皆さん、こんにちは!。 ビジネスに取り掛かりましょう。いつもお勧めしているように、シリーズの前のXNUMXつの記事を読んでください。
- LDAPを使用したディレクトリサービス。 前書き.
- LDAPを使用したディレクトリサービス[2]:NTPおよびdnsmasq.
- LDAPを使用したディレクトリサービス[3]:Isc-DHCP-ServerおよびBind9.
DNS、DHCP、およびNTPは、に基づく単純なディレクトリに不可欠な最小限のサービスです。 OpenLDAP ネイティブ、で適切に動作します Debian6.0「スクイーズ」、またはUbuntu 12.04LTS「PrecisePangolin」。
ネットワークの例:
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
パートXNUMXでは、次のことを確認します。
- OpenLDAPのインストール(平手打ち2.4.23-7.3)
- インストール後のチェック
- 考慮すべき指標
- データアクセス制御ルール
- SqueezeでのTLS証明書の生成
第XNUMX部では、次のことを続けます。
- ローカルユーザー認証
- データベースにデータを入力します
- コンソールユーティリティを使用してデータベースを管理する
- これまでのまとめ...
OpenLDAPのインストール(平手打ち2.4.23-7.3)
OpenLDAPサーバーはパッケージを使用してインストールされます slapd。 パッケージもインストールする必要があります LDAP ユーティリティ、OpenLDAP独自のユーティリティだけでなく、いくつかのクライアント側ツールを提供します。
:〜#aptitude install slapd ldap-utils
インストールプロセス中に、 debconf 管理者またはユーザーのパスワードの入力を求められます«管理人«。 いくつかの依存関係もインストールされています。 ユーザーが作成されます OpenLDAP; LDAPディレクトリと同様に初期サーバー構成が作成されます。
OpenLDAPの以前のバージョンでは、デーモン構成 slapd 完全にファイルを介して行われました /etc/ldap/slapd.conf。 使用しているバージョン以降では、構成は同じ方法で行われます slapd、そしてこの目的のために DIT «ディレクトリ情報ツリー»またはディレクトリ情報ツリー、個別に。
として知られている構成方法 RTC «リアルタイム構成»リアルタイム構成、または方法として cn = config、動的に構成することができます slapd サービスの再起動を必要とせずに。
構成データベースは、次の形式のテキストファイルのコレクションで構成されます。 LDIF «LDAPデータ交換フォーマット»フォルダにあるデータ交換用のLDAP形式 /etc/ldap/slapd.d.
フォルダー構成のアイデアを得るには たたき、実行しましょう:
:〜# ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/:合計8 drwxr-x --- 3 openldap openldap 4096 Feb 16 11:08 cn = config -rw ------- 1 openldap openldap 407 Feb 16 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config:total 28 -rw ------- 1 openldap openldap 383 Feb 16 11:08 cn = module {0} .ldif drwxr-x --- 2 openldap openldap 4096 Feb 16 11:08 cn = schema -rw ------- 1 openldap openldap 325 Feb 16 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 Feb 16 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472月16日11:08olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16月11日08:1olcDatabase = {-1} frontend.ldif -rw ------- 1012 openldap openldap 16月11日08:1olcDatabase = {40} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schema:total 1 -rw ------- 15474 openldap openldap 16 Feb 11 08:0 cn = {1} core.ldif -rw ------- 11308 openldap openldap 16 Feb 11 08:1 cn = {1} cosine.ldif -rw ------- 6438 openldap openldap 16月11日08:2cn = {1} nis.ldif -rw ------- 2802 openldap openldap 16 11月08日3:XNUMXcn = {XNUMX} inetorgperson.ldif
前の出力を少し見ると、 バックエンド Squeezeで使用されるのはデータベースタイプです HDB、の変形です bdb 「BerkeleyDatabase」、およびそれが完全に階層的であり、サブツリーの名前変更をサポートしていること。 可能性についてもっと学ぶために バックエンド OpenLDAPをサポートしている場合は、 http://es.wikipedia.org/wiki/OpenLDAP.
また、XNUMXつの別々のデータベースが使用されていることもわかります。つまり、XNUMXつは構成専用で、もうXNUMXつは フロントエンド、そして最後のものはデータベースです HDB それ自体。
また、 slapd 回路図とともにデフォルトでインストールされます 基本, 余弦, ニシュ e インターネットの人.
インストール後のチェック
ターミナルでは、静かに出力を実行して読み取ります。 特にXNUMX番目のコマンドを使用して、フォルダーの一覧表示から推定される構成を確認します。 たたき.
:〜#ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn = config | 詳細:〜#ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn = config dn
dn:cn = config dn:cn =モジュール{0}、cn = config dn:cn =スキーマ、cn = config dn:cn = {0}コア、cn =スキーマ、cn = config dn:cn = {1}コサイン、cn =スキーマ、cn = config dn:cn = {2} nis、cn =スキーマ、cn = config dn:cn = {3} inetorgperson、cn =スキーマ、cn = config dn:olcBackend = {0} hdb、cn = config dn:olcDatabase = {-1}フロントエンド、cn = config dn:olcDatabase = {0} config、cn = config dn:olcDatabase = {1} hdb、cn = config
各出力の説明:
- cn = config:グローバルパラメータ。
- cn =モジュール{0}、cn = config:動的にロードされたモジュール。
- cn =スキーマ、cn =構成:が含まれています ハードコーディング システム回路図のレベルで。
- cn = {0}コア、cn =スキーマ、cn =構成: ハードコーディング カーネル回路図の。
- cn = {1}コサイン、cn =スキーマ、cn = config:スキーム 余弦。
- cn = {2} nis、cn =スキーマ、cn = config:スキーム ニス。
- cn = {3} inetorgperson、cn =スキーマ、cn = config:スキーム インターネットの人.
- olcBackend = {0} hdb、cn = config: バックエンド データストレージタイプ HDB.
- olcDatabase = {-1}フロントエンド、cn = config: フロントエンド データベースと他のデータベースのデフォルトパラメータの。
- olcDatabase = {0} config、cn = config:の構成データベース slapd (cn = config).
- olcDatabase = {1} hdb、cn = config:データベースインスタンス(dc =友達、dc = cu)
:〜#ldapsearch -x -LLL -H ldap:/// -b dc =例、dc = com dn dn:dc =友達、dc = cu dn:cn =管理者、dc =友達、dc = cu
- dc =友達、dc = cu:DITベースディレクトリ情報ツリー
- cn =管理者、dc =友達、dc = cu:インストール中に宣言されたDITの管理者(rootDN)。
注意:基本サフィックス dc =友達、dc = cu、彼はそれを取りました debconf からのインストール中 FQDN サーバー midap.amigos.cu.
考慮すべき指標
エントリのインデックス作成は、検索のパフォーマンスを向上させるために実行されます。 DIT、フィルター基準付き。 検討するインデックスは、デフォルトのスキーマで宣言されている属性に従って推奨される最小のインデックスです。
データベース内のインデックスを動的に変更するために、次の形式のテキストファイルを作成します。 LDIF、後でデータベースに追加します。 ファイルを作成します olcDbIndex.ldif そして、私たちはそれを次の内容で残します:
:〜# ナノ olcDbIndex.ldif
dn:olcDatabase = {1} hdb、cn = config changetype:modify add:olcDbIndex olcDbIndex:uidNumber eq-add:olcDbIndex olcDbIndex:gidNumber eq-add:olcDbIndex olcDbIndex:memberUid eq、olcDbIndex:login:Index eq、 -追加:olcDbIndex olcDbIndex:uid pres、sub、eq-追加:olcDbIndex olcDbIndex:cn pres、sub、eq-追加:olcDbIndex olcDbIndex:sn pres、sub、eq-追加:olcDbIndex olcDbIndex:givenName、ou pres -追加:olcDbIndex olcDbIndex:displayName pres、sub、eq-追加:olcDbIndex olcDbIndex:デフォルトのsub-追加:olcDbIndex olcDbIndex:mail eq、subinitial-追加:olcDbIndex olcDbIndex:dc eq
データベースにインデックスを追加し、変更を確認します:
:〜#ldapmodify -Y EXTERNAL -H ldapi:/// -f ./olcDbIndex.ldif
:〜#ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex
dn:olcDatabase = {1} hdb、cn = config olcDbIndex:objectClass eq olcDbIndex:uidNumber、gidNumber eq olcDbIndex:memberUid eq、pres、sub olcDbIndex:loginShell eq olcDbIndex:uid pres、sub、eq olcn presq olcDbIndex:sn pres、sub、eq olcDbIndex:givenName、ou pres、eq、sub olcDbIndex:displayName pres、sub、eq olcDbIndex:default sub olcDbIndex:mail eq、subinitial olcDbIndex:dc eq
データアクセス制御ルール
ユーザーがディレクトリデータベース内のデータを読み取り、変更、追加、および削除できるように確立されたルールはアクセス制御と呼ばれ、アクセス制御リストまたは«と呼ばれます。ACLアクセス制御リスト»ルールを構成するポリシーへ。
どれを知るために ACL のインストールプロセス中にデフォルトで宣言されました slapd、実行します:
:〜#ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess
:〜#ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b \
cn = config '(olcDatabase = {-1}フロントエンド)' olcAccess
:〜#ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b \
cn = config '(olcDatabase = {0} config)' olcAccess
:〜#ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix
前の各コマンドは、 ACL これまで、ディレクトリで宣言してきました。 具体的には、最後のコマンドはそれらすべてを表示し、最初のXNUMXつはXNUMXつすべてのアクセス制御ルールを提供します。 DIT 私たちに関与 slapd.
をテーマに ACL 記事が長くならないように、マニュアルページを読むことをお勧めします。 男slapd.access.
ユーザーと管理者がのエントリを更新するためのアクセスを保証するため ログインシェル y ヤモリ、次のACLを追加します。
## olcAccess.ldifファイルを作成し、次の内容を残します:〜#nano olcAccess.ldif
dn:olcDatabase = {1} hdb、cn = config changetype:modify add:olcAccess olcAccess:{1} to attrs = loginShell、gecos by dn = "cn = admin、dc = friends、dc = cu" write by self write by * 読んだ
## ACLを追加します
:〜#ldapmodify -Y EXTERNAL -H ldapi:/// -f ./olcAccess.ldif
#変更を確認します
ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix
証明書の生成 TLS スクイーズで
OpenLDAPサーバーで安全な認証を行うには、暗号化されたセッションを介して行う必要があります。これは、 TLS«トランスポートレイヤーセキュリティ» oセキュアトランスポートレイヤー。
OpenLDAPサーバーとそのクライアントは フレームワーク TLSは、整合性と機密性に関する保護を提供し、メカニズムを通じて安全なLDAP認証をサポートします SASL «シンプルな認証とセキュリティ層« 外部。
最新のOpenLDAPサーバーは*の使用を支持しています/ StartTLS /* o /プロトコルへのセキュアトランスポートレイヤーを開始しますLDAPS:///、廃止されました。 ご不明な点がございましたら、* TLSvを開始してください。 ldaps:// * en http://www.openldap.org/faq/data/cache/605.html
デフォルトでインストールされたままのファイルを残すだけです / etc / default / slapd ステートメントで SLAPD_SERVICES =»ldap:/// ldapi:///»、クライアントとサーバー間で暗号化されたチャネルを使用することを目的とし、補助アプリケーション自体がローカルにインストールされているOpenLDAPを管理します。
パッケージに基づいて、ここで説明する方法 gnutls ビン y SSL証明書 Debian 6 "Squeeze"およびUbuntuServer12.04にも有効です。 Debian7「Wheezy」の場合 OpenSSLの.
Squeezeでの証明書の生成は、次のように実行されます。
1.-必要なパッケージをインストールします :〜#aptitude install gnutls-bin ssl-cert 2.-証明書機関のプライマリキーを作成します :〜#sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem" 3.- CA(Certificate Authority)を定義するためのテンプレートを作成します :〜#nano /etc/ssl/ca.info cn =キューバの友達cacert_signing_key 4.-クライアント用にCA自己署名または自己署名証明書を作成します :〜#certtool --generate-self-signed \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem 5.-サーバーの秘密鍵を生成します :〜#certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem 注意:「マイルダップ「上記のファイル名で、ご使用のサーバーの場合。サーバーとそれを使用するサービスの両方で証明書とキーに名前を付けると、状況を明確に保つのに役立ちます。 6.-次の内容でファイル/etc/ssl/mildap.infoを作成します。 :〜#nano / etc / ssl / mildap.info組織=キューバの友達cn = mildap.amigos.cutls_www_serverencryption_keysigning_keyexpiration_days = 3650 注意:上記の内容で、証明書は10年間有効であることを宣言します。 パラメータは、都合に合わせて調整する必要があります。 7.-サーバー証明書を作成します :〜#certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem
これまでに必要なファイルを生成しましたが、ディレクトリに自己署名証明書の場所を追加するだけで済みます。 cacert.pem; サーバー証明書のそれ midap-cert.pem; およびサーバーの秘密鍵 midap-key.pem。 また、生成されたファイルの権限と所有者を調整する必要があります。
:〜#nano /etc/ssl/certinfo.ldif dn:cn = config add:olcTLSCACertificateFile olcTLSCACertificateFile:/etc/ssl/certs/cacert.pem-追加:olcTLSCertificateFile olcTLSCertificateFile:/etc/ssl/certs/mildap-cert.pem-追加:olcTLSCertKeySC -key.pem 8.-追加します:〜#ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/ssl/certinfo.ldif 9.-所有者と権限を調整します :〜#adduser openldap ssl-cert:〜#chgrp ssl-cert /etc/ssl/private/mildap-key.pem:〜#chmod g + r /etc/ssl/private/mildap-key.pem:〜#chmodまたは/etc/ssl/private/mildap-key.pem
証明書 cacert.pem これは、各クライアントでコピーする必要があるものです。 この証明書をサーバー自体で使用するには、ファイルで宣言する必要があります /etc/ldap/ldap.conf。 これを行うには、ファイルを変更し、次の内容のままにします。
:〜#nano /etc/ldap/ldap.conf BASE dc =フレンズ、dc = cu URI ldap://mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem
最後に、またチェックとして、サービスを再開します slapd そして、の出力を確認します syslog サーバーから、新しく宣言された証明書を使用してサービスが適切に再起動されたかどうかを確認します。
:〜#service slapd restart :〜#tail / var / log / syslog
サービスが正しく再起動しない場合、またはで重大なエラーが発生した場合 syslog、落胆しないようにしましょう。 損傷の修復または最初からやり直すことができます。 ゼロから始めることにした場合、 slapd、サーバーをフォーマットする必要はありません。
何らかの理由でこれまでに行ったことをすべて消去するには、パッケージをアンインストールする必要があります slapd、フォルダを削除します / var / lib / ldap。 また、ファイルを元のバージョンのままにする必要があります /etc/ldap/ldap.conf.
最初の試行ですべてが正しく機能することはまれです。 🙂
次の記事では、次のことを確認してください。
- ローカルユーザー認証
- データベースにデータを入力します
- コンソールユーティリティを使用してデータベースを管理する
- これまでのまとめ...
またね!
先生!!!
それはTUTOで起こりました!
優れています
あなたのための世界のすべてのように。
????
どうもありがとう、ヒューゴ!!! このテーマに関する次の記事を待ちます。
はいはい。
あなたの一連の記事は興味深いものです。
「最新のOpenLDAPサーバーは、廃止された古いTLS / SSLプロトコルよりも、StartTLSまたはStart a Secure TransportLayerの使用を好む」という声明を読んで驚いた。
LDAPの範囲外であっても、STARTTLSはTSL / SSLよりも優れた保護メカニズムであるとあなたは主張しますか?
コメントありがとうございます。 私はOpenLDAPを意味することに注意してください。 私は行き過ぎません。 に http://www.openldap.org/faq/data/cache/185.html、あなたは以下を読むことができます:
Transport Layer Security(TLS)は、Secure Socket Layer(SSL)の標準名です。 用語は(特定のバージョン番号で修飾されていない限り)一般的に交換可能です。
StartTLSは、TLS / SSLを開始するための標準のLDAP操作の名前です。 TLS / SSLは、このLDAP操作が正常に完了すると開始されます。 代替ポートは必要ありません。 通常のLDAP接続をTLS / SSLで保護された接続にアップグレードするため、TLSアップグレード操作と呼ばれることもあります。
ldaps://およびLDAPSは、「LDAP over TLS / SSL」または「LDAPSecured」を指します。 TLS / SSLは、代替ポート(通常は636)への接続時に開始されます。 LDAPSポート(636)はこの用途に登録されていますが、TLS / SSL開始メカニズムの詳細は標準化されていません。
開始されると、ldaps://とStartTLSの間に違いはありません。 それらは同じ構成オプションを共有し(ldapsを除く://別個のリスナーの構成が必要です。slapd(8)の-hオプションを参照)、同様のセキュリティサービスが確立されます。
注:
1)ldap:// + StartTLSは、ldaps://ポートではなく、通常のLDAPポート(通常は389)に送信する必要があります。
2)ldaps:// LDAPポートではなく、LDAPSポート(通常は636)に送信する必要があります。
申し訳ありませんが、なぜあなたが次のように主張するのかはまだわかりません。1)最近のサーバーはSSL / TLSよりもSTARTTLSを好む。 2)STARTTLSは最新のものですが、SSL / TLSは廃止されています。
私は半月間、SSL(ほとんどの無料ソフトウェアと同様にopensslライブラリを使用)でサーバーにアクセスするさまざまなメールクライアントの構成と、/ etc / ssl / certs /およびその他の道具のCA証明書を使用して戦ってきました。 そして私が学んだことは次のとおりです。1)STARTTLSはセッション認証のみを暗号化し、他のすべては暗号化されずに送信されます。 2)SSLは、セッションのすべてのコンテンツを完全に暗号化します。 したがって、STARTTLSがSSLより技術的に優れていることはありません。 あなたのセッションのコンテンツは暗号化されずにネットワーク上を移動するので、私はむしろ別のことを考えたいと思います。
もうXNUMXつの異なる点は、私が知らない他の理由でSTARTTLSが推奨されることです。MSWindowsとの互換性のために、実装がより安定しているか、より適切にテストされているためです...わかりません。 だから私はあなたに尋ねています。
あなたがあなたの答えで私に添付したマニュアルの引用から、ldap://とldaps://の違いは、imap://とimaps://の違い、またはsmtp://とsmtps://:別のポートが使用され、構成ファイルにいくつかの追加エントリが追加されますが、残りのパラメータは保持されます。 しかし、それはSTARTTLSを好むかどうかについては何も示していません。
よろしくお願いします。 もう少し学ぼうとしています。
ほら、私の記事で、深刻な出版物に裏付けられずにその口径を主張することは非常にまれです。 シリーズの最後に、私が深刻だと考え、投稿を書くために相談したドキュメントへのすべてのリンクを含めます。 私はあなたに次のリンクを進めます:
https://wiki.debian.org/LDAP/OpenLDAPSetup
UbuntuServerGuide https://code.launchpad.net/serverguide
OpenLDAP-公式 http://www.openldap.org/doc/admin24/index.html
LDAP over SSL / TLSおよびStartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/
さらに、各パッケージに付属のドキュメントを参照しました。
一般的なセキュリティの問題と、StartTLSとTLS / SSLの違いは非常に技術的であり、そのような説明を行うために必要な知識を持っているとは思えないほど深いものです。 引き続きメールでお話しできると思います。
さらに、LDAPS://は使用できないとはどこにも述べていません。 あなたがそれをより安全であると考えるならば、それから先に進んでください!!!
私はもうあなたを助けることができません、そして私はあなたのコメントに本当に感謝します。
あなたが得ることができるもう少し明確さ-常にOpenLDAPについて-で:
http://www.openldap.org/faq/data/cache/605.html
StartTLS拡張操作[RFC2830]は、TLS(SSL)データの機密保護を有効にするためのLDAPv3の標準メカニズムです。 このメカニズムは、LDAPv3拡張操作を使用して、すでに確立されているLDAP接続内で暗号化されたSSL / TLS接続を確立します。 このメカニズムはTLSv1で使用するように設計されていますが、ほとんどの実装は、必要に応じてSSLv3(およびSSLv2)にフォールバックします。
ldaps:// LDAP用の暗号化されたSSL / TLS接続を確立するためのメカニズムです。 個別のポート(通常は636)を使用する必要があります。元々はLDAPv2およびSSLv2で使用するように設計されていますが、多くの実装はLDAPv3およびTLSv1での使用をサポートしています。 LDAPの技術仕様はありませんが、//広く使用されています。
ldaps:// Start TLS [RFC2830]を優先して、非推奨になりました。 OpenLDAP2.0は両方をサポートしています。
セキュリティ上の理由から、サーバーはSSLv2を受け入れないように構成する必要があります。
これは、ユーザーがLinuxステーションでポルノを見ているだけなので、単に興味がないため、ユーザーがコメントしない記事のXNUMXつになります。ldapについて私は、勤務先の会社の異種ネットワーク内にいくつかの関連サービスを持っています。 いい記事!!
コメントありがとうございます!!!。 そして、私の記事の多くのいくつかのコメントに関するあなたの声明は非常に真実です。 ただし、興味のある読者、または後で読んで適用するために記事をダウンロードする他の人から連絡があります。
たとえコメントであっても、コメントを通じてフィードバックを得るのは常に非常に便利です。後で読む、興味深い、または別の意見のためにコメントを保存しました。
よろしく
フリーク!!! コメントありがとうございます。 メールでコメントをいただきましたが、何度かページを更新しても表示されません。 友よ、SqueezeまたはUbuntu Server12.04で問題なくこの記事と以前の記事をテストできます。 Wheezyでは、OpenSSLを使用して証明書が異なる方法で生成されます。 しかし、何もありません。 よろしく、兄弟!!!。
@thisnameisfalse:最高の店員はぼやけています。 あなたのコメントのおかげで、私は問題の段落は次のようになるべきだと思います:
最新のOpenLDAPサーバーは、廃止されたLDAPS://プロトコルよりも、StartTLSまたはStart a Secure TransportLayerの使用を好みます。 ご不明な点がございましたら、Start TLSvにアクセスしてください。 ldaps:// ja http://www.openldap.org/faq/data/cache/605.html
よろしく
完璧です、今私はLDAPで宿題をしています
すべてをXNUMXつのファイルに入れることはできないため、完全なチュートリアルをダウンロードできます
私はLinuxで豊富な経験を持つコンピューター技術者ですが、それでも記事の途中で迷子になりました。 それから私はそれをもっと注意深く読み直します。 チュートリアルをありがとうございました。
確かに、これらの目的でActiveDirectoryが通常選択される理由をより深く理解することができます。 構成と実装の単純さに関しては、さまざまな違いがあります。
よろしく
コメントありがとうございます!
@jose monge、お役に立てば幸いです
すべての投稿の最後にある@walterで、HTMLまたはPDFでダイジェストを作成できるかどうかを確認します
@eVeRの逆の場合、OpenLDAPは、アクティブディレクトリのように見えなくても、より単純です。 次の記事を待つと表示されます。
クエリ、インストールを段階的に実行しますが、slapdサービスを再起動すると、次のエラーがスローされます>
Jul 30 15:27:37 xxxx slapd [1219]:@(#)$ OpenLDAP:slapd(Ubuntu)(Mar 17 2014 21:20:08)$#012#011buildd @ aatxe:/build/buildd/openldap-2.4.31 .XNUMX / debian /ビルド/サーバー/ slapd
30月15日27:37:1219xxxxx slapd [XNUMX]:UNKNOWN attributeDescription "CHANGETYPE"が挿入されました。
30月15日27:37:1219xxxxx slapd [XNUMX]:UNKNOWN attributeDescription "ADD"が挿入されました。
30月15日27:37:1219xxxxx [2]:<= str2entry:slap_strXNUMXundef_ad(-):空のAttributeDescription
30月15日27:37:1219xxxxx slapd [XNUMX]:slapdが停止しました。
30月15日27:37:1219xxxxx [XNUMX]:connections_destroy:破壊するものはありません。
あなたはフォーラムで尋ねることができます😀 http://foro.desdelinux.net/
この優れた十分に説明された投稿を見て、ACLを作成するときにこの問題が発生するすべての人にとって:
ldapmodify:無効な形式(5行目)エントリ: "olcDatabase = {1} hdb、dc = config"
インターネットを検索して頭を悩ませた後、ldapmodifyがWeb上で最も正確なタイプであることがわかりました。 キャラクターの置き忘れや末尾のスペースがヒステリックです。 さらに面倒なことをせずに、条件を並べて書き込むことをお勧めします。つまり、X書き込み、自己書き込み、*読み取りです。 それでも機能しない場合は、メモ帳++>表示>シンボルを表示し、最後に非表示の文字を終了します。 誰かが助けてくれることを願っています。
これが提供できるOpenSSLに基づいてDebianWheezyの証明書を生成します。
http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/