LDAP менен каталог кызматы [4]: ​​OpenLDAP (I)

Салам достор!. Келгиле, ишкердик менен алектенели, жана ар дайым сунуш кылгандай, сериядагы мурунку үч макаланы окуп чыгыңыз:

DNS, DHCP жана NTP биздин жөнөкөй каталогдун минималдуу керектүү кызматтары OpenLDAP тубаса, туура иштейт Debian 6.0 "Кысуу", же Ubuntu 12.04 LTS "Так Панголин".

Мисал тармак:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Биринчи бөлүктө биз көрөбүз:

  • OpenLDAP орнотуусу (slapd 2.4.23-7.3)
  • Орноткондон кийин текшерет
  • Эске алуучу көрсөткүчтөр
  • Берилиштерге жетүүнү көзөмөлдөө эрежелери
  • Сыгуу учурунда TLS сертификаттарын түзүү

ал эми экинчи бөлүгүндө биз улантабыз:

  • Жергиликтүү колдонуучунун аутентификациясы
  • Маалымат базасын толтуруңуз
  • Консоль утилиталарын колдонуп маалымат базасын башкарыңыз
  • Азырынча кыскача ...

OpenLDAP орнотуусу (slapd 2.4.23-7.3)

Пакеттин жардамы менен OpenLDAP сервери орнотулган шапалак. Ошондой эле, биз пакетти орнотушубуз керек лап-утилдер, бул бизге айрым кардарлар үчүн шаймандарды, ошондой эле OpenLDAP өзүнүн коммуналдык кызматтарын камсыз кылат.

: ~ # жөндөмдүүлүктү орнотуу slapd ldap-utils

Орнотуу процессинде debconf Бизден администратордун же колдонуучунун сыр сөзүн сурайт «админ«. Ошондой эле бир катар көз карандылыктар орнотулган; колдонуучу түзүлдү openldap; баштапкы сервер конфигурациясы, ошондой эле LDAP каталогу түзүлөт.

OpenLDAPтын мурунку котормолорунда демон конфигурациясы шапалак толугу менен файл аркылуу жасалды /etc/ldap/slapd.conf. Биз колдонуп жаткан версияда жана кийинчерээк, конфигурация ошол эле жол менен жүргүзүлөт шапалак, жана ушул максатта а DIT «Каталог маалымат дарагы»Же каталог маалымат дарагы, өзүнчө.

Катары белгилүү болгон тарам ыкмасы RTC «Чыныгы убакыт конфигурациясы»Чыныгы убакыт конфигурациясы, же ыкма катары cn = config, динамикалуу конфигурациялоого мүмкүнчүлүк берет шапалак кызматты өчүрүп-күйгүзүүнү талап кылбастан.

Тарам базасы форматтагы тексттик файлдардын жыйындысынан турат LDIF «LDAP маалымат алмашуу форматы»Папкада жайгашкан, Маалымат алмашуу үчүн LDAP форматы /etc/ldap/slapd.d.

Папканы уюштуруу жөнүндө түшүнүк алуу slapd.d, чуркайлы:

: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: бардыгы 8 drwxr-x --- 3 openldap openldap 4096 16-февраль 11:08 cn = config -rw ------- 1 openldap openldap 407 16-февраль 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: total 28 -rw ------- 1 openldap openldap 383 16-февраль 11:08 cn = модуль {0} .ldif drwxr-x --- 2 openldap openldap 4096 16-февраль 11:08 cn = схема -rw ------- 1 openldap openldap 325 16-февраль 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 16-февраль 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 16-февраль 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16 фев 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16 фев 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = схема: бардыгы 40 -rw ------- 1 openldap openldap 15474 16-февраль 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 16-февраль 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 16-февраль 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 16-февраль 11:08 cn = {3} inetorgperson.ldif

Мурунку чыгарылышты бир аз карасак, анда Backend Squeeze колдонулган маалыматтар базасынын түрү hdb, бул варианты болуп саналат БДБ "Беркли маалыматтар базасы", ал толугу менен иерархиялык жана суб-дарактардын аталышын колдойт. Мүмкүн жөнүндө көбүрөөк билүү үчүн Backends OpenLDAP колдогон, иш сапары менен http://es.wikipedia.org/wiki/OpenLDAP.

Үч өзүнчө маалыматтар базасы колдонулуп жаткандыгын, башкача айтканда, конфигурацияга, экинчисине арналгандыгын көрөбүз Frontend, жана акыркы маалымат базасы hdb күнүнө

Башка жагынан алганда, шапалак демейки боюнча схемалар менен орнотулган негизги, Косинус, апрель e Инеторгперсон.

Орноткондон кийин текшерет

Терминалда биз жайбаракаттык менен аткарабыз жана анын натыйжаларын окуйбуз. Биз, айрыкча, экинчи буйрук менен, папканы тизмеден чыгарылган конфигурацияны текшеребиз slapd.d.

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config | дагы: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = модуль {0}, cn = config dn: cn = схема, cn = config dn: cn = {0} core, cn = схема, cn = config dn: cn = {1} косинус , cn = схема, cn = config dn: cn = {2} nis, cn = схема, cn = config dn: cn = {3} inetorgperson, cn = схема, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config

Ар бир чыккан нерсенин түшүндүрмөсү:

  • cn = config: Глобалдык параметрлер.
  • cn = модуль {0}, cn = config: Динамикалык жүктөлгөн модуль.
  • cn = схема, cn = config: Камтыйт катуу коддуу тутумдук схемалардын деңгээлинде.
  • cn = {0} ядро, cn = схема, cn = config: катуу коддуу ядро схемасынын
  • cn = {1} косинус, cn = схема, cn = config: Схема Косинус.
  • cn = {2} nis, cn = схема, cn = config: Схема Nis.
  • cn = {3} inetorgperson, cn = схема, cn = config: Схема Инеторгперсон.
  • olcBackend = {0} hdb, cn = config: Backend берилиштерди сактоо түрү hdb.
  • olcDatabase = {- 1} frontend, cn = config: Frontend маалымат базасы жана башка маалымат базалары үчүн демейки параметрлер.
  • olcDatabase = {0} config, cn = config: Конфигурациянын маалымат базасы шапалак (cn = config).
  • olcDatabase = {1} hdb, cn = config: Биздин маалымат базасынын нускасы (dc = достор, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = example, dc = com dn
dn: dc = достор, dc = cu dn: cn = админ, dc = достор, dc = cu
  • dc = достор, dc = cu: DIT Base Directory Маалымат дарагы
  • cn = админ, dc = достор, dc = cu: Орнотуу учурунда жарыяланган DITтин администратору (rootDN).

Балка: Негизги суффикс dc = достор, dc = cu, аны алды debconf орнотуу учурунда FQDN серверден mildap.amigos.cu.

Эске алуучу көрсөткүчтөр

Жазууларды индекстөө издөө натыйжалуулугун жогорулатуу үчүн жүргүзүлөт DIT, чыпкалоо критерийлери менен. Биз карап чыга турган индекстер - демейки схемаларда жарыяланган атрибуттарга ылайык сунуш кылынган минимум.

Маалыматтар базасындагы индекстерди динамикалык өзгөртүү үчүн форматтагы тексттик файл түзөбүз LDIF, кийинчерээк аны маалымат базасына кошобуз. Биз файлды түзөбүз olcDbIndex.ldif жана биз аны төмөнкүдөй мазмун менен калтырабыз:

: ~ # nano olcDbIndex.ldif
DN: olcDatabase = {1} hdb, CN = тарам changetype: жылып, кошумча: olcDbIndex olcDbIndex: uidNumber .ж - кошумча: olcDbIndex olcDbIndex: gidNumber .ж - кошумча: olcDbIndex olcDbIndex: memberUid .ж, olcDbIndex: кирүү .ж, olcDbIndex: loginShell .ж, olcDbIndex: loginShell .ж, ӨКМ, суб - addhellShell - add: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, sub, eq - add: olcDbIndex olcDbIndeu, берилген, NN - add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: default sub - add: olcDbIndex olcDbIndex: mail eq, subinitial - add: olcDbIndex olcDbIndex: dc eq

Индекстерди маалымат базасына кошуп, модификациясын текшеребиз:

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex

dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: uid pres, sub, eq, olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: default sub olcDbIndex: mail eq, subinitial olcDbIndex: dc eq

Берилиштерге жетүүнү көзөмөлдөө эрежелери

Мүмкүнчүлүктү көзөмөлдөө колдонуучулар Каталогдор базасында маалыматтарды окуй, өзгөртө, кошо жана жок кыла ала турган эрежелер деп аталат, ал эми биз Кирүү Башкаруу Тизмелери же «ACL мүмкүндүк башкаруу тизмеси»Эрежелерди конфигурациялаган саясатка.

Кайсынысын билүү ACLs орнотуу учурунда демейки жарыяланган шапалак, биз аткарабыз:

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} frontend)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Мурунку буйруктардын ар бири бизге ACLs ушул убакка чейин биздин Каталогдо жарыялаганбыз. Тактап айтканда, акыркы буйрук алардын бардыгын көрсөтөт, ал эми алгачкы үчөө үчөөнүн тең мүмкүнчүлүгүн көзөмөлдөө эрежелерин берет. DIT биздин катышкан шапалак.

Темасы боюнча ACLs жана андан узак макала жасабоо үчүн, колдонмо баракчаларын окуп чыгууну сунуштайбыз man slapd.access.

Колдонуучулардын жана администраторлордун жазууларын жаңыртууга мүмкүнчүлүгүнө кепилдик берүү loginShell y Geckos, биз төмөнкү ACLди кошобуз:

## Биз olcAccess.ldif файлын түзөбүз жана аны төмөнкү мазмун менен калтырабыз: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcAccess olcAccess: {1} to attrs = loginShell, gecos by dn = "cn = admin, dc = cu", dc = cu "өз алдынча жазуу * окуу

## Биз ACL кошобуз
: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif

# Биз өзгөртүүлөрдү текшеребиз
ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Сертификаттардын мууну TLS кысуу

OpenLDAP сервери менен коопсуз аутентификацияга ээ болуу үчүн, биз аны шифрленген сеанс аркылуу жасашыбыз керек, ага жетишүү менен TLS «Транспорт катмарынын коопсуздугу» o Коопсуз транспорттук катмар.

OpenLDAP сервери жана анын кардарлары негизи Бүтүндүккө жана купуялуулукка байланыштуу коргоону камсыз кылуу, ошондой эле механизм аркылуу коопсуз LDAP аутентификациясын колдоо үчүн TLS SASL «Жөнөкөй аутентификация жана коопсуздук катмары« Сырткы.

Заманбап OpenLDAP серверлер */ StartTLS /* o / / чейин коопсуз транспорттук катмарын баштаңыз.LDAPS: ///, эскирген. Бардык суроолор боюнча, баштаңыз * TLS баштоо v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html

Жөн эле файлды демейки боюнча орнотулган бойдон калтырыңыз / etc / default / slapd билдирүүсү менен SLAPD_SERVICES = »ldap: /// ldapi: ///», кардар менен сервердин ортосундагы шифрленген каналды жана жергиликтүү орнотулган OpenLDAPты башкаруу үчүн көмөкчү тиркемелерди колдонуу максатында.

Пакеттердин негизинде, бул жерде сүрөттөлгөн ыкма gnutls-bin y ssl-cert ал Debian 6 "Squeeze" үчүн, ошондой эле Ubuntu Server 12.04 үчүн жарактуу. Debian 7 үчүн "Wheezy" дагы бир негизделген ыкма OpenSSL.

Сквизде сертификаттарды түзүү төмөнкүдөй жол менен жүргүзүлөт:

1.- Биз керектүү топтомдорду орнотобуз
: ~ # жөндөмдүүлүктү орнотуу gnutls-bin ssl-cert

2.- Биз күбөлүк борбору үчүн негизги ачкычты түзөбүз
: ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3.- КАны аныктоо үчүн шаблон түзөбүз (Тастыктама органы)
: ~ # nano /etc/ssl/ca.info cn = Кубалык достор ca cert_signing_key

4.- Биз кардарлар үчүн CA өзү кол койгон же өзү кол койгон тастыктаманы түзөбүз
: ~ # certtool --generate-self-assigned \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem

5.- Сервер үчүн купуя ачкычты жаратабыз
: ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem

Балка: Алмаштыр "модап"өзүңүздүн сервер үчүн мурунку файлдын атында. Сертификаттын жана ачкычтын аталышы, ошондой эле сервер үчүн жана аны колдонгон кызмат үчүн дагы, нерселерди так сактоого жардам берет.

6.- /etc/ssl/mildap.info файлын төмөнкүдөй мазмун менен түзөбүз:
: ~ # nano /etc/ssl/mildap.info уюму = Кубалык достор cn = mildap.amigos.cu tls_www_server encryption_key imz_key ачкычынын бүтүшү_ күндөр = 3650

Балка: Мурунку мазмунунда биз сертификат 10 жылдык мөөнөткө чейин жарактуу деп жарыялайбыз. Параметр биздин ыңгайлуулукка ылайыкташтырылышы керек.

7.- Биз Сервердин Тастыктамасын түзөбүз
: ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-sertifikat /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem

Азырынча биз керектүү файлдарды топтодук, Каталогго өзүбүз кол койгон сертификаттын жайгашкан жерин гана кошушубуз керек cacert.pem; Сервер сертификатынын mildap-cert.pem; жана Сервердин купуя ачкычы mildap-key.pem. Ошондой эле, түзүлгөн файлдардын уруксаттарын жана ээсин тууралашыбыз керек.

: ~ # nano /etc/ssl/certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.cem / scripscripscrip / /mildap-key.pem

8.- Кошобуз: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

9.- Биз ээсин жана уруксаттарды тууралайбыз
: ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod же /etc/ssl/private/mildap-key.pem

Күбөлүк cacert.pem Аны ар бир кардарга көчүрүшүбүз керек. Бул сертификатты сервердин өзүндө колдонуу үчүн, биз аны файлда жарыялашыбыз керек /etc/ldap/ldap.conf. Бул үчүн файлды өзгөртүп, төмөнкү мазмун менен калтырабыз:

: ~ # nano /etc/ldap/ldap.conf
BASE dc = достор, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

Акыр-аягы, ошондой эле текшерүү катары, биз кызматты кайра шапалак жана биз натыйжаларын текшеребиз syslog Серверден, жаңы жарыяланган тастыктама аркылуу кызматтын туура башталгандыгын билүү үчүн.

: ~ # кызматы slapd өчүрүп күйгүзүү
: ~ # tail / var / log / syslog

Эгер кызмат туура өчүрүлүп күйгүзүлбөсө же олуттуу ката кетсе syslog, көңүлүбүздү чөгөрбөйлү. Бузулган жерлерди калыбына келтирүүгө аракет кылсак болот. Эгерде биз орнотууну нөлдөн баштоону чечсек шапалак, биздин серверди форматтоонун кажети жок.

Буга чейин жасаган иштерибиздин бардыгын бир себептерден улам өчүрүү үчүн, биз пакетти алып салышыбыз керек шапалак, андан кийин папканы жок кылыңыз / var / lib / ldap. Ошондой эле файлды түп нускасында калтыруубуз керек /etc/ldap/ldap.conf.

Баары биринчи аракет жасап жатканда туура иштегени сейрек кездешет. 🙂

Эсиңизде болсун, кийинки бөлүктө биз төмөнкүлөрдү көрөбүз:

  • Жергиликтүү колдонуучунун аутентификациясы
  • Маалымат базасын толтуруңуз
  • Консоль утилиталарын колдонуп маалымат базасын башкарыңыз
  • Азырынча кыскача ...

Жакында көрүшкөнчө достор !.


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

19 комментарий, өзүңүздүкүн калтырыңыз

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.

  1.   Уго ал мындай деди:

    Мугалим !!!
    ТУТО МЕНЕН БОЛГОН!
    мыкты
    СИЗ ҮЧҮН ДҮЙНӨНҮН ЖАГЫМДАРЫ.
    😀

    1.    Federico ал мындай деди:

      Чоң рахмат, Уго !!! Тема боюнча кийинки макалаларды күтүңүз.

  2.   бул аты туура эмес ал мындай деди:

    Hello:

    макалаларыңыздын сериясы кызыктуу.

    Бул сөздөрдү окуп таң калдым: "Заманбап OpenLDAP серверлери эски TLS / SSL протоколуна караганда StartTLS же Start Secure Transport Layer колдонууну артык көрүшөт".

    Бардык учурларда LDAP чөйрөсүнөн тышкары, STARTTLS TSL / SSLге караганда жогору турган коргоо механизми деп ырастайсызбы?

    1.    Federico ал мындай деди:

      Комментарий үчүн рахмат. Мен OpenLDAP программасын айтып жатканымды эске алыңыз. Мен ашыкча эмес. In http://www.openldap.org/faq/data/cache/185.html, сиз төмөнкүлөрдү окуй аласыз:

      Транспорттук Катмардын Коопсуздугу (TLS) - Secure Socket Layer (SSL) үчүн стандарттуу аталыш. Шарттар (версиянын конкреттүү номерлери менен квалификацияланбаса), жалпысынан, өзгөрүлмө.

      StartTLS - TLS / SSL баштоо үчүн стандарттуу LDAP операциясынын аталышы. TLS / SSL ушул LDAP операциясы ийгиликтүү аяктагандан кийин башталат. Альтернативдүү порттун кереги жок. Ал кээде TLS жаңыртуу операциясы деп да аталат, анткени ал кадимки LDAP туташуусун TLS / SSL менен корголгон туташтырат.

      ldaps: // жана LDAPS "LDAP over TLS / SSL" же "LDAP Secured" дегенди билдирет. TLS / SSL альтернативдик портуна туташтырганда (демейде 636) чагылдырылат. LDAPS портунун (636) бул колдонуу үчүн катталганына карабастан, TLS / SSL демилге механизминин өзгөчөлүктөрү стандартташтырылган эмес.

      Башталгандан кийин, ldaps: // жана StartTLS ортосунда эч кандай айырма жок. Алар бирдей конфигурация параметрлерин бөлүшүшөт (ldaps: // дан башка, өзүнчө угуучунун конфигурациясын талап кылат, slapd (8) 's -h параметрин караңыз) жана коопсуздук кызматтары орнотулат.
      Эскертүү:
      1) ldap: // + StartTLS ldaps: // портуна эмес, кадимки LDAP портуна багытталышы керек (адатта 389).
      2) ldaps: // LDAP портуна эмес, LDAPS портуна багытталышы керек (адатта 636).

      1.    бул аты туура эмес ал мындай деди:

        Кечиресиз, бирок мен дагы деле эмне үчүн: 1) заманбап серверлер SSL / TLSге караганда STARTTLSти артык көрөт; 2) ошол STARTTLS заманбап, эскирген SSL / TLS.

        Серверге SSL аркылуу кирген ар кандай почта кардарларынын конфигурациясы менен (көпчүлүк акысыз программалык камсыздоо сыяктуу opensl китепканаларын колдонуп), / etc / ssl / certs / жана башка атрибуттардагы CA сертификаттары менен жарым айдан бери күрөшүп келем. Жана мен билген нерсе: 1) STARTTLS сессиянын аутентификациясын гана шифрлейт, ал эми калгандары шифрленбей жөнөтүлөт; 2) SSL сессиянын бардык мазмунун шифрлейт. Демек, эч кандай учурда STARTTLS техникалык жактан SSLден жогору эмес; Сенин сессияңыздын мазмуну тармак боюнча шифрленбей өткөндүктөн, тескерисинче ойлонгум келет.

        Дагы бир башка нерсе, STARTTLS мен билбеген башка себептерден улам сунушталат: MSWindows менен шайкештиги үчүн, анткени ишке ашыруу туруктуу же жакшы текшерилген ... Билбейм. Ошондуктан мен сизден сурап жатам.

        Жоопуңузда мага тиркелген колдонмодогу цитатадан, мен ldap: // менен ldaps: // ортосундагы айырмачылык imap: // менен imaps: // ортосундагы айырмачылыкка барабар экендигин, же smtp: // менен smtps: //: башка порт колдонулат, конфигурация файлына кошумча жазуу кошулат, бирок калган параметрлер сакталат. Бирок бул STARTTLSке артыкчылык берүү жөнүндө эч нерсе билдирбейт.

        Салам жана жооп үчүн кечирим сурайбыз. Мен дагы бир аз көбүрөөк билүүгө аракет кылып жатам.

        1.    Federico ал мындай деди:

          Мына, менин макалаларымда кандайдыр бир олуттуу басылманын колдоосусуз ошол калибрдеги дооматтарды айтканым өтө сейрек кездешет. Сериалдын аягында мен олуттуу деп эсептеген жана пост жазуу үчүн кеңешкен документтердин бардык шилтемелерин камтыйм. Мен сизге төмөнкү шилтемелерди сунуштайм:

          https://wiki.debian.org/LDAP/OpenLDAPSetup
          Ubuntu ServerGuide https://code.launchpad.net/serverguide
          OpenLDAP-расмий http://www.openldap.org/doc/admin24/index.html
          SSL / TLS жана StartTLS аркылуу LDAP http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/

          Андан тышкары, ар бир пакетте орнотулган коштоочу документтер менен тааныштым.

          Коопсуздук маселеси жана StartTLS менен TLS / SSL ортосундагы айырмачылыктар абдан техникалык жана ушунчалык терең болгондуктан, мен мындай түшүндүрмөлөрдү берүү үчүн керектүү билимге ээ эмесмин. Электрондук почта аркылуу сүйлөшүүнү уланта алабыз деп ойлойм.

          Мындан тышкары, LDAPS: // колдонууга болбойт деп эч жерде айткан эмесмин. Эгер сиз аны коопсуз деп эсептесеңиз, анда алга !!!

          Мен эми сизге жардам бере албайм жана сиздин комментарийлериңизди абдан баалайм.

        2.    Federico ал мындай деди:

          OpenLDAP жөнүндө бир аз көбүрөөк так маалымат алсаңыз болот:
          http://www.openldap.org/faq/data/cache/605.html

          Кеңейтилген StartTLS операциясы [RFC 2830] бул LDAPv3тин TLS (SSL) маалыматтарынын купуялуулугун коргоону камсыз кылган стандарттуу механизми. Механизм LDAPv3 кеңейтилген операциясын колдонуп, буга чейин орнотулган LDAP байланышынын ичинде шифрленген SSL / TLS байланышын орнотот. Механизм TLSv1 менен иштөө үчүн иштелип чыккан болсо, көпчүлүк шарттарда SSLv3 (жана SSLv2) калыбына келтирилет.

          ldaps: // бул LDAP үчүн шифрленген SSL / TLS байланышын орнотуу механизми. Ал өзүнчө порттун колдонулушун талап кылат, көбүнчө 636. Башында LDAPv2 жана SSLv2 менен иштөө үчүн иштелип чыкса дагы, көптөгөн ишке ашыруулар аны LDAPv3 жана TLSv1 менен колдойт. Ldaps үчүн техникалык мүнөздөмө жок болсо да: // ал кеңири колдонулат.

          ldaps: // Start TLS [RFC2830] пайдасына колдонуудан чыгарылган. OpenLDAP 2.0 экөөнү тең колдойт.
          Коопсуздук максатында, сервер SSLv2 кабыл албай тургандай кылып конфигурацияланышы керек.

  3.   freebsddick ал мындай деди:

    Бул колдонуучулар комментарий бербей турган макалалардын бири болот, анткени алар Linux станциясында гана порнолорду көргөндүктөн, аларды кызыктырышпайт .. ldap жөнүндө мен иштеген компания үчүн гетерогендик тармакта бир нече байланышкан кызматтар бар. Жакшы макала !!

    1.    Federico ал мындай деди:

      Комментарий үчүн рахмат !!!. Менин көптөгөн макалаларымдагы бир нече комментарийлерге байланыштуу сиздин билдирүүңүз абдан туура. Бирок, мен кызыккан окурмандардан, же кийинчерээк окуу жана колдонуу үчүн макаланы жүктөгөн башкалардан кат алышам.

      Комментарийлер аркылуу пикир билдирүү ар дайым абдан пайдалуу, эгерде алар: Мен аны кийинчерээк окуу, кызыктуу же башка ой-пикирлер үчүн сактап койдум.

      Урматтоо менен

  4.   Federico ал мындай деди:

    The Freeke !!! Комментарий үчүн рахмат. Сиздин комментарийиңизди почта аркылуу алдым, бирок баракчаны бир нече жолу жаңыртканыма карабай, көрө албай жатам. Досум, ушул жана мурунку макалаларды Squeeze же Ubuntu Server 12.04де көйгөйсүз байкап көрсөң болот. Wheezy программасында сертификаттар OpenSSL аркылуу ар башкача жол менен чыгарылат. Бирок эч нерсе. Менин урматым менен, байке !!!.

  5.   Federico ал мындай деди:

    @thisnameisfalse: Эң мыкты кызматкер бүдөмүктү алат. Сиздин комментарийлериңиздин аркасында, ушул абзац төмөнкүдөй болушу керек деп ойлойм:

    Заманбап OpenLDAP серверлери эски болуп калган LDAPS: // протоколуна караганда StartTLS же Start Secure Transport Layer колдонууну артык көрүшөт. Бардык суроолор боюнча, баштоо TLS v. ldaps: // en http://www.openldap.org/faq/data/cache/605.html

    Урматтоо менен

  6.   Jose Monge ал мындай деди:

    Perfect, азыр ldap боюнча үй тапшырмам бар

  7.   Уолтер ал мындай деди:

    Бардык нерсени бир файлга сала албайсыз, ошондуктан окуу куралын толугу менен жүктөп алсаңыз болот

  8.   eVeR ал мындай деди:

    Мен Linux тажрыйбасы мол компьютер техникимин, бирок макаланын ортосунда дагы деле адашып жүрөм. Андан кийин дагы бир жолу кылдаттык менен кайталайм. Окуу куралы үчүн чоң рахмат.
    Чынында эле, бул ActiveDirectory эмне үчүн адатта ушул нерселер үчүн тандалып алынгандыгын дагы көбүрөөк түшүнүүгө мүмкүнчүлүк берет. Конфигурациянын жана ишке ашыруунун жөнөкөйлүгү жөнүндө сөз болгондо, айырмачылыктар ааламы бар.
    Урматтоо менен

  9.   Federico ал мындай деди:

    Комментарий бергениңиздерге рахмат !!!
    @jose monge, сизге жардам берет деп ишенем
    Бардык билдирүүлөрдүн аягында @walter, мен html же pdf форматында компендиум жасай аламбы?
    @eVeR тескерисинче, OpenLDAP жөнөкөй - ал тургай, ал Active Directory окшобосо дагы. кийинки макалаларды күтүп, ошондо көрө аласыз.

  10.   Марсело ал мындай деди:

    Суроо, мен орнотууну кадам сайын жасайм, бирок slapd кызматын өчүрүп-күйгүзгөндө, мага төмөнкү ката кетирилет>

    30 Июль 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (Mar 17 2014 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / debian / build / server / slapd
    30 Июль 15:27:37 xxxxx slapd [1219]: БИЛБЕГЕН атрибут "ОЗГӨРҮҮ" мүнөздөмөсү киргизилген.
    30 Июль 15:27:37 xxxxx slapd [1219]: БЕЛГИСИЗ атрибут "ДОЛБООР" кыстарылды.
    30 Июль 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): empty AttributeDescription
    30-июль 15:27:37 xxxxx slapd [1219]: slapd токтоп калды.
    30 Июль 15:27:37 xxxxx [1219]: connection_destroy: жок кыла турган эч нерсе жок.

    1.    x11tete11x ал мындай деди:

      форумдан сурасаңыз болот 😀 http://foro.desdelinux.net/

  11.   баскыч ал мындай деди:

    Бул мыкты жана жакшы түшүндүрүлгөн билдирүүнү көргөндөрдүн бардыгы жана ACLлерди түзүүдө мындай көйгөй болот:
    ldapmodify: жараксыз формат (5-сап) жазуусу: "olcDatabase = {1} hdb, dc = config"

    Интернеттен издеп башымды сүзүп алгандан кийин, ldapmodify Интернеттеги эң так түр экен. Бул орунсуз каармандар жана артта калган мейкиндиктер менен истерикалык. Мындан ары ойлонбостон, кеңеш шартты жанаша жазыңыз, ал X менен жазуу * окуу менен өз алдынча жазуу. Эгер ал дагы деле иштебей калса, Блокнот ++> Көрүү> Көрсөтүү белгисин орнотуп, акыры көзгө көрүнбөгөн каармандарга өлүм. Кимдир бирөө жардам берет деп үмүттөнөм.

  12.   баскыч ал мындай деди:

    OpenSSLдин негизинде Debian Wheezy сертификаттарын түзүү төмөнкү кызматтарды аткарат:
    http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/