bunaithe ar OpenSSL is féidir freastal air seo:
    http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/