नमस्कार मित्रांनो!. चला व्यवसायावर उतरू आणि आम्ही जसे शिफारस करतो तसेच मालिकेतील मागील तीन लेख वाचा:
- एलडीएपी सह निर्देशिका सेवा. परिचय.
- एलडीएपी सह निर्देशिका सेवा [२]: एनटीपी आणि डीएनएसमास्क.
- एलडीएपी []] सह निर्देशिका सेवा: आयएससी-डीएचसीपी-सर्व्हर आणि बिंद 3.
आमच्या सामान्य निर्देशिकेसाठी डीएनएस, डीएचसीपी आणि एनटीपी किमान आवश्यक सेवा आहेत ओपनएलडीएपी मुळ, वर योग्यरित्या कार्य करते डेबियन 6.0 "पिळून काढणे"किंवा उबंटू 12.04 एलटीएस मध्ये «अचूक पॅंगोलिन».
नेटवर्क उदाहरण:
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
भाग १ मध्ये आपण पाहू:
- ओपनएलडीएपी स्थापना (थप्पड मारली 2.4.23-7.3)
- स्थापनेनंतर तपासणी
- खात्यात घेणे निर्देशांक
- डेटा Controlक्सेस कंट्रोल नियम
- पिळून टीएलएस प्रमाणपत्रांची निर्मिती
दुसर्या भागात असताना आम्ही यासह सुरू ठेवू:
- स्थानिक वापरकर्ता प्रमाणीकरण
- डेटाबेस पॉप्युलेट करा
- कन्सोल उपयुक्तता वापरून डेटाबेस व्यवस्थापित करा
- आतापर्यंत सारांश ...
ओपनएलडीएपी स्थापना (थप्पड मारली 2.4.23-7.3)
पॅकेजचा वापर करून ओपनएलडीएपी सर्व्हर स्थापित केला आहे थप्पड मारली. आम्ही पॅकेज देखील स्थापित केला पाहिजे ldap-utils, जे आम्हाला काही क्लायंट-साइड टूल्स तसेच ओपनएलडीएपीची स्वतःची उपयुक्तता पुरवतात.
: ~ # योग्यता स्थापित करा slapd ldap-utils
स्थापना प्रक्रियेदरम्यान, द डेबकॉन्फ हे आम्हाला प्रशासकाचा किंवा वापरकर्त्याचा संकेतशब्द विचारेल «प्रशासन«. बर्याच अवलंबित्व देखील स्थापित केल्या आहेत; वापरकर्ता तयार केला आहे ओपनल्डॅप; प्रारंभिक सर्व्हर कॉन्फिगरेशन तसेच एलडीएपी डिरेक्टरी देखील तयार केली गेली आहे.
ओपनएलडीएपीच्या पूर्वीच्या आवृत्तींमध्ये डिमन कॉन्फिगरेशन थप्पड मारली संपूर्णपणे फाइलद्वारे केले गेले /etc/ldap/slapd.conf. आम्ही वापरत असलेल्या आवृत्तीत आणि नंतर मध्ये, कॉन्फिगरेशन त्याच प्रमाणे केले गेले आहे थप्पड मारली, आणि या उद्देशाने ए DIT «निर्देशिका माहिती वृक्षDirect किंवा निर्देशिका माहिती वृक्ष स्वतंत्रपणे.
म्हणून ओळखली जाणारी कॉन्फिगरेशन पद्धत आरटीसी «रिअल टाइम कॉन्फिगरेशन»रीअल टाइम कॉन्फिगरेशन किंवा पद्धत म्हणून सीएन = कॉन्फिगरेशन, आम्हाला गतिकरित्या कॉन्फिगर करण्याची परवानगी देतो थप्पड मारली सेवा पुन्हा सुरू केल्याशिवाय.
कॉन्फिगरेशन डेटाबेसमध्ये स्वरूपातील मजकूर फायलींचा संग्रह आहे एलडीआयएफ «एलडीएपी डेटा इंटरचेंज फॉरमॅटExchange फोल्डरमध्ये स्थित डेटा एक्सचेंजसाठी एलडीएपी स्वरूपन /etc/ldap/slapd.d.
फोल्डर संस्थेची कल्पना मिळविण्यासाठी slapd.d, चल पळूया:
: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: एकूण 8 ड्रॉएक्सआर-एक्स --- 3 ओपनल्डॅप ओपनल्डॅप 4096 फेब्रुवारी 16 11:08 सीएन = कॉन्फिगर-आरडब्ल्यू ------- 1 ओपनल्डॅप ओपनल्डॅप 407 फेब्रुवारी 16 11:08 सीएन = config.ldif /etc/ldap/slapd.d/cn=config: एकूण 28-आरडब्ल्यू ------- 1 ओपनल्डॅप ओपनल्डॅप 383 फेब्रुवारी 16 11:08 सीएन = मॉड्यूल {0 ld .ldif drwxr-x --- 2 ओपनल्डॅप ओपनल्डॅप 4096 फेब्रुवारी 16 11:08 सीएन = स्कीमा -आरडब्ल्यू ------- 1 ओपनल्डॅप ओपनल्डॅप 325 फेब्रुवारी 16 11:08 सीएन = स्कीमा.ल्डिफ-आरडब्ल्यू ------- 1 ओपनल्डॅप ओपनल्डॅप 343 फेब्रुवारी 16 11:08 #cacclanc = {0} hdb.ldif -rw ------- 1 ओपनल्डॅप ओपनल्डॅप 472 फेब्रुवारी 16 11:08 #cd.ldif -rw ------- 0 ओपनल्डॅप ओपनल्डॅप 1 फेब्रुवारी 586 16:11 #cl डेटाबेस = {- 08} फ्रंटएंड.ल्डिफ-आरडब्ल्यू ------- 1 ओपनल्डॅप ओपनल्डॅप 1 फेब्रुवारी 1012 16:11 #cdat database = {08} hdb.ldif /etc/ldap/slapd.d/cn = कॉन्फिगरेशन / सीएन = स्कीमा: एकूण 1-आरडब्ल्यू ------- 40 ओपनल्डॅप ओपनल्डॅप 1 फेब्रुवारी 15474 16:11 सीएन = {08} कोर.ल्डिफ-आरडब्ल्यू ------- 0 ओपनल्डॅप ओपनल्डॅप 1 फेब्रुवारी 11308 16:11 सीएन = {08} कोसाइन.ल्डिफ-आरडब्ल्यू ------- 1 ओपनल्डॅप ओपनल्डॅप 1 फेब्रुवारी 6438 16:11 सीएन = {08} एनएस.ल्डिफ-आरडब्ल्यू ------- 2 ओपनल्डॅप ओपनल्डॅप 1 फेब्रुवारी 2802 16:11 सीएन = {08} inetorgPress.ldif
जर आपण मागील आऊटपुट थोडे पाहिले तर आपण ते पाहतो बॅकएंड डेटाबेस चा प्रकार स्कीझ मध्ये वापरला जातो एचडीबी, जे एक प्रकार आहे बीडीबी "बर्कले डेटाबेस" आणि तो पूर्णपणे श्रेणीबद्ध आहे आणि उप-वृक्षांचे नाव बदलण्यास समर्थन देतो. शक्यतेबद्दल अधिक जाणून घेण्यासाठी बॅकेन्ड जे ओपनएलडीएपीला समर्थन देते, भेट द्या http://es.wikipedia.org/wiki/OpenLDAP.
आम्ही असेही पाहिले आहे की तीन स्वतंत्र डेटाबेस वापरले गेले आहेत, एक म्हणजे कॉन्फिगरेशनला समर्पित, दुसरे ते आघाडीआणि शेवटचा डेटाबेस आहे एचडीबी प्रति से.
दुसरीकडे, थप्पड मारली डीफॉल्टनुसार स्कीमॅटिक्स सह स्थापित केले जाते कोर, कोझिन, निस e अपराधी.
स्थापनेनंतर तपासणी
टर्मिनलमध्ये आम्ही आउटपुट शांतपणे कार्यान्वित करतो आणि वाचतो. फोल्डरची सूची तयार करण्यापासून कॉन्फिगरेशन वरून दुसर्या कमांडद्वारे आपण तपासू slapd.d.
: ~ # ldapsearch -Q -LLL -Y बाह्य -H ldapi: /// -b cn = config | अधिक: ~ # ldapsearch -Q -LLL -Y बाह्य -H ldapi: /// -b cn = config dn
डीएनएन: सीएन = कॉन्फिगर डीएन: सीएन = मॉड्यूल {0}, सीएन = कॉन्फिगर डीएन: सीएन = स्कीमा, सीएन = कॉन्फिगर डीएन: सीएन = {0} कोर, सीएन = स्कीमा, सीएन = कॉन्फिगर डीएन: सीएन = {1} कोसाइन , सीएन = स्कीमा, सीएन = कॉन्फिगर डीएनः सीएन = {2} एनआयएस, सीएन = स्कीमा, सीएन = कॉन्फिगरेशन डीएनः सीएन = {3} इनटोर्सपर्सन, सीएन = स्कीमा, सीएन = कॉन्फिगरेशन डीएन: ओएलसीबॅकेंड = {0} एचडीबी, सीएन = कॉन्फिगरेशन डीएनएल: ओएलसीडॅटाबेस = {- १} फ्रंटएंड, सीएन = कॉन्फिगरेशन डीएनएल: ओएलसीडेटाबेस = {०} कॉन्फिगरेशन, सीएन = कॉन्फिगरेशन डीएनएल: ओएलसीडेटाबेस = {१} एचडीबी, सीएन = कॉन्फिगरेशन
प्रत्येक आउटपुटचे स्पष्टीकरण:
- सीएन = कॉन्फिगरेशन: ग्लोबल पॅरामीटर्स.
- सीएन = मॉड्यूल {0}, सीएन = कॉन्फिगरेशन: गतिकरित्या लोड केलेले मॉड्यूल.
- सीएन = स्कीमा, सीएन = कॉन्फिगरेशन: समाविष्टीत हार्ड कोडेड सिस्टम स्कीमॅटिक्सच्या स्तरावर.
- सीएन = {0} कोर, सीएन = स्कीमा, सीएन = कॉन्फिगरेशन: द हार्ड कोडेड कर्नल योजनाबद्ध.
- सीएन = {1} कोसाइन, सीएन = स्कीमा, सीएन = कॉन्फिगरेशन: योजना कोझिन.
- सीएन = {2} एनआयएस, सीएन = स्कीमा, सीएन = कॉन्फिगरेशन: योजना निस.
- सीएन = {3} इनटॉर्गेपर्सन, सीएन = स्कीमा, सीएन = कॉन्फिगरेशन: योजना अपराधी.
- ओएलसीबॅकएंड = {0} एचडीबी, सीएन = कॉन्फिगरेशन: बॅकएंड डेटा संचयन प्रकार एचडीबी.
- ओएलसीडेटाबेस = {- 1} फ्रंटएंड, सीएन = कॉन्फिगरेशन: आघाडी इतर डेटाबेससाठी डेटाबेस आणि डीफॉल्ट पॅरामीटर्सचा.
- ccDat database = {0} config, cn = config: चे कॉन्फिगरेशन डेटाबेस थप्पड मारली (सीएन = कॉन्फिगरेशन).
- ओएलसीडॅटाबेस = {1} एचडीबी, सीएन = कॉन्फिगरेशन: डेटाबेसचे आमचे उदाहरण (डीसी = मित्र, डीसी = क्यू)
: ~ # ldapsearch -x -LLL -H ldap: /// -b डीसी = उदाहरण, डीसी = कॉम डीएन डीएनः डीसी = मित्र, डीसी = क्यू डीएनः सीएन = प्रशासन, डीसी = मित्र, डीसी = सीयू
- डीसी = मित्र, डीसी = क्यू: डीआयटी बेस निर्देशिका माहिती वृक्ष
- सीएन = प्रशासन, डीसी = मित्र, डीसी = क्यू: स्थापनेदरम्यान घोषित डीआयटीचा प्रशासक (रूटडीएन).
नोट: बेस प्रत्यय डीसी = मित्र, डीसी = क्यू, घेतले डेबकॉन्फ पासून स्थापना दरम्यान एफक्यूडीएन सर्व्हर mildap.amigos.cu.
खात्यात घेणे निर्देशांक
वरील शोधांचे कार्यप्रदर्शन सुधारण्यासाठी नोंदींचे अनुक्रमणिकरण केले जाते DIT, फिल्टर मापदंडांसह. डीफॉल्ट स्कीममध्ये घोषित केलेल्या गुणधर्मांनुसार आम्ही शिफारस केलेली अनुक्रमणिका किमान शिफारस केली जातात.
डेटाबेसमधील अनुक्रमणिका गतिकरित्या सुधारित करण्यासाठी, आम्ही स्वरूपात एक मजकूर फाइल तयार करतो एलडीआयएफआणि नंतर डेटाबेसमधे जोडू. आम्ही फाईल तयार करतो #cdbIndex.ldif आणि आम्ही हे खालील सामग्रीसह सोडतो:
: ~ # नॅनो ओएलसीडीबीइन्डेक्स.ल्डिफ
डीएनएन: ओएलडीडेटाबेस = {1} एचडीबी, सीएन = कॉन्फिगरेशन चॅनजेटाइप: सुधारित जोडा : loginShell eq, olcDbIndex: login - जोडा: #cdbIndex ccDbIndex: uid pres, sub, eq - जोडा: #cdbIndex ccDbIndex: cn प्रेस, सब, eq - :ड: ओएलसीडीबीइन्डेक्स cएलसीडीबीआयएनडीएक्स: ओएलसीडी - ओएनसीबी - ओएनसीबी - ओएनडीबी - , किंवा प्रेस, एक, उप - जोडा: ओएलसीडीबीइन्डेक्स ओएलसीडीबीइन्डेक्स: डिस्प्लेनेम प्रेस, सब, इक - जोडा: ओएलडीडीबीइन्डेक्स ओएलसीडीबीइन्डेक्स: डीफॉल्ट सब-एड: ओएलडीडीबीइन्डेक्स ओएलडीडीबीइन्डेक्स: मेल ईक, सबनिटियल - अॅड: ओएलसीडीबीआयएनडीएक्स
आम्ही डेटाबेसमध्ये अनुक्रमणिका जोडतो आणि बदल तपासतो:
: ~ # ldapmodify -Y बाह्य -H ldapi: /// -f ./olcDbIndex.ldif
: ~ # ldapsearch -Q -LLL -Y बाह्य -H ldapi: /// -b \ cn = config '(ccDat database = {1} hdb)' #cdbIndex
डीएन: ओएलडीडेटाबेस = {1} एचडीबी, सीएन = कॉन्फिगरेशन ओएलसीडीबीइन्डेक्स: ऑब्जेक्टक्लास एएलसीडीबीआयइन्डेक्स: uidNumber, gidNumber eq olcDbIndex: सदस्ययूड eq, प्रेस, सब ओएलसीडीबीइन्डेक्स: eCq ओएलसीडीइएनडीएक्स, यूएसडीक्यू, इंडेक्स, यूएसडीक्यू, इंडेक्स सीएन प्रेक ओएलसीडीबीइन्डेक्स: एसएन प्रेस, सब, एएक ओएलसीडीबीइन्डेक्स: दिलेले नेम, ओयू प्रेस, एएक, सब ओएलसीडीबीइन्डेक्स: डिस्प्लेनेम प्रेस, सब, एएक ओएलसीडीबीइन्डेक्स: डीफॉल्ट सब ओएलसीडीबीइन्डेक्स: मेल ईक, सबनिटियल ओएलसीडीबीइन्डेक्स: डीसी इक
डेटा Controlक्सेस कंट्रोल नियम
निर्देशिक डेटाबेसमधील डेटा वाचणे, सुधारित करणे, जोडणे आणि हटविणे यासाठी नियम स्थापित केले गेले आहेत ज्यास Accessक्सेस कंट्रोल म्हटले जाते, तर आम्ही Controlक्सेस कंट्रोल याद्या किंवा callएसीएल प्रवेश नियंत्रण यादीConfig नियम कॉन्फिगर केलेल्या धोरणांना.
जे माहित आहे एसीएल च्या स्थापनेदरम्यान डीफॉल्टनुसार घोषित केले होते थप्पड मारली, आम्ही कार्यान्वित करतोः
: ~ # ldapsearch -Q -LLL -Y बाह्य -H ldapi: /// -b
सीएन = कॉन्फिगरेशन (ओएलकेडॅटाबेस = {1} एचडीबी) 'ओएलएक्सेस
: ~ # ldapsearch -Q -LLL -Y बाह्य -H ldapi: /// -b
सीएन = कॉन्फिगरेशन (ओएलकेडॅटाबेस = {- 1} फ्रंटएंड) '' cलॅक्सेस
: ~ # ldapsearch -Q -LLL -Y बाह्य -H ldapi: /// -b
cn = config '('cDat database = abase 0} config)' olccaccess
: ~ # ldapsearch -Q -LLL -Y बाह्य -H ldapi: /// -b
सीएन = कॉन्फिगरेशन (ओएलएक्सेस = *) 'ओएलएक्सेस ओएलसीफिक्स
मागील प्रत्येक कमांड आपल्याला दाखवेल एसीएल आतापर्यंत आम्ही आपल्या डिरेक्टरीमध्ये घोषित केले आहे. विशेषतः शेवटची कमांड त्या सर्वांना दाखवते, तर पहिली तीन आपल्याला तिन्हीसाठी controlक्सेस कंट्रोल नियम देतात. DIT आमच्या गुंतलेली थप्पड मारली.
च्या विषयावर एसीएल आणि जास्त लांब लेख न बनवण्यासाठी आम्ही व्यक्तिचलित पृष्ठे वाचण्याची शिफारस करतो माणूस slapd.access.
वापरकर्त्याच्या आणि प्रशासकांच्या त्यांच्या नोंदी अद्यतनित करण्याच्या प्रवेशाची हमी लॉगइनशेल y गेकोज, आम्ही पुढील एसीएल जोडू:
## आम्ही ऑलएक्सेस.ल्डिफ फाइल तयार करतो आणि त्यास खालील सामग्रीसह सोडतो: ~ # नॅनो #cAccess.ldif
डीएनएन: ओएलसीडॅटाबेस = {1} एचडीबी, सीएन = कॉन्फिगरेशन चॅनजेट टाइपः सुधारित जोडा: c 1} टू अटर्स = लॉगइनशेल, जीनकोस बाय डीएन = "सीएन = अॅडमिन, डीसी = मित्र, डीसी = सीयू" द्वारा लिखित स्व. * वाचा
## आम्ही एसीएल जोडतो
: ~ # ldapmodify -Y बाह्य -H ldapi: /// -f ./olcAccess.ldif
# आम्ही बदल तपासतो
ldapsearch -Q -LLL -Y बाह्य -H ldapi: /// -b
सीएन = कॉन्फिगरेशन (ओएलएक्सेस = *) 'ओएलएक्सेस ओएलसीफिक्स
प्रमाणपत्रे निर्मिती TLS पिळून मध्ये
ओपनएलडीएपी सर्व्हरसह सुरक्षित प्रमाणीकरण मिळविण्यासाठी, आपण हे एन्क्रिप्टेड सत्राद्वारे केले पाहिजे जे आपण हे वापरून प्राप्त करू शकतो TLS «परिवहन स्तर सुरक्षा» सुरक्षित परिवहन स्तर
ओपनएलडीएपी सर्व्हर आणि त्याचे ग्राहक हे वापरण्यास सक्षम आहेत फ्रेमवर्क TLS अखंडता आणि गोपनीयता संबंधित संरक्षण प्रदान करण्यासाठी, तसेच यंत्रणेद्वारे सुरक्षित एलडीएपी प्रमाणीकरणासाठी समर्थन एसएएसएल «साधे प्रमाणीकरण आणि सुरक्षितता स्तर« बाह्य
मॉडर्न ओपनएलडीएपी सर्व्हर * च्या वापरास अनुकूल आहेत/ स्टार्टटीएलएस /* o / साठी सुरक्षित परिवहन स्तर प्रारंभ कराएलडीएपीएस: ///, जे अप्रचलित आहे. कोणतेही प्रश्न असल्यास, भेट द्या * प्रारंभ टीएलएस विरुद्ध. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html
डीफॉल्टनुसार फाइल स्थापित करा / इत्यादी / डीफॉल्ट / थप्पड विधान सह SLAPD_SERVICES = »ldap: /// ldapi: ///», क्लायंट आणि सर्व्हर दरम्यान एनक्रिप्टेड चॅनेल आणि स्थानिकरित्या स्थापित केलेल्या ओपनएलडीएपीचे प्रशासन करण्यासाठी सहाय्यक सहाय्यक अनुप्रयोग वापरण्याच्या उद्देशाने.
पॅकेजेसवर आधारित, येथे वर्णन केलेली पद्धत गनटल्स-बिन y ssl- प्रमाणपत्र हे डेबियन 6 "स्किझ" आणि उबंटू सर्व्हर 12.04 साठी देखील वैध आहे. डेबियन 7 "Wheezy" साठी आधारित आणखी एक पद्धत ओपनएसएसएल.
खालीलप्रमाणे पिळून प्रमाणपत्रांची निर्मिती केली जाते:
1.- आम्ही आवश्यक पॅकेजेस स्थापित करतो : ~ # योग्यता गंटल्स-बिन एसएसएल-प्रमाणपत्र स्थापित करा 2.- आम्ही प्रमाणपत्र प्राधिकरणाची प्राथमिक की तयार करतो : ~ # श-सी "प्रमाणपत्रे - जनरेट-प्रायव्हे>> /etc/ssl/private/cakey.pem" 3.- आम्ही सीए परिभाषित करण्यासाठी एक टेम्पलेट तयार करतो (प्रमाणपत्र प्राधिकरण) : ~ # नॅनो /etc/ssl/ca.info cn = क्युबान मित्र सीए प्रमाणपत्र_साईन_की -.- आम्ही ग्राहकांसाठी सीए सेल्फ-साइन्ड किंवा सेल्फ-साइन्ड प्रमाणपत्र तयार करतो : ~ # प्रमाणपत्र-टोक - जनरेट-सेल्फ-साइन्ड load --लोड-प्रायव्हे /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info out - आउटफाइल / इ / एसएसएल / प्रमाणपत्र / cacert.pem 5.- आम्ही सर्व्हरसाठी खासगी की व्युत्पन्न करतो : ~ # प्रमाणपत्रे - जनरेट-प्राइवेकी \बिट्स 1024 \ - आउटफाइल /etc/ssl/private/mildap-key.pem नोट: पुनर्स्थित करा "मिल्डॅप"आपल्या स्वतःच्या सर्व्हरसाठी वरील फाईलच्या नावामध्ये. सर्व्हरसाठी आणि त्या वापरणार्या सेवेसाठी प्रमाणपत्र आणि की चे नाव देणे आम्हाला गोष्टी स्पष्ट ठेवण्यास मदत करते. 6.- आम्ही खालील सामग्रीसह फाइल /etc/ssl/mildap.info तयार करतो: : ~ # नॅनो /etc/ssl/mildap.info संस्था = क्यूबा मित्र नोट: मागील सामग्रीमध्ये आम्ही जाहीर करतो की प्रमाणपत्र 10 वर्षांच्या कालावधीसाठी वैध आहे. पॅरामीटर आमच्या सोयीनुसार समायोजित करणे आवश्यक आहे. 7.- आम्ही सर्व्हर प्रमाणपत्र तयार : ~ # प्रमाणपत्र-टोक - जनरेट-प्रमाणपत्र \ --लोड-प्रायव्हे /etc/ssl/private/mildap-key.pem \ --लोड-सीए-प्रमाणपत्र /etc/ssl/certs/cacert.pem load --लोड- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info out --outfile /etc/ssl/certs/mildap-cert.pem
आतापर्यंत आम्ही आवश्यक फायली व्युत्पन्न केल्या आहेत, आम्हाला फक्त स्वत: ची स्वाक्षरित प्रमाणपत्रे निर्देशिका निर्देशिकेत जोडावी लागेल cacert.pem; सर्व्हर प्रमाणपत्र की mildap-cert.pem; आणि सर्व्हरची खासगी की मिल्डॅप-की.पीएम. आम्ही व्युत्पन्न केलेल्या फायलींच्या परवानग्या आणि मालक देखील समायोजित केले पाहिजेत.
: ~ # नॅनो /etc/ssl/certinfo.ldif डीएनएन: सीएन = कॉन्फिगरेशन जोडा: ccTLSCACerર્ટateFile #cLLCCererateateFile: /etc/ssl/certs/cacert.pem - जोडा: ccTLSCertificateFile ccTLSCerર્ટateFile: /etc/ssl/certsLmCertateCert.setCert.set.CertateCesert /mildap-key.pem 8.- आम्ही जोडतो: l # ldapmodify -Y बाह्य -H ldapi: /// -f /etc/ssl/certinfo.ldif 9.- आम्ही मालक आणि परवानग्या समायोजित करतो : ~ # uड्युझर ओपनल्डॅप एसएसएल-प्रमाणपत्र: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod किंवा /etc/ssl/private/mildap-key.pem
प्रमाणपत्र cacert.pem आम्ही प्रत्येक क्लायंटमध्ये कॉपी करणे आवश्यक आहे. हे प्रमाणपत्र स्वतः सर्व्हरवर वापरण्यासाठी, आम्ही ते फायलीमध्ये घोषित केले पाहिजे /etc/ldap/ldap.conf. हे करण्यासाठी, आम्ही फाईल सुधारित करतो आणि त्यास खालील सामग्रीसह सोडतो:
: ~ # नॅनो /etc/ldap/ldap.conf बेस डीसी = मित्र, डीसी = क्यू यूआरआय ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem
शेवटी आणि तपासणी म्हणून आम्ही सेवा पुन्हा सुरू करतो थप्पड मारली आणि आउटपुट तपासू syslog सर्व्हर वरून, नवीन घोषित प्रमाणपत्र वापरुन सेवा योग्यरित्या रीस्टार्ट झाली आहे की नाही हे शोधण्यासाठी.
: ~ # सेवा थप्पड रीस्टार्ट होईल : tail # शेपटी / वार / लॉग / सिसलॉग
सेवा योग्यरित्या रीस्टार्ट न झाल्यास किंवा आम्ही मध्ये एक गंभीर त्रुटी पाहिली syslogचला, निराश होऊ नका. आम्ही नुकसान दुरुस्त करण्याचा किंवा प्रारंभ करण्याचा प्रयत्न करू शकतो. आम्ही स्क्रॅचपासून प्रारंभ करण्याचे ठरविल्यास थप्पड मारली, आमच्या सर्व्हरचे स्वरूपन करणे आवश्यक नाही.
एका कारणास्तव किंवा इतर कारणास्तव आम्ही आतापर्यंत केलेली सर्व कामे मिटविण्यासाठी, आम्ही हे पॅकेज विस्थापित केले पाहिजे थप्पड मारली, आणि नंतर फोल्डर हटवा / var / lib / ldap. आम्ही फाईलची मूळ आवृत्तीही सोडली पाहिजे /etc/ldap/ldap.conf.
पहिल्याच प्रयत्नात प्रत्येक गोष्ट योग्यप्रकारे कार्य करते हे दुर्मिळ आहे. 🙂
लक्षात ठेवा की पुढील हप्त्यात आम्ही दिसेल:
- स्थानिक वापरकर्ता प्रमाणीकरण
- डेटाबेस पॉप्युलेट करा
- कन्सोल उपयुक्तता वापरून डेटाबेस व्यवस्थापित करा
- आतापर्यंत सारांश ...
लवकरच मित्रांनो!
शिक्षक !!!
हे टूटोसह घडले!
उत्कृष्ट आहे
आपल्यासाठी सर्व जगाच्या आवडी.
😀
खूप खूप धन्यवाद, ह्यूगो !!! या विषयावरील पुढील लेखांची प्रतीक्षा करा.
हाय,
आपल्या लेख मालिका मनोरंजक.
हे विधान वाचून मला आश्चर्य वाटले: "मॉडर्न ओपनएलडीएपी सर्व्हर जुन्या टीएलएस / एसएसएल प्रोटोकॉलपेक्षा स्टार्टटीएलएस किंवा स्टार्ट सिक्यूर ट्रान्सपोर्ट लेयरचा वापर करण्यास प्राधान्य देतात, जे अप्रचलित आहे."
एलडीएपीच्या कार्यक्षेत्राबाहेरही सर्व प्रकरणांमध्ये STARTTLS ही टीएसएल / एसएसएलपेक्षा एक संरक्षण यंत्रणा आहे असा आपला दावा आहे?
टिप्पणी दिल्याबद्दल धन्यवाद. लक्षात ठेवा की मी ओपनएलडीएपी म्हणतो. मी ओलांडत नाही. मध्ये http://www.openldap.org/faq/data/cache/185.html, आपण खालील वाचू शकता:
ट्रान्सपोर्ट लेयर सिक्युरिटी (टीएलएस) हे सिक्योर सॉकेट लेयर (एसएसएल) चे मानक नाव आहे. अटी (विशिष्ट आवृत्ती क्रमांकासह पात्र नसल्यास) सामान्यत: परस्पर बदलण्यायोग्य असतात.
स्टार्ट टीएलएस टीएलएस / एसएसएल सुरू करण्यासाठी मानक एलडीएपी ऑपरेशनचे नाव आहे. टीएलएस / एसएसएल हे एलडीएपी ऑपरेशन यशस्वीरीत्या पूर्ण केल्यावर सुरू करण्यात आले आहे. कोणताही पर्यायी बंदर आवश्यक नाही. हे कधीकधी टीएलएस अपग्रेड ऑपरेशन म्हणून ओळखले जाते, कारण ते टीएलएस / एसएसएलद्वारे संरक्षित असलेल्या सामान्य एलडीएपी कनेक्शनचे अपग्रेड करते.
ldaps: // आणि LDAPS "LDAP over TLS / SSL" किंवा "LDAP Secured" चा संदर्भ देते. टीएलएस / एसएसएल वैकल्पिक पोर्ट (सामान्यत: 636) च्या कनेक्शनवर प्रारंभ केले जाते. या वापरासाठी एलडीएपीएस पोर्ट (636 XNUMX) नोंदणीकृत असले तरी, टीएलएस / एसएसएल दीक्षा यंत्रणेचे तपशील प्रमाणित केलेले नाहीत.
एकदा आरंभ केल्यानंतर, ldaps: // आणि प्रारंभटीएलएस मध्ये फरक नाही. ते समान कॉन्फिगरेशन पर्याय सामायिक करतात (ldaps वगळता: // वेगळ्या श्रोत्याची कॉन्फिगरेशन आवश्यक आहे, स्लॅपड (8) चे -h पर्याय पहा) आणि परिणामी सुरक्षा सेवा स्थापित केल्या जातील.
टीप:
1) ldap: // + स्टार्टटीएलएस सामान्य एलडीएपी पोर्ट (सामान्यत: 389) वर निर्देशित केले जावे, एलडीॅप्स: // पोर्टवर नाही.
२) ldaps: // एलडीएपीएस पोर्टवर निर्देशित केले पाहिजे (सामान्यत: 2 636 XNUMX), एलडीएपी पोर्टवर नाही.
क्षमस्व, परंतु आपण अद्याप असा दावा का करता याची मला खात्री नाही: 1) आधुनिक सर्व्हर एसएसएल / टीएलएसला STARTTLS पसंत करतात; २) की स्टार्टएलएस आधुनिक आहे, एसएसएल / टीएलएस विरूद्ध आहे जी अप्रचलित आहे.
अर्धा महिना मी एसएसएलद्वारे सर्व्हरवर प्रवेश करणार्या भिन्न मेल क्लायंट्सच्या कॉन्फिगरेशनसह (ओपनस्ल लायब्ररी वापरणे, जसे की बहुतेक विनामूल्य सॉफ्टवेअर करते) / इत्यादी / एसएसएल / प्रमाणपत्र / आणि इतर पॅराफेरानियामध्ये सीए प्रमाणपत्रांसह संघर्ष करीत आहे. आणि मी जे शिकलो ते हेः 1) STARTTLS केवळ सत्राची अधिकृतता कूटबद्ध करते, आणि बाकी सर्व काही विना एनक्रिप्टेड पाठविले जाते; २) एसएसएल सत्राची संपूर्ण माहिती पूर्णपणे कूटबद्ध करते. म्हणूनच, कोणत्याही परिस्थितीत स्टार्टएलएसएस एसएसएलपेक्षा तांत्रिकदृष्ट्या श्रेष्ठ नाही; त्याऐवजी मी अन्यथा विचार करण्यास इच्छुक आहे, कारण आपल्या सत्राची सामग्री नेटवर्कवर विना एनक्रिप्टेड प्रवास करते.
दुसरी वेगळी गोष्ट अशी आहे की मला माहित नसलेल्या इतर कारणास्तव STARTTLS ची शिफारस केली गेली आहे: MSWindows सहत्वतेसाठी, कारण अंमलबजावणी अधिक स्थिर आहे किंवा चांगली चाचणी घेतली आहे ... मला माहित नाही. म्हणूनच मी तुम्हाला विचारत आहे.
आपण आपल्या उत्तरामध्ये माझ्याशी संलग्न केलेल्या मॅन्युअलच्या कोटपासून, मला दिसेल की ldap: // आणि ldaps: // मधील फरक इमामप: // आणि इमेप्स: // मधील फरक आहे किंवा एसएमटीपी दरम्यान आहे. : // आणि smtps: //: भिन्न पोर्ट वापरला आहे, कॉन्फिगरेशन फाइलमध्ये काही अतिरिक्त प्रविष्टी जोडली गेली आहे, परंतु उर्वरित पॅरामीटर्स शिल्लक आहेत. परंतु हे STARTTLS ला प्राधान्य देण्याविषयी काहीही दर्शवित नाही.
अभिवादन आणि उत्तराबद्दल क्षमस्व. मी फक्त आणखी काही शिकण्याचा प्रयत्न करीत आहे.
हे पहा, हे फारच दुर्मिळ आहे की माझ्या लेखांमध्ये मी काही गंभीर प्रकाशनाचे समर्थन न करता त्या कॅलिबरचा दावा करतो. मालिकेच्या शेवटी मी दस्तऐवजीकरणातील सर्व दुवे समाविष्ट करेन ज्यास मी गंभीर समजतो आणि पोस्ट लिहिण्यासाठी मी सल्ला घेतला आहे. मी तुम्हाला खालील दुवे आगाऊ करतो:
https://wiki.debian.org/LDAP/OpenLDAPSetup
उबंटू सर्व्हरगाइड https://code.launchpad.net/serverguide
ओपनएलडीएपी-अधिकृत http://www.openldap.org/doc/admin24/index.html
एसएसएल / टीएलएस व स्टार्ट टीएलएस वरून एलडीएपी http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/
आणि त्याशिवाय, मी प्रत्येक पॅकेजसह स्थापित केलेल्या दस्तऐवजीकरणांचा सल्ला घेतला.
सुरक्षेचा प्रश्न सर्वसाधारणपणे आणि स्टार्टटीएलएस आणि टीएलएस / एसएसएलमधील फरक खूप तांत्रिक आणि इतके खोलवर आहेत की अशा स्पष्टीकरणास सांगण्यासाठी आवश्यक ज्ञान असणे मी स्वत: ला मानत नाही. मला वाटते की आम्ही ईमेलद्वारे बोलणे चालू ठेवू शकतो.
याउप्पर, मी कोठेही असे म्हटले नाही की एलडीएपीएस: // वापरले जाऊ शकत नाही. जर आपण त्यास अधिक सुरक्षित मानले तर पुढे जा !!!
मी यापुढे आपल्याला मदत करू शकत नाही आणि मी आपल्या टिप्पण्यांचे खरोखर कौतुक करतो.
आपणास ओपनएलडीएपी-बद्दल थोडेसे अधिक स्पष्टता मिळू शकतेः
http://www.openldap.org/faq/data/cache/605.html
स्टार्टटीएलएस विस्तारित ऑपरेशन [आरएफसी 2830] टीडीएस (एसएसएल) डेटा गोपनीयता संरक्षण सक्षम करण्यासाठी एलडीएपीव्ही 3 ची मानक यंत्रणा आहे. आधीच स्थापित केलेल्या एलडीएपी कनेक्शनमध्ये एनक्रिप्टेड एसएसएल / टीएलएस कनेक्शन स्थापित करण्यासाठी यंत्रणा एलडीएपीव्ही 3 विस्तारित ऑपरेशनचा वापर करते. TLSv1 सह वापरण्यासाठी यंत्रणा तयार केली गेली आहे, बहुतेक अंमलबजावणी आवश्यक असल्यास SSLv3 (आणि SSLv2) वर पडतील.
ldaps: // ही LDAP करिता एनक्रिप्टेड एसएसएल / टीएलएस कनेक्शन स्थापित करण्याची एक यंत्रणा आहे. यासाठी सामान्यतः 636 2 वेगळा बंदर वापरणे आवश्यक आहे. मूलतः एलडीएपीव्ही २ आणि एसएसएलव्ही २ सह वापरासाठी डिझाइन केलेले असले तरीही, अनेक लागूकरणे एलडीएपीव्ही and व टीएलएसव्ही १ सह त्याच्या वापरास समर्थन देतात. जरी ldaps साठी तांत्रिक तपशील नाही: // हे मोठ्या प्रमाणात वापरले जाते.
ldaps: // ची स्टार्ट टीएलएस [आरएफसी 2830] च्या नावे नापसंत केली गेली आहे. ओपनएलडीएपी 2.0 या दोहोंचे समर्थन करते.
सुरक्षिततेच्या कारणास्तव SSLv2 न स्वीकारण्यासाठी सर्व्हर कॉन्फिगर केले जावे.
हे त्या लेखांपैकी एक असेल ज्यामध्ये वापरकर्ते टिप्पणी देणार नाहीत कारण ते फक्त त्यांच्या लिनक्स स्थानकांवर अश्लील पाहतात म्हणून त्यांना फक्त रस नसतो ldap बद्दल मी ज्या कंपनीसाठी काम करतो त्या विषम नेटवर्कमध्ये माझ्याशी संबंधित अनेक सेवा आहेत. चांगला लेख !!
टिप्पणी दिल्याबद्दल धन्यवाद !!!. आणि माझ्या बर्याच लेखांमधील काही टिप्पण्यांबाबत तुमचे विधान खूप खरे आहे. तथापि, मला स्वारस्य असलेल्या वाचकांकडून किंवा नंतर वाचन आणि अर्जासाठी लेख डाउनलोड करणार्या इतरांकडून पत्रव्यवहार प्राप्त होतो.
टिप्पण्यांद्वारे अभिप्राय मिळविणे नेहमीच उपयुक्त ठरेल, जरी ते नंतरच्या वाचनासाठी, रंजक किंवा दुसर्या मतासाठी मी जतन केले.
कोट सह उत्तर द्या
फ्रीके !!! टिप्पणी दिल्याबद्दल धन्यवाद. मला आपली टिप्पणी मेलमध्ये प्राप्त झाली परंतु मी बर्याच वेळा पृष्ठ रीफ्रेश केले तरीही मला ती दिसत नाही. मित्रा, आपण या आणि मागील लेखाची चाचणी स्क्यूझ किंवा उबंटू सर्व्हर 12.04 वर कोणत्याही समस्येशिवाय करू शकता. ओपनएसएसएल वापरुन व्हेझी प्रमाणपत्रे वेगळ्या प्रकारे तयार केल्या जातात. पण काहीही नाही. माझा विनम्र, भाऊ !!!.
@thisnameisfalse: सर्वोत्कृष्ट कारकुनाकडे डाग आहे. आपल्या टिप्पण्या धन्यवाद, मला असे वाटते की प्रश्नातील परिच्छेद खालीलप्रमाणे असावा:
मॉडर्न ओपनएलडीएपी सर्व्हर एलटीएपीएस: // प्रोटोकॉलवर स्टार्टटीएलएस किंवा स्टार्ट सिक्योर ट्रान्सपोर्ट लेयरचा वापर करण्यास प्राधान्य देतात, जे अप्रचलित आहे. काही प्रश्न असल्यास, प्रारंभ टीएलएस v ला भेट द्या. ldaps: // इं http://www.openldap.org/faq/data/cache/605.html
कोट सह उत्तर द्या
परिपूर्ण, आत्ता माझ्याकडे एलडीएपवर गृहपाठ आहे
आपण सर्व काही एकाच फाइलमध्ये ठेवू शकत नाही जेणेकरून आपण संपूर्ण प्रशिक्षण डाउनलोड करू शकता
मी लिनक्समध्ये विस्तृत अनुभव असलेला एक संगणक तंत्रज्ञ आहे, आणि तरीही मी या लेखाच्या मध्यभागी चुकलो. मग मी हे अधिक काळजीपूर्वक पुन्हा वाचणार आहे. ट्यूटोरियल बद्दल खूप आभारी आहे
जरी हे खरे आहे की यामुळे आम्हाला या गोष्टींसाठी Dक्टिव्ह डायरेक्टरी का सहसा निवडली जाते हे अधिक समजून घेण्याची अनुमती मिळते. जेव्हा कॉन्फिगरेशन आणि अंमलबजावणीची साधेपणा येते तेव्हा भिन्नतेचे विश्व आहे.
कोट सह उत्तर द्या
टिप्पणी दिल्याबद्दल सर्वांचे आभार !!!
@ जोसे मॉंगे, मी आशा करतो की हे आपल्याला मदत करेल
@ सर्व पोस्ट्सच्या शेवटी, मी एचटीएमएल किंवा पीडीएफ स्वरूपात संयोजन तयार करू शकेन की नाही ते पाहू.
eक्टिव्ह डिरेक्टरीसारखे वाटत नसल्यास ओपनएलडीएपी सोपे आहे. पुढील लेख प्रतीक्षा आणि आपण दिसेल.
एक क्वेरी, मी इन्स्टॉलेशन स्टेप स्टेप स्टेप करतो पण थप्पड सेवा रीस्टार्ट करताना, ती मला खालील त्रुटी भिरकावते>
जुलै 30 15:27:37 एक्सएक्सएक्सएक्सएक्स स्लॅपड [1219]: @ (#) $ ओपनएलडीएपीः थप्पड (उबंटू) (मार्च 17 2014 21:20:08) $ # 012 # 011 बिल्ट @ आॅटक्स: / बिल्ड / बिल्ट / ओपनल्डॅप २..2.4.31 .XNUMX / डेबियन / बिल्ड / सर्व्हर्स / थप्पड
30 जुलै 15:27:37 एक्सएक्सएक्सएक्सएक्सएक्सएक्सक्सल स्लॅपड [1219]: अज्ञात गुणधर्म वर्णन "CHANGETYPE" घातले.
30 जुलै 15:27:37 एक्सएक्सएक्सएक्सएक्सएक्सएक्सक्सल स्लॅपड [1219]: अज्ञात विशेषता वर्णन "एडीडी" समाविष्ट केले.
जुलै 30 15:27:37 एक्सएक्सएक्सएक्सएक्सएक्स [1219]: <= स्ट्रिंगएंट्री: स्लॅप_स्ट्राउंडिफ_ड (-): रिक्त अॅट्रिब्यूटडेस्क्रिप्शन
30 जुलै 15:27:37 एक्सएक्सएक्सएक्सएक्सएक्सएक्सएक्स स्लॅपड [1219]: थप्पड थांबे
30 जुलै 15:27:37 एक्सएक्सएक्सएक्सएक्सएक्स [1219]: कनेक्शन_डिस्ट्रॉय: नष्ट करण्यासाठी काहीही नाही.
आपण मंचात विचारू शकता 😀 http://foro.desdelinux.net/
प्रत्येकासाठी ज्यांना ही उत्कृष्ट आणि चांगल्या प्रकारे स्पष्टीकरण दिलेली पोस्ट दिसते आणि एसीएल तयार करताना ही समस्या उद्भवते:
ldapmodify: अवैध स्वरूप (ओळ 5) प्रविष्टी: "ओएलसीडॅटाबेस = {1} एचडीबी, डीसी = कॉन्फिगरेशन"
माझ्या डोक्यावर इंटरनेट शोधून काढल्यानंतर, हे दिसून येते की वेबच्या चेह l्यावर ldapmodify हा सर्वात अचूक प्रकार आहे. हे चुकीच्या ठिकाणी बदललेल्या वर्ण तसेच पिछाडीवर मोकळ्या जागेसह उन्मत्त आहे. पुढील प्रयत्नांशिवाय, सल्ला असा आहे की आपापल्या शेजारील स्थितीनुसार किंवा एक्स वाचून स्वत: लिहा * वाचा. हे अद्याप कार्य करत नसल्यास नोटपॅड स्थापित करा ++> पहा> चिन्ह दर्शवा आणि अदृश्य वर्णांमध्ये शेवटी मृत्यू. मी आशा करतो की कोणीतरी मदत करेल.
ओपनएसएसएलवर आधारित डेबियन व्हेझीसाठी प्रमाणपत्रे तयार करा जे हे देऊ शकेलः
http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/