Sèvis Anyè ak LDAP [4]: ​​OpenLDAP (I)

Bonjou zanmi !. Ann desann nan biznis, epi jan nou toujou rekòmande, li twa atik anvan yo nan seri a:

Dns, DHCP ak NTP se minimòm sèvis esansyèl pou anyè senp nou an ki baze sou openldap natif natal, travay byen sou la Debian 6.0 "Peze", oswa nan Ubuntu 12.04 LTS "Pangolin presi".

Egzanp rezo:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Nan Premye Pati nou pral wè:

  • OpenLDAP enstalasyon (slapd 2.4.23-7.3)
  • Chèk apre enstalasyon an
  • Endis yo pran an kont
  • Règleman Kontwòl Done Aksè
  • Jenerasyon TLS Sètifika nan Peze

pandan ke nan Dezyèm Pati a nou pral kontinye ak:

  • Otantifikasyon lokal itilizatè
  • Popile baz done a
  • Jere baz done a lè l sèvi avèk sèvis piblik konsole
  • Rezime byen lwen tèlman ...

OpenLDAP enstalasyon (slapd 2.4.23-7.3)

Se sèvè a OpenLDAP enstale lè l sèvi avèk pake a kalòt. Nou dwe enstale tou pake a ldap-utils, ki bay nou ak kèk zouti kliyan-bò, osi byen ke OpenLDAP pwòp sèvis piblik yo.

: ~ # aptitude enstale slapd ldap-utils

Pandan pwosesis enstalasyon an, la debconf Li pral mande nou pou modpas administratè a oswa itilizatè a «admin«. Yon kantite depandans yo enstale tou; se itilizatè kreye openldap; se konfigirasyon an sèvè premye kreye kòm byen ke anyè a ldap.

Nan vèsyon pi bonè nan OpenLDAP, konfigirasyon an dyab kalòt te fè antyèman nan dosye a /etc/ldap/slapd.conf. Nan vèsyon an nou ap itilize epi pita, se konfigirasyon an fè nan menm bagay la kalòt, ak pou objektif sa a yon DIT «Anyè Enfòmasyon Tree»Oswa Anyè Enfòmasyon Tree, separeman.

Metòd la konfigirasyon li te ye tankou RTC «Tan reyèl konfigirasyon»Tan reyèl konfigirasyon, oswa kòm Metòd la cn = config, pèmèt nou dinamik configured la kalòt san yo pa egzije yon rekòmanse nan sèvis la.

Baz done a konfigirasyon konsiste de yon koleksyon dosye tèks nan fòma an LDIF «Fòma LDAP Done Echanj»LDAP Fòma pou Echanj Done, ki chita nan katab la /etc/ldap/slapd.d.

Pou jwenn yon lide sou òganizasyon katab la slapd.d, kite a kouri:

: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: total 8 drwxr-x --- 3 openldap openldap 4096 Feb 16 11:08 cn = config -rw ------- 1 openldap openldap 407 Feb 16 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: total 28 -rw ------- 1 openldap openldap 383 16 fev 11:08 cn = modil {0} .ldif drwxr-x --- 2 openldap openldap 4096 16 fev 11:08 cn = schema -rw ------- 1 openldap openldap 325 16 fev 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 16 fev 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 16 fev 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16 fev 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16 fev 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schema: total 40 -rw ------- 1 openldap openldap 15474 16 fev 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 16 fev 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 16 fev 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 16 fev 11:08 cn = {3} inetorgperson.ldif

Si nou gade nan pwodiksyon anvan an yon ti jan, nou wè ke la backend yo itilize nan Peze se kalite baz done a hdb, ki se yon Variant nan bdb "Berkeley Database", e ke li se konplètman yerarchize ak sipòte chanje non an nan sub-pyebwa yo. Pou aprann plis sou sa ki posib dèyè fen ki sipòte OpenLDAP, vizite http://es.wikipedia.org/wiki/OpenLDAP.

Nou menm tou nou wè ke twa baz done separe yo te itilize, se sa ki, yon sèl dedye a konfigirasyon, yon lòt nan Front end, ak dènye a ki se baz done a hdb poukont li.

Anplis, kalòt se enstale pa default ak schematic yo Nwayo, Kosinis, avril e moun entènèt.

Chèk apre enstalasyon an

Nan yon tèminal nou avèk kalm egzekite epi li rezilta yo. Nou pral tcheke, sitou ak dezyèm lòd la, konfigirasyon an dedwi nan lis katab la slapd.d.

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config | plis: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = modil {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} core, cn = schema, cn = config dn: cn = {1} kosinis , cn = schema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetorgperson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config

Eksplikasyon sou chak pwodiksyon:

  • cn = config: Paramèt mondyal.
  • cn = modil {0}, cn = config: Modil dinamik chaje.
  • cn = schema, cn = config: Genyen nan difisil-kode nan nivo chema sistèm lan.
  • cn = {0} nwayo, cn = schema, cn = config: La difisil-kode nan nwayo a schematic.
  • cn = {1} kosinis, cn = schema, cn = config: Konplo a Kosinis.
  • cn = {2} nis, cn = schema, cn = config: Konplo a Nis.
  • cn = {3} inetorgperson, cn = schema, cn = config: Konplo a moun entènèt.
  • olcBackend = {0} hdb, cn = config: backend kalite depo done hdb.
  • olcDatabase = {- 1} entèfas, cn = config: Front end nan baz done a ak paramèt default pou lòt baz done yo.
  • olcDatabase = {0} config, cn = config: Baz done konfigirasyon nan la kalòt (cn = config).
  • olcDatabase = {1} hdb, cn = config: egzanp nou nan baz done a (dc = zanmi, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = egzanp, dc = com dn
dn: dc = zanmi, dc = cu dn: cn = admin, dc = zanmi, dc = cu
  • dc = zanmi, dc = cu: DIT Anyè baz enfòmasyon pyebwa
  • cn = admin, dc = zanmi, dc = cu: Administratè (rootDN) nan DIT la te deklare pandan enstalasyon an.

Note: Sifiks baz la dc = zanmi, dc = cu, te pran li debconf pandan enstalasyon soti nan FQDN soti nan sèvè a mildap.amigos.cu.

Endis yo pran an kont

Se Indexing la nan antre yo te pote soti nan amelyore pèfòmans nan rechèch sou la DIT, ak kritè filtre. Endis yo ke nou pral konsidere yo se minimòm lan rekòmande dapre atribi yo te deklare nan chema yo default.

Pou modifye dinamik endis yo nan baz done a, nou kreye yon dosye tèks nan fòma an LDIF, epi pita nou ajoute li nan baz done a. Nou kreye dosye a olcDbIndex.ldif epi nou kite li ak kontni sa a:

: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modifye ajoute: olcDbIndex olcDbIndex: uidNumber eq - ajoute: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: loginUdDex: olDexIndex: : loginShell eq, olcDbIndex: konekte - ajoute: olcDbIndex olcDbIndex: uid pres, sub, eq - ajoute: olcDbIndex olcDbIndex: cn pres, sub, eq - ajoute: olcDbIndex olcDbIndex: sn pres, sub, eDIx: ajoute: , ou pres, eq, sub - add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: default sub - add: olcDbIndex olcDbIndex: mail eq, subinitial - add: olcDbIndex olcDbIndex

Nou ajoute endis yo nan baz done a epi tcheke modifikasyon an:

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex

dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: uid pres, sub pres, e, pres, sub pres, sub, olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: default sub olcDbIndex: mail eq, subinitial olcDbIndex: dc eq

Règleman Kontwòl Done Aksè

Règ yo ke yo etabli pou ke itilizatè yo ka li, modifye, ajoute ak efase done ki nan baz done a Anyè yo rele Kontwòl Aksè, pandan ke nou pral rele Lis Kontwòl Aksè oswa «ACL Lis Kontwòl Aksè»Pou règleman yo ki configured règleman yo.

Pou konnen ki ACL yo yo te deklare pa default pandan pwosesis la enstalasyon nan la kalòt, nou egzekite:

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} entèfas)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Chak nan kòmandman anvan yo ap montre nou ACL yo ke jiskaske kounye a nou te deklare nan Anyè nou an. Espesyalman, dènye lòd la montre yo tout, pandan twa premye yo ban nou règ kontwòl aksè pou tout twa. DIT patisipe nan nou an kalòt.

Sou sijè a nan ACL yo ak nan lòd pa fè yon atik pi lontan ankò, nou rekòmande pou li paj manyèl yo nonm slapd.access.

Pou garanti aksè nan itilizatè yo ak administratè yo mete ajou antre yo nan loginShell y Geckos, nou pral ajoute ACL sa yo:

## Nou kreye dosye a olcAccess.ldif epi kite li ak kontni sa a: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modifye ajoute: olcAccess olcAccess: {1} attrs = loginShell, gecos by dn = "cn = admin, dc = friends, dc = cu" write by self write by * li

## Nou ajoute akl la
: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif

# Nou tcheke chanjman yo
ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Jenerasyon Sètifika tl nan Peze

Pou gen yon otantifikasyon ki an sekirite ak sèvè OpenLDAP, nou dwe fè li nan yon sesyon chiffres ke nou ka reyalize lè l sèvi avèk la TLS «transpò kouch sekirite» o Kouch transpò an sekirite.

Sèvè OpenLDAP la ak kliyan li yo kapab itilize kad TLS bay pwoteksyon konsènan entegrite ak konfidansyalite, osi byen ke sipòte yon otantifikasyon san danje ldap nan mekanis la SASL «Senp Otantifikasyon ak Kouch Sekirite Sosyal« Ekstèn.

Serveurs modèn OpenLDAP favorize itilizasyon */ StartTLS /* o Kòmanse yon kouch transpò an sekirite nan / pwotokòl laLDAPS: ///, ki demode. Nenpòt kesyon, vizite * Start TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html

Jis kite dosye a kòm enstale pa default / elatriye / default / slapd ak deklarasyon an SLAPD_SERVICES = »ldap: /// ldapi: ///», ak objektif pou itilize yon chanèl chiffres ant kliyan an ak sèvè a, ak aplikasyon pou oksilyè tèt yo pou jere OpenLDAP ke yo enstale lokalman.

Metòd ki dekri isit la, ki baze sou pakè yo gnutls-bin y ssl-sèt li valab pou Debian 6 "Peze" epi tou pou Ubuntu sèvè 12.04. Pou Debian 7 "Wheezy" yon lòt metòd ki baze sou Opansl.

Se jenerasyon an nan sètifika yo nan peze te pote soti jan sa a:

1.- Nou enstale pakè ki nesesè yo
: ~ # aptitid enstale gnutls-bin ssl-cert

2.- Nou kreye kle prensipal la pou otorite sètifika a
: ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3.- Nou kreye yon modèl pou defini CA a (Otorite Sètifika)
: ~ # nano /etc/ssl/ca.info cn = Zanmi Kiben ca cert_signing_key

4.- Nou kreye CA Self Selfed or Self-Signed Certificate pou kliyan yo
: ~ # certtool --generate-self-signed \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem

5.- Nou jenere yon kle prive pou sèvè a
: ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem

Note: Ranplase "mildap"nan non an dosye pi wo a pou sèvè pwòp ou a. Nonmen Sètifika a ak kle, tou de pou sèvè a ak pou sèvis la ki sèvi ak li, ede nou kenbe bagay sa yo klè.

6.- Nou kreye dosye /etc/ssl/mildap.info ak kontni sa yo:
: ~ # nano /etc/ssl/mildap.info òganizasyon = Zanmi Kiben cn = mildap.amigos.cu tls_www_server encryption_key signature_key expiration_days = 3650

Note: Nan kontni ki anwo a nou deklare ke sètifika a valab pou yon peryòd 10 zan. Paramèt la dwe ajiste nan konvenyans nou yo.

7.- Nou kreye Sètifika sèvè a
: ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem

Se konsa, lwen nou te pwodwi dosye ki nesesè yo, nou sèlman gen pou ajoute nan Anyè a ki kote Sètifika Oto-siyen an cacert.pem; ki nan Sètifika a sèvè mildap-cert.pem; ak kle prive sèvè a mildap-key.pem. Nou dwe ajiste tou otorizasyon yo ak pwopriyetè dosye ki pwodwi yo.

: ~ # nano /etc/ssl/certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTLCert / etc. /mildap-key.pem

8.- Nou ajoute: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

9.- Nou ajiste mèt kay ak autorisations
: ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod oswa /etc/ssl/private/mildap-key.pem

Sètifika a cacert.pem Li se youn nan ke nou dwe kopye nan chak kliyan. Pou sètifika sa a dwe itilize sou sèvè a li menm, nou dwe deklare li nan dosye a /etc/ldap/ldap.conf. Pou fè sa, nou modifye dosye a epi kite li ak kontni sa a:

: ~ # nano /etc/ldap/ldap.conf
BASE dc = zanmi, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

Finalman epi tou kòm yon chèk, nou rekòmanse sèvis la kalòt epi nou tcheke pwodiksyon an nan la syslog soti nan sèvè a, yo chèche konnen si sèvis la te rekòmanse byen lè l sèvi avèk sètifika a ki fèk deklare.

: ~ # sèvis slapd rekòmanse
: ~ # ke / var / log / syslog

Si sèvis la pa rekòmanse kòrèkteman oswa nou obsève yon erè grav nan la syslog, annou pa dekouraje. Nou ka eseye repare domaj la oswa rekòmanse. Si nou deside kòmanse nan grate enstalasyon an nan la kalòt, li pa nesesè pou fòma sèvè nou an.

Pou efase tout bagay ke nou te fè twò lwen pou yon rezon oswa yon lòt, nou dwe désinstaller pake a kalòt, ak Lè sa a, efase katab la / var / lib / ldap. Nou dwe kite dosye a tou nan vèsyon orijinal li /etc/ldap/ldap.conf.

Li ra ke tout bagay ap travay kòrèkteman sou premye eseye la. 🙂

Sonje byen ke nan pwochen vèsman an nou pral wè:

  • Otantifikasyon lokal itilizatè
  • Popile baz done a
  • Jere baz done a lè l sèvi avèk sèvis piblik konsole
  • Rezime byen lwen tèlman ...

A nou byento zanmi !.


Kontni an nan atik la respekte prensip nou yo nan etik editoryal. Pou rapòte yon erè klike sou isit la.

19 kòmantè, kite ou

Kite kòmantè ou

Adrès imèl ou pa pral dwe pibliye.

*

*

  1. Responsab pou done yo: Miguel Ángel Gatón
  2. Objektif done yo: Kontwòl SPAM, jesyon kòmantè.
  3. Lejitimasyon: konsantman ou
  4. Kominikasyon nan done yo: done yo pa pral kominike bay twazyèm pati eksepte pa obligasyon legal.
  5. Done depo: baz done anime pa rezo Occentus (Inyon Ewopeyen)
  6. Dwa: Nenpòt ki lè ou ka limite, refè ak efase enfòmasyon ou yo.

  1.   Hugo diro

    Pwofesè !!!
    LI RIVE AK TUTO!
    ekselan
    tout renmen nan mond lan pou ou.
    ????

    1.    Federico diro

      Mèsi anpil, Hugo !!! Rete tann pou pwochen atik yo sou sijè a.

  2.   non sa a se fo diro

    Hi

    enteresan seri atik ou yo.

    Mwen te sezi li deklarasyon sa a: "serveurs modèn OpenLDAP prefere itilize StartTLS oswa kòmanse yon kouch transpò an sekirite nan ansyen pwotokòl TLS / SSL la, ki demode."

    Èske ou reklamasyon ke, nan tout ka menm andeyò sijè ki abòde lan LDAP, STARTTLS se yon mekanis pwoteksyon siperyè TSL / SSL?

    1.    Federico diro

      Mèsi pou kòmantè. Remake byen ke mwen vle di OpenLDAP. Mwen pa depase limit. Nan http://www.openldap.org/faq/data/cache/185.html, ou ka li bagay sa yo:

      Transpò Kouch Sekirite (TLS) se non an estanda pou Kouch la Secure Socket (SSL). Tèm yo (sòf si yo kalifye ak nimewo vèsyon espesifik) yo jeneralman ka ranplase.

      StartTLS se non estanda operasyon LDAP pou kòmanse TLS / SSL. TLS / SSL inisye sou fini siksè nan operasyon LDAP sa a. Pa gen okenn pò altènatif ki nesesè. Li pafwa refere yo kòm TLS operasyon an ajou, menm jan li amelyore yon koneksyon ldap nòmal nan yon sèl pwoteje pa TLS / SSL.

      ldaps: // ak LDAPS refere a "LDAP sou TLS / SSL" oswa "LDAP sekirite". TLS / SSL inisye sou koneksyon ak yon pò altènatif (nòmalman 636). Menm si pò LDAPS (636) anrejistre pou itilizasyon sa a, detay sou mekanis inisyasyon TLS / SSL yo pa ofisyèl.

      Yon fwa inisye, pa gen okenn diferans ant ldaps: // ak StartTLS. Yo pataje menm opsyon yo konfigirasyon (eksepte ldaps: // mande pou konfigirasyon nan yon koute separe, gade slapd (8) 's -h opsyon) ak rezilta nan tankou sèvis sekirite yo te etabli.
      Remak:
      1) ldap: // + StartTLS yo ta dwe dirije nan yon pò ldap nòmal (nòmalman 389), pa ldaps yo: // pò.
      2) ldaps: // yo ta dwe dirije nan yon pò LDAPS (nòmalman 636), pa pò a LDAP.

      1.    non sa a se fo diro

        Padon, men mwen toujou pa fin sèten poukisa ou reklamasyon ke: 1) serveurs modèn pito STARTTLS SSL / TLS; 2) ke STARTTLS se modèn, kont SSL / TLS ki demode.

        Mwen te goumen pou mwatye yon mwa ak konfigirasyon an nan kliyan lapòs diferan ki jwenn aksè nan sèvè a pa SSL (lè l sèvi avèk bibliyotèk openssl, menm jan pifò lojisyèl gratis fè), ak sètifika CA nan / elatriye / ssl / certs / ak ekipman lòt. Ak sa mwen te aprann se ke: 1) STARTTLS sèlman chifre otantifikasyon an nan sesyon-an, epi tout lòt bagay yo voye san kript; 2) SSL chifre absoliman tout sa ki nan sesyon an. Se poutèt sa, nan okenn ka se STARTTLS teknikman siperyè SSL; Mwen ta pito dwe enkline panse otreman, depi kontni an nan sesyon ou vwayaje san kript sou rezo a.

        Yon lòt bagay diferan se ke STARTTLS rekòmande pou lòt rezon ke mwen pa konnen: pou konpatibilite ak MSWindows, paske aplikasyon an se pi plis ki estab oswa ki pi byen teste ... Mwen pa konnen. Se poutèt sa mwen mande ou.

        Soti nan sitasyon manyèl la ou te atache m 'nan repons ou an, mwen wè ke diferans ki genyen ant ldap: // ak ldaps: // ki ekivalan a diferans ki genyen ant imap: // ak imaps: //, oswa ant smtp: // ak smtps: //: se yon pò diferan itilize, gen kèk antre anplis te ajoute nan dosye a konfigirasyon, men yo rès la nan paramèt yo kenbe. Men, sa pa endike anyen sou pito STARTTLS oswa ou pa.

        Bonjou, ak regrèt pou repons lan. Mwen jis ap eseye aprann yon ti kras plis.

        1.    Federico diro

          Gade, li ra anpil ke nan atik mwen yo mwen fè reklamasyon ki kalib san yo pa te sipòte pa kèk piblikasyon grav. Nan fen seri a mwen pral gen ladan tout lyen ki nan dokiman ke mwen konsidere ki grav, e ke mwen te konsilte yo ekri pòs la. Mwen avanse ou lyen sa yo:

          https://wiki.debian.org/LDAP/OpenLDAPSetup
          Ubuntu ServerGuide https://code.launchpad.net/serverguide
          OpenLDAP-Ofisyèl http://www.openldap.org/doc/admin24/index.html
          LDAP sou SSL / TLS ak StartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/

          Ak Anplis de sa, mwen konsilte dokiman ki akonpaye ki enstale ak chak pake.

          Pwoblèm nan sekirite an jeneral ak diferans ki genyen ant StartTLS ak TLS / SSL, yo trè teknik ak nan pwofondè sa yo ke mwen pa konsidere tèt mwen gen konesans ki nesesè yo bay eksplikasyon sa yo. Mwen panse ke nou ka kontinye pale via e-mail.

          Anplis de sa, okenn kote mwen deklare ke LDAPS: // pa ka itilize. Si ou konsidere li pi an sekirite, lè sa a ale pi devan !!!

          Mwen pa ka ede ou ankò e mwen vrèman apresye kòmantè ou yo.

        2.    Federico diro

          Yon ti kras plis klè ou ka jwenn-toujou sou OpenLDAP- nan:
          http://www.openldap.org/faq/data/cache/605.html

          StartTLS pwolonje operasyon an [RFC 2830] se mekanis estanda LDAPv3 a pou pèmèt TLS (SSL) pwoteksyon konfidansyalite done yo. Mekanis la itilize yon operasyon LDAPv3 pwolonje pou etabli yon koneksyon SSL / TLS chiffres nan yon koneksyon LDAP deja etabli. Pandan ke se mekanis la ki fèt pou itilize ak TLSv1, pifò aplikasyon yo pral fallback SSLv3 (ak SSLv2) si sa nesesè.

          ldaps: // se yon mekanis pou etabli yon SSL / TLS koneksyon chiffres pou LDAP. Li mande pou itilize nan pò apa, souvan 636. Menm si orijinal ki fèt pou itilize ak LDAPv2 ak SSLv2, aplikasyon anpil sipòte sèvi ak li yo ak LDAPv3 ak TLSv1. Malgre ke pa gen okenn spesifikasyon teknik pou ldaps: // li lajman itilize.

          ldaps: // se obsolèt an favè Start TLS [RFC2830]. OpenLDAP 2.0 sipòte tou de.
          Pou rezon sekirite sèvè a ta dwe configuré pou pa aksepte SSLv2.

  3.   freebsddick diro

    Sa a pral youn nan atik sa yo nan ki itilizatè yo pa pral fè kòmantè paske depi yo sèlman gade pònografi sou estasyon Linux yo, yo tou senpleman pa pran swen .. About ldap mwen gen plizyè sèvis ki gen rapò nan rezo a etewojèn pou konpayi an mwen travay pou. Bon atik !!

    1.    Federico diro

      Mèsi pou kòmantè !!!. Ak deklarasyon ou a trè vre konsènan kèk kòmantè yo nan anpil nan atik mwen an. Sepandan, mwen resevwa korespondans nan men lektè ki enterese yo, oswa nan men lòt moun ki telechaje atik la pou lekti ak aplikasyon pita.

      Li toujou trè itil yo gen fidbak nan kòmantè, menm si yo se: Mwen sove l 'pou yon lekti pita, enteresan, oswa yon lòt opinyon.

      Concerne

  4.   Federico diro

    Freeke a !!! Mèsi pou kòmantè. Mwen te resevwa kòmantè ou nan lapòs la men mwen pa wè li menm si mwen rafrechi paj la plizyè fwa. Zanmi, ou ka eseye sa a ak atik yo anvan yo san yo pa pwoblèm sou peze oswa Ubuntu sèvè 12.04. Nan sètifika Wheezy yo pwodwi yon fason diferan, lè l sèvi avèk OpenSSL. Men, pa gen anyen. Salitasyon mwen, frè !!!.

  5.   Federico diro

    @thisnameisfalse: grefye a pi byen vin yon flou. Mèsi a kòmantè ou yo, mwen panse ke paragraf la nan kesyon yo ta dwe jan sa a:

    Sèvè modèn OpenLDAP pito itilize StartTLS, oswa kòmanse yon kouch transpò an sekirite, ak LDAPS: // pwotokòl la, ki demode. Nenpòt kesyon, vizite Start TLS v. ldaps: // en http://www.openldap.org/faq/data/cache/605.html

    Concerne

  6.   Jose Monge diro

    Pafè, kounye a mwen gen devwa sou ldap

  7.   Walter diro

    Ou pa ka mete tout bagay nan yon sèl dosye pou ou ka telechaje leson patikilye konplè a

  8.   tout tan diro

    Mwen se yon teknisyen òdinatè ki gen anpil eksperyans nan Linux, men mwen toujou pèdi nan mitan atik la. Lè sa a, mwen pral reli li plis ak anpil atansyon. Mèsi anpil pou leson patikilye a.
    Malgre ke li se vre ke li pèmèt nou konprann pi plis poukisa se ActiveDirectory anjeneral chwazi pou bagay sa yo. Gen yon linivè nan diferans lè li rive senplisite nan konfigirasyon ak aplikasyon.
    Concerne

  9.   Federico diro

    Mèsi tout pou kòmantè !!!
    @jose monge, mwen espere ke li ede ou
    @walter nan fen tout posts, mwen pral wè si mwen ka fè yon Compendium nan fòma html oswa pdf
    @eVeR nan lòt fason, yon OpenLDAP pi senp -menm si li pa sanble tankou li- pase yon Anyè aktif. tann pou pwochen atik yo, epi ou pral wè.

  10.   Marcelo diro

    Yon rechèch, mwen fè enstalasyon an etap pa etap men lè rekòmanse sèvis la slapd, li lanse m 'erè sa a>

    Jul 30 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (17 Mas 2014 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / Debian / bati / serveurs / slapd
    Jul 30 15:27:37 xxxxx slapd [1219]: enkoni atribi Deskripsyon "CHANGETYPE" eleman.
    Jul 30 15:27:37 xxxxx slapd [1219]: enkoni atribi Deskripsyon "ADD" eleman.
    Jul 30 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): vid AttributeDescription
    Jul 30 15:27:37 xxxxx slapd [1219]: slapd sispann.
    Jul 30 15:27:37 xxxxx [1219]: connections_destroy: anyen pou detwi.

    1.    x11tete11x diro

      ou ka mande nan fowòm lan 😀 http://foro.desdelinux.net/

  11.   pedrop diro

    Pou tout moun ki wè pòs sa a ekselan e byen eksplike ak pwoblèm sa a rive lè kreye ACLs:
    ldapmodify: fòma valab (liy 5) antre: "olcDatabase = {1} hdb, dc = config"

    Apre manto tèt mwen chache entènèt la, li sanble ke ldapmodify se kalite ki pi egzat yo deyò sou figi a nan entènèt la. Li se isterik ak karaktè deplace kòm byen ke espas fin. San yo pa plis ado, konsèy la se yo ekri pa kondisyon an pwochen youn ak lòt oswa pa X ekri pa pwòp tèt ou ekri pa * li. Si li toujou pa travay enstale Notepad ++> View> Montre senbòl epi finalman lanmò nan karaktè envizib. Mwen espere ke yon moun ede.

  12.   pedrop diro

    Jenere sètifika pou Debian Wheezy ki baze sou OpenSSL sa a ka sèvi:
    http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/