Katalogtjeneste med LDAP [4]: ​​OpenLDAP (I)

fico

12 minutter

Hei venner!. La oss komme i gang, og som vi alltid anbefaler, les de tre forrige artiklene i serien:

DNS, DHCP og NTP er de minst essensielle tjenestene for vår enkle katalog basert på OpenLDAP innfødt, fungerer ordentlig på Debian 6.0 "Klem", eller i Ubuntu 12.04 LTS "Precise Pangolin".

Eksempel på nettverk:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

I første del vil vi se:

  • OpenLDAP installasjon (slapd 2.4.23-7.3)
  • Kontroll etter installasjon
  • Indekser å ta hensyn til
  • Regler for datatilgangskontroll
  • Generering av TLS-sertifikater i klem

mens vi i andre del vil fortsette med:

  • Lokal brukerautentisering
  • Befolk databasen
  • Administrer databasen ved hjelp av konsollverktøy
  • Sammendrag så langt ...

OpenLDAP installasjon (slapd 2.4.23-7.3)

OpenLDAP-serveren installeres ved hjelp av pakken dask. Vi må også installere pakken ldap-utils, som gir oss noen klientsideverktøy, samt OpenLDAP egne verktøy.

: ~ # aptitude installer slapd ldap-utils

Under installasjonsprosessen, debconf Det vil be oss om passordet til administratoren eller brukeren «admin«. En rekke avhengigheter er også installert; brukeren er opprettet openldap; den opprinnelige serverkonfigurasjonen opprettes i tillegg til LDAP-katalogen.

I tidligere versjoner av OpenLDAP, daemon-konfigurasjonen dask ble gjort helt gjennom filen /etc/ldap/slapd.conf. I versjonen vi bruker og senere, gjøres konfigurasjonen i den samme dask, og for dette formålet a DIT «Kataloginformasjonstreet»Eller kataloginformasjonstreet, separat.

Konfigurasjonsmetoden kjent som RTC «Sanntidskonfigurasjon»Sanntidskonfigurasjon, eller som metoden cn = config, lar oss dynamisk konfigurere dask uten å kreve omstart av tjenesten.

Konfigurasjonsdatabasen består av en samling tekstfiler i formatet LDIF «LDAP-datautvekslingsformat»LDAP Format for Data Exchange, plassert i mappen /etc/ldap/slapd.d.

For å få en ide om mappeorganisasjonen slapd.d, la oss løpe:

: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: totalt 8 drwxr-x --- 3 openldap openldap 4096 Feb 16 11:08 cn = config -rw ------- 1 openldap openldap 407 Feb 16 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: totalt 28 -rw ------- 1 openldap openldap 383 16. februar 11:08 cn = modul {0} .ldif drwxr-x --- 2 openldap openldap 4096 16. feb 11:08 cn = skjema -rw ------- 1 openldap openldap 325 16. feb 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 16. feb 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 16. februar 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16. feb 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16. feb 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = skjema: totalt 40 -rw ------- 1 openldap openldap 15474 16. februar 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 16. feb 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 16. februar 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 16. februar 11:08 cn = {3} inetorgperson.ldif

Hvis vi ser litt på forrige utgang, ser vi at Backend brukt i Squeeze er databasetypen hdb, som er en variant av bdb "Berkeley Database", og at den er fullt hierarkisk og støtter omdøping av undertrær. For å lære mer om det mulige baksiden som støtter OpenLDAP, besøk http://es.wikipedia.org/wiki/OpenLDAP.

Vi ser også at det brukes tre separate databaser, det vil si en dedikert til konfigurasjon, en annen til Frontend, og den siste som er databasen hdb per se.

Videre dask er installert som standard med skjemaene Kjerne, cosinus, Nis e internett person.

Kontroll etter installasjon

I en terminal utfører vi og leser utgangene rolig. Vi vil sjekke, spesielt med den andre kommandoen, konfigurasjonen utledet fra oppføring av mappen slapd.d.

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config | mer: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = module {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} core, cn = schema, cn = config dn: cn = {1} cosinus , cn = skjema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetorgperson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config

Forklaring på hver utgang:

  • cn = config: Globale parametere.
  • cn = modul {0}, cn = config: Dynamisk lastet modul.
  • cn = skjema, cn = config: Inneholder hardkodet på nivået med systemskjemaene.
  • cn = {0} kjerne, cn = skjema, cn = konfigurasjon: The hardkodet av skjematisk kjerne.
  • cn = {1} cosinus, cn = skjema, cn = config: Ordningen Kosinus.
  • cn = {2} nis, cn = skjema, cn = config: Ordningen Nis.
  • cn = {3} inetorgperson, cn = skjema, cn = config: Ordningen internett person.
  • olcBackend = {0} hdb, cn = config: Backend datalagringstype hdb.
  • olcDatabase = {- 1} frontend, cn = config: Frontend av databasen og standardparametere for de andre databasene.
  • olcDatabase = {0} config, cn = config: Konfigurasjonsdatabase for dask (cn = config).
  • olcDatabase = {1} hdb, cn = config: Forekomsten av databasen (dc = venner, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = eksempel, dc = com dn
dn: dc = venner, dc = cu dn: cn = admin, dc = venner, dc = cu
  • dc = venner, dc = cu: DIT Base Directory Information Tree
  • cn = admin, dc = venner, dc = cu: Administrator (rootDN) av DIT erklært under installasjonen.

note: Basissuffikset dc = venner, dc = cu, tok den debconf under installasjon fra FQDN fra serveren mildap.amigos.cu.

Indekser å ta hensyn til

Indekseringen av oppføringene utføres for å forbedre ytelsen til søk på DIT, med filterkriterier. Indeksene som vi vil vurdere er minimum anbefalt i henhold til attributtene som er angitt i standardskjemaene.

For å dynamisk endre indeksene i databasen, oppretter vi en tekstfil i formatet LDIF, og senere legger vi det til databasen. Vi oppretter filen olcDbIndex.ldif og vi lar det med følgende innhold:

: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modifiser add: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: memberUid : loginShell eq, olcDbIndex: login - add: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, sub, eqb - add: olc , ou pres, eq, sub - add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: default sub - add: olcDbIndex olcDbIndex: mail eq, subinitial - add: olcDbIndex olcDbIndex:

Vi legger til indeksene i databasen og sjekker endringen:

: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex

dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: uid presq: subq, subq cn presq olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: default sub olcDbIndex: mail eq, subinitial olcDbIndex: dc eq

Regler for datatilgangskontroll

Reglene som er etablert slik at brukere kan lese, endre, legge til og slette data i katalogdatabasen kalles tilgangskontroll, mens vi vil kalle tilgangskontrollister eller «ACL tilgangskontrolliste»Til retningslinjene som konfigurerer reglene.

Å vite hvilken ACL-er ble erklært som standard under installasjonsprosessen av dask, vi utfører:

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} frontend)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Hver av de forrige kommandoene viser oss ACL-er at til nå har vi erklært i katalogen vår. Spesielt viser den siste kommandoen dem alle, mens de tre første gir oss tilgangskontrollreglene for alle tre. DIT involvert i vår dask.

Angående det ACL-er og for ikke å lage en mye lengre artikkel, anbefaler vi å lese manualsidene mann slapd.adgang.

For å garantere tilgang for brukere og administratorer til å oppdatere oppføringene sine av loginShell y Gekkoer, vil vi legge til følgende ACL:

## Vi oppretter olcAccess.ldif-filen og lar den ha følgende innhold: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcAccess olcAccess: {1} to attrs = loginShell, gecos by dn = "cn = admin, dc = friends, dc = cu" skriv av selv skriv av * lese

## Vi legger til ACL
: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif

# Vi sjekker endringene
ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Generering av sertifikater TLS i Klem

For å ha en sikker autentisering med OpenLDAP-serveren, må vi gjøre det gjennom en kryptert økt som vi kan oppnå ved å bruke TLS "Transport Layer Security" o Sikkert transportlag.

OpenLDAP-serveren og dens klienter kan bruke rammeverk TLS for å gi beskyttelse angående integritet og konfidensialitet, samt støtte for sikker LDAP-autentisering gjennom mekanismen SASL «Enkel autentisering og sikkerhetslag« Utvendig.

Moderne OpenLDAP-servere foretrekker bruk av */ StartTLS /* o Start et sikkert transportlag til /LDAPS: ///, som er foreldet. Eventuelle spørsmål, besøk * Start TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html

Bare la filen være installert som standard / etc / default / slapd med uttalelsen SLAPD_SERVICES = »ldap: /// ldapi: ///», med det formål å bruke en kryptert kanal mellom klienten og serveren, og hjelpeprogrammene selv for å administrere OpenLDAP som er installert lokalt.

Metoden beskrevet her, basert på pakkene gnutls-bin y ssl-sert den er gyldig for Debian 6 "Squeeze" og også for Ubuntu Server 12.04. For Debian 7 "Wheezy" er en annen metode basert på OpenSSL.

Generering av sertifikatene i Squeeze utføres som følger:

1.- Vi installerer nødvendige pakker
: ~ # aptitude installer gnutls-bin ssl-cert

2.- Vi oppretter hovednøkkelen for sertifikatmyndigheten
: ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3.- Vi oppretter en mal for å definere CA (Certificate Authority)
: ~ # nano /etc/ssl/ca.info cn = Kubanske venner ca cert_signing_key

4.- Vi oppretter CA selvsignert eller selvsignert sertifikat for klienter
: ~ # certtool --generate-self-underskrevet \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem

5.- Vi genererer en privat nøkkel for serveren
: ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem

note: Erstatte "mildap"i navnet på den forrige filen for den til din egen server. Å navngi sertifikatet og nøkkelen, både for serveren og for tjenesten som bruker den, hjelper oss med å holde ting klart.

6.- Vi oppretter filen /etc/ssl/mildap.info med følgende innhold:
: ~ # nano /etc/ssl/mildap.info organisasjon = Kubanske venner cn = mildap.amigos.cu tls_www_server kryptering_nøkkel signering_nøkkel utløpsdag = 3650

note: I det forrige innholdet erklærer vi at sertifikatet er gyldig i en periode på 10 år. Parameteren må justeres etter vår bekvemmelighet.

7.- Vi oppretter serversertifikatet
: ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem

Så langt har vi generert de nødvendige filene, vi trenger bare å legge til katalogen plasseringen til det selvsignerte sertifikatet cacert.pem; det til serversertifikatet mildap-cert.pem; og serverens private nøkkel mildap-key.pem. Vi må også justere tillatelsene og eieren av de genererte filene.

: ~ # nano /etc/ssl/certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - legg til: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.cem / Sertifikat / sertifikat / sertifikat / sertifikat etc. /mildap-key.pem

8.- Vi legger til: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

9.- Vi justerer eier og tillatelser
: ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod eller /etc/ssl/private/mildap-key.pem

Sertifikatet cacert.pem Det er den vi må kopiere i hver klient. For at dette sertifikatet skal brukes på selve serveren, må vi erklære det i filen /etc/ldap/ldap.conf. For å gjøre dette endrer vi filen og legger den med følgende innhold:

: ~ # nano /etc/ldap/ldap.conf
BASE dc = venner, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

Til slutt, og også som en sjekk, starter vi tjenesten på nytt dask og vi sjekker utdataene fra syslog fra serveren, for å finne ut om tjenesten ble startet på nytt med det nylig erklærte sertifikatet.

: ~ # service slapd restart
: ~ # hale / var / logg / syslog

Hvis tjenesten ikke starter på nytt, eller vi ser en alvorlig feil i syslog, la oss ikke bli motløse. Vi kan prøve å reparere skadene eller starte på nytt. Hvis vi bestemmer oss for å starte fra bunnen av installasjonen av dask, er det ikke nødvendig å formatere serveren vår.

For å slette alt vi har gjort hittil av en eller annen grunn, må vi avinstallere pakken dask, og slett deretter mappen / var / lib / ldap. Vi må også legge igjen filen i originalversjonen /etc/ldap/ldap.conf.

Det er sjelden at alt fungerer riktig ved første forsøk. 🙂

Husk at i neste avdeling vil vi se:

  • Lokal brukerautentisering
  • Befolk databasen
  • Administrer databasen ved hjelp av konsollverktøy
  • Sammendrag så langt ...

Vi sees snart venner !.


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   Hugo sa
    hace 10 år

    Lærer!!!
    DET SKJEDDE MED TUTOEN!
    er utmerket
    alle LIKER I VERDEN FOR DEG.
    ????

    Svar på Hugo
    1.    Federico sa
      hace 10 år

      Tusen takk, Hugo !!! Vent til de neste artiklene om emnet.

      Svar på federico
  2.   dette navnet er falskt sa
    hace 10 år

    Hei

    interessant artikkelserien din.

    Jeg ble overrasket over å lese denne uttalelsen: "Moderne OpenLDAP-servere foretrekker bruk av StartTLS eller Start a Secure Transport Layer framfor den gamle TLS / SSL-protokollen, som er foreldet."

    Påstår du at STARTTLS i alle tilfeller, også utenfor LDAP-omfanget, er en beskyttelsesmekanisme som er overlegen TSL / SSL?

    Svar på dette navnet er falsk
    1.    Federico sa
      hace 10 år

      Takk for kommentaren. Merk at jeg mener OpenLDAP. Jeg strekker meg ikke over. I http://www.openldap.org/faq/data/cache/185.html, kan du lese følgende:

      Transport Layer Security (TLS) er standardnavnet for Secure Socket Layer (SSL). Vilkårene (med mindre de er kvalifiserte med spesifikke versjonsnumre) er generelt utskiftbare.

      StartTLS er navnet på standard LDAP-operasjonen for å starte TLS / SSL. TLS / SSL startes etter vellykket gjennomføring av denne LDAP-operasjonen. Ingen alternativ port er nødvendig. Det blir noen ganger referert til som TLS-oppgraderingsoperasjonen, da den oppgraderer en normal LDAP-forbindelse til en beskyttet av TLS / SSL.

      ldaps: // og LDAPS refererer til "LDAP over TLS / SSL" eller "LDAP Secured". TLS / SSL initieres ved tilkobling til en alternativ port (normalt 636). Selv om LDAPS-porten (636) er registrert for denne bruken, er ikke detaljene i TLS / SSL-initieringsmekanismen standardisert.

      Når det er startet, er det ingen forskjell mellom ldaps: // og StartTLS. De deler de samme konfigurasjonsalternativene (unntatt ldaps: // krever konfigurasjon av en egen lytter, se slapd (8) s -h-alternativ) og resulterer i at lignende sikkerhetstjenester blir etablert.
      OBS:
      1) ldap: // + StartTLS skal rettes til en normal LDAP-port (normalt 389), ikke ldaps: // -porten.
      2) ldaps: // skal rettes til en LDAPS-port (normalt 636), ikke LDAP-porten.

      Svar på federico
      1.    dette navnet er falskt sa
        hace 10 år

        Beklager, men jeg er fortsatt ikke sikker på hvorfor du hevder at: 1) moderne servere foretrekker STARTTLS fremfor SSL / TLS; 2) at STARTTLS er moderne, mot SSL / TLS som er foreldet.

        Jeg har kjempet i en halv måned med konfigurasjonen av forskjellige e-postklienter som får tilgang til serveren med SSL (ved hjelp av openssl-biblioteker, som de fleste gratis programvare gjør), med CA-sertifikater i / etc / ssl / certs / og annet tilbehør. Og det jeg har lært er at: 1) STARTTLS krypterer bare autentiseringen av økten, og alt annet sender den ukryptert; 2) SSL krypterer absolutt alt innholdet i økten. Derfor er STARTTLS i intet tilfelle teknisk overlegen SSL; Jeg vil heller være tilbøyelig til å tenke noe annet, siden innholdet i økten din beveger seg ukryptert over nettverket.

        En annen annen ting er at STARTTLS anbefales av andre grunner som jeg ikke vet: for kompatibilitet med MSWindows, fordi implementeringen er mer stabil eller er bedre testet ... Jeg vet ikke. Det er derfor jeg spør deg.

        Fra sitatet fra håndboken som du har lagt ved meg i svaret ditt, ser jeg at forskjellen mellom ldap: // og ldaps: // tilsvarer forskjellen mellom imap: // og imaps: //, eller mellom smtp : // og smtps: //: en annen port brukes, noe ekstra oppføring legges til i konfigurasjonsfilen, men resten av parametrene beholdes. Men det indikerer ikke noe om å foretrekke STARTTLS eller ikke.

        Hilsen, og beklager svaret. Jeg prøver bare å lære litt mer.

        Svar på dette navnet er falsk
        1.    Federico sa
          hace 10 år

          Se, det er veldig sjelden at jeg i artiklene mine hevder det kaliberet uten å bli støttet av noen seriøs publikasjon. På slutten av serien vil jeg ta med alle lenker til dokumentasjon som jeg anser som seriøse, og som jeg har konsultert for å skrive innlegget. Jeg gir deg følgende lenker:

          https://wiki.debian.org/LDAP/OpenLDAPSetup
          Ubuntu Serverguide https://code.launchpad.net/serverguide
          OpenLDAP-offisiell http://www.openldap.org/doc/admin24/index.html
          LDAP over SSL / TLS og StartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/

          Og videre konsulterte jeg den medfølgende dokumentasjonen som er installert med hver pakke.

          Spørsmålet om sikkerhet generelt og forskjellene mellom StartTLS og TLS / SSL, er veldig tekniske og av en slik dybde at jeg ikke anser meg selv for å ha den nødvendige kunnskapen for å gi slike forklaringer. Jeg tror vi kan fortsette å snakke via e-post.

          Videre sier jeg ingen steder at LDAPS: // ikke kan brukes. Hvis du anser det som tryggere, så fortsett!

          Jeg kan ikke hjelpe deg lenger, og jeg setter stor pris på kommentarene dine.

          Svar på federico
        2.    Federico sa
          hace 10 år

          Litt mer klarhet kan du få - alltid om OpenLDAP- i:
          http://www.openldap.org/faq/data/cache/605.html

          StartTLS utvidede operasjon [RFC 2830] er LDAPv3s standardmekanisme for å muliggjøre TLS (SSL) datakonfidensialitetsbeskyttelse. Mekanismen bruker en utvidet LDAPv3-operasjon for å etablere en kryptert SSL / TLS-forbindelse i en allerede etablert LDAP-forbindelse. Mens mekanismen er designet for bruk med TLSv1, vil de fleste implementeringer fall tilbake til SSLv3 (og SSLv2) om nødvendig.

          ldaps: // er en mekanisme for å etablere en kryptert SSL / TLS-forbindelse for LDAP. Det krever bruk av separat port, ofte 636. Selv om det opprinnelig ble designet for bruk med LDAPv2 og SSLv2, støtter mange implementeringer bruken av det med LDAPv3 og TLSv1. Selv om det ikke er noen teknisk spesifikasjon for ldaps: // er den mye brukt.

          ldaps: // er avviklet til fordel for Start TLS [RFC2830]. OpenLDAP 2.0 støtter begge deler.
          Av sikkerhetsgrunner bør serveren være konfigurert til ikke å godta SSLv2.

          Svar på federico
  3.   freebsddick sa
    hace 10 år

    Dette vil være en av de artiklene der brukerne ikke vil kommentere, for siden de bare ser porno på Linux-stasjoner, bryr de seg ganske enkelt ikke. Om ldap Jeg har flere relaterte tjenester innen det heterogene nettverket for selskapet jeg jobber for. God artikkel !!

    Svar på freebsddick
    1.    Federico sa
      hace 10 år

      Takk for kommentaren !!!. Og uttalelsen din om de få kommentarene i mange av artiklene mine er veldig sant. Imidlertid mottar jeg korrespondanse fra interesserte lesere, eller fra andre som laster ned artikkelen for senere lesing og anvendelse.

      Det er alltid veldig nyttig å ha tilbakemelding gjennom kommentarer, selv om de er det: Jeg lagret det for en senere lesing, interessant eller en annen mening.

      Hilsen

      Svar på federico
  4.   Federico sa
    hace 10 år

    Freeke !!! Takk for kommentaren. Jeg mottok kommentaren din i posten, men jeg ser den ikke selv om jeg oppdaterer siden flere ganger. Venn, du kan teste dette og de forrige artiklene uten problemer på Squeeze eller Ubuntu Server 12.04. I Wheezy genereres sertifikater annerledes ved bruk av OpenSSL. Men ingenting. Vennlig hilsen, bror !!!.

    Svar på federico
  5.   Federico sa
    hace 10 år

    @thisnameisfalse: Den beste ekspeditøren har en uskarphet. Takket være dine kommentarer synes jeg at avsnittet i spørsmålet burde være som følger:

    Moderne OpenLDAP-servere foretrekker bruk av StartTLS eller Start a Secure Transport Layer fremfor LDAPS: // -protokollen, som er foreldet. Eventuelle spørsmål, besøk Start TLS v. ldaps: // no http://www.openldap.org/faq/data/cache/605.html

    Hilsen

    Svar på federico
  6.   Jose Monge sa
    hace 10 år

    Perfekt, akkurat nå har jeg lekser på ldap

    Svar til jose monge
  7.   walter sa
    hace 10 år

    Du kan ikke legge alt i en enkelt fil, så du kan laste ned hele opplæringen

    Svar på walter
  8.   noensinne sa
    hace 10 år

    Jeg er en datatekniker med lang erfaring innen Linux, og jeg savnet fortsatt midten av artikkelen. Så skal jeg lese den om igjen. Tusen takk for opplæringen.
    Selv om det er sant at det lar oss forstå mye mer hvorfor ActiveDirectory vanligvis blir valgt for disse tingene. Det er et univers av forskjell når det gjelder enkelhet i konfigurasjon og implementering.
    Hilsen

    Svar på eVeR
  9.   Federico sa
    hace 10 år

    Takk alle for kommentarene!
    @jose monge, jeg håper det hjelper deg
    @walter på slutten av alle innlegg, får jeg se om jeg kan lage et kompendium i html- eller pdf-format
    Omvendt er en OpenLDAP enklere - selv om det kanskje ikke virker - enn en Active Directory. vent på de neste artiklene, så får du se.

    Svar på federico
  10.   Marcelo sa
    hace 10 år

    Et spørsmål, jeg gjør installasjonen trinn for trinn, men når du starter slapd-tjenesten på nytt, gir den meg følgende feil>

    30. juli 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (17. mars 2014 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / debian / build / servere / slapd
    30. juli 15:27:37 xxxxx slapd [1219]: Ukjent attributtBeskrivelse "CHANGETYPE" satt inn.
    30. juli 15:27:37 xxxxx slapd [1219]: Ukjent attributtBeskrivelse "ADD" satt inn.
    30. juli 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): tom Attributtbeskrivelse
    30. juli 15:27:37 xxxxx slapd [1219]: slapd stoppet.
    30. juli 15:27:37 xxxxx [1219]: forbindelser_destroy: ingenting å ødelegge.

    Svar til Marcelo
    1.    x11tete11x sa
      hace 10 år

      kan du spørre i forumet 😀 http://foro.desdelinux.net/

      Svar på x11tete11x
  11.   petrop sa
    hace 9 år

    For alle som ser dette utmerkede og godt forklarte innlegget, og dette problemet skjer når du oppretter ACL-er:
    ldapmodify: ugyldig format (linje 5) oppføring: "olcDatabase = {1} hdb, dc = config"

    Etter å ha reist hodet mitt på internett, viser det seg at ldapmodify er den mest nøyaktige typen der ute på internett. Det er hysterisk med feilplasserte tegn så vel som etterfølgende mellomrom. Uten videre er rådene å skrive by-tilstanden ved siden av hverandre eller ved å X skrive med egen skriv ved å * lese. Hvis det fremdeles ikke fungerer, installer Notepad ++> Vis> Vis symbol og til slutt død til usynlige tegn. Jeg håper noen hjelper.

    Svar på pedrop
  12.   petrop sa
    hace 9 år

    Generer sertifikater for Debian Wheezy basert på OpenSSL, dette kan tjene:
    http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/

    Svar på pedrop