Hello barátok!. Térjünk rá az üzletre, és ahogy mindig ajánljuk, olvassa el a sorozat előző három cikkét:
- Könyvtárszolgáltatás LDAP-val. Bevezetés.
- Könyvtárszolgáltatás LDAP-val [2]: NTP és dnsmasq.
- Könyvtárszolgáltatás LDAP-val [3]: Isc-DHCP-Server és Bind9.
A DNS, a DHCP és az NTP a minimális alapvető szolgáltatás az egyszerű alapú könyvtárunk számára OpenLDAP natív, megfelelően működik a Debian 6.0 "Squeeze", vagy az Ubuntu 12.04 LTS «Precise Pangolin».
Példa hálózatra:
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
Az első részben meglátjuk:
- OpenLDAP telepítés (pofon 2.4.23-7.3)
- Ellenőrzések a telepítés után
- Figyelembe veendő indexek
- Adathozzáférés-szabályozás
- TLS-tanúsítványok létrehozása a Squeeze-ben
míg a második részben folytatjuk:
- Helyi felhasználói hitelesítés
- Töltse fel az adatbázist
- Kezelje az adatbázist a konzol segédprogramjaival
- Eddigi összefoglalás ...
OpenLDAP telepítés (pofon 2.4.23-7.3)
Az OpenLDAP szervert a csomag segítségével telepítik pofon. Telepítenünk kell a csomagot is ldap-utils, amely néhány ügyféloldali eszközt, valamint az OpenLDAP saját segédprogramokat biztosít számunkra.
: ~ # aptitude install slapd ldap-utils
A telepítési folyamat során a debconf Kérni fogja tőlünk az adminisztrátor vagy a felhasználó jelszavát «admin«. Számos függőség is telepítve van; felhasználó létrehozva openldap; létrejön a kezdeti szerverkonfiguráció, valamint az LDAP könyvtár.
Az OpenLDAP korábbi verzióiban a démonkonfiguráció pofon teljes egészében az aktán keresztül történt /etc/ldap/slapd.conf. Az általunk használt és későbbi verzióban a konfigurálás ugyanabban történik pofon, és erre a célra a DIT «Címtár információfa»Vagy a Directory Information Tree külön-külön.
A konfigurációs módszer néven ismert RTC «Valós idejű konfiguráció»Valós idejű konfiguráció, vagy mint módszer cn = konfig, lehetővé teszi számunkra a dinamikus konfigurálását pofon anélkül, hogy szükség lenne a szolgáltatás újraindítására.
A konfigurációs adatbázis formátumú szöveges fájlok gyűjteményéből áll LDIF «LDAP adatcsere-formátum»A mappában található LDAP formátum az adatcseréhez /etc/ldap/slapd.d.
Hogy képet kapjon a mappa szervezéséről pofon.d, Fussunk:
: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: összesen 8 drwxr-x --- 3 openldap openldap 4096 február 16 11:08 cn = config -rw ------- 1 openldap openldap 407 február 16 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: összesen 28 -rw ------- 1 openldap openldap 383. február 16. 11:08 cn = modul {0} .ldif drwxr-x --- 2 openldap openldap 4096 február 16 11:08 cn = séma -rw ------- 1 openldap openldap 325 február 16 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 február 16 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 február 16 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16. február 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16. február 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = séma: összesen 40 -rw ------- 1 openldap openldap 15474 február 16 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 február 16 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 február 16 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 Február 16. 11:08 cn = {3} inetorgperson.ldif
Ha kicsit megnézzük az előző kimenetet, azt látjuk, hogy a háttér a Squeeze-ben használt adatbázis típus hdb, amely a változata bdb "Berkeley Database", és hogy az teljesen hierarchikus és támogatja az alfák átnevezését. Ha többet szeretne megtudni a lehetségesről Háttérképek amely támogatja az OpenLDAP-t, látogasson el http://es.wikipedia.org/wiki/OpenLDAP.
Azt is látjuk, hogy három külön adatbázist használnak, vagyis az egyiket a konfigurációnak szentelik, a másikat a frontend, és az utolsó, amely az adatbázis hdb önmagában.
Sőt, pofon alapértelmezés szerint a sémákkal van telepítve Mag, koszinusz, Nis e internetes személy.
Ellenőrzések a telepítés után
Egy terminálban nyugodtan végrehajtjuk és leolvassuk a kimeneteket. Különösen a második paranccsal ellenőrizzük a mappa felsorolásából levezetett konfigurációt pofon.d.
: ~ # ldapsearch -Q -LLL -Y KÜLSŐ -H ldapi: /// -b cn = config | tovább: ~ # ldapsearch -Q -LLL -Y KÜLSŐ -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = modul {0}, cn = config dn: cn = séma, cn = config dn: cn = {0} mag, cn = séma, cn = config dn: cn = {1} koszinusz , cn = séma, cn = config dn: cn = {2} nis, cn = séma, cn = config dn: cn = {3} inetorgperson, cn = séma, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} kezelőfelület, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config
Az egyes kimenetek magyarázata:
- cn = konfig: Globális paraméterek.
- cn = modul {0}, cn = konfiguráció: Dinamikusan betöltött modul.
- cn = séma, cn = konfig: Tartalmazza a kemény kódolású a rendszervázlatok szintjén.
- cn = {0} mag, cn = séma, cn = config: A kemény kódolású a rendszermag vázlata.
- cn = {1} koszinusz, cn = séma, cn = konfig: A séma Koszinusz.
- cn = {2} nis, cn = séma, cn = config: A séma Nis.
- cn = {3} inetorgperson, cn = séma, cn = config: A séma internetes személy.
- olcBackend = {0} hdb, cn = config: háttér adattárolási típus hdb.
- olcDatabase = {- 1} frontend, cn = config: frontend az adatbázis és az egyéb adatbázisok alapértelmezett paraméterei.
- olcDatabase = {0} config, cn = config: A. konfigurációs adatbázisa pofon (cn = konfig).
- olcDatabase = {1} hdb, cn = config: Adatbázisunk példánya (dc = barátok, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = példa, dc = com dn dn: dc = barátok, dc = cu dn: cn = admin, dc = barátok, dc = cu
- dc = barátok, dc = cu: DIT alapkönyvtár információs fa
- cn = admin, dc = barátok, dc = cu: A telepítés során deklarált DIT rendszergazdája (rootDN).
jegyzet: Az alap utótag dc = barátok, dc = cu, elvette debconf -tól való telepítés során FQDN a szerverről mildap.amigos.cu.
Figyelembe veendő indexek
A bejegyzések indexelésével javítják a keresések teljesítményét az DIT, szűrési feltételekkel. Az általunk figyelembe vett indexek a minimálisan ajánlottak az alapértelmezett sémákban deklarált attribútumok szerint.
Az adatbázis indexeinek dinamikus módosításához létrehozunk egy szöveges fájlt a formátumban LDIF, majd később felvesszük az adatbázisba. Mi hozzuk létre a fájlt olcDbIndex.ldif és a következő tartalommal hagyjuk:
: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex, loginShidc: loginShidd: loginUid eq : loginShell eq, olcDbIndex: login - add: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, sub, eqInb: , ou pres, eq, sub - add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: alapértelmezett sub - add: olcDbIndex olcDbIndex: mail eq, szubinitális - add: olcDbIndex olcDbIn
Hozzáadjuk az indexeket az adatbázishoz, és ellenőrizzük a módosítást:
: ~ # ldapmodify -Y KÜLSŐ -H ldapi: /// -f ./olcDbIndex.ldif
: ~ # ldapsearch -Q -LLL -Y KÜLSŐ -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex
dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: pres pres, q presq, pres cn presq olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: alapértelmezett sub olcDbIndex: mail eq, szubinitális olcDbIndex: dc eq
Adathozzáférés-szabályozás
Azokat a szabályokat, amelyeket azért hoztak létre, hogy a felhasználók elolvashassák, módosíthassák, hozzáadhassák és törölhessék a Directory adatbázis adatait, hozzáférés-vezérlésnek hívjuk, míg mi hozzáférés-listákat vagy «ACL hozzáférés-vezérlési lista»A szabályokat konfiguráló házirendekhez.
Hogy melyiket ACL-ek fájlokat alapértelmezés szerint deklarálták a pofon, végrehajtjuk:
: ~ # ldapsearch -Q -LLL -Y KÜLSŐ -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess
: ~ # ldapsearch -Q -LLL -Y KÜLSŐ -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} frontend)' olcAccess
: ~ # ldapsearch -Q -LLL -Y KÜLSŐ -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess
: ~ # ldapsearch -Q -LLL -Y KÜLSŐ -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix
Az előző parancsok mindegyike megmutatja a ACL-ek hogy eddig könyvtárunkban kijelentettük. Pontosabban, az utolsó parancs mindet megmutatja, míg az első három megadja nekünk a hozzáférés-szabályokat mindháromra. DIT részt vesz a mi pofon.
A témában ACL-ek és annak érdekében, hogy ne készüljön sokkal hosszabb cikk, javasoljuk, hogy olvassa el a kézi oldalakat ember slapd.hozzáférés.
A felhasználók és rendszergazdák hozzáférésének garantálása a bejelentkezésShell y Geckos, hozzáadjuk a következő ACL-t:
## Létrehozzuk az olcAccess.ldif fájlt, és a következő tartalommal hagyjuk: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcAccess olcAccess: {1} to attrs = loginShell, gecos by dn = "cn = admin, dc = barátok, dc = cu" önállóan ír * olvas
## Hozzáadjuk az ACL-t
: ~ # ldapmodify -Y KÜLSŐ -H ldapi: /// -f ./olcAccess.ldif
# Ellenőrizzük a változásokat
ldapsearch -Q -LLL -Y KÜLSŐ -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix
Tanúsítványok generálása TLS a Squeeze-ben
Az OpenLDAP szerverrel történő biztonságos hitelesítéshez titkosított munkameneten keresztül kell megtennünk, amelyet a TLS «Szállítási réteg biztonsága» o Biztonságos szállítási réteg.
Az OpenLDAP szerver és kliensei képesek használni a keret A TLS az integritás és a titoktartás védelme, valamint a biztonságos LDAP-hitelesítés támogatása a mechanizmus révén SASL «Egyszerű hitelesítési és biztonsági réteg« Külső.
A modern OpenLDAP szerverek a * használatát támogatják/ StartTLS /* o Indítson el egy biztonságos szállítási réteget a /LDAPS: ///, ami elavult. Ha bármilyen kérdése van, látogasson el a * Start TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html
Csak hagyja a fájlt alapértelmezés szerint telepítve / etc / default / slapd a kijelentéssel SLAPD_SERVICES = »ldap: /// ldapi: ///», azzal a céllal, hogy titkosított csatornát használjon az ügyfél és a kiszolgáló, valamint maguk a kiegészítő alkalmazások a helyileg telepített OpenLDAP adminisztrálására.
Az itt leírt módszer a csomagok alapján gnutls-bin y ssl-cert érvényes a Debian 6 "Squeeze" -re és az Ubuntu Server 12.04-re is. A Debian 7 "Wheezy" esetében egy másik módszer alapul OpenSSL.
A Squeeze-ben a tanúsítványok generálása az alábbiak szerint történik:
1.- Telepítjük a szükséges csomagokat : ~ # aptitude install gnutls-bin ssl-cert 2.- Létrehozzuk az Elsődleges kulcsot a tanúsító hatóság számára : ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem" 3.- Hozunk létre egy sablont a CA (Certificate Authority) meghatározásához : ~ # nano /etc/ssl/ca.info cn = kubai barátok ca cert_signing_key 4.- Létrehozzuk a CA önaláírt vagy önaláírt tanúsítványt az ügyfelek számára : ~ # certtool --generate-self-signed \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem 5. - Privát kulcsot generálunk a szerverhez : ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem jegyzet: Csere "mildap"a fenti fájl nevében a saját szervere nevében. A tanúsítvány és a kulcs elnevezése mind a szerver, mind az azt használó szolgáltatás számára segít tisztán tartani a dolgokat. 6.- Az /etc/ssl/mildap.info fájlt a következő tartalommal hozzuk létre: : ~ # nano /etc/ssl/mildap.info organization = Kubai barátok cn = mildap.amigos.cu tls_www_szerver encryption_key signing_key lejárati_nap = 3650 jegyzet: Az előző tartalomban kijelentjük, hogy a tanúsítvány 10 évig érvényes. A paramétert kényelmünknek megfelelően kell beállítani. 7.- Létrehozzuk a Server tanúsítványt : ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem
Eddig elkészítettük a szükséges fájlokat, csak a Saját Aláírású Tanúsítvány helyét kell hozzáadnunk a Könyvtárhoz cacert.pem; a szerver tanúsítványé mildap-cert.pem; és a szerver privát kulcsát mildap-key.pem. Be kell állítanunk a létrehozott fájlok engedélyeit és tulajdonosát is.
: ~ # nano /etc/ssl/certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add hozzá: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem / private: privateKépFájl / serkentFájl / privateKépFájl / magán: stb /mildap-key.pem 8.- Hozzáadjuk: ~ # ldapmodify -Y KÜLSŐ -H ldapi: /// -f /etc/ssl/certinfo.ldif 9.- Beállítjuk a tulajdonos és az engedélyeket : ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod vagy /etc/ssl/private/mildap-key.pem
A tanúsítvány cacert.pem Ez az, amelyet minden kliensben le kell másolnunk. Ahhoz, hogy ezt a tanúsítványt a kiszolgálón is használni lehessen, azt a fájlban kell deklarálnunk /etc/ldap/ldap.conf. Ehhez módosítjuk a fájlt, és a következő tartalommal hagyjuk:
: ~ # nano /etc/ldap/ldap.conf BASE dc = barátok, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem
Végül és ellenőrzésként újraindítjuk a szolgáltatást pofon és ellenőrizzük a syslog a szerverről, hogy megtudja, a szolgáltatás megfelelően indult-e újra az újonnan deklarált tanúsítvánnyal.
: ~ # service slapd restart : ~ # tail / var / log / syslog
Ha a szolgáltatás nem indul újra megfelelően, vagy súlyos hibát észlelünk a syslog, ne csüggedjünk. Megpróbálhatjuk kijavítani a kárt, vagy elölről kezdeni. Ha úgy döntünk, hogy a nulláról kezdjük a telepítést pofon, nem szükséges a szerverünket formázni.
Ahhoz, hogy töröljünk mindent, amit eddig egy vagy másik okból tettünk, el kell távolítanunk a csomagot pofon, majd törölje a mappát / var / lib / ldap. A fájlt az eredeti változatában is el kell hagynunk /etc/ldap/ldap.conf.
Ritka az első próbálkozás, hogy minden megfelelően működik. 🙂
Ne feledje, hogy a következő részletben látni fogjuk:
- Helyi felhasználói hitelesítés
- Töltse fel az adatbázist
- Kezelje az adatbázist a konzol segédprogramjaival
- Eddigi összefoglalás ...
Hamarosan találkozunk, barátok!
Tanár!!!
A TUTO-val TÖRTÉNT!
kiváló
A VILÁG összes LIKE NEKED.
????
Nagyon köszönöm, Hugo !!! Várja meg a következő cikkeket a témáról.
Szia
érdekes a cikksorozatod.
Meglepetten olvastam ezt a kijelentést: "A modern OpenLDAP szerverek inkább a StartTLS vagy Start a Secure Transport Layer használatát használják a régi TLS / SSL protokollhoz képest, ami elavult."
Azt állítja, hogy minden esetben, még az LDAP hatókörén kívül is, a STARTTLS a TSL / SSL-nél jobb védelmi mechanizmus?
Köszönöm a megjegyzést. Ne feledje, hogy az OpenLDAP-ra gondolok. Nem értek túl. Ban ben http://www.openldap.org/faq/data/cache/185.html, a következőket olvashatja:
A Transport Layer Security (TLS) a Secure Socket Layer (SSL) szabványos neve. A kifejezések (hacsak nincsenek megadva konkrét verziószámokkal) általában felcserélhetők.
A StartTLS a standard LDAP művelet neve a TLS / SSL elindításához. A TLS / SSL az LDAP művelet sikeres befejezésével indul. Nincs szükség alternatív kikötőre. Néha TLS frissítési műveletnek nevezik, mivel a normál LDAP kapcsolatot TLS / SSL által védettre frissíti.
Az ldaps: // és az LDAPS "LDAP over TLS / SSL" vagy "LDAP Secured" kifejezésre utal. A TLS / SSL egy alternatív portra (általában 636) való csatlakozáskor indul. Noha az LDAPS port (636) erre a felhasználásra van regisztrálva, a TLS / SSL indítási mechanizmus adatai nincsenek szabványosítva.
Miután elindította, nincs különbség az ldaps: // és a StartTLS között. Ugyanazok a konfigurációs lehetőségek vannak (kivéve az ldaps: // külön hallgató konfigurálását igényli, lásd a slapd (8) s -h opcióját), és hasonló biztonsági szolgáltatásokat hoznak létre.
Jegyzet:
1) Az ldap: // + A StartTLS-t egy normál LDAP portra (általában 389) kell irányítani, nem az ldaps: // portra.
2) Az ldaps: // egy LDAPS portra (általában 636) kell irányítani, nem az LDAP portra.
Sajnálom, de még mindig nem tudom, miért állítja, hogy: 1) a modern szerverek a STARTTLS-t részesítik előnyben az SSL / TLS helyett; 2) A STARTTLS modern, szemben az elavult SSL / TLS-sel.
Fél hónapja küzdöttem a különböző levelező kliensek konfigurálásával, amelyek SSL-n keresztül férnek hozzá a szerverhez (openssl könyvtárak használatával, ahogy a legtöbb ingyenes szoftver teszi), CA tanúsítvánnyal az / etc / ssl / certs / könyvtárban és egyéb kellékekkel. És amit megtanultam, az az, hogy: 1) A STARTTLS csak a munkamenet-hitelesítést titkosítja, és minden mást titkosítatlanul küldünk; 2) Az SSL titkosítja a munkamenet teljes tartalmát. Ezért a STARTTLS technikailag semmiképp sem jobb az SSL-nél; Inkább hajlamos lennék másként gondolkodni, mivel a munkamenet tartalma titkosítatlanul halad a hálózaton keresztül.
Egy másik dolog, hogy a STARTTLS-t más okok miatt ajánlják, amelyeket nem ismerek: az MSWindows rendszerrel való kompatibilitás érdekében, mivel a megvalósítás stabilabb vagy jobban tesztelt ... Nem tudom. Ezért kérdezlek téged.
A kézikönyv idézetéből, amelyet csatoltál hozzám a válaszodban, azt látom, hogy az ldap: // és az ldaps: // közötti különbség egyenértékű az imap: // és az imaps: //, vagy az smtp közötti különbséggel : // és smtps: //: egy másik portot használnak, a konfigurációs fájlba további bejegyzések kerülnek, de a többi paraméter megmarad. De ez nem utal semmire a STARTTLS preferálásának vagy sem.
Üdvözlet, és elnézést a válaszért. Csak egy kicsit többet próbálok megtanulni.
Nézze, nagyon ritka, hogy a cikkeimben ilyen kaliberű állításokat állítok anélkül, hogy valamilyen komoly publikáció támogatná őket. A sorozat végén felteszem az összes olyan linket a dokumentációhoz, amelyet komolynak tartok, és amelyhez konzultáltam a bejegyzés megírásához. A következő linkeket továbbítom Önnek:
https://wiki.debian.org/LDAP/OpenLDAPSetup
Ubuntu ServerGuide https://code.launchpad.net/serverguide
OpenLDAP-Official http://www.openldap.org/doc/admin24/index.html
LDAP SSL / TLS és StartTLS felett http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/
Ezenkívül áttekintettem az egyes csomagokhoz mellékelt kísérő dokumentációt.
A biztonság kérdése általában, valamint a StartTLS és a TLS / SSL közötti különbségek nagyon technikai jellegűek és olyan mélyek, hogy nem tartom magam szükséges ismeretekkel az ilyen magyarázatok megadásához. Azt hiszem, folytathatjuk a beszélgetést e-mailben.
Továbbá sehol nem állítom, hogy az LDAPS: // nem használható. Ha biztonságosabbnak tartod, akkor hajrá !!!
Már nem tudok segíteni rajtad, és nagyon értékelem a megjegyzéseidet.
Még egy kis tisztaságot kaphat -mindig az OpenLDAP-ról:
http://www.openldap.org/faq/data/cache/605.html
A StartTLS kiterjesztett művelete [RFC 2830] az LDAPv3 szabványos mechanizmusa a TLS (SSL) adatbiztonsági védelem engedélyezéséhez. A mechanizmus kiterjesztett LDAPv3 művelettel titkosított SSL / TLS kapcsolatot hoz létre egy már létrehozott LDAP kapcsolaton belül. Míg a mechanizmust a TLSv1 használatához tervezték, a legtöbb megvalósítás szükség esetén az SSLv3 (és SSLv2) verzióra vált.
Az ldaps: // egy titkosított SSL / TLS kapcsolat létrehozásának mechanizmusa az LDAP számára. Különálló portot igényel, általában a 636-ot. Bár eredetileg az LDAPv2 és az SSLv2 használatára tervezték, sok megvalósítás támogatja az LDAPv3 és a TLSv1 használatát. Bár az ldaps: // számára nincs műszaki specifikáció, széles körben használják.
Az ldaps: // elavult a Start TLS [RFC2830] javára. Az OpenLDAP 2.0 mindkettőt támogatja.
Biztonsági okokból a kiszolgálót úgy kell beállítani, hogy ne fogadja el az SSLv2-t.
Ez lesz az egyik olyan cikk, amelyben a felhasználók nem fognak nyilatkozni, mert mivel csak pornót néznek a Linux állomásaikon, egyszerűen nem érdekli őket. Jó cikk !!
Köszönöm a megjegyzést !!!. És a sok cikkemben szereplő néhány megjegyzéssel kapcsolatos állítása nagyon igaz. Levelezést azonban kapok érdeklődő olvasóktól, vagy másoktól, akik letöltik a cikket későbbi olvasáshoz és alkalmazáshoz.
Mindig nagyon hasznos visszajelzéseket fűzni hozzászólásokhoz, még akkor is, ha vannak: elmentettem egy későbbi olvasmány, érdekes vagy más vélemény érdekében.
Üdvözlet
A Freeke !!! Köszönöm a megjegyzést. Megkaptam a megjegyzésedet e-mailben, de nem látom, pedig többször frissítem az oldalt. Barátom, problémamentesen kipróbálhatja ezt és az előző cikkeket a Squeeze-en vagy az Ubuntu Server 12.04-en. A Wheezy-ben a tanúsítványok másképp készülnek az OpenSSL használatával. De semmi. Üdvözletem, testvérem !!!.
@thisnameisfalse: A legjobb hivatalnok elmosódott. Megjegyzéseinek köszönhetően úgy gondolom, hogy a szóban forgó bekezdésnek a következőnek kell lennie:
A modern OpenLDAP-kiszolgálók inkább a StartTLS-t vagy a Biztonságos szállítási réteg indítását használják, mint az elavult LDAPS: // protokollt. Ha bármilyen kérdése van, látogasson el a Start TLS v oldalra. ldaps: // en http://www.openldap.org/faq/data/cache/605.html
Üdvözlet
Tökéletes, jelenleg házi feladatom van az LDAP-on
Nem helyezhet mindent egyetlen fájlba, így letöltheti a teljes oktatóanyagot
Számítógépes technikus vagyok, nagy tapasztalattal rendelkezem a Linux alatt, és még mindig hiányzott a cikk közepe. Akkor óvatosabban át fogom olvasni. Nagyon köszönöm a bemutatót.
Bár igaz, hogy sokkal jobban megértjük, miért választják általában az ActiveDirectory-t ezekre a dolgokra. A konfiguráció és a megvalósítás egyszerűségét illetően a különbségek univerzuma létezik.
Üdvözlet
Köszönöm mindenkinek a hozzászólást !!!
@jose monge, remélem, segít
Az összes bejegyzés végén @walter, megnézem, tudok-e összefoglalót készíteni html vagy pdf formátumban
A @eVeR fordítva, az OpenLDAP egyszerűbb - még ha nem is tűnik Active Directory-nak. várja meg a következő cikkeket, és meglátja.
Egy lekérdezés, lépésről lépésre elvégzem a telepítést, de a slapd szolgáltatás újraindításakor a következő hibát dobja el>
30. július 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (17. március 2014. 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / debian / build / server / slapd
30. július 15:27:37 xxxxx slapd [1219]: ISMERETLEN attribútum "CHANGETYPE" leírás beillesztve.
30. július 15:27:37 xxxxx slapd [1219]: ISMERETLEN attribútum "ADD" leírás beillesztve.
30. július 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): üres AttributeDescription
Július 30. 15:27:37 xxxxx slapd [1219]: a slapd leállt.
30. július 15:27:37 xxxxx [1219]: connections_destroy: nincs mit elpusztítani.
kérdezhet a fórumban 😀 http://foro.desdelinux.net/
Mindenki számára, aki látja ezt a kiváló és jól magyarázható bejegyzést, és ez a probléma az ACL-ek létrehozásakor fordul elő:
ldapmodify: érvénytelen formátum (5. sor) bejegyzés: "olcDatabase = {1} hdb, dc = config"
Miután rágtam a fejem az interneten keresve, kiderült, hogy az ldapmodify a legpontosabb típus odakinn az interneten. Hysterikus a helytelen karakterekkel és a szóközökkel. Minden további nélkül azt javasoljuk, hogy írja be a feltétel szerinti feltételeket egymás mellé, vagy az X-et, írja magát, írja meg a * read. Ha még mindig nem működik, telepítse a Notepad ++> Nézet> Szimbólum megjelenítése és végül halált a láthatatlan karakterekre. Remélem, valaki segít.
Generáljon tanúsítványokat a Debian Wheezy számára az OpenSSL alapján, amely ezt szolgálhatja:
http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/