Perkhidmatan Direktori dengan LDAP [4]: ​​OpenLDAP (I)

fico

Minit 12

Helo kawan !. Mari mulakan perniagaan, dan seperti yang selalu kami sarankan, baca tiga artikel sebelumnya dalam siri ini:

DNS, DHCP dan NTP adalah perkhidmatan minimum minimum untuk direktori mudah kami berdasarkan OpenLDAP asli, berfungsi dengan betul di Debian 6.0 "Picit", atau di Ubuntu 12.04 LTS "Precise Pangolin".

Rangkaian contoh:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Pada Bahagian Pertama kita akan melihat:

  • Pemasangan OpenLDAP (tampar 2.4.23-7.3)
  • Pemeriksaan selepas pemasangan
  • Indeks yang perlu diambil kira
  • Peraturan Kawalan Akses Data
  • Penjanaan Sijil TLS dalam Squeeze

sementara di Bahagian Kedua kita akan meneruskan dengan:

  • Pengesahan pengguna tempatan
  • Isi pangkalan data
  • Menguruskan pangkalan data menggunakan utiliti konsol
  • Ringkasan setakat ini ...

Pemasangan OpenLDAP (tampar 2.4.23-7.3)

Pelayan OpenLDAP dipasang menggunakan pakej tamparan. Kita juga mesti memasang pakej ldap-perkakas, yang memberi kami beberapa alat sisi pelanggan, serta utiliti OpenLDAP sendiri.

: ~ # aptitude install slapd ldap-utils

Semasa proses pemasangan, debconf Ia akan meminta kata laluan pentadbir atau pengguna kepada kami «admin«. Sejumlah pergantungan juga dipasang; pengguna dibuat openldap; konfigurasi pelayan awal dibuat dan juga direktori LDAP.

Dalam versi OpenLDAP sebelumnya, konfigurasi daemon tamparan dilakukan sepenuhnya melalui fail /etc/ldap/slapd.conf. Dalam versi yang kami gunakan dan kemudian, konfigurasi dilakukan dengan cara yang sama tamparan, dan untuk tujuan ini a DIT «Pokok Maklumat Direktori»Atau Pohon Maklumat Direktori, secara berasingan.

Kaedah konfigurasi yang dikenali sebagai RTC «Konfigurasi Masa Sebenar»Konfigurasi Masa Sebenar, atau sebagai Kaedahnya cn = konfigurasi, membolehkan kita mengkonfigurasi secara dinamik tamparan tanpa memerlukan memulakan semula perkhidmatan.

Pangkalan data konfigurasi terdiri daripada kumpulan fail teks dalam format LDIF «Format Pertukaran Data LDAP»Format LDAP untuk Pertukaran Data, terletak di folder /etc/ldap/slapd.d.

Untuk mendapatkan idea organisasi folder tamparan.d, Jom lari:

: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: total 8 drwxr-x --- 3 openldap openldap 4096 16 Feb 11:08 cn = config -rw ------- 1 openldap openldap 407 16 Feb 11 08:28 cn = config.ldif /etc/ldap/slapd.d/cn=config: total 1 -rw ------- 383 openldap openldap 16 11 Feb 08:0 cn = modul {2} .ldif drwxr-x --- 4096 openldap openldap 16 11 Feb 08:1 cn = schema -rw ------- 325 openldap openldap 16 Feb 11 08:1 cn = schema.ldif -rw ------- 343 openldap openldap 16 11 Feb 08 0:1 olcBackend = {472} hdb.ldif -rw ------- 16 openldap openldap 11 08 Feb 0:1 olcDatabase = {586} config.ldif -rw ------- 16 openldap openldap 11 08 Feb 1:1 olcDatabase = {- 1012} frontend.ldif -rw ------- 16 openldap openldap 11 08 Feb 1 40:1 olcDatabase = {15474} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = skema: jumlah 16 -rw ------- 11 openldap openldap 08 0 Feb 1:11308 cn = {16} core.ldif -rw ------- 11 openldap openldap 08 1 Feb 1:6438 cn = {16} cosine.ldif -rw ------- 11 openldap openldap 08 2 Feb 1 2802:16 cn = {11} nis.ldif -rw ------- 08 openldap openldap 3 XNUMX Feb XNUMX:XNUMX cn = {XNUMX} inetorgperson.ldif

Sekiranya kita melihat output sebelumnya sedikit, kita melihat bahawa Backend digunakan dalam Squeeze adalah jenis pangkalan data hdb, yang merupakan varian dari bdb "Berkeley Database", dan itu sepenuhnya hierarki dan menyokong penamaan semula sub-pokok. Untuk mengetahui lebih lanjut mengenai kemungkinan Backends yang menyokong OpenLDAP, lawati http://es.wikipedia.org/wiki/OpenLDAP.

Kami juga melihat bahawa tiga pangkalan data berasingan digunakan, satu, yang dikhaskan untuk konfigurasi, yang lain untuk Frontend, dan yang terakhir adalah pangkalan data hdb per se.

Selain itu, tamparan dipasang secara lalai dengan skema Teras, kosinus, Nis e orang internet.

Pemeriksaan selepas pemasangan

Di terminal kami dengan tenang melaksanakan dan membaca hasilnya. Kami akan memeriksa, terutama dengan perintah kedua, konfigurasi yang disimpulkan dari menyenaraikan folder tamparan.d.

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config | lagi: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = modul {0}, cn = config dn: cn = skema, cn = config dn: cn = {0} teras, cn = skema, cn = config dn: cn = {1} kosinus , cn = skema, cn = config dn: cn = {2} nis, cn = skema, cn = config dn: cn = {3} inetorgperson, cn = skema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config

Penjelasan setiap output:

  • cn = konfigurasi: Parameter global.
  • cn = modul {0}, cn = config: Modul yang dimuat secara dinamik.
  • cn = skema, cn = konfigurasi: Mengandungi berkod keras pada tahap skema sistem.
  • cn = {0} inti, cn = skema, cn = config: The berkod keras skema kernel.
  • cn = {1} kosinus, cn = skema, cn = config: Skim Kosinus.
  • cn = {2} nis, cn = skema, cn = config: Skim Nis.
  • cn = {3} inetorgperson, cn = skema, cn = config: Skim orang internet.
  • olcBackend = {0} hdb, cn = config: Backend jenis simpanan data hdb.
  • olcDatabase = {- 1} frontend, cn = config: Frontend pangkalan data dan parameter lalai untuk pangkalan data lain.
  • olcDatabase = {0} config, cn = config: Pangkalan data konfigurasi tamparan (cn = konfigurasi).
  • olcDatabase = {1} hdb, cn = config: Contoh pangkalan data kami (dc = kawan, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = contoh, dc = com dn
dn: dc = kawan, dc = cu dn: cn = admin, dc = kawan, dc = cu
  • dc = kawan, dc = cu: Pokok Maklumat Direktori Pangkalan DIT
  • cn = admin, dc = kawan, dc = cu: Pentadbir (rootDN) DIT dinyatakan semasa pemasangan.

Nota: Akhiran asas dc = kawan, dc = cu, mengambilnya debconf semasa pemasangan dari FQDN pelayan mildap.amigos.cu.

Indeks yang perlu diambil kira

Pengindeksan entri dilakukan untuk meningkatkan prestasi pencarian di DIT, dengan kriteria penapis. Indeks yang akan kami pertimbangkan adalah minimum yang disyorkan mengikut atribut yang dinyatakan dalam skema lalai.

Untuk mengubah indeks dalam pangkalan data secara dinamik, kami membuat fail teks dalam format LDIF, dan kemudian kami menambahkannya ke pangkalan data. Kami membuat fail olcDbIndex.ldif dan kami meninggalkannya dengan kandungan berikut:

: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} HDB, cn = config changetype: add mengubah suai: olcDbIndex olcDbIndex: uidNumber persamaan - add: olcDbIndex olcDbIndex: gidNumber persamaan - add: olcDbIndex olcDbIndex: memberUid persamaan, pres, sub - addhell ​​persamaan, olcDbIndex: loginShell persamaan, olcDbIndex: loginShell persamaan, olcDbIndex: loginShell persamaan, olcDbIndex: login - tambahkan: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, sub, eq - add: olcDbIndex olcDbIndex, e-pres, diberiN - tambah: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: default sub - add: olcDbIndex olcDbIndex: mail eq, subinitial - add: olcDbIndex olcDbIndex: dc eq

Kami menambahkan indeks ke pangkalan data dan memeriksa pengubahsuaiannya:

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex

dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: uid presq, subq, presq, subq, pres olcDbIndex: sn pres, sub, eq olcDbIndex: GivenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: default sub olcDbIndex: eq e-mel, subc awal olcDbIndex: dc eq

Peraturan Kawalan Akses Data

Peraturan yang ditetapkan sehingga pengguna dapat membaca, mengubah, menambah dan menghapus data dalam pangkalan data Direktori disebut Access Control, sementara kami akan memanggil Access Control Lists atau «Senarai Kawalan Akses ACL»Untuk dasar yang mengkonfigurasi peraturan.

Untuk mengetahui yang mana ACL dinyatakan secara lalai semasa proses pemasangan tamparan, kami melaksanakan:

: ~ # ldapsearch -Q -LLL -Y LUARAN -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess

: ~ # ldapsearch -Q -LLL -Y LUARAN -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} frontend)' olcAccess

: ~ # ldapsearch -Q -LLL -Y LUARAN -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess

: ~ # ldapsearch -Q -LLL -Y LUARAN -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Setiap arahan sebelumnya akan menunjukkan kepada kita ACL bahawa sehingga sekarang kami telah menyatakan dalam Direktori kami. Secara khusus, perintah terakhir menunjukkan semuanya, sementara tiga yang pertama memberi kita peraturan kawalan akses untuk ketiga-tiganya. DIT terlibat dalam kami tamparan.

Mengenai subjek ACL dan agar tidak membuat artikel yang lebih panjang, kami mengesyorkan membaca halaman manual lelaki slapd.access.

Untuk menjamin akses pengguna dan pentadbir untuk mengemas kini entri mereka log masukShell y Tokek, kami akan menambahkan ACL berikut:

## Kami membuat fail olcAccess.ldif dan meninggalkannya dengan kandungan berikut: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcAccess olcAccess: {1} to attrs = loginShell, gecos by dn = "cn = admin, dc = friends, dc = cu" tulis sendiri tulis oleh * baca

## Kami menambah ACL
: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif

# Kami memeriksa perubahannya
ldapsearch -Q -LLL -Y LUARAN -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Penjanaan Sijil TLS dalam Squeeze

Untuk memiliki pengesahan yang selamat dengan pelayan OpenLDAP, kita mesti melakukannya melalui sesi yang disulitkan yang dapat kita capai dengan menggunakan TLS «Keselamatan Lapisan Pengangkutan» o Lapisan Pengangkutan yang Selamat.

Pelayan OpenLDAP dan pelanggannya dapat menggunakan rangka kerja TLS untuk memberikan perlindungan mengenai integriti dan kerahsiaan, serta untuk menyokong pengesahan LDAP yang selamat melalui mekanisme SASL «Lapisan Pengesahan dan Keselamatan Mudah« Luaran.

Pelayan OpenLDAP moden menggemari penggunaan */ MulaTLS /* o Mulakan Lapisan Pengangkutan yang Selamat ke / protokolLDAPS: ///, yang sudah usang. Sebarang pertanyaan, lawati * Mula TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html

Biarkan fail seperti yang dipasang secara lalai / etc / default / slapd dengan penyataan tersebut SLAPD_SERVICES = »ldap: /// ldapi: ///», dengan tujuan menggunakan saluran yang dienkripsi antara klien dan pelayan, dan aplikasi tambahan itu sendiri untuk mengurus OpenLDAP yang dipasang secara tempatan.

Kaedah yang dijelaskan di sini, berdasarkan pakej tong sampah y ssl-sijil ia sah untuk Debian 6 "Squeeze" dan juga untuk Ubuntu Server 12.04. Untuk Debian 7 "Wheezy" kaedah lain berdasarkan OpenSSL.

Pembuatan sijil dalam Squeeze dilakukan seperti berikut:

1.- Kami memasang pakej yang diperlukan
: ~ # aptitude install gnutls-bin ssl-cert

2.- Kami membuat Kunci Utama untuk Pihak Berkuasa Sijil
: ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3.- Kami membuat templat untuk menentukan CA (Certificate Authority)
: ~ # nano /etc/ssl/ca.info cn = Rakan Kuba ca cert_signing_key

4.- Kami membuat sijil CA Self Signed atau Self-Signed untuk pelanggan
: ~ # certtool --generate-self-sign \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem

5.- Kami menghasilkan Kunci Peribadi untuk Pelayan
: ~ # certtool --generate-privkey \ - bit 1024 \ --outfile /etc/ssl/private/mildap-key.pem

Nota: Ganti "mildap"dalam nama fail di atas untuk pelayan anda sendiri. Menamakan Sijil dan Kunci, baik untuk pelayan dan untuk perkhidmatan yang menggunakannya, membantu kami memastikan semuanya jelas.

6.- Kami membuat fail /etc/ssl/mildap.info dengan kandungan berikut:
: ~ # nano /etc/ssl/mildap.info organisasi = Kawan Kuba cn = mildap.amigos.cu tls_www_server encryption_key signing_key expired_days = 3650

Nota: Dalam kandungan di atas kami menyatakan bahawa sijil itu sah untuk jangka masa 10 tahun. Parameter mesti disesuaikan mengikut keselesaan kami.

7.- Kami membuat Sijil Pelayan
: ~ # certtool --generate-Certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-Certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem

Sejauh ini kami telah menghasilkan fail yang diperlukan, kami hanya perlu menambahkan ke Direktori lokasi Sijil Tanda Diri cacert.pem; sijil pelayan mildap-cert.pem; dan Kunci Peribadi Pelayan mildap-key.pem. Kita juga mesti menyesuaikan kebenaran dan pemilik fail yang dihasilkan.

: ~ # nano /etc/ssl/certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - tambahkan: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.sert: /mildap-key.pem

8.- Tambah: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

9.- Kami menyesuaikan pemilik dan kebenaran
: ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod atau /etc/ssl/private/mildap-key.pem

Perakuan itu cacert.pem Yang mesti kita salin pada setiap pelanggan. Agar sijil ini dapat digunakan pada pelayan itu sendiri, kita mesti menyatakannya dalam fail /etc/ldap/ldap.conf. Untuk melakukan ini, kami mengubah suai fail dan membiarkannya dengan kandungan berikut:

: ~ # nano /etc/ldap/ldap.conf
ASAS dc = kawan, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

Akhirnya dan juga sebagai cek, kami memulakan semula perkhidmatan tamparan dan kami memeriksa output syslog dari pelayan, untuk mengetahui sama ada perkhidmatan dimulakan semula dengan betul menggunakan sijil yang baru diisytiharkan.

: ~ # mulakan perkhidmatan slapd
: ~ # ekor / var / log / syslog

Sekiranya perkhidmatan tidak dimulakan semula dengan betul atau kami melihat kesalahan serius di syslog, jangan putus asa. Kita boleh berusaha memperbaiki kerosakan atau memulakannya semula. Sekiranya kita memutuskan untuk memulakan dari awal pemasangan tamparan, tidak perlu memformat pelayan kami.

Untuk menghapus semua yang telah kita lakukan selama ini untuk satu sebab atau yang lain, kita mesti menyahpasang pakejnya tamparan, dan kemudian padamkan folder / var / lib / ldap. Kita juga mesti meninggalkan fail dalam versi asalnya /etc/ldap/ldap.conf.

Jarang sekali semuanya berfungsi dengan betul pada percubaan pertama. 🙂

Ingat bahawa pada ansuran seterusnya kita akan melihat:

  • Pengesahan pengguna tempatan
  • Isi pangkalan data
  • Menguruskan pangkalan data menggunakan utiliti konsol
  • Ringkasan setakat ini ...

Jumpa lagi kawan !.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   Hugo kata
    membuat 10 tahun

    Cikgu !!!
    IA TERJADI DENGAN TUTO!
    sangat baik
    semua HIDUP DUNIA UNTUK ANDA.
    ????

    Balas Hugo
    1.    Federico kata
      membuat 10 tahun

      Terima kasih banyak, Hugo !!! Tunggu artikel seterusnya mengenai perkara ini.

      Balas federico
  2.   nama ini tidak betul kata
    membuat 10 tahun

    Hello:

    menarik siri artikel anda.

    Saya terkejut membaca pernyataan ini: "Pelayan OpenLDAP moden lebih suka penggunaan StartTLS atau Start a Secure Transport Layer daripada protokol TLS / SSL lama, yang sudah usang."

    Adakah anda mendakwa bahawa, dalam semua kes bahkan di luar skop LDAP, STARTTLS adalah mekanisme perlindungan yang lebih tinggi daripada TSL / SSL?

    Balas nama ini salah
    1.    Federico kata
      membuat 10 tahun

      Terima kasih atas komen. Perhatikan bahawa saya bermaksud OpenLDAP. Saya tidak berlebihan. Dalam http://www.openldap.org/faq/data/cache/185.html, anda boleh membaca yang berikut:

      Transport Layer Security (TLS) adalah nama standard untuk Secure Socket Layer (SSL). Istilah-istilah (kecuali memenuhi syarat dengan nombor versi tertentu) secara amnya boleh ditukar ganti.

      StartTLS adalah nama operasi LDAP standard untuk memulakan TLS / SSL. TLS / SSL dimulakan setelah berjaya menyelesaikan operasi LDAP ini. Tidak perlu port alternatif. Kadang-kadang disebut sebagai operasi peningkatan TLS, kerana ia meningkatkan sambungan LDAP biasa ke yang dilindungi oleh TLS / SSL.

      ldaps: // dan LDAPS merujuk kepada "LDAP over TLS / SSL" atau "LDAP Secured". TLS / SSL dihidupkan apabila disambungkan ke port alternatif (biasanya 636). Walaupun port LDAPS (636) didaftarkan untuk penggunaan ini, butir-butir mekanisme permulaan TLS / SSL tidak diseragamkan.

      Setelah dimulakan, tidak ada perbezaan antara ldaps: // dan StartTLS. Mereka berkongsi pilihan konfigurasi yang sama (kecuali ldaps: // memerlukan konfigurasi pendengar yang berasingan, lihat pilihan slapd (8) s-h) dan mengakibatkan seperti perkhidmatan keselamatan dibuat.
      Catatan:
      1) ldap: // + StartTLS harus diarahkan ke port LDAP biasa (biasanya 389), bukan port ldaps: //.
      2) ldaps: // harus diarahkan ke port LDAPS (biasanya 636), bukan port LDAP.

      Balas federico
      1.    nama ini tidak betul kata
        membuat 10 tahun

        Maaf, tetapi saya masih tidak pasti mengapa anda mendakwa bahawa: 1) pelayan moden lebih suka STARTTLS daripada SSL / TLS; 2) bahawa STARTTLS moden, berbanding SSL / TLS yang sudah usang.

        Saya telah berjuang selama setengah bulan dengan konfigurasi pelanggan mel yang berbeza yang mengakses pelayan dengan SSL (menggunakan perpustakaan openssl, seperti kebanyakan perisian percuma), dengan sijil CA di / etc / ssl / certs / dan peralatan lain. Dan apa yang saya pelajari ialah: 1) STARTTLS hanya mengenkripsi pengesahan sesi, dan semua yang lain dihantar tidak disulitkan; 2) SSL menyulitkan semua kandungan sesi. Oleh itu, secara teknikalnya STARTTLS lebih tinggi daripada SSL; Saya lebih suka berfikir sebaliknya, kerana kandungan sesi anda bergerak tanpa disulitkan melalui rangkaian.

        Perkara lain yang berbeza adalah bahawa STARTTLS disyorkan untuk alasan lain yang saya tidak tahu: untuk keserasian dengan MSWindows, kerana pelaksanaannya lebih stabil atau lebih baik diuji ... Saya tidak tahu. Itulah sebabnya saya meminta anda.

        Dari petikan manual yang telah anda lampirkan pada saya dalam jawapan anda, saya melihat bahawa perbezaan antara ldap: // dan ldaps: // setara dengan perbezaan antara imap: // dan imaps: //, atau antara smtp: // dan smtps: //: port yang berbeda digunakan, beberapa entri tambahan ditambahkan dalam file konfigurasi, tetapi parameter lainnya disimpan. Tetapi itu tidak menunjukkan apa-apa tentang memilih STARTTLS atau tidak.

        Salam, dan maaf atas jawapannya. Saya hanya cuba belajar sedikit lagi.

        Balas nama ini salah
        1.    Federico kata
          membuat 10 tahun

          Lihat, sangat jarang bahawa dalam artikel saya membuat tuntutan berkaliber itu tanpa disokong oleh beberapa penerbitan yang serius. Pada akhir siri ini saya akan memasukkan semua pautan ke dokumentasi yang saya anggap serius, dan bahawa saya telah berunding untuk menulis catatan tersebut. Saya memaklumkan kepada anda pautan berikut:

          https://wiki.debian.org/LDAP/OpenLDAPSetup
          Panduan Pelayan Ubuntu https://code.launchpad.net/serverguide
          OpenLDAP-Rasmi http://www.openldap.org/doc/admin24/index.html
          LDAP melalui SSL / TLS dan StartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/

          Dan selanjutnya, saya melihat dokumentasi yang disertakan dengan setiap pakej.

          Isu keselamatan secara umum dan perbezaan antara StartTLS dan TLS / SSL, sangat teknikal dan mendalam sehingga saya tidak menganggap diri saya mempunyai pengetahuan yang diperlukan untuk memberikan penjelasan tersebut. Saya rasa kita boleh terus bercakap melalui e-mel.

          Tambahan pula, saya tidak menyatakan bahawa LDAPS: // tidak boleh digunakan. Sekiranya anda menganggapnya lebih selamat, teruskan !!!

          Saya tidak dapat menolong anda lagi dan saya sangat menghargai komen anda.

          Balas federico
        2.    Federico kata
          membuat 10 tahun

          Sedikit lebih banyak penjelasan yang anda dapat - selalu mengenai OpenLDAP- dalam:
          http://www.openldap.org/faq/data/cache/605.html

          Operasi lanjutan StartTLS [RFC 2830] adalah mekanisme standard LDAPv3 untuk membolehkan perlindungan kerahsiaan data TLS (SSL). Mekanisme ini menggunakan operasi lanjutan LDAPv3 untuk mewujudkan sambungan SSL / TLS yang dienkripsi dalam sambungan LDAP yang telah dibuat. Walaupun mekanisme ini dirancang untuk digunakan dengan TLSv1, kebanyakan implementasi akan diganti ke SSLv3 (dan SSLv2) jika perlu.

          ldaps: // adalah mekanisme untuk mewujudkan sambungan SSL / TLS yang dienkripsi untuk LDAP. Ia memerlukan penggunaan port berasingan, biasanya 636. Walaupun awalnya dirancang untuk digunakan dengan LDAPv2 dan SSLv2, banyak implementasi mendukung penggunaannya dengan LDAPv3 dan TLSv1. Walaupun tidak ada spesifikasi teknikal untuk ldaps: // ia digunakan secara meluas.

          ldaps: // tidak digunakan lagi untuk Mula TLS [RFC2830]. OpenLDAP 2.0 menyokong kedua-duanya.
          Atas sebab keselamatan pelayan harus dikonfigurasi untuk tidak menerima SSLv2.

          Balas federico
  3.   freebsddick kata
    membuat 10 tahun

    Ini akan menjadi salah satu artikel di mana pengguna tidak akan memberi komen kerana kerana mereka hanya menonton pornografi di stesen Linux mereka, mereka tidak peduli. Mengenai ldap Saya mempunyai beberapa perkhidmatan yang berkaitan dalam rangkaian heterogen untuk syarikat tempat saya bekerja. Artikel yang bagus !!

    Balas ke freebsddick
    1.    Federico kata
      membuat 10 tahun

      Terima kasih atas komen !!!. Dan kenyataan anda sangat benar mengenai beberapa komen di banyak artikel saya. Walau bagaimanapun, saya menerima surat-menyurat dari pembaca yang berminat, atau dari orang lain yang memuat turun artikel untuk pembacaan dan permohonan kemudian.

      Selalu sangat berguna untuk mendapatkan maklum balas melalui komen, walaupun ada: Saya menyimpannya untuk bacaan kemudian, menarik, atau pendapat lain.

      salam

      Balas federico
  4.   Federico kata
    membuat 10 tahun

    The Freeke !!! Terima kasih atas komen. Saya menerima komen anda melalui surat tetapi saya tidak melihatnya walaupun saya menyegarkan halaman beberapa kali. Kawan, anda boleh mencuba ini dan artikel sebelumnya tanpa masalah pada Squeeze atau Ubuntu Server 12.04. Dalam sijil Wheezy dihasilkan secara berbeza, menggunakan OpenSSL. Tapi tiada apa-apa. Salam, saudara !!!.

    Balas federico
  5.   Federico kata
    membuat 10 tahun

    @thisnameisfalse: Kerani terbaik mendapat kabur. Terima kasih atas komen anda, saya berpendapat bahawa ayat yang dimaksud adalah seperti berikut:

    Pelayan OpenLDAP moden lebih suka penggunaan StartTLS, atau Start a Secure Transport Layer, daripada protokol LDAPS: //, yang sudah usang. Sebarang pertanyaan, lawati Mula TLS v. ldaps: // en http://www.openldap.org/faq/data/cache/605.html

    salam

    Balas federico
  6.   Jose Monge kata
    membuat 10 tahun

    Sempurna, sekarang saya mempunyai kerja rumah di ldap

    Balas mose jose
  7.   Walter kata
    membuat 10 tahun

    Anda tidak boleh memasukkan semuanya ke dalam satu fail sehingga anda boleh memuat turun tutorial lengkap

    Balas walter
  8.   eVER kata
    membuat 10 tahun

    Saya seorang juruteknik komputer dengan pengalaman luas dalam Linux, namun saya masih tersesat di tengah artikel. Kemudian saya akan membaca semula dengan lebih teliti. Terima kasih banyak untuk tutorial.
    Walaupun benar bahawa ia membolehkan kita memahami lebih banyak mengapa ActiveDirectory biasanya dipilih untuk perkara-perkara ini. Terdapat banyak perbezaan dalam hal kesederhanaan konfigurasi dan pelaksanaannya.
    salam

    Balas eVeR
  9.   Federico kata
    membuat 10 tahun

    Terima kasih semua kerana memberi komen !!!
    @jose monge, saya harap ia dapat membantu anda
    @walter di akhir semua siaran, saya akan melihat sama ada saya dapat membuat kompendium dalam format html atau pdf
    @eVeR sebaliknya, OpenLDAP lebih mudah - walaupun tidak kelihatan seperti itu - daripada Active Directory. tunggu artikel seterusnya dan anda akan melihat.

    Balas federico
  10.   Marcelo kata
    membuat 10 tahun

    Satu pertanyaan, saya melakukan pemasangan langkah demi langkah tetapi ketika memulakan semula perkhidmatan slapd, ia menimbulkan ralat berikut kepada saya>

    30 Jul 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (17 Mar 2014 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / debian / build / pelayan / slapd
    30 Jul 15:27:37 xxxxx slapd [1219]: TIDAK TAHU atributDeskripsi "CHANGETYPE" dimasukkan.
    30 Jul 15:27:37 xxxxx slapd [1219]: TIDAK TAHU atributDeskripsi "TAMBAHKAN" dimasukkan.
    30 Jul 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): kosong AtributDeskripsi
    30 Jul 15:27:37 xxxxx slapd [1219]: slapd dihentikan.
    30 Jul 15:27:37 xxxxx [1219]: connection_destroy: tidak ada yang boleh dimusnahkan.

    Balas Marcelo
    1.    x11tete11x kata
      membuat 10 tahun

      anda boleh bertanya di forum 😀 http://foro.desdelinux.net/

      Balas ke x11tete11x
  11.   petrop kata
    membuat 9 tahun

    Bagi semua orang yang melihat catatan yang sangat baik dan dijelaskan dengan baik dan masalah ini berlaku semasa membuat ACL:
    ldapmodify: entri format tidak betul (baris 5): "olcDatabase = {1} hdb, dc = config"

    Setelah menggegarkan kepalaku mencari di internet, ternyata ldapmodify adalah jenis yang paling tepat di muka web. Ini histeris dengan watak-watak yang salah dan juga spasi. Tanpa basa-basi lagi, nasihatnya adalah menulis dengan syarat bersebelahan atau X menulis dengan menulis sendiri dengan * baca. Sekiranya masih tidak berfungsi, pasang Notepad ++> View> Show simbol dan akhirnya kematian watak yang tidak kelihatan. Saya harap seseorang membantu.

    Balas pedrop
  12.   petrop kata
    membuat 9 tahun

    Hasilkan sijil untuk Debian Wheezy berdasarkan OpenSSL yang dapat berfungsi:
    http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/

    Balas pedrop