د LDAP سره د لارښود خدمت [4]: ​​OpenLDAP (I)

سلام ملګرو!. راځئ چې سوداګرۍ ته راښکته شو ، او لکه څنګه چې موږ تل وړاندیز کوو ، په لړۍ کې درې پخواني مقالې ولولئ:

DNS ، DHCP او NTP زموږ د ساده لارښود لپاره پراساس لږترلږه لازمي خدمتونه دي OpenLDAP اصلي، په سم ډول کار کوي دبیان .6.0..XNUMX "چوپتیا"، یا په اوبنټو کې 12.04 LTS «دقیق پینګولین».

د شبکې مثال:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

په لومړي برخه کې به موږ وګورو:

  • د OpenLDAP لګول (سلیپډ 2.4.23-7.3)
  • له نصب وروسته چک کوي
  • په پام کې نیولو لپاره شاخصونه
  • د معلوماتو لاسرسي کنټرول قواعد
  • په سکوز کې د TLS سندونو تولید

پداسې حال کې چې په دوهمه برخه کې به موږ سره دوام وکړو:

  • محلي کارن اعتبار
  • ډیټابیس آباد کړئ
  • د کنسول کاروونې په کارولو سره ډیټابیس اداره کړئ
  • تر دې دمه لنډیز ...

د OpenLDAP لګول (سلیپډ 2.4.23-7.3)

د OpenLDAP سرور د کڅوړې په کارولو سره لګول شوی ټوپ وهل. موږ باید بسته هم نصب کړو ldap-utils، کوم چې موږ ته د پیرودونکي اړخ تجهیزات چمتو کوي ، په بیله بیا د OpenLDAP خپل ګټې.

: ~ # وړتیا د slapd ldap-utils لګول

د نصبولو پروسې په جریان کې ، debconf دا به زموږ څخه د مدیر یا کارونکي رمز لپاره پوښتنه وکړي «اداری«. یو شمیر انحصارونه هم نصب شوي دي. کارن جوړ شوی پرانيستی؛ د سرور لومړنی ترتیب ترتیب او همدارنګه د LDAP لارښود رامینځته شوی.

د OpenLDAP پخوانیو نسخو کې ، د ډیمون ترتیب ټوپ وهل په بشپړه توګه د فایل له لارې ترسره شوی و /etc/ldap/slapd.conf. په نسخه کې چې موږ کاروو او وروسته ، ترتیب ورته په ورته توګه ترسره کیږي ټوپ وهل، او د دې مقصد لپاره a DIT «د لارښود معلوماتو ونې»یا د لارښود معلوماتو ونې ، په جلا ډول.

د تنظیم کولو میتود په نوم پیژندل شوی RTC «د ریښتیني وخت تشکیلات»د ریښتیني وخت تشکیلات ، یا د میتود په توګه cn = تشکیل، موږ ته اجازه راکوي چې په متحرک ډول د ټوپ وهل پرته د خدمت د بیا پیل اړتیا.

د تشکیلاتو ډیټابیس په ب inه کې د متن فایلونو مجموعه لري LDIF «د LDAP ډیټا تبادلې ب .هData د ډیټا تبادلې لپاره د LDAP ب ،ه ، په فولډر کې موقعیت لري /etc/ldap/slapd.d.

د فولډر سازمان تنظیم کولو نظر ترلاسه کولو لپاره slapd.dراځئ چې وځو:

: # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: ټوله 8 drwxr-x --- 3 openldap openldap 4096 فبروري 16 11:08 cn = config -rw ------- 1 اوپنډیپ اوپنډیپ 407 فبروري 16 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: ټوله 28 -rw ------- 1 اوپنډیپ اوپنډیپ 383 فبروري 16 11:08 cn = ماډل {0} .ldif drwxr-x --- 2 openldap openldap 4096 فبروري 16 11:08 cn = سکیما - rw ------- 1 اوپنډیپ اوپنډیپ 325 فبروري 16 11:08 cn = schema.ldif -rw ------- 1 اوپنډیپ اوپنډیپ 343 فبروری 16 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 اوپنډیپ اوپنډیپ 472 فبروري 16 11:08 اولیډیټابیس = {0} config.ldif -rw ------- 1 خلاصډالپ اوپنډیپ 586 فبروري 16 11:08 اولم ډیټابیس = {- 1} frontend.ldif -rw ------- 1 اوپنډیپ اوپنډیپ = تشکیل / cn = سکیما: ټول 1012 -rw ------- 16 اوپنډیپ اوپنډیپ 11 فبروري 08 1:40 cn = {1} core.ldif -rw ------- 15474 اوپنډیپ اوپنډیپ 16 فبروري 11 08:0 cn = {1} cosine.ldif -rw ------- 11308 اوپنډیپ اوپنډیپ 16 فبروري 11 08:1 cn = {1} nis.ldif -rw ------- 6438 اوپنډیپ اوپنډیپ 16 فبروري 11 08:2 cn = {1} inetorgPress.ldif

که موږ تیر محصول ته یو څه وګورو ، موږ ګورو چې بډایډ په سکوز کې کارول شوی د ډیټابیس ډول دی hdb، کوم چې یو ډول دی bdb "برکلي ډیټابیس" ، او دا چې دا په بشپړ ډول تنظیمي دی او د فرعي ونو نوم بدلولو ملاتړ کوي. د امکان په اړه نور زده کړې لپاره بیکینډونه چې د OpenLDAP ملاتړ کوي ، لیدنه وکړئ http://es.wikipedia.org/wiki/OpenLDAP.

موږ دا هم ګورو چې درې جلا ډیټابیسونه کارول شوي ، دا دی یو ترتیب ته وقف شوی ، بل ته مخ اخری، او وروستی هغه چې ډیټابیس دی hdb په هره برخه.

له بلې خوا، ټوپ وهل د ډیجیټل لخوا د سکیماتیکونو سره نصب شوی د اصلي, کوزین, نثار e ناڅاپي.

له نصب وروسته چک کوي

په ټرمینل کې موږ په ارامه توګه پلي کوو او پایلې یې ولولئ. موږ به وګورو ، په ځانګړي توګه د دویمې قوماندې سره ، ترتیب د فولډر لیست کولو څخه منل شوی slapd.d.

: ~ # ldapsearch -Q -LLL -Y خارجي -H ldapi: /// -b cn = تشکیل | نور: ~ # ldapsearch -Q -LLL -Y خارجي -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = ماډل {0}، cn = شکل dn: cn = سکیما، cn = تشکیل dn: cn = {0} کور، cn = سکیما، cn = تشکیل dn: cn = {1} کوساین ، cn = سکیما ، cn = شکل dn: cn = {2} nis ، cn = سکیما ، cn = تشکیل dn: cn = {3} inetorgPress ، cn = سکیما ، cn = تشکیل dn: olcBackend = {0} hdb ، cn = تشکیل dn: او ایل ډی ډیټابیس = {- 1} فرنټ اینڈ ، سي این = شکل ډن: اولیډ ډیټابیس = {0} تشکیلات ، سي این = شکل ډی این: او ایل ډیټاټابیس = {1} hdb ، cn = تشکیل

د هر محصول تشریح:

  • cn = تشکیل: نړیوال پیرامیټونه.
  • cn = انډول {0} ، cn = شکل: متحرک موډول.
  • cn = سکیما ، cn = شکل: لري سخت کوډ شوی د سیسټم سکیمیتیکونو په کچه کې.
  • cn = {0} کور ، cn = سکیما ، cn = شکل: د سخت کوډ شوی د.
  • cn = {1} کوسین ، cn = سکیما ، cn = شکل: سکیم کوسین.
  • cn = {2} nis ، cn = سکیما ، cn = شکل: سکیم نیس.
  • cn = {3} inetorgPress ، cn = سکیما ، cn = شکل: سکیم ناڅاپي.
  • olcBackend = {0} hdb ، cn = شکل: بډایډ د ډاټا زېرمه کولو ډول hdb.
  • olcDatabase = {- 1} فرنټ اینڈ ، cn = شکل: مخ اخری د ډیټابیس لپاره د ډیټابیس او ډیفالټ پیرامیټرې.
  • olcDat database = {0} شکل، cn = شکل: د ټوپ وهل (cn = تشکیل).
  • اولسي ډیټابیس = {1} hdb ، cn = تشکیل: زموږ د ډیټابیس مثال (dc = ملګري ، dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = مثال ، dc = com dn
dn: dc = ملګري ، dc = cu dn: cn = اداره ، dc = ملګري ، dc = cu
  • dc = ملګري ، dc = cu: د DIT اساس لارښود معلومات ونې
  • cn = اداره ، dc = ملګري ، dc = cu: د DIT مدیر (rootDN) د نصب پر مهال اعلان شوی.

يادونه: د پای تړاو dc = ملګري ، dc = cu، واخیست debconf له څخه د لګولو پر مهال FQDN سرور mildap.amigos.cu.

په پام کې نیولو لپاره شاخصونه

د ننوتلو لړلیک د لټون د فعالیت ښه کولو لپاره ترسره کیږي DITد فلټر معیارونو سره. شاخصونه چې موږ به یې په پام کې ونیسو لږترلږه د ډیفالټ سکیما کې اعلان شوي صفاتو مطابق وړاندیز شوي دي.

په ډیټابیس کې متحرک انډیکس اصلاح کولو لپاره ، موږ په ب inه کې د متن فایل رامینځته کوو LDIF، او وروسته موږ دا ډیټابیس کې اضافه کوو. موږ فایل جوړ کوو olcDbIndex.ldif او موږ دا د لاندې مینځپانګې سره پریږدو:

: # نانو olcDbIndex.ldif
dn: اولک ډیټابیس = {1} hdb ، cn = تشکیلات بنډل: تغیرات اضافه کړئ: olcDbIndex olcDbIndex: uidNumber eq - اضافه کول: olcDbIndex olcDbIndex: gidNumber eq - اضافه کول: olcDbIndex olcDbIndex: loginUidex ، loginUidex : loginShell eq، pres، sub - addhellShell - add: olcDbIndex olcDbIndex: uid pres، sub، eq - add: olcDbIndex olcDbIndex: cn pres، sub، eq - add: olcDbIndex olcDbIndex: sn pres، sub، eqDb شامل : ورکړل شوی نوم ، او پریس ، اق ، فرعي اضافه: اولسیډبینډ ایډیکس اولکډبینډيکس: ډیسپلی نوم پریس ، فرعي ، ایق - اضافه: اولسیډبینډ ایډیکس اولډډبینډ ایډیکس: ډیفالټ فرعي اضافه کول: او ایل سي ډي بی انډیکس اولک ډی بی انډیکس: میل ایق ، سبینټیل - اضافه: او ایل سی ډی بی ای اینډیکس

موږ ډیټابیس ته شاخصونه اضافه کوو او تعدیلات ګورو:

: ~ # ldapmodify -Y خارجي -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # ldapsearch -Q -LLL -Y خارجي -H ldapi: /// -b \ cn = config '(ccDatbox = {1} hdb)' olcDbIndex

dn: اولمډیټابیس = {1} hdb ، cn = تشکیل اوولسیډبینډیډیکس: آبجیت کلاس eq olcDbIndex: uidNumber ، gidNumber eq olcDbIndex: غړيUid eq ، پریس ، فرعي او ايل سي ډي بي انډیکس: سبینډ پریس ، uq پرینکس ، subq ، uq olcDbIndex: sn pres، sub، eq olcDbIndex: givenName، ou pres، eq، sub olcDbIndex: displayName pres، sub، eq olcDbIndex: default sub olcDbIndex: میل eq، subinitial olcDbIndex: dc eq

د معلوماتو لاسرسي کنټرول قواعد

هغه مقررات چې رامینځته شوي نو له دې امله کاروونکي کولی شي د لارښود ډیټابیس کې ډیټا لوستل ، تغیر وکړي ، اضافه یا حذف کړي د لاسرسي کنټرول نومیږي ، پداسې حال کې چې موږ به د لاسرسي کنټرول لیست یا callد ACL لاسرسي کنټرول لیستthe هغه پالیسیو ته چې مقررات تنظیموي.

چې پوه شي کوم ACLs د ډیجیټل د نصبولو پروسې په جریان کې اعلان شوي و ټوپ وهل، موږ اعدام کوو:

: ~ # ldapsearch -Q -LLL -Y خارجي -H ldapi: /// -b
cn = شکل '(او ایل ډیټاټابیس = {1} hdb)' او ایل سی اکسس

: ~ # ldapsearch -Q -LLL -Y خارجي -H ldapi: /// -b
cn = شکل '(او ایل ډیټاټابیس = {- 1 on مخینه)''cccacc

: ~ # ldapsearch -Q -LLL -Y خارجي -H ldapi: /// -b
cn = config '(او ایل ډیټاټابیس = {0} شکل)''cccaccia

: ~ # ldapsearch -Q -LLL -Y خارجي -H ldapi: /// -b
cn = config '(olcAccess = *)' olcAccess olcSuffix

هر پخوانی حکم به موږ ته وښیې ACLs چې تر دې دمه موږ په خپل لارښود کې اعلان کړی دی. په ځانګړي توګه ، وروستی کمانډ دا ټول ښیې ، پداسې حال کې چې لومړی درې موږ ته د ټولو دریو لپاره د لاسرسي کنټرول قواعد راکوي. DIT زموږ کې ښکیل دی ټوپ وهل.

د ACLs او د دې لپاره چې اوږدې مقالې رامینځته نکړو ، موږ د لارښود پا pagesو لوستلو سپارښتنه کوو سړی slapd.access.

د کاروونکو او مدیرانو لاسرسي تضمین کول ترڅو د دوی ننوتنې تازه کړي ننوتل y ګیکوس، موږ به لاندې ACL اضافه کړو:

## موږ د olcAccess.ldif فایل رامینځته کوو او د لاندې مینځپانګې سره یې پریږدو: ~ # نانو olcAccess.ldif
dn: olcDat database = {1} hdb، cn = config changetype: تعدیل کړئ اضافه کړئ: c 1} to attrs = loginShell ، gecos by dn = "cn = اداره ، dc = ملګرو ، dc = cu" د ځان لیکلو لخوا لیکل * لوستل

## موږ ACL اضافه کوو
: ~ # ldapmodify -Y خارجي -H ldapi: /// -f ./olcAccess.ldif

# موږ بدلونونه ګورو
ldapsearch -Q -LLL -Y خارجي -H ldapi: /// -b
cn = config '(olcAccess = *)' olcAccess olcSuffix

د سندونو تولید ټي ایل ایس په چوکۍ کې

د OpenLDAP سرور سره خوندي تصدیق لپاره ، موږ باید دا د یوې کوډ شوې ناستې له لارې ترسره کړو چې موږ یې د کارولو سره ترلاسه کولی شو TLS «د ټرانسپورټ پرت امنیت» o د ترانسپورت خوندي پوښ.

د OpenLDAP سرور او د دې پیرودونکي د دې کارولو وړ دي چوکاټ TLS به د بشپړتیا او محرمیت په اړه محافظت چمتو کړي ، او همدارنګه د میکانیزم له لارې د LDAP تکیه کولو ملاتړ وکړي. SASL «ساده اعتبار او امنیت طبقه« خارجي

عصري اوپن لاډاپ سرورونه * د کارونې ملاتړ کوي/ د سټارټ ټیلز /* o / ته د خوندي ترانسپورت طبقه پیل کړئLDAPS: ///، کوم چې متروک دی. کومې پوښتنې ، لیدنه وکړئ * د TLS v پیل کړئ. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html

یوازې فایل پریږده لکه څنګه چې په ډیفالټ نصب شوی / etc / default / slapd د بیان سره SLAPD_SERVICES = »ldap: /// ldapi: ///»، د پیرودونکي او سرور ترمینځ د کوډ شوي چینل کارولو په هدف سره ، او پخپله معاون غوښتنلیکونه د OpenLDAP اداره کولو لپاره چې په ځایی ډول نصب شوي.

میتود دلته بیان شوی ، د کڅوړو پراساس غوټۍ y ssl- سند دا دبیان 6 "نچوړ" او هم د اوبنتو سرور 12.04 لپاره د اعتبار وړ دی. د دیبیان 7 "Wheezy" لپاره بل میتود پر بنسټ OpenSSL.

په سویز کې د سندونو تولید په لاندې ډول ترسره کیږي:

1.- موږ اړین بسته نصب کوو
: ~ # وړتیا د ګوتوس - بن ssl-cert انسټال کړئ

2.- موږ د تصدیق واکمنۍ لپاره لومړنۍ کیلي رامینځته کوو
: ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3.- موږ د CA تعریف کولو لپاره یوه نمونه جوړه کوو (د سند واک)
: ~ # نانو /etc/ssl/ca.info cn = د کیوبا ملګري ca cert_signing_key

4.- موږ د مراجعینو لپاره د CA ځان لاسلیک شوی یا ځان لاسلیک شوی سند چمتو کوو
: ~ # سندټوټول - جینراټ - پخپله لاسلیک شوی \ - لوډ - پرکی / سیټ / ایس ایل / پیریویټ / کیکي.پیم \ --template /etc/ssl/ca.info out - آټفیل / سایټ / ایس ایس ایل / سندونه / cacert.pem

5.- موږ د سرور لپاره شخصي کیلي تولید کوو
: ~ # سندټوټول - جنیریټ - پرکی - bits\ 1024bits XNUMX\ \ - آوټ فایل /etc/ssl/private/mildap-key.pem

يادونه: بدل کړئ "میلډاپ"د فایل په نوم ستاسو د خپل سرور لخوا په نوم. د سند او کیلي نومول ، دواړه د سرور لپاره او د دې خدمت لپاره چې دا کاروي ، موږ سره مرسته کوي چې شیان پاک وساتو.

6.- موږ د لاندې مینځپانګې سره فایل /etc/ssl/mildap.info جوړ کوو:
: ~ # نانو /etc/ssl/mildap.info تنظیم = د کیوبا ملګري cn = mildap.amigos.cu tls_www_server کوډیزونه_کی لاسلیک_کی میشته کیدل_ ورځنی = 3650

يادونه: پورتني مینځپانګه کې موږ اعلان کوو چې دا سند د 10 کلونو مودې لپاره معتبر دی. پیرامیټر باید زموږ اسانتیاو سره تنظیم شي.

7.- موږ د سرور سند جوړ کوو
: ~ # certtool - جینرایټ - سند load - لوډ - پرکی /etc/ssl/private/mildap-key.pem load - لوډ - سی ای سند /etc/ssl/certs/cacert.pem load --لوډ- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info out --outfile /etc/ssl/certs/mildap-cert.pem

تر دې دمه موږ اړین فایلونه رامینځته کړي ، موږ یوازې په لارښود کې د ځان لاسلیک شوي سند ځای اضافه کول غواړو cacert.pem؛ دا د سرور سند دی mildap-cert.pem؛ او د پالنګر شخصي کیلي mildap-key.pem. موږ باید د تولید شوي فایلونو اجازې او مالک هم تنظیم کړو.

: ~ # نانو /etc/ssl/certinfo.ldif
dn: cn = config اضافه: olcTLSCACerર્ટateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - اضافه کړئ: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certsCtર્ટStectCeserStectCeserStectCt. /mildap-key.pem

8.- موږ اضافه کوو: ~ # ldapmodify -Y خارجي -H ldapi: /// -f /etc/ssl/certinfo.ldif

9.- موږ مالک او اجازه تنظیم کوو
: ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod یا /etc/ssl/private/mildap-key.pem

سند cacert.pem دا هغه دی چې موږ یې باید په هر پیرودونکي کې کاپي کړو. د دې لپاره چې دا سند پخپله په سرور کې وکارول شي ، موږ باید دا په فایل کې اعلان کړو /etc/ldap/ldap.conf. د دې کولو لپاره ، موږ فایل ترمیم کوو او دا د لاندې مینځپانګې سره پریږدو:

: ~ # نانو /etc/ldap/ldap.conf
BASE dc = ملګري ، dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

په نهایت کې او هم د چیک په توګه ، موږ خدمت بیا پیل کوو ټوپ وهل او موږ د سیسلاګ د سرور څخه ، د دې موندلو لپاره چې ایا خدمت د نوي اعلان شوي سند په کارولو سره په سمه توګه پیل شوی.

: service # خدمت سلایډ ریډارټ
: ~ # ټیل / وی / لاگ / سیسلاګ

که خدمت په سمه توګه نه پیل شي یا موږ په سیسلاګراځئ چې حوصله ونه کړو. موږ کولی شو د زیان ترمیم کولو یا پیل کولو هڅه وکړو. که موږ پریکړه وکړو چې له پیل څخه له پیل څخه پیل وکړو ټوپ وهل، دا زموږ د سرور ب formatه کولو لپاره اړین ندي.

د هرڅه له مینځه وړلو لپاره چې موږ تر دې دمه د یو دلیل یا بل لپاره ترسره کړي ، موږ باید کڅوړه غیر نصب کړو ټوپ وهل، او بیا پوښی حذف کړئ / var / lib / ldap. موږ باید فایل هم په خپل اصلي نسخه کې پریږدو /etc/ldap/ldap.conf.

دا نادره ده چې هرڅه په لومړي هڅه کې سم کار وکړي. 🙂

په یاد ولرئ چې په راتلونکي قسط کې به موږ وګورو:

  • محلي کارن اعتبار
  • ډیټابیس آباد کړئ
  • د کنسول کاروونې په کارولو سره ډیټابیس اداره کړئ
  • تر دې دمه لنډیز ...

ملګرو سره به ګورو!


د مقالې مینځپانګه زموږ د اصولو سره سمون لري ایډیټیک اخلاق. د غلطۍ راپور ورکولو لپاره کلیک وکړئ دلته.

19 نظرونه ، خپل پریږدئ

خپله نظر پرېږدئ

ستاسو د بریښنا لیک پته به خپره نه شي. اړین برخو سره په نښه شوي دي *

*

*

  1. د معلوماتو لپاره مسؤل: میګیوانجل ګاتین
  2. د معلوماتو هدف: د سپیم کنټرول ، د نظر مدیریت.
  3. قانونیت: ستاسو رضایت
  4. د معلوماتو راټولول: معلومات به د قانوني مکلفیت پرته دریمې ډلې ته نه لیږدول کیږي.
  5. د معلوماتو ذخیره: ډیټابیس د Occentus شبکې (EU) لخوا کوربه شوی
  6. حقونه: په هر وخت کې تاسو کولی شئ خپل معلومات محدود ، له سره تنظیم او حذف کړئ.

  1.   هوګو dijo

    ښوونکی !!!
    د ټیټو سره دا شو!
    غوره دی
    ستاسو لپاره د نړۍ ټول ډولونه.
    😀

    1.    فیدوکو dijo

      ډیره مننه ، هوګو !!! په موضوع کې راتلونکو مقالو ته انتظار وکړئ.

  2.   دا نومول شوی dijo

    سلام

    ستاسو د مقالو سلسله په زړه پوري ده.

    زه د دې بیان په لوستلو حیران وم: "عصري OpenLDAP سرورونه د TTLS / SSL پخواني پروتوکول سره د startTLS کارول پیلوي یا د خوندي ترانسپورت پرت پیلوي ، کوم چې اختلال لري."

    ایا تاسو ادعا کوئ چې ، په ټولو قضیو کې حتی د LDAP ساحې څخه بهر ، STARTTLS د TSL / SSL څخه لوړ د ساتنې میکانیزم دی؟

    1.    فیدوکو dijo

      د نظر لپاره مننه. په یاد ولرئ چې زما مطلب OpenLDAP دی. زه نه پوهیږم په http://www.openldap.org/faq/data/cache/185.html، تاسو کولی شئ لاندې ولولئ:

      د ټرانسپورټ لایر امنیت (TLS) د خوندي ساکټ پرت (SSL) معیاري نوم دی. شرایط (پرته لدې چې د ځانګړي نسخو شمیرو سره وړ وي) عموما د تبادلې وړ دي.

      startTLS د TLS / SSL پیل کولو لپاره د معیاري LDAP عملیاتو نوم دی. TLS / SSL د دې LDAP عملیاتو بریالي بشپړیدو سره پیل شوی. هیڅ بدیل بندر اړین ندی. دا ځینې وختونه د TLS اپ گریڈ عملیاتو په نوم پیژندل کیږي ، ځکه چې دا د TLS / SSL لخوا محافظت شوي یو ته د LDAP نورمال ارتباط لوړوي.

      ldaps: // او LDAPS "LDAP over TLS / SSL" یا "LDAP خوندي" ته راجع کوي. TLS / SSL د بدیل بندر سره د تړاو په توګه پیل شوی (په عادي ډول 636). که څه هم د LDAPS بندر (636) د دې کارونې لپاره راجستر شوی ، د TLS / SSL پیل میکانیزم جزئيات معیاري ندي.

      یوځل بیا پیل شوی ، د ldaps: // او startTLS ترمنځ هیڅ توپیر شتون نلري. دوی ورته ترتیباتي اختیارونه شریکوي (د ldaps څخه پرته: // د جلا اوریدونکي ترتیب ته اړتیا لري ، د slapd (8) shh اختیار وګورئ) او پایله یې د امنیت خدماتو رامینځته کیدل دي.
      نوټ:
      1) ldap: // + startTLS باید عام LDAP بندر ته لارښود شي (په عادي ډول 389) ، نه ldaps: // بندر.
      2) ldaps: // باید LDAPS بندر ته لارښود شي (په عموم ډول 636) ، نه د LDAP بندر.

      1.    دا نومول شوی dijo

        بښنه غواړم ، مګر زه لاهم ډاډه نه یم چې تاسو ولې ادعا کوئ: 1) عصري سرورونه STARTTLS ته SSL / TLS ته ترجیح ورکوي؛ 2) STARTTLS مدرن دی ، د SSL / TLS په پرتله چې متناسب دی.

        زه د نیمې میاشتې راهیسې د مختلف میل مراجعینو تنظیم کولو سره مبارزه کوم چې د SSL لخوا سرور ته لاسرسی لري (د اوپنسیل کتابتونونو کارولو سره ، لکه څنګه چې ډیری وړیا سافټویر کوي) ، د CA سندونو سره په نور. او هغه څه چې ما زده کړل هغه دا دي: 1) STARTTLS یوازې د ناستې اعتبار کوډ کوي ، او نور هرڅه بې کوډ شوي لیږل شوي؛ 2) SSL د ناستې ټول مینځپانګې په بشپړ ډول کوډ کوي. نو ځکه ، په هیڅ حالت کې STARTTLS له تخنیکي پلوه د ایس ایس ایل څخه غوره نه دی؛ زه به مقابل لوری فکر وکړم ، ځکه چې ستاسو د ناستې مینځپانګه په شبکه کې بې کوډ شوي سفر کوي.

        بله مختلف شیان دا دي چې STARTTLS د نورو دلایلو لپاره وړاندیز شوی چې زه نه پوهیږم: د MSWindows سره مطابقت لپاره ، ځکه چې پلي کول یې خورا ثبات لري یا غوره ازمول شوي ... زه نه پوهیږم. له همدې امله زه تاسو څخه پوښتنه کوم.

        د لارښود حواله کولو څخه چې تاسو ما سره ستاسو په ځواب کې ضمیمه کړې ، زه ګورم چې د ldap: // او ldaps: // تر مینځ توپیر د imp: // او imaps: // ، یا smtp ترمنځ توپیر لري. // او smtps: //: یو مختلف بندر کارول کیږي ، د ترتیب په فایل کې ځینې اضافي ننوتلي اضافه کیږي ، مګر پاتې پیرامیټونه ساتل کیږي. مګر دا د STARTTLS غوره کولو په اړه هیڅ نه په ګوته کوي یا نه.

        سلامونه ، او د ځواب لپاره بخښنه غواړم. زه یوازې یو څه نور د زده کړې هڅه کوم.

        1.    فیدوکو dijo

          ګورئ ، دا خورا نادر دی چې زما په مقالو کې زه د دې جدي ادعا ادعاګانې وکړم پرته لدې چې د ځینې جدي خپرونې لخوا ملاتړ کیږي. د لړۍ په پای کې زه به د اسنادو ټول لینکونه شامل کړم چې زه جدي ګ considerم ، او دا چې ما د پوسټ لیکلو لپاره مشوره کړې. زه تاسو ته لاندې لینکونه وړاندې کوم:

          https://wiki.debian.org/LDAP/OpenLDAPSetup
          اوبنټو سرور ګایډ https://code.launchpad.net/serverguide
          د OpenLDAP رسمي http://www.openldap.org/doc/admin24/index.html
          LSAP په SSL / TLS او startTLS باندې http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/

          او هم ، ما د هغه سند سره مشوره وکړه چې د هرې کڅوړې سره نصب شوي.

          په عمومي ډول د امنیت مسله او د سټارټ ټیلز او TLS / SSL ترمینځ توپیرونه خورا تخنیکي دي او دومره ژور دي چې زه پخپله د دې ډول توضیحاتو ورکولو لپاره اړین پوهه نلرم. زه فکر کوم چې موږ کولی شو د بریښنالیک له لارې خبرو ته دوام ورکړو.

          سربیره پردې ، چیرته نه ځم چې LDAPS: // وکارول شي. که تاسو دا خوندي وګ considerئ ، نو مخکې لاړ شئ !!!

          زه ستاسو سره نور مرسته نه شم کولی او زه ستاسو د نظرونو څخه واقعیا ستاینه کوم.

        2.    فیدوکو dijo

          یو څه نور وضاحت تاسو کولی شئ د OpenLDAP په اړه - لارې په لاندې ډول ترلاسه کړئ:
          http://www.openldap.org/faq/data/cache/605.html

          د سټارټ ایل ایس پراخه شوي عملیات [RFC 2830] د TLS (SSL) ډیټا محرمیت محافظت وړولو لپاره LDAPv3 معیاري میکانیزم دی. میکانیزم د LDAPv3 اوږد شوی عملیه کاروي ترڅو دمخه ټاکل شوي LDAP اتصال کې د کوډ شوي SSL / TLS اتصال رامینځته کړي. پداسې حال کې چې میکانیزم د TLSv1 سره د کارونې لپاره ډیزاین شوی ، ډیری پلي کونې به SSLv3 (او SSLv2) ته بیرته اړتیا ولري که اړتیا وي.

          ldaps: // د LDAP لپاره د کوډ شوي SSL / TLS اتصال رامینځته کولو میکانیزم دی. دا د جلا بندر کارولو ته اړتیا لري ، عموما 636. که څه هم په اصل کې د LDAPv2 او SSLv2 سره د کارونې لپاره ډیزاین شوی ، ډیری پلي کونکي یې د LDAPv3 او TLSv1 سره د دې کار ملاتړ کوي. که څه هم د ldaps لپاره تخنیکي مشخصیت شتون نلري: // دا په پراخه کچه کارول کیږي.

          ldaps: // د پیل TLS [RFC2830] په حق کې تخریب شوی. OpenLDAP 2.0 دواړه ملاتړ کوي.
          د امنیت دلایلو لپاره سرور باید تنظیم شوی وي چې SSLv2 ونه مني.

  3.   وړیا dijo

    دا به د دې مقالو څخه یو وي چې کاروونکي به یې په اړه تبصره ونکړي ځکه چې دوی یوازې په خپلو لینکس سټیشنونو کې فحش ګوري ، دوی په ساده ډول پاملرنه نه کوي د ldap په اړه زه د هغه شرکت لپاره د هیټروجنیز شبکې دننه ډیری اړوند خدمات لرم چې زه یې لپاره کار کوم. ښه مقاله !!

    1.    فیدوکو dijo

      د نظر لپاره مننه !!! او زما په ډیری مقالو کې د څو نظرونو په اړه ستاسو بیان خورا درست دی. په هرصورت ، زه د علاقه لرونکي لوستونکو ، یا د نورو څخه چې د وروسته لوستلو او غوښتنلیک لپاره مقاله ډاونلوډ کوي لیکونه ترلاسه کوم.

      دا تل خورا ګټور وي چې د نظرونو له لارې نظریات ولرئ ، که څه هم دا دي: ما دا د وروسته لوستلو ، په زړه پورې یا بل نظر لپاره خوندي کړی.

      مننه!

  4.   فیدوکو dijo

    فريک !!! د نظر لپاره مننه. ما ستاسو نظر په میل کې ترلاسه کړ مګر زه یې نه وینم که څه هم ما څو ځله پا pageه تازه کړه. ملګري ، تاسو کولی شئ دا او پخوانۍ مقالې د سکویز یا اوبنټو سرور 12.04 کې پرته له ستونزو څخه هڅه وکړئ. په Wheezy کې ، سندونه د OpenSSL په کارولو سره په جلا ډول تولید کیږي. مګر هیڅ نه. زما درناوی ، وروره !!!

  5.   فیدوکو dijo

    thisnameisfalse: غوره کلرک یو تور ترلاسه کوي. ستاسو د نظرونو څخه مننه ، زه فکر کوم چې د پوښتنې پاراګراف باید په لاندې ډول وي:

    د عصري اوپن ایل ډی پی سرورونه LDAPS: // پروتوکول ته د startTLS کارول پیلوي ، یا د خوندي ټرانسپورټ لایر غوره کوي ، کوم چې ناڅاپي دی. کومه پوښتنه ، د TLS v سټارټ څخه لیدنه وکړئ. ldaps: // en http://www.openldap.org/faq/data/cache/605.html

    مننه!

  6.   جوس مونګ dijo

    کامل ، همدا اوس زه په ldap کې کور پا .ه لرم

  7.   والټر dijo

    تاسو نشئ کولی هرڅه په یوه فایل کې وساتئ نو تاسو کولی شئ بشپړ ټیوټوریل ډاونلوډ کړئ

  8.   eVeR dijo

    زه د کمپیوټر تخنیکین یم چې د لینکس پراخه تجربه لرم ، مګر زه لاهم د مقالې په مینځ کې ورک شوی یم. بیا زه دا په ډیر غور سره بیاځم. د ښوونې لپاره ډیره مننه.
    که څه هم دا ریښتیا دي چې دا موږ ته اجازه راکوي ډیر نور پوه شي چې ولې دक्टیا لارښود اکثرا د دې شیانو لپاره غوره کیږي. د توپیر کائنات شتون لري کله چې د ترتیب او پلي کولو ساده والي ته راځي.
    مننه!

  9.   فیدوکو dijo

    د نظر ورکولو لپاره ټولو څخه مننه !!!
    @ جوز مونج ، زه امید لرم چې دا تاسو سره مرسته کوي
    @ د ټولو پوسټونو په پای کې ، زه به وګورم چې ایا زه کولی شم په html یا pdf ب aه کې پوښښ جوړ کړم
    eVeR په برعکس ، یو OpenLDAP خورا اسانه دی - که دا د فعال ډایرکټرۍ په څیر نه بریښي. راتلونکو مقالو ته انتظار وکړئ او تاسو به وګورئ.

  10.   Marcelo dijo

    یوه پوښتنه ، زه د نصب کولو مرحله په مرحله کې ترسره کوم مګر کله چې د سلاډ خدمت بیا پیل کول ، دا لاندې تېروتنه تیروي>

    جولای 30 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (Mar 17 2014 21:20:08) $ # 012 # 011buildd @ aatxe: / ودان / بلډ / اوپینلډاپ-2.4.31 .XNUMX / ډیبین / جوړ / سرور / سلیپډ
    جولای 30 15:27:37 xxxxx slapd [1219]: د UNKNOWN انتساب تفصیل "CHANGETYPE" دننه شو.
    جولای 30 15:27:37 xxxxx slapd [1219]: د UNKNOWN وصیت "ADD" دننه شو.
    جولای 30 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): خالي AttributeDesپشن
    جولای 30 15:27:37 xxxxx slapd [1219]: slapd ودرول شو.
    جولای 30 15:27:37 xxxxx [1219]: اړیکې_ډیسټرو: د ویجاړولو لپاره هیڅ نه.

    1.    x11tete11x dijo

      تاسو کولی شئ په فاریوم کې پوښتنه وکړئ 😀 http://foro.desdelinux.net/

  11.   پیډروپ dijo

    د هرچا لپاره څوک چې دا عالي او ښه تشریح شوی پوسټ ګوري او دا ستونزه هغه وخت پیښیږي کله چې ACLs رامینځته کیږي:
    ldapmodify: ناباوره ب formatه (5 لین) ننوتنه: "اولسي ډیټابیس = {1} hdb ، dc = تشکیل"

    زما د سر د انټرنیټ لټون کولو ریکارولو وروسته ، دا معلومه شوه چې ldapmodify د ویب پا faceه کې دلته ترټولو دقیق ډول دی. دا های اسټریکیکل د ناسم ځایونو سره او همدارنګه د تیرو ځایونو سره. د نور اډو څخه پرته ، مشوره دا ده چې د بل حالت سره سم شرایط ولیکئ یا د ایکس لخوا پخپله لیکل د * لوستلو لخوا. که چیرې دا لاهم کار نه کوي د نوټ پیډ ++> لید> سمبول وښایاست او په نهایت کې مرکه اشارو ته مرګ. زه امید لرم چې یو څوک به مرسته وکړي.

  12.   پیډروپ dijo

    د OpenSSL پراساس دبیان ویلې لپاره سندونه تولید کړئ چې دا یې خدمت کولی شي:
    http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/