LDAP ഉള്ള ഡയറക്ടറി സേവനം [4]: ​​OpenLDAP (I)

ഹലോ സുഹൃത്തുക്കളെ!. നമുക്ക് ബിസിനസ്സിലേക്ക് ഇറങ്ങാം, ഞങ്ങൾ എല്ലായ്പ്പോഴും ശുപാർശ ചെയ്യുന്നതുപോലെ, ഈ ശ്രേണിയിലെ മുമ്പത്തെ മൂന്ന് ലേഖനങ്ങൾ വായിക്കുക:

ഞങ്ങളുടെ ലളിതമായ ഡയറക്‌ടറിയെ അടിസ്ഥാനമാക്കിയുള്ള ഏറ്റവും കുറഞ്ഞ അവശ്യ സേവനങ്ങളാണ് ഡി‌എൻ‌എസ്, ഡി‌എച്ച്‌സി‌പി, എൻ‌ടി‌പി OpenLDAP നേറ്റീവ്, ശരിയായി പ്രവർത്തിക്കുന്നു ഡെബിയൻ 6.0 "ഞെക്കുക", അല്ലെങ്കിൽ ഉബുണ്ടു 12.04 എൽ‌ടി‌എസിൽ "കൃത്യമായ പാംഗോലിൻ".

ഉദാഹരണ നെറ്റ്‌വർക്ക്:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

ഒന്നാം ഭാഗത്തിൽ നമ്മൾ കാണും:

  • OpenLDAP ഇൻസ്റ്റാളേഷൻ (സ്ലാപ്പ്ഡ് 2.4.23-7.3)
  • ഇൻസ്റ്റാളേഷനുശേഷം പരിശോധിക്കുന്നു
  • കണക്കിലെടുക്കേണ്ട സൂചികകൾ
  • ഡാറ്റ ആക്സസ് നിയന്ത്രണ നിയമങ്ങൾ
  • ചൂഷണത്തിൽ ടി‌എൽ‌എസ് സർ‌ട്ടിഫിക്കറ്റുകൾ‌ സൃഷ്‌ടിക്കൽ

രണ്ടാം ഭാഗത്തിൽ ഞങ്ങൾ ഇത് തുടരും:

  • പ്രാദേശിക ഉപയോക്തൃ പ്രാമാണീകരണം
  • ഡാറ്റാബേസ് ജനകീയമാക്കുക
  • കൺസോൾ യൂട്ടിലിറ്റികൾ ഉപയോഗിച്ച് ഡാറ്റാബേസ് നിയന്ത്രിക്കുക
  • ഇതുവരെയുള്ള സംഗ്രഹം ...

OpenLDAP ഇൻസ്റ്റാളേഷൻ (സ്ലാപ്പ്ഡ് 2.4.23-7.3)

പാക്കേജ് ഉപയോഗിച്ച് OpenLDAP സെർവർ ഇൻസ്റ്റാൾ ചെയ്തു സ്ലാപ്പ്ഡ്. ഞങ്ങൾ പാക്കേജും ഇൻസ്റ്റാൾ ചെയ്യണം ldap-utils, ഇത് ഞങ്ങൾക്ക് ചില ക്ലയന്റ്-സൈഡ് ഉപകരണങ്ങളും ഓപ്പൺ എൽ‌ഡി‌എപി സ്വന്തം യൂട്ടിലിറ്റികളും നൽകുന്നു.

: ap # അഭിരുചി ഇൻസ്റ്റാളുചെയ്യുക slapd ldap-utils

ഇൻസ്റ്റാളേഷൻ പ്രക്രിയയിൽ ,. debconf ഇത് ഞങ്ങളോട് അഡ്മിനിസ്ട്രേറ്ററുടെയോ ഉപയോക്താവിന്റെയോ പാസ്‌വേഡ് ചോദിക്കും «അഡ്മിൻ«. നിരവധി ഡിപൻഡൻസികളും ഇൻസ്റ്റാൾ ചെയ്തിട്ടുണ്ട്; ഉപയോക്താവ് സൃഷ്ടിച്ചു ഓപ്പൺ‌ഡാപ്പ്; പ്രാരംഭ സെർവർ കോൺഫിഗറേഷനും LDAP ഡയറക്ടറിയും സൃഷ്ടിച്ചു.

ഡെമൺ കോൺഫിഗറേഷൻ, ഓപ്പൺ എൽഡിഎപിയുടെ മുൻ പതിപ്പുകളിൽ സ്ലാപ്പ്ഡ് പൂർണ്ണമായും ഫയലിലൂടെ ചെയ്തു /etc/ldap/slapd.conf. ഞങ്ങൾ ഉപയോഗിക്കുന്ന പതിപ്പിലും അതിനുശേഷമുള്ളതിലും, കോൺഫിഗറേഷൻ അതേ രീതിയിൽ തന്നെ ചെയ്യുന്നു സ്ലാപ്പ്ഡ്, ഈ ആവശ്യത്തിനായി a ഡിറ്റ് «ഡയറക്ടറി ഇൻഫർമേഷൻ ട്രീ»അല്ലെങ്കിൽ ഡയറക്ടറി ഇൻഫർമേഷൻ ട്രീ, പ്രത്യേകം.

എന്നറിയപ്പെടുന്ന കോൺഫിഗറേഷൻ രീതി ആർടിസി «തത്സമയ കോൺഫിഗറേഷൻ»തത്സമയ കോൺഫിഗറേഷൻ, അല്ലെങ്കിൽ രീതി cn = കോൺഫിഗറേഷൻ, ചലനാത്മകമായി കോൺഫിഗർ ചെയ്യാൻ ഞങ്ങളെ അനുവദിക്കുന്നു സ്ലാപ്പ്ഡ് സേവനം പുനരാരംഭിക്കേണ്ട ആവശ്യമില്ലാതെ.

കോൺഫിഗറേഷൻ ഡാറ്റാബേസിൽ ഫോർമാറ്റിലെ ടെക്സ്റ്റ് ഫയലുകളുടെ ഒരു ശേഖരം അടങ്ങിയിരിക്കുന്നു എൽഡിഐഎഫ് «LDAP ഡാറ്റ ഇന്റർചേഞ്ച് ഫോർമാറ്റ്Exchange ഡാറ്റാ എക്സ്ചേഞ്ചിനായുള്ള LDAP ഫോർമാറ്റ്, ഫോൾഡറിൽ സ്ഥിതിചെയ്യുന്നു /etc/ldap/slapd.d.

ഫോൾഡർ ഓർഗനൈസേഷനെക്കുറിച്ച് ഒരു ആശയം ലഭിക്കുന്നതിന് slapd.d, നമുക്ക് ഓടാം:

: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: ആകെ 8 drwxr-x --- 3 ഓപ്പൺ‌ഡാപ്പ് ഓപ്പൺ‌ഡാപ്പ് 4096 ഫെബ്രുവരി 16 11:08 cn = config -rw ------- 1 ഓപ്പൺ‌ഡാപ്പ് ഓപ്പൺ‌ഡാപ്പ് 407 ഫെബ്രുവരി 16 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: ആകെ 28 -rw ------- 1 ഓപ്പൺ‌ഡാപ്പ് ഓപ്പൺ‌ഡാപ്പ് 383 ഫെബ്രുവരി 16 11:08 cn = മൊഡ്യൂൾ {0} .ldif drwxr-x --- 2 ഓപ്പൺ‌ഡാപ്പ് ഓപ്പൺ‌ഡാപ്പ് 4096 ഫെബ്രുവരി 16 11:08 cn = സ്കീമ -rw ------- 1 ഓപ്പൺ‌ഡാപ് ഓപ്പൺ‌ഡാപ്പ് 325 ഫെബ്രുവരി 16 11:08 cn = schema.ldif -rw ------- 1 ഓപ്പൺ‌ഡാപ്പ് ഓപ്പൺ‌ഡാപ്പ് 343 ഫെബ്രുവരി 16 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 Feb 16 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 ഫെബ്രുവരി 16 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 Feb 16 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schema: ആകെ 40 -rw ------- 1 ഓപ്പൺ‌ഡാപ്പ് ഓപ്പൺ‌ഡാപ്പ് 15474 ഫെബ്രുവരി 16 11:08 cn = {0} core.ldif -rw ------- 1 ഓപ്പൺ‌ഡാപ്പ് ഓപ്പൺ‌ഡാപ്പ് 11308 ഫെബ്രുവരി 16 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 Feb 16 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 ഫെബ്രുവരി 16 11:08 cn = {3} inetorgperson.ldif

മുമ്പത്തെ output ട്ട്‌പുട്ടിനെ കുറച്ചുകൂടി നോക്കിയാൽ, ബാക്കെൻഡ് ഡാറ്റാബേസ് തരമാണ് സ്ക്വീസിൽ ഉപയോഗിക്കുന്നത് എച്ച്ഡിബി, ഇതിന്റെ ഒരു വകഭേദമാണ് bdb "ബെർക്ക്‌ലി ഡാറ്റാബേസ്", അത് പൂർണ്ണമായും ശ്രേണിപരമായതും ഉപവൃക്ഷങ്ങളുടെ പേരുമാറ്റത്തെ പിന്തുണയ്ക്കുന്നതുമാണ്. സാധ്യമായതിനെക്കുറിച്ച് കൂടുതലറിയാൻ ബാക്കെൻഡുകൾ അത് OpenLDAP- നെ പിന്തുണയ്ക്കുന്നു, സന്ദർശിക്കുക http://es.wikipedia.org/wiki/OpenLDAP.

മൂന്ന് വ്യത്യസ്ത ഡാറ്റാബേസുകൾ ഉപയോഗിക്കുന്നതായും ഞങ്ങൾ കാണുന്നു, അതായത് ഒന്ന് കോൺഫിഗറേഷനായി സമർപ്പിച്ചിരിക്കുന്നു, മറ്റൊന്ന് എന്റ്, അവസാനത്തേത് ഡാറ്റാബേസ് എച്ച്ഡിബി ഓരോ സെ.

മറുവശത്ത്, സ്ലാപ്പ്ഡ് സ്ഥിരസ്ഥിതിയായി സ്കീമാറ്റിക്സ് ഉപയോഗിച്ച് ഇൻസ്റ്റാൾ ചെയ്തു കോർ, കസൈൻ, ഏപ്രിൽ e ഇന്റർനെറ്റ് വ്യക്തി.

ഇൻസ്റ്റാളേഷനുശേഷം പരിശോധിക്കുന്നു

ഒരു ടെർമിനലിൽ ഞങ്ങൾ ശാന്തമായി എക്സിക്യൂട്ട് ചെയ്യുകയും read ട്ട്‌പുട്ടുകൾ വായിക്കുകയും ചെയ്യുന്നു. ഫോൾഡർ ലിസ്റ്റുചെയ്യുന്നതിൽ നിന്ന് കോൺഫിഗറേഷൻ കുറച്ച രണ്ടാമത്തെ കമാൻഡ് ഉപയോഗിച്ച് ഞങ്ങൾ പരിശോധിക്കും slapd.d.

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config | കൂടുതൽ: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = module {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} core, cn = schema, cn = config dn: cn = {1} cosine , cn = schema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetorgperson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config

ഓരോ .ട്ട്‌പുട്ടിന്റെയും വിശദീകരണം:

  • cn = കോൺഫിഗറേഷൻ: ആഗോള പാരാമീറ്ററുകൾ.
  • cn = മൊഡ്യൂൾ {0}, cn = കോൺഫിഗറേഷൻ: ചലനാത്മകമായി ലോഡുചെയ്ത മൊഡ്യൂൾ.
  • cn = സ്കീമ, cn = കോൺഫിഗറേഷൻ: അടങ്ങിയിരിക്കുന്നു ഹാർഡ് കോഡഡ് സിസ്റ്റം സ്കീമാറ്റിക്സ് തലത്തിൽ.
  • cn = {0} core, cn = schema, cn = config: ദി ഹാർഡ് കോഡഡ് കേർണൽ സ്കീമാറ്റിക്.
  • cn = {1} cosine, cn = schema, cn = config: പദ്ധതി കോസിൻ.
  • cn = {2} nis, cn = schema, cn = config: പദ്ധതി നിസ്.
  • cn = {3} inetorgperson, cn = schema, cn = config: പദ്ധതി ഇന്റർനെറ്റ് വ്യക്തി.
  • olcBackend = {0} hdb, cn = config: ബാക്കെൻഡ് ഡാറ്റ സംഭരണ ​​തരം എച്ച്ഡിബി.
  • olcDatabase = {- 1} frontend, cn = config: എന്റ് ഡാറ്റാബേസിന്റെയും മറ്റ് ഡാറ്റാബേസുകളുടെ സ്ഥിരസ്ഥിതി പാരാമീറ്ററുകളുടെയും.
  • olcDatabase = {0} config, cn = config: ന്റെ കോൺഫിഗറേഷൻ ഡാറ്റാബേസ് സ്ലാപ്പ്ഡ് (cn = കോൺഫിഗറേഷൻ).
  • olcDatabase = {1} hdb, cn = config: ഞങ്ങളുടെ ഡാറ്റാബേസിന്റെ ഉദാഹരണം (dc = ചങ്ങാതിമാർ‌, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = ഉദാഹരണം, dc = com dn
dn: dc = ചങ്ങാതിമാർ‌, dc = cu dn: cn = അഡ്മിൻ‌, dc = ചങ്ങാതിമാർ‌, dc = cu
  • dc = ചങ്ങാതിമാർ‌, dc = cu: ഡിഐടി ബേസ് ഡയറക്ടറി ഇൻഫർമേഷൻ ട്രീ
  • cn = അഡ്മിൻ, dc = ചങ്ങാതിമാർ, dc = cu: ഇൻസ്റ്റാളേഷൻ സമയത്ത് പ്രഖ്യാപിച്ച ഡിഐടിയുടെ അഡ്മിനിസ്ട്രേറ്റർ (റൂട്ട്ഡിഎൻ).

കുറിപ്പ്: അടിസ്ഥാന സഫിക്‌സ് dc = ചങ്ങാതിമാർ‌, dc = cu, അത് എടുത്തു debconf ഇൻസ്റ്റാളേഷൻ സമയത്ത് FQDN സെർവർ ildap.amigos.cu.

കണക്കിലെടുക്കേണ്ട സൂചികകൾ

തിരയലുകളുടെ പ്രകടനം മെച്ചപ്പെടുത്തുന്നതിനായി എൻ‌ട്രികളുടെ ഇൻ‌ഡെക്‌സിംഗ് നടത്തുന്നു ഡിറ്റ്, ഫിൽ‌റ്റർ‌ മാനദണ്ഡം ഉപയോഗിച്ച്. സ്ഥിരസ്ഥിതി സ്കീമകളിൽ പ്രഖ്യാപിച്ച ആട്രിബ്യൂട്ടുകൾ അനുസരിച്ച് ശുപാർശ ചെയ്യുന്ന ഏറ്റവും കുറഞ്ഞ നിരക്കാണ് ഞങ്ങൾ പരിഗണിക്കുന്ന സൂചികകൾ.

ഡാറ്റാബേസിലെ സൂചികകളെ ചലനാത്മകമായി പരിഷ്കരിക്കുന്നതിന്, ഞങ്ങൾ ഫോർമാറ്റിൽ ഒരു ടെക്സ്റ്റ് ഫയൽ സൃഷ്ടിക്കുന്നു എൽഡിഐഎഫ്, പിന്നീട് ഞങ്ങൾ ഇത് ഡാറ്റാബേസിലേക്ക് ചേർക്കുന്നു. ഞങ്ങൾ ഫയൽ സൃഷ്ടിക്കുന്നു olcDbIndex.ldif ഇനിപ്പറയുന്ന ഉള്ളടക്കത്തിൽ ഞങ്ങൾ ഇത് ഉപേക്ഷിക്കുന്നു:

: ~ # നാനോ olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = config changeetype: modify add: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: olcDbIndex: olcDbIndex: olcDbIndex: : loginShell eq, olcDbIndex: ലോഗിൻ - ചേർക്കുക: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, sub, eq: , pres pres, eq, sub-add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: default sub-add: olcDbIndex olcDbIndex: mail eq, subinitial - add: olcDbIndex olcDbIndex

ഞങ്ങൾ ഡാറ്റാബേസിലേക്ക് സൂചികകൾ ചേർത്ത് പരിഷ്ക്കരണം പരിശോധിക്കുന്നു:

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex

dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: oid presq, cn presq olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: default sub olcDbIndex: mail eq, subinitial olcDbIndex: dc eq

ഡാറ്റ ആക്സസ് നിയന്ത്രണ നിയമങ്ങൾ

ഡയറക്‌ടറി ഡാറ്റാബേസിലെ ഉപയോക്താക്കൾക്ക് ഡാറ്റ വായിക്കാനും പരിഷ്‌ക്കരിക്കാനും ചേർക്കാനും ഇല്ലാതാക്കാനും കഴിയുന്ന തരത്തിൽ ആക്‌സസ്സ് നിയന്ത്രണത്തെ സ്ഥാപിച്ച നിയമങ്ങൾ എന്ന് വിളിക്കുന്നു, അതേസമയം ഞങ്ങൾ ആക്‌സസ്സ് നിയന്ത്രണ ലിസ്റ്റുകൾ അല്ലെങ്കിൽ callACL ആക്സസ് നിയന്ത്രണ പട്ടികConfig നിയമങ്ങൾ‌ ക്രമീകരിക്കുന്ന നയങ്ങളിലേക്ക്.

ഏതാണ് എന്നറിയാൻ ACL- കൾ ന്റെ ഇൻസ്റ്റാളേഷൻ പ്രക്രിയയിൽ സ്ഥിരസ്ഥിതിയായി പ്രഖ്യാപിച്ചു സ്ലാപ്പ്ഡ്, ഞങ്ങൾ നിർവ്വഹിക്കുന്നു:

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} frontend)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

മുമ്പത്തെ ഓരോ കമാൻഡുകളും ഞങ്ങൾക്ക് കാണിക്കും ACL- കൾ ഇപ്പോൾ വരെ ഞങ്ങൾ ഞങ്ങളുടെ ഡയറക്ടറിയിൽ പ്രഖ്യാപിച്ചു. പ്രത്യേകിച്ചും, അവസാന കമാൻഡ് അവയെല്ലാം കാണിക്കുന്നു, ആദ്യത്തെ മൂന്ന് മൂന്ന് പേർക്കും ആക്സസ് നിയന്ത്രണ നിയമങ്ങൾ നൽകുന്നു. ഡിറ്റ് ഞങ്ങളുടെ പങ്കാളിത്തം സ്ലാപ്പ്ഡ്.

എന്ന വിഷയത്തിൽ ACL- കൾ കൂടുതൽ ദൈർഘ്യമേറിയ ലേഖനം ഉണ്ടാക്കാതിരിക്കാൻ, മാനുവൽ പേജുകൾ വായിക്കാൻ ഞങ്ങൾ ശുപാർശ ചെയ്യുന്നു മനുഷ്യൻ slapd. ആക്സസ്.

ഉപയോക്താക്കളുടെയും അഡ്മിനിസ്ട്രേറ്റർമാരുടെയും എൻ‌ട്രികൾ അപ്‌ഡേറ്റ് ചെയ്യുന്നതിന് അവരുടെ ആക്‌സസ് ഉറപ്പ് നൽകുന്നതിന് ലോഗിൻഷെൽ y ഗെക്കോസ്, ഞങ്ങൾ ഇനിപ്പറയുന്ന ACL ചേർക്കും:

## ഞങ്ങൾ olcAccess.ldif ഫയൽ സൃഷ്ടിക്കുകയും ഇനിപ്പറയുന്ന ഉള്ളടക്കത്തിൽ ഇടുകയും ചെയ്യുന്നു: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changeetype: പരിഷ്‌ക്കരിക്കുക: olcAccess olcAccess: {1 att to attrs = loginShell, gecos by dn = "cn = admin, dc = friends, dc = cu" സ്വയം എഴുതുക * വായിക്കുക

## ഞങ്ങൾ ACL ചേർക്കുന്നു
: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif

# ഞങ്ങൾ മാറ്റങ്ങൾ പരിശോധിക്കുന്നു
ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

സർട്ടിഫിക്കറ്റുകളുടെ ജനറേഷൻ TLS Squeeze ൽ

OpenLDAP സെർവറിൽ ഒരു സുരക്ഷിത പ്രാമാണീകരണം ലഭിക്കാൻ, ഞങ്ങൾ ഇത് ഒരു എൻ‌ക്രിപ്റ്റ് ചെയ്ത സെഷനിലൂടെ ചെയ്യണം, അത് ഉപയോഗിച്ച് നമുക്ക് നേടാൻ കഴിയും TLS «ഗതാഗത പാളി സുരക്ഷ» സുരക്ഷിത ഗതാഗത പാളി.

OpenLDAP സെർവറിനും അതിന്റെ ക്ലയന്റുകൾക്കും ഇത് ഉപയോഗിക്കാൻ കഴിയും ചട്ടക്കൂട് സമഗ്രതയെയും രഹസ്യസ്വഭാവത്തെയും കുറിച്ച് പരിരക്ഷ നൽകുന്നതിനും മെക്കാനിസത്തിലൂടെ സുരക്ഷിതമായ എൽ‌ഡി‌എപി പ്രാമാണീകരണത്തെ പിന്തുണയ്ക്കുന്നതിനും ടി‌എൽ‌എസ് എസ്എഎസ്എൽ «ലളിതമായ പ്രാമാണീകരണവും സുരക്ഷാ പാളിയും« ബാഹ്യ.

ആധുനിക ഓപ്പൺ‌എൽ‌ഡി‌പി സെർ‌വറുകൾ‌ * ഉപയോഗിക്കുന്നതിനെ അനുകൂലിക്കുന്നു/ StartTLS /* / ലേക്ക് ഒരു സുരക്ഷിത ഗതാഗത പാളി ആരംഭിക്കുകLDAPS: ///, കാലഹരണപ്പെട്ടതാണ്. എന്തെങ്കിലും ചോദ്യങ്ങളുണ്ടെങ്കിൽ, * ആരംഭിക്കുക TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html

സ്ഥിരസ്ഥിതിയായി ഇൻസ്റ്റാൾ ചെയ്തതുപോലെ ഫയൽ വിടുക / etc / default / slapd പ്രസ്താവനയോടൊപ്പം SLAPD_SERVICES = »ldap: /// ldapi: ///», ക്ലയന്റിനും സെർവറിനുമിടയിൽ ഒരു എൻ‌ക്രിപ്റ്റ് ചെയ്ത ചാനലും പ്രാദേശികമായി ഇൻസ്റ്റാൾ ചെയ്തിട്ടുള്ള ഓപ്പൺ എൽ‌ഡി‌എപി അഡ്‌മിനിസ്റ്റർ ചെയ്യുന്നതിന് സഹായ ആപ്ലിക്കേഷനുകളും ഉപയോഗിക്കുക.

പാക്കേജുകളെ അടിസ്ഥാനമാക്കി ഇവിടെ വിവരിച്ച രീതി gnutls-bin y ssl-cert ഇത് ഡെബിയൻ 6 "സ്ക്യൂസ്" നും ഉബുണ്ടു സെർവർ 12.04 നും സാധുതയുള്ളതാണ്. ഡെബിയൻ 7 "വീസി" യെ അടിസ്ഥാനമാക്കിയുള്ള മറ്റൊരു രീതി OpenSSL.

സ്ക്യൂസിലെ സർട്ടിഫിക്കറ്റുകളുടെ ജനറേഷൻ ഇനിപ്പറയുന്ന രീതിയിൽ നടത്തുന്നു:

1.- ആവശ്യമായ പാക്കേജുകൾ ഞങ്ങൾ ഇൻസ്റ്റാൾ ചെയ്യുന്നു
: ~ # അഭിരുചി ഇൻസ്റ്റാൾ ചെയ്യുക gnutls-bin ssl-cert

2.- സർ‌ട്ടിഫിക്കറ്റ് അതോറിറ്റിക്കായി ഞങ്ങൾ പ്രാഥമിക കീ സൃഷ്ടിക്കുന്നു
: ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3.- സിഎ (സർട്ടിഫിക്കറ്റ് അതോറിറ്റി) നിർവചിക്കുന്നതിന് ഞങ്ങൾ ഒരു ടെംപ്ലേറ്റ് സൃഷ്ടിക്കുന്നു.
: ~ # nano /etc/ssl/ca.info cn = ക്യൂബൻ ചങ്ങാതിമാർ ca cert_signing_key

4.- ക്ലയന്റുകൾ‌ക്കായി ഞങ്ങൾ‌ സി‌എ സ്വയം ഒപ്പിട്ട അല്ലെങ്കിൽ‌ സ്വയം ഒപ്പിട്ട സർ‌ട്ടിഫിക്കറ്റ് സൃഷ്‌ടിക്കുന്നു
: ~ # certtool --generate-self-sign \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem

5.- സെർവറിനായി ഞങ്ങൾ ഒരു സ്വകാര്യ കീ സൃഷ്ടിക്കുന്നു
: ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem

കുറിപ്പ്: മാറ്റിസ്ഥാപിക്കുക "മിൽ‌ഡാപ്പ്"മുകളിലുള്ള ഫയലിന്റെ പേരിൽ നിങ്ങളുടെ സ്വന്തം സെർവർ. സെർവറിനും അത് ഉപയോഗിക്കുന്ന സേവനത്തിനും സർട്ടിഫിക്കറ്റിനും കീയ്ക്കും പേരിടുന്നത് കാര്യങ്ങൾ വ്യക്തമായി സൂക്ഷിക്കാൻ ഞങ്ങളെ സഹായിക്കുന്നു.

6.- ഇനിപ്പറയുന്ന ഉള്ളടക്കത്തിനൊപ്പം ഞങ്ങൾ /etc/ssl/mildap.info ഫയൽ സൃഷ്ടിക്കുന്നു:
: ~ # nano /etc/ssl/mildap.info ഓർഗനൈസേഷൻ = ക്യൂബൻ ചങ്ങാതിമാർ cn =ildap.amigos.cu tls_www_server എൻ‌ക്രിപ്ഷൻ_കീ സൈനിംഗ്_കീ കാലഹരണപ്പെടൽ_ദിവസങ്ങൾ = 3650

കുറിപ്പ്: മുമ്പത്തെ ഉള്ളടക്കത്തിൽ‌, സർ‌ട്ടിഫിക്കറ്റ് 10 വർഷത്തേക്ക് സാധുതയുള്ളതാണെന്ന് ഞങ്ങൾ പ്രഖ്യാപിക്കുന്നു. പാരാമീറ്റർ ഞങ്ങളുടെ സ to കര്യത്തിനനുസരിച്ച് ക്രമീകരിക്കണം.

7.- ഞങ്ങൾ സെർവർ സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കുന്നു
: ~ # certtool --generate-cert \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-cert /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem

ഇതുവരെ ഞങ്ങൾ ആവശ്യമായ ഫയലുകൾ സൃഷ്ടിച്ചു, സ്വയം ഒപ്പിട്ട സർട്ടിഫിക്കറ്റിന്റെ സ്ഥാനം മാത്രമേ ഞങ്ങൾ ഡയറക്ടറിയിലേക്ക് ചേർക്കേണ്ടതുള്ളൂ cacert.pem; സെർവർ സർട്ടിഫിക്കറ്റിന്റെ ildap-cert.pem; ഒപ്പം സെർവറിന്റെ സ്വകാര്യ കീയും ildap-key.pem. ജനറേറ്റുചെയ്ത ഫയലുകളുടെ അനുമതികളും ഉടമയും ഞങ്ങൾ ക്രമീകരിക്കണം.

: ~ # നാനോ /etc/ssl/certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.cl -key.pem

8.- ഞങ്ങൾ ചേർക്കുന്നു: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

9.- ഞങ്ങൾ ഉടമയും അനുമതികളും ക്രമീകരിക്കുന്നു
: ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod അല്ലെങ്കിൽ /etc/ssl/private/mildap-key.pem

സർട്ടിഫിക്കറ്റ് cacert.pem ഓരോ ക്ലയന്റിലും ഞങ്ങൾ പകർത്തേണ്ട ഒന്നാണ് ഇത്. ഈ സർ‌ട്ടിഫിക്കറ്റ് സെർ‌വറിൽ‌ തന്നെ ഉപയോഗിക്കുന്നതിന്, ഞങ്ങൾ‌ അത് ഫയലിൽ‌ പ്രഖ്യാപിക്കണം /etc/ldap/ldap.conf. ഇത് ചെയ്യുന്നതിന്, ഞങ്ങൾ ഫയൽ പരിഷ്‌ക്കരിക്കുകയും ഇനിപ്പറയുന്ന ഉള്ളടക്കത്തിൽ ഇടുകയും ചെയ്യുന്നു:

: ~ # നാനോ /etc/ldap/ldap.conf
BASE dc = ചങ്ങാതിമാർ‌, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

അവസാനമായി ഒരു പരിശോധന എന്ന നിലയിൽ ഞങ്ങൾ സേവനം പുനരാരംഭിക്കുന്നു സ്ലാപ്പ്ഡ് അതിന്റെ output ട്ട്‌പുട്ട് ഞങ്ങൾ പരിശോധിക്കുന്നു സിസ്‌ലോഗ് പുതുതായി പ്രഖ്യാപിച്ച സർട്ടിഫിക്കറ്റ് ഉപയോഗിച്ച് സേവനം ശരിയായി പുനരാരംഭിച്ചിട്ടുണ്ടോ എന്നറിയാൻ സെർവറിൽ നിന്ന്.

: service # സേവനം സ്ലാപ്പ് പുനരാരംഭിക്കുക
: ~ # വാൽ / var / ലോഗ് / സിസ്‌ലോഗ്

സേവനം ശരിയായി പുനരാരംഭിക്കുന്നില്ലെങ്കിലോ ഗുരുതരമായ പിശക് ഞങ്ങൾ നിരീക്ഷിച്ചാലോ സിസ്‌ലോഗ്, നിരുത്സാഹപ്പെടുത്തരുത്. കേടുപാടുകൾ തീർക്കാൻ അല്ലെങ്കിൽ ആരംഭിക്കാൻ ഞങ്ങൾക്ക് ശ്രമിക്കാം. ആദ്യം മുതൽ ആരംഭിക്കാൻ ഞങ്ങൾ തീരുമാനിക്കുകയാണെങ്കിൽ സ്ലാപ്പ്ഡ്, ഞങ്ങളുടെ സെർവർ ഫോർമാറ്റ് ചെയ്യേണ്ട ആവശ്യമില്ല.

ഒരു കാരണത്താലോ മറ്റൊരു കാരണത്താലോ ഞങ്ങൾ ഇതുവരെ ചെയ്തതെല്ലാം മായ്‌ക്കുന്നതിന്, ഞങ്ങൾ പാക്കേജ് അൺ‌ഇൻസ്റ്റാൾ ചെയ്യണം സ്ലാപ്പ്ഡ്, തുടർന്ന് ഫോൾഡർ ഇല്ലാതാക്കുക / var / lib / ldap. ഫയലിന്റെ യഥാർത്ഥ പതിപ്പിലും ഞങ്ങൾ അത് ഉപേക്ഷിക്കണം /etc/ldap/ldap.conf.

ആദ്യ ശ്രമത്തിൽ എല്ലാം ശരിയായി പ്രവർത്തിക്കുന്നത് അപൂർവമാണ്. 🙂

അടുത്ത തവണയിൽ ഞങ്ങൾ കാണും:

  • പ്രാദേശിക ഉപയോക്തൃ പ്രാമാണീകരണം
  • ഡാറ്റാബേസ് ജനകീയമാക്കുക
  • കൺസോൾ യൂട്ടിലിറ്റികൾ ഉപയോഗിച്ച് ഡാറ്റാബേസ് നിയന്ത്രിക്കുക
  • ഇതുവരെയുള്ള സംഗ്രഹം ...

സുഹൃത്തുക്കളെ ഉടൻ കാണാം!


ലേഖനത്തിന്റെ ഉള്ളടക്കം ഞങ്ങളുടെ തത്ത്വങ്ങൾ പാലിക്കുന്നു എഡിറ്റോറിയൽ എത്തിക്സ്. ഒരു പിശക് റിപ്പോർട്ടുചെയ്യാൻ ക്ലിക്കുചെയ്യുക ഇവിടെ.

19 അഭിപ്രായങ്ങൾ, നിങ്ങളുടേത് വിടുക

നിങ്ങളുടെ അഭിപ്രായം ഇടുക

നിങ്ങളുടെ ഇമെയിൽ വിലാസം പ്രസിദ്ധീകരിച്ചു ചെയ്യില്ല.

*

*

  1. ഡാറ്റയുടെ ഉത്തരവാദിത്തം: മിഗുവൽ ഏഞ്ചൽ ഗാറ്റൻ
  2. ഡാറ്റയുടെ ഉദ്ദേശ്യം: സ്പാം നിയന്ത്രിക്കുക, അഭിപ്രായ മാനേജുമെന്റ്.
  3. നിയമസാധുത: നിങ്ങളുടെ സമ്മതം
  4. ഡാറ്റയുടെ ആശയവിനിമയം: നിയമപരമായ ബാധ്യതയല്ലാതെ ഡാറ്റ മൂന്നാം കക്ഷികളുമായി ആശയവിനിമയം നടത്തുകയില്ല.
  5. ഡാറ്റ സംഭരണം: ഒസെന്റസ് നെറ്റ്‌വർക്കുകൾ (ഇയു) ഹോസ്റ്റുചെയ്യുന്ന ഡാറ്റാബേസ്
  6. അവകാശങ്ങൾ: ഏത് സമയത്തും നിങ്ങളുടെ വിവരങ്ങൾ പരിമിതപ്പെടുത്താനും വീണ്ടെടുക്കാനും ഇല്ലാതാക്കാനും കഴിയും.

  1.   ഹ്യൂഗോ പറഞ്ഞു

    ടീച്ചർ !!!
    ട്യൂട്ടോയുമായി ഇത് സംഭവിച്ചു!
    മികച്ചതാണ്
    ലോകത്തിന്റെ എല്ലാ ഇഷ്ടങ്ങളും നിങ്ങൾക്കായി.
    ????

    1.    ഫെഡററി പറഞ്ഞു

      വളരെ നന്ദി, ഹ്യൂഗോ !!! വിഷയത്തെക്കുറിച്ചുള്ള അടുത്ത ലേഖനങ്ങൾക്കായി കാത്തിരിക്കുക.

  2.   ഈ അപരാധം പറഞ്ഞു

    ഹലോ

    നിങ്ങളുടെ ലേഖന പരമ്പര രസകരമാണ്.

    ഈ പ്രസ്താവന വായിച്ചപ്പോൾ ഞാൻ ആശ്ചര്യപ്പെട്ടു: "ആധുനിക ഓപ്പൺ‌എൽ‌ഡി‌പി സെർ‌വറുകൾ‌ കാലഹരണപ്പെട്ട പഴയ ടി‌എൽ‌എസ് / എസ്‌എസ്‌എൽ പ്രോട്ടോക്കോളിനേക്കാൾ സ്റ്റാർട്ട് ടി‌എൽ‌എസ് അല്ലെങ്കിൽ ഒരു സുരക്ഷിത ഗതാഗത പാളി ആരംഭിക്കാൻ ഇഷ്ടപ്പെടുന്നു."

    എല്ലാ സാഹചര്യങ്ങളിലും എൽ‌ഡി‌എപി പരിധിക്കുപുറത്ത് പോലും, ടി‌എസ്‌എൽ / എസ്‌എസ്‌എല്ലിനേക്കാൾ മികച്ച ഒരു സംരക്ഷണ സംവിധാനമാണ് STARTTLS എന്ന് നിങ്ങൾ അവകാശപ്പെടുന്നുണ്ടോ?

    1.    ഫെഡററി പറഞ്ഞു

      അഭിപ്രായത്തിന് നന്ദി. ഞാൻ ഉദ്ദേശിക്കുന്നത് OpenLDAP ആണ്. ഞാൻ അതിരുകടന്നില്ല. ൽ http://www.openldap.org/faq/data/cache/185.html, നിങ്ങൾക്ക് ഇനിപ്പറയുന്നവ വായിക്കാൻ കഴിയും:

      സെക്യുർ സോക്കറ്റ് ലെയറിന്റെ (എസ്എസ്എൽ) സ്റ്റാൻഡേർഡ് പേരാണ് ട്രാൻസ്പോർട്ട് ലേയർ സെക്യൂരിറ്റി (ടിഎൽഎസ്). നിബന്ധനകൾ (നിർദ്ദിഷ്ട പതിപ്പ് നമ്പറുകളുമായി യോഗ്യത നേടിയില്ലെങ്കിൽ) സാധാരണയായി പരസ്പരം മാറ്റാവുന്നവയാണ്.

      ടി‌എൽ‌എസ് / എസ്‌എസ്‌എൽ ആരംഭിക്കുന്നതിനുള്ള സ്റ്റാൻഡേർഡ് എൽ‌ഡി‌എപി പ്രവർത്തനത്തിന്റെ പേരാണ് സ്റ്റാർട്ട് ടി‌എൽ‌എസ്. ഈ എൽ‌ഡി‌എ‌പി പ്രവർത്തനം വിജയകരമായി പൂർത്തിയാക്കിയതിന് ശേഷമാണ് ടി‌എൽ‌എസ് / എസ്‌എസ്‌എൽ ആരംഭിക്കുന്നത്. ഇതര പോർട്ട് ആവശ്യമില്ല. ടി‌എൽ‌എസ് / എസ്‌എസ്‌എൽ പരിരക്ഷിച്ചിരിക്കുന്ന ഒന്നിലേക്ക് സാധാരണ എൽ‌ഡി‌എപി കണക്ഷൻ അപ്‌ഗ്രേഡുചെയ്യുന്നതിനാൽ ഇതിനെ ചിലപ്പോൾ ടി‌എൽ‌എസ് അപ്‌ഗ്രേഡ് ഓപ്പറേഷൻ എന്ന് വിളിക്കുന്നു.

      ldaps: // കൂടാതെ LDAPS എന്നത് "LDAP ഓവർ TLS / SSL" അല്ലെങ്കിൽ "LDAP സുരക്ഷിതം" എന്നിവയെ സൂചിപ്പിക്കുന്നു. ഒരു ഇതര പോർട്ടിലേക്കുള്ള കണക്ഷനിലാണ് ടി‌എൽ‌എസ് / എസ്‌എസ്‌എൽ ആരംഭിക്കുന്നത് (സാധാരണയായി 636). ഈ ഉപയോഗത്തിനായി എൽ‌ഡി‌എ‌പി‌എസ് പോർട്ട് (636) രജിസ്റ്റർ ചെയ്തിട്ടുണ്ടെങ്കിലും, ടി‌എൽ‌എസ് / എസ്‌എസ്‌എൽ ഇനിഷ്യേഷൻ മെക്കാനിസത്തിന്റെ വിശദാംശങ്ങൾ‌ സ്റ്റാൻ‌ഡേർ‌ഡ് ചെയ്തിട്ടില്ല.

      ആരംഭിച്ചുകഴിഞ്ഞാൽ, ldaps: // ഉം StartTLS ഉം തമ്മിൽ വ്യത്യാസമില്ല. അവർ ഒരേ കോൺഫിഗറേഷൻ ഓപ്ഷനുകൾ പങ്കിടുന്നു (ldaps ഒഴികെ: // ന് ഒരു പ്രത്യേക ശ്രോതാവിന്റെ കോൺഫിഗറേഷൻ ആവശ്യമാണ്, സ്ലാപ്പ്ഡി (8) ന്റെ -h ഓപ്ഷൻ കാണുക) കൂടാതെ സുരക്ഷാ സേവനങ്ങൾ സ്ഥാപിക്കപ്പെടുന്നതിന് കാരണമാകുന്നു.
      കുറിപ്പ്:
      1) ldap: // + StartTLS ഒരു സാധാരണ LDAP പോർട്ടിലേക്ക് (സാധാരണയായി 389) നയിക്കണം, ldaps: // port അല്ല.
      2) ldaps: // ഒരു LDAPS പോർട്ടിലേക്ക് (സാധാരണയായി 636) നയിക്കണം, LDAP പോർട്ടിലേക്കല്ല.

      1.    ഈ അപരാധം പറഞ്ഞു

        ക്ഷമിക്കണം, എന്തുകൊണ്ടാണ് നിങ്ങൾ ഇത് അവകാശപ്പെടുന്നതെന്ന് എനിക്ക് ഇപ്പോഴും ഉറപ്പില്ല: 1) ആധുനിക സെർവറുകൾ SSL / TLS നേക്കാൾ STARTTLS തിരഞ്ഞെടുക്കുന്നു; 2) കാലഹരണപ്പെട്ട SSL / TLS നെതിരായി STARTTLS ആധുനികമാണ്.

        ഞാൻ / തുടങ്ങിയവ എസ്എസ്എൽ പ്രവേശനവും സെർവർ (ഏറ്റവും സ്വതന്ത്ര സോഫ്റ്റ്വെയർ ചെയ്യുന്നതുപോലെ ഓപ്പൺഎസ്എസ്എൽ ലൈബ്രറികൾ ഉപയോഗിച്ച്), CA സർട്ടിഫിക്കറ്റ് ഉപയോഗിച്ച് വിവിധ മെയിൽ ഉപഭോക്താക്കളുടെ ക്രമീകരണം പകുതി ഒരു മാസം പോരാടുന്നു / SSL / സർട്ടിഫിക്കറ്റുകളും / മറ്റ് സാമഗ്രികളും ചെയ്തിരിക്കുന്നു. ഞാൻ മനസിലാക്കിയത് ഇതാണ്: 1) STARTTLS സെഷൻ പ്രാമാണീകരണം മാത്രം എൻ‌ക്രിപ്റ്റ് ചെയ്യുന്നു, ബാക്കി എല്ലാം എൻ‌ക്രിപ്റ്റ് ചെയ്യാതെ അയയ്ക്കുന്നു; 2) സെഷന്റെ എല്ലാ ഉള്ളടക്കവും SSL എൻ‌ക്രിപ്റ്റ് ചെയ്യുന്നു. അതിനാൽ, ഒരു കാരണവശാലും STARTTLS സാങ്കേതികമായി SSL നെക്കാൾ മികച്ചതല്ല; നിങ്ങളുടെ സെഷന്റെ ഉള്ളടക്കം നെറ്റ്‌വർക്കിലൂടെ എൻ‌ക്രിപ്റ്റ് ചെയ്യാത്തതിനാൽ ഞാൻ മറ്റെന്തെങ്കിലും ചിന്തിക്കാൻ ആഗ്രഹിക്കുന്നു.

        മറ്റൊരു വ്യത്യസ്ത കാര്യം, എനിക്കറിയാത്ത മറ്റ് കാരണങ്ങളാൽ STARTTLS ശുപാർശചെയ്യുന്നു: MSWindows യുമായുള്ള അനുയോജ്യതയ്ക്കായി, കാരണം നടപ്പാക്കൽ കൂടുതൽ സ്ഥിരതയുള്ളതോ മികച്ച രീതിയിൽ പരീക്ഷിച്ചതോ ആണ് ... എനിക്കറിയില്ല. അതുകൊണ്ടാണ് ഞാൻ നിങ്ങളോട് ചോദിക്കുന്നത്.

        നിങ്ങളുടെ ഉത്തരത്തിൽ നിങ്ങൾ എന്നോട് അറ്റാച്ചുചെയ്ത മാനുവലിന്റെ അവലംബത്തിൽ നിന്ന്, ldap: // ഉം ldaps: // ഉം തമ്മിലുള്ള വ്യത്യാസം imap: // ഉം imaps: // ഉം തമ്മിലുള്ള വ്യത്യാസത്തിന് തുല്യമാണ്, അല്ലെങ്കിൽ smtp: // ഒപ്പം smtps: //: മറ്റൊരു പോർട്ട് ഉപയോഗിക്കുന്നു, കോൺഫിഗറേഷൻ ഫയലിൽ ചില അധിക എൻ‌ട്രി ചേർ‌ത്തു, പക്ഷേ ബാക്കി പാരാമീറ്ററുകൾ‌ സൂക്ഷിക്കുന്നു. എന്നാൽ അത് STARTTLS തിരഞ്ഞെടുക്കുന്നതിനെ കുറിച്ച് ഒന്നും സൂചിപ്പിക്കുന്നില്ല.

        ആശംസകൾ, മറുപടിക്ക് ക്ഷമിക്കണം. ഞാൻ കുറച്ചുകൂടി പഠിക്കാൻ ശ്രമിക്കുകയാണ്.

        1.    ഫെഡററി പറഞ്ഞു

          നോക്കൂ, വളരെ ഗൗരവമേറിയ ചില പ്രസിദ്ധീകരണങ്ങളുടെ പിന്തുണയില്ലാതെ എന്റെ ലേഖനങ്ങളിൽ ഞാൻ ആ കാലിബറിന്റെ അവകാശവാദങ്ങൾ ഉന്നയിക്കുന്നത് വളരെ അപൂർവമാണ്. സീരീസിന്റെ അവസാനം, ഞാൻ ഗൗരവമായി കരുതുന്ന ഡോക്യുമെന്റേഷനിലേക്കുള്ള എല്ലാ ലിങ്കുകളും ഉൾപ്പെടുത്തും, കൂടാതെ പോസ്റ്റ് എഴുതാൻ ഞാൻ ആലോചിച്ചു. ഇനിപ്പറയുന്ന ലിങ്കുകൾ ഞാൻ നിങ്ങൾക്ക് മുന്നോട്ടുവയ്ക്കുന്നു:

          https://wiki.debian.org/LDAP/OpenLDAPSetup
          ഉബുണ്ടു സെർവർഗൈഡ് https://code.launchpad.net/serverguide
          OpenLDAP- .ദ്യോഗികം http://www.openldap.org/doc/admin24/index.html
          SSL / TLS, StartTLS എന്നിവയിലൂടെ LDAP http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/

          കൂടാതെ, ഓരോ പാക്കേജിലും ഇൻസ്റ്റാൾ ചെയ്തിട്ടുള്ള ഡോക്യുമെന്റേഷനും ഞാൻ ആലോചിച്ചു.

          പൊതുവെ സുരക്ഷയുടെ പ്രശ്നവും സ്റ്റാർട്ട് ടി‌എൽ‌എസും ടി‌എൽ‌എസ് / എസ്‌എസ്‌എല്ലും തമ്മിലുള്ള വ്യത്യാസങ്ങളും വളരെ സാങ്കേതികവും ആഴത്തിലുള്ളതുമാണ്, അത്തരം വിശദീകരണങ്ങൾ നൽകുന്നതിന് ആവശ്യമായ അറിവുണ്ടെന്ന് ഞാൻ കരുതുന്നില്ല. ഞങ്ങൾക്ക് ഇ-മെയിൽ വഴി തുടർന്നും സംസാരിക്കാൻ കഴിയുമെന്ന് ഞാൻ കരുതുന്നു.

          കൂടാതെ, LDAPS: // ഉപയോഗിക്കാൻ കഴിയില്ലെന്ന് ഞാൻ ഒരിടത്തും പറയുന്നില്ല. നിങ്ങൾ ഇത് സുരക്ഷിതമാണെന്ന് കരുതുന്നുവെങ്കിൽ, മുന്നോട്ട് പോകുക !!!

          എനിക്ക് നിങ്ങളെ ഇനി സഹായിക്കാനാവില്ല, നിങ്ങളുടെ അഭിപ്രായങ്ങളെ ഞാൻ ശരിക്കും അഭിനന്ദിക്കുന്നു.

        2.    ഫെഡററി പറഞ്ഞു

          കുറച്ചുകൂടി വ്യക്തത നിങ്ങൾക്ക് ലഭിക്കും -എപ്പോഴും OpenLDAP- നെക്കുറിച്ച്:
          http://www.openldap.org/faq/data/cache/605.html

          ടി‌എൽ‌എസ് (എസ്‌എസ്‌എൽ) ഡാറ്റാ രഹസ്യാത്മക പരിരക്ഷ പ്രാപ്തമാക്കുന്നതിനുള്ള എൽ‌ഡി‌എ‌പി‌വി 2830 യുടെ സ്റ്റാൻ‌ഡേർഡ് മെക്കാനിസമാണ് സ്റ്റാർട്ട് ടി‌എൽ‌എസ് വിപുലീകൃത പ്രവർത്തനം [ആർ‌എഫ്‌സി 3]. ഇതിനകം തന്നെ സ്ഥാപിതമായ LDAP കണക്ഷനിൽ എൻ‌ക്രിപ്റ്റ് ചെയ്ത SSL / TLS കണക്ഷൻ സ്ഥാപിക്കുന്നതിന് മെക്കാനിസം ഒരു LDAPv3 വിപുലീകൃത പ്രവർത്തനം ഉപയോഗിക്കുന്നു. മെക്കാനിസം ടി‌എൽ‌എസ്‌വി 1 ഉപയോഗത്തിനായി രൂപകൽപ്പന ചെയ്‌തിരിക്കുമ്പോൾ, മിക്ക നടപ്പാക്കലുകളും ആവശ്യമെങ്കിൽ എസ്എസ്എൽവി 3 (എസ്എസ്എൽവി 2) ലേക്ക് മടങ്ങും.

          LDAP: // LDAP- നായി ഒരു എൻ‌ക്രിപ്റ്റ് ചെയ്ത SSL / TLS കണക്ഷൻ സ്ഥാപിക്കുന്നതിനുള്ള ഒരു സംവിധാനമാണ്. ഇതിന് പ്രത്യേക പോർട്ടിന്റെ ഉപയോഗം ആവശ്യമാണ്, സാധാരണയായി 636. LDAPv2, SSLv2 എന്നിവയ്‌ക്കൊപ്പം ഉപയോഗിക്കാൻ ആദ്യം രൂപകൽപ്പന ചെയ്‌തിട്ടുണ്ടെങ്കിലും, നിരവധി നടപ്പാക്കലുകൾ LDAPv3, TLSv1 എന്നിവയ്ക്കൊപ്പം അതിന്റെ ഉപയോഗത്തെ പിന്തുണയ്‌ക്കുന്നു. Ldaps: // നായി സാങ്കേതിക സവിശേഷതകളൊന്നുമില്ലെങ്കിലും ഇത് വ്യാപകമായി ഉപയോഗിക്കുന്നു.

          ldaps: // സ്റ്റാർട്ട് ടി‌എൽ‌എസിന് [RFC2830] അനുകൂലമായി ഒഴിവാക്കി. OpenLDAP 2.0 രണ്ടും പിന്തുണയ്ക്കുന്നു.
          സുരക്ഷാ കാരണങ്ങളാൽ SSLv2 സ്വീകരിക്കാതിരിക്കാൻ സെർവർ ക്രമീകരിക്കണം.

  3.   freebsddick പറഞ്ഞു

    ഉപയോക്താക്കൾ അഭിപ്രായപ്പെടാത്ത ലേഖനങ്ങളിൽ ഒന്നായിരിക്കും ഇത്, കാരണം അവർ അവരുടെ ലിനക്സ് സ്റ്റേഷനുകളിൽ മാത്രം അശ്ലീലം കാണുന്നതിനാൽ അവർ അത് കാര്യമാക്കുന്നില്ല. Ldap- നെക്കുറിച്ച് എനിക്ക് ജോലി ചെയ്യുന്ന കമ്പനിയ്ക്കായി വൈവിധ്യമാർന്ന നെറ്റ്‌വർക്കിനുള്ളിൽ നിരവധി അനുബന്ധ സേവനങ്ങൾ ഉണ്ട്. നല്ല ലേഖനം !!

    1.    ഫെഡററി പറഞ്ഞു

      അഭിപ്രായത്തിന് നന്ദി !!!. എന്റെ പല ലേഖനങ്ങളിലെയും കുറച്ച് അഭിപ്രായങ്ങളെക്കുറിച്ചുള്ള നിങ്ങളുടെ പ്രസ്താവന വളരെ ശരിയാണ്. എന്നിരുന്നാലും, താൽപ്പര്യമുള്ള വായനക്കാരിൽ നിന്നോ അല്ലെങ്കിൽ പിന്നീടുള്ള വായനയ്ക്കും പ്രയോഗത്തിനുമായി ലേഖനം ഡ download ൺലോഡ് ചെയ്യുന്ന മറ്റുള്ളവരിൽ നിന്നും എനിക്ക് കത്തിടപാടുകൾ ലഭിക്കുന്നു.

      അഭിപ്രായങ്ങളിലൂടെയാണെങ്കിലും ഫീഡ്‌ബാക്ക് ലഭിക്കുന്നത് എല്ലായ്പ്പോഴും വളരെ ഉപയോഗപ്രദമാണ്: പിന്നീടുള്ള വായനയ്‌ക്കോ താൽപ്പര്യമുണർത്തുന്ന അല്ലെങ്കിൽ മറ്റൊരു അഭിപ്രായത്തിനായോ ഞാൻ ഇത് സംരക്ഷിച്ചു.

      നന്ദി!

  4.   ഫെഡററി പറഞ്ഞു

    ഫ്രീക്ക് !!! അഭിപ്രായത്തിന് നന്ദി. നിങ്ങളുടെ അഭിപ്രായം മെയിലിൽ എനിക്ക് ലഭിച്ചു, പക്ഷേ ഞാൻ നിരവധി തവണ പേജ് പുതുക്കിയെങ്കിലും ഞാൻ അത് കാണുന്നില്ല. സുഹൃത്തേ, സ്ക്യൂസ് അല്ലെങ്കിൽ ഉബുണ്ടു സെർവർ 12.04 ൽ പ്രശ്നങ്ങളില്ലാതെ നിങ്ങൾക്ക് ഇതും മുമ്പത്തെ ലേഖനങ്ങളും പരീക്ഷിക്കാൻ കഴിയും. ഓപ്പൺഎസ്എസ്എൽ ഉപയോഗിച്ച് വീസി സർട്ടിഫിക്കറ്റുകൾ വ്യത്യസ്തമായി ജനറേറ്റുചെയ്യുന്നു. പക്ഷെ ഒന്നുമില്ല. എന്റെ ആശംസകൾ, സഹോദരാ !!!.

  5.   ഫെഡററി പറഞ്ഞു

    isthisnameisfalse: മികച്ച ഗുമസ്തന് ഒരു മങ്ങൽ ലഭിക്കുന്നു. നിങ്ങളുടെ അഭിപ്രായങ്ങൾക്ക് നന്ദി, സംശയാസ്‌പദമായ ഖണ്ഡിക ഇനിപ്പറയുന്നതായിരിക്കണം എന്ന് ഞാൻ കരുതുന്നു:

    കാലഹരണപ്പെട്ട LDAPS: // പ്രോട്ടോക്കോളിനേക്കാൾ ആധുനിക OpenLDAP സെർവറുകൾ StartTLS അല്ലെങ്കിൽ ഒരു സുരക്ഷിത ഗതാഗത പാളി ആരംഭിക്കാൻ ഇഷ്ടപ്പെടുന്നു. എന്തെങ്കിലും ചോദ്യങ്ങളുണ്ടെങ്കിൽ, ആരംഭ TLS v സന്ദർശിക്കുക. ldaps: // en http://www.openldap.org/faq/data/cache/605.html

    നന്ദി!

  6.   ജോസ് മോംഗെ പറഞ്ഞു

    മികച്ചത്, ഇപ്പോൾ എനിക്ക് ldap- ൽ ഹോംവർക്ക് ഉണ്ട്

  7.   പുഞ്ചിരി പറഞ്ഞു

    നിങ്ങൾക്ക് എല്ലാം ഒരൊറ്റ ഫയലിൽ ഉൾപ്പെടുത്താൻ കഴിയാത്തതിനാൽ നിങ്ങൾക്ക് പൂർണ്ണ ട്യൂട്ടോറിയൽ ഡ download ൺലോഡ് ചെയ്യാൻ കഴിയും

  8.   എന്നേക്കും പറഞ്ഞു

    ഞാൻ ലിനക്സിൽ വിപുലമായ പരിചയസമ്പന്നനായ ഒരു കമ്പ്യൂട്ടർ ടെക്നീഷ്യനാണ്, എന്നിട്ടും ലേഖനത്തിന്റെ മധ്യഭാഗം എനിക്ക് നഷ്ടമായി. ഞാൻ അത് കൂടുതൽ ശ്രദ്ധാപൂർവ്വം വീണ്ടും വായിക്കാൻ പോകുന്നു. ട്യൂട്ടോറിയലിന് വളരെ നന്ദി.
    എന്തുകൊണ്ടാണ് ആക്ടീവ് ഡയറക്ടറി സാധാരണയായി ഈ കാര്യങ്ങൾക്കായി തിരഞ്ഞെടുത്തതെന്ന് കൂടുതൽ മനസിലാക്കാൻ ഇത് ഞങ്ങളെ അനുവദിക്കുന്നു എന്നത് ശരിയാണെങ്കിലും. കോൺഫിഗറേഷന്റെയും നടപ്പാക്കലിന്റെയും ലാളിത്യത്തെക്കുറിച്ച് പറയുമ്പോൾ വ്യത്യാസത്തിന്റെ ഒരു പ്രപഞ്ചമുണ്ട്.
    നന്ദി!

  9.   ഫെഡററി പറഞ്ഞു

    അഭിപ്രായമിട്ട എല്ലാവർക്കും നന്ദി !!!
    മോജോ, ഇത് നിങ്ങളെ സഹായിക്കുമെന്ന് ഞാൻ പ്രതീക്ഷിക്കുന്നു
    post എല്ലാ പോസ്റ്റുകളുടെയും അവസാനം വാൾട്ടർ, എനിക്ക് html അല്ലെങ്കിൽ pdf ഫോർമാറ്റിൽ ഒരു സമാഹാരം ഉണ്ടാക്കാൻ കഴിയുമോ എന്ന് ഞാൻ നോക്കും
    റിവേഴ്‌സിൽ VeVeR, ഒരു സജീവ ഡയറക്‌ടറി പോലെ തോന്നുന്നില്ലെങ്കിൽ‌ ഒരു ഓപ്പൺ‌എൽ‌ഡി‌പി ലളിതമാണ്. അടുത്ത ലേഖനങ്ങൾക്കായി കാത്തിരിക്കുക, നിങ്ങൾ കാണും.

  10.   മാർസെലോ പറഞ്ഞു

    ഒരു ചോദ്യം, ഞാൻ ഇൻസ്റ്റാളേഷൻ ഘട്ടം ഘട്ടമായി ചെയ്യുന്നു, പക്ഷേ സ്ലാപ്ഡ് സേവനം പുനരാരംഭിക്കുമ്പോൾ, ഇത് എന്നെ ഇനിപ്പറയുന്ന പിശക് എറിയുന്നു>

    ജൂലൈ 30 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (Mar 17 2014 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / ഡെബിയൻ / ബിൽഡ് / സെർവറുകൾ / സ്ലാപ്പ്
    ജൂലൈ 30 15:27:37 xxxxx slapd [1219]: അജ്ഞാത ആട്രിബ്യൂട്ട് വിവരണം "CHANGETYPE" ചേർത്തു.
    ജൂലൈ 30 15:27:37 xxxxx slapd [1219]: അജ്ഞാത ആട്രിബ്യൂട്ട് വിവരണം "ADD" ചേർത്തു.
    ജൂലൈ 30 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): ശൂന്യമായ ആട്രിബ്യൂട്ട് വിവരണം
    ജൂലൈ 30 15:27:37 xxxxx slapd [1219]: slapd നിർത്തി.
    ജൂലൈ 30 15:27:37 xxxxx [1219]: കണക്ഷനുകൾ_ഡെസ്ട്രോയ്: നശിപ്പിക്കാൻ ഒന്നുമില്ല.

    1.    x11tete11x പറഞ്ഞു

      നിങ്ങൾക്ക് ഫോറത്തിൽ ചോദിക്കാം http://foro.desdelinux.net/

  11.   പെഡ്രോപ്പ് പറഞ്ഞു

    മികച്ചതും നന്നായി വിശദീകരിച്ചതുമായ ഈ പോസ്റ്റ് കാണുന്ന എല്ലാവർക്കും ACL- കൾ സൃഷ്ടിക്കുമ്പോൾ ഈ പ്രശ്നം സംഭവിക്കുന്നു:
    ldapmodify: അസാധുവായ ഫോർമാറ്റ് (വരി 5) എൻ‌ട്രി: "olcDatabase = {1} hdb, dc = config"

    എന്റെ തല ഇൻറർനെറ്റിൽ തിരഞ്ഞതിനുശേഷം, വെബിന്റെ മുഖത്ത് ഏറ്റവും കൃത്യമായ തരം ldapmodify ആണെന്ന് ഇത് മാറുന്നു. തെറ്റായ പ്രതീകങ്ങളോടും പിന്നിലുള്ള ഇടങ്ങളോടും ഇത് ഭ്രാന്താണ്. കൂടുതൽ‌ താൽ‌പ്പര്യമില്ലാതെ, ഉപദേശം X by by self write by write by * read വഴി അവസ്ഥ എഴുതുക എന്നതാണ്. ഇത് ഇപ്പോഴും പ്രവർത്തിക്കുന്നില്ലെങ്കിൽ നോട്ട്പാഡ് ++> കാണുക> ചിഹ്നം കാണിക്കുക, ഒടുവിൽ അദൃശ്യ പ്രതീകങ്ങളിലേക്ക് മരണം. ആരെങ്കിലും സഹായിക്കുമെന്ന് ഞാൻ പ്രതീക്ഷിക്കുന്നു.

  12.   പെഡ്രോപ്പ് പറഞ്ഞു

    ഓപ്പൺഎസ്എസ്എലിനെ അടിസ്ഥാനമാക്കി ഡെബിയൻ വീസിക്കായി സർട്ടിഫിക്കറ്റുകൾ സൃഷ്ടിക്കുക:
    http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/