Bună prieteni!. Să trecem la treabă și, așa cum recomandăm întotdeauna, să citim cele trei articole anterioare din serie:
- Serviciu director cu LDAP. Introducere.
- Serviciu de directoare cu LDAP [2]: NTP și dnsmasq.
- Serviciu director cu LDAP [3]: Isc-DHCP-Server și Bind9.
DNS, DHCP și NTP sunt serviciile esențiale minime pentru directorul nostru simplu bazat pe OpenLDAP nativ, funcționează corect pe Debian 6.0 "Squeeze", sau în Ubuntu 12.04 LTS „Precise Pangolin”.
Exemplu de rețea:
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
În prima parte vom vedea:
- Instalare OpenLDAP (slapd 2.4.23-7.3)
- Verifică după instalare
- Indici de luat în calcul
- Reguli de control al accesului la date
- Generarea certificatelor TLS în Squeeze
în timp ce în partea a doua vom continua cu:
- Autentificare locală a utilizatorului
- Populați baza de date
- Gestionați baza de date folosind utilitarele consolei
- Rezumat până acum ...
Instalare OpenLDAP (slapd 2.4.23-7.3)
Serverul OpenLDAP este instalat folosind pachetul palmă. De asemenea, trebuie să instalăm pachetul ldap-utils, care ne oferă câteva instrumente de partea clientului, precum și utilități proprii OpenLDAP.
: ~ # aptitude install slapd ldap-utils
În timpul procesului de instalare, debconf Ne va cere parola administratorului sau a utilizatorului «admin«. De asemenea, sunt instalate o serie de dependențe; utilizatorul este creat openldap; se creează configurația inițială a serverului, precum și directorul LDAP.
În versiunile anterioare ale OpenLDAP, configurația daemon palmă a fost realizat în întregime prin fișier /etc/ldap/slapd.conf. În versiunea pe care o folosim și ulterior, configurarea se face în aceeași palmă, și în acest scop a DIT «Arborele informațional al directorului»Sau arborele informațional al directorului, separat.
Metoda de configurare cunoscută sub numele de RTC «Configurare în timp real»Configurare în timp real sau ca metodă cn = config, ne permite să configurăm dinamic fișierul palmă fără a necesita o repornire a serviciului.
Baza de date de configurare constă dintr-o colecție de fișiere text în format LDIF «Format de schimb de date LDAP»Format LDAP pentru schimb de date, situat în dosar /etc/ldap/slapd.d.
Pentru a vă face o idee despre organizarea folderelor slapd.d, să fugim:
: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: total 8 drwxr-x --- 3 openldap openldap 4096 16 februarie 11:08 cn = config -rw ------- 1 openldap openldap 407 16 februarie 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: total 28 -rw ------- 1 openldap openldap 383 16 februarie 11:08 cn = module {0} .ldif drwxr-x --- 2 openldap openldap 4096 16 februarie 11:08 cn = schema -rw ------- 1 openldap openldap 325 16 februarie 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 16 februarie 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 16 februarie 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16 februarie 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16 februarie 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schema: total 40 -rw ------- 1 openldap openldap 15474 16 februarie 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 16 februarie 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 16 februarie 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 16 februarie 11:08 cn = {3} inetorgperson.ldif
Dacă ne uităm puțin la ieșirea anterioară, vedem că Backend utilizat în Squeeze este tipul bazei de date hdb, care este o variantă a BDB „Baza de date Berkeley” și că este complet ierarhizată și acceptă redenumirea subarborilor. Pentru a afla mai multe despre posibil Backend-uri care acceptă OpenLDAP, vizitați http://es.wikipedia.org/wiki/OpenLDAP.
Vedem, de asemenea, că sunt utilizate trei baze de date separate, adică una dedicată configurării, alta pentru Frontend, și ultima care este baza de date hdb în sine.
Mai mult decât atât, palmă este instalat implicit cu schemele Nucleu, cosinus, nis e persoana de internet.
Verifică după instalare
Într-un terminal executăm și citim calm ieșirile. Vom verifica, mai ales cu a doua comandă, configurația dedusă din listarea folderului slapd.d.
: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config | mai multe: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = module {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} core, cn = schema, cn = config dn: cn = {1} cosinus , cn = schema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetorgperson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config
Explicația fiecărei ieșiri:
- cn = config: Parametri globali.
- cn = module {0}, cn = config: Modul încărcat dinamic.
- cn = schemă, cn = config: Conține Greu codificat la nivelul schemelor sistemului.
- cn = {0} nucleu, cn = schemă, cn = config: Greu codificat a schemei nucleului.
- cn = {1} cosinus, cn = schemă, cn = config: Schema Cosinus.
- cn = {2} nis, cn = schemă, cn = config: Schema Nis.
- cn = {3} inetorgperson, cn = schemă, cn = config: Schema persoana de internet.
- olcBackend = {0} hdb, cn = config: Backend tipul de stocare a datelor hdb.
- olcDatabase = {- 1} frontend, cn = config: Frontend a bazei de date și a parametrilor impliciți pentru celelalte baze de date.
- olcDatabase = {0} config, cn = config: Baza de date de configurare a palmă (cn = config).
- olcDatabase = {1} hdb, cn = config: Instanța noastră de bază de date (dc = prieteni, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = exemplu, dc = com dn dn: dc = friends, dc = cu dn: cn = admin, dc = friends, dc = cu
- dc = prieteni, dc = cu: Arborele de informații al directorului de bază DIT
- cn = admin, dc = friends, dc = cu: Administrator (rootDN) al DIT declarat în timpul instalării.
Nota: Sufixul de bază dc = prieteni, dc = cu, Ia-l debconf în timpul instalării din FQDN de pe server mildap.amigos.cu.
Indici de luat în calcul
Indexarea intrărilor se efectuează pentru a îmbunătăți performanța căutărilor pe DIT, cu criterii de filtrare. Indicii pe care îi vom considera sunt minimul recomandat în funcție de atributele declarate în schemele implicite.
Pentru a modifica dinamic indexurile din baza de date, creăm un fișier text în format LDIF, iar ulterior îl adăugăm la baza de date. Creăm fișierul olcDbIndex.ldif și îl lăsăm cu următorul conținut:
: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modifica add: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: loginUb eD: : loginShell eq, olcDbIndex: login - add: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, sub, eD - add: add: ol , ou pres, eq, sub - add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: implicit sub - add: olcDbIndex olcDbIndex: mail eq, subinitial - add: olcDbIndex olcDbIndex
Adăugăm indexurile în baza de date și verificăm modificarea:
: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif
: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex
dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: uid presq, eq, cn presq olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: implicit sub olcDbIndex: mail eq, subinitial olcDbIndex: dc eq
Reguli de control al accesului la date
Regulile care sunt stabilite astfel încât utilizatorii să poată citi, modifica, adăuga și șterge date în baza de date Directory se numesc Control acces, în timp ce vom numi Liste de control acces sau «Lista de control acces ACL»La politicile care configurează regulile.
Pentru a ști care ACL-uri au fost declarate în mod implicit în timpul procesului de instalare a palmă, executăm:
: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess
: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} frontend)' olcAccess
: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess
: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix
Fiecare dintre comenzile anterioare ne va arăta ACL-uri că până acum am declarat în Directorul nostru. Mai exact, ultima comandă le arată pe toate, în timp ce primele trei ne oferă regulile de control al accesului pentru toate cele trei. DIT implicat în nostru palmă.
Pe marginea subiectului ACL-uri și pentru a nu face un articol mult mai lung, vă recomandăm să citiți paginile manualului om slapd.acces.
Pentru a garanta accesul utilizatorilor și administratorilor pentru a actualiza intrările lor de loginShell y Geckos, vom adăuga următorul ACL:
## Creăm fișierul olcAccess.ldif și îl lăsăm cu următorul conținut: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modifica add: olcAccess olcAccess: {1} to attrs = loginShell, gecos by dn = "cn = admin, dc = friends, dc = cu" write by self write by * citit
## Adăugăm ACL
: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif
# Verificăm modificările
ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix
Generarea certificatelor TLS în Squeeze
Pentru a avea o autentificare sigură cu serverul OpenLDAP, trebuie să o facem printr-o sesiune criptată pe care o putem realiza folosind TLS „Securitate stratului de transport” o Strat de transport sigur.
Serverul OpenLDAP și clienții săi pot utiliza cadru TLS pentru a oferi protecție cu privire la integritate și confidențialitate, precum și asistență pentru autentificarea LDAP sigură prin intermediul mecanismului SASL «Strat de autentificare și securitate simplu« Extern.
Serverele OpenLDAP moderne favorizează utilizarea */ StartTLS /* o Porniți un strat de transport sigur în /LDAPS: ///, care este învechit. Orice întrebare, vizitați * Începeți TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html
Lăsați fișierul ca instalat implicit / etc / implicit / slapd cu enunțul SLAPD_SERVICES = »ldap: /// ldapi: ///», cu scopul de a utiliza un canal criptat între client și server și aplicațiile auxiliare în sine pentru a administra OpenLDAP care sunt instalate local.
Metoda descrisă aici, pe baza pachetelor gnutls-bin y ssl-cert este valabil pentru Debian 6 „Squeeze” și, de asemenea, pentru Ubuntu Server 12.04. Pentru Debian 7 „Wheezy” o altă metodă bazată pe OpenSSL.
Generarea certificatelor în Squeeze se realizează după cum urmează:
1.- Instalăm pachetele necesare : ~ # aptitude install gnutls-bin ssl-cert 2.- Creăm cheia primară pentru autoritatea de certificare : ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem" 3.- Creăm un șablon pentru a defini CA (Autoritatea de certificare) : ~ # nano /etc/ssl/ca.info cn = Cuban Friends ca cert_signing_key 4.- Creăm certificatul CA Autosemnat sau Autosemnat pentru clienți : ~ # certtool --generate-self-signed \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem 5.- Generăm o cheie privată pentru server : ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem Nota: A inlocui "mildap„în numele fișierului de mai sus de cel al propriului dvs. server. Denumirea certificatului și a cheii, atât pentru server, cât și pentru serviciul care îl folosește, ne ajută să menținem lucrurile clare. 6.- Creăm fișierul /etc/ssl/mildap.info cu următorul conținut: : ~ # nano /etc/ssl/mildap.info organization = Cuban Friends cn = mildap.amigos.cu tls_www_server encryption_key signature_key expiration_days = 3650 Nota: În conținutul anterior declarăm că certificatul este valabil pentru o perioadă de timp de 10 ani. Parametrul trebuie să fie ajustat după comoditatea noastră. 7.- Creăm certificatul de server : ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem
Până acum am generat fișierele necesare, trebuie doar să adăugăm în Director locația certificatului autosemnat cacert.pem; cea a certificatului de server mildap-cert.pem; și cheia privată a serverului mildap-key.pem. De asemenea, trebuie să ajustăm permisiunile și proprietarul fișierelor generate.
: ~ # nano /etc/ssl/certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTLCert / etc. /mildap-key.pem 8.- Adăugați: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif 9.- Reglăm proprietarul și permisiunile : ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod sau /etc/ssl/private/mildap-key.pem
Certificatul cacert.pem Este cel pe care trebuie să îl copiem în fiecare client. Pentru ca acest certificat să fie utilizat pe serverul însuși, trebuie să îl declarăm în fișier /etc/ldap/ldap.conf. Pentru a face acest lucru, modificăm fișierul și îl lăsăm cu următorul conținut:
: ~ # nano /etc/ldap/ldap.conf BASE dc = friends, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem
În cele din urmă și, de asemenea, ca o verificare, repornim serviciul palmă și verificăm ieșirea din syslog de pe server, pentru a afla dacă serviciul a fost repornit corect folosind certificatul nou declarat.
: ~ # service slapd restart : ~ # tail / var / log / syslog
Dacă serviciul nu repornește corect sau observăm o eroare gravă în syslog, să nu ne descurajăm. Putem încerca să reparăm daunele sau să o luăm de la capăt. Dacă decidem să începem de la zero instalarea fișierului palmă, nu este necesar să ne formatați serverul.
Pentru a șterge tot ceea ce am făcut până acum dintr-un motiv sau altul, trebuie să dezinstalăm pachetul palmă, apoi ștergeți folderul / var / lib / ldap. De asemenea, trebuie să lăsăm fișierul în versiunea sa originală /etc/ldap/ldap.conf.
Este rar că totul funcționează corect la prima încercare. 🙂
Amintiți-vă că în următoarea tranșă vom vedea:
- Autentificare locală a utilizatorului
- Populați baza de date
- Gestionați baza de date folosind utilitarele consolei
- Rezumat până acum ...
Ne vedem curând prieteni !.
Profesor!!!
S-A INTAMPLAT CU TUTO!
este excelent
toate asemănările lumii pentru tine.
????
Multumesc frumos, Hugo !!! Așteptați următoarele articole pe această temă.
Hi
interesant seria ta de articole.
Am fost surprins să citesc această afirmație: „Serverele OpenLDAP moderne preferă utilizarea StartTLS sau Start a Secure Transport Layer față de vechiul protocol TLS / SSL, care este învechit”.
Susțineți că, în toate cazurile, chiar și în afara domeniului LDAP, STARTTLS este un mecanism de protecție superior TSL / SSL?
Mulțumesc pentru comentariu. Rețineți că mă refer la OpenLDAP. Nu exagerez. În http://www.openldap.org/faq/data/cache/185.html, puteți citi următoarele:
Transport Layer Security (TLS) este denumirea standard pentru Secure Socket Layer (SSL). Termenii (dacă nu sunt calificați cu numere de versiune specifice) sunt, în general, interschimbabili.
StartTLS este numele operației standard LDAP pentru inițierea TLS / SSL. TLS / SSL este inițiat după finalizarea cu succes a acestei operațiuni LDAP. Nu este necesar niciun port alternativ. Uneori este denumită operațiunea de upgrade TLS, deoarece actualizează o conexiune LDAP normală la una protejată de TLS / SSL.
ldaps: // și LDAPS se referă la „LDAP peste TLS / SSL” sau „LDAP securizat”. TLS / SSL este inițiat la conectarea la un port alternativ (în mod normal 636). Deși portul LDAPS (636) este înregistrat pentru această utilizare, detaliile mecanismului de inițiere TLS / SSL nu sunt standardizate.
Odată inițiat, nu există nicio diferență între ldaps: // și StartTLS. Aceștia împărtășesc aceleași opțiuni de configurare (cu excepția ldaps: // necesită configurarea unui ascultător separat, a se vedea opțiunea slapd (8) -h) și rezultă în stabilirea unor servicii de securitate asemănătoare.
Notă:
1) ldap: // + StartTLS ar trebui să fie direcționat către un port LDAP normal (în mod normal 389), nu către portul ldaps: //.
2) ldaps: // ar trebui să fie direcționat către un port LDAPS (în mod normal 636), nu către portul LDAP.
Ne pare rău, dar încă nu sunt sigur de ce susțineți că: 1) serverele moderne preferă STARTTLS decât SSL / TLS; 2) STARTTLS este modern, comparativ cu SSL / TLS, care este învechit.
Mă lupt de o jumătate de lună cu configurația diferiților clienți de poștă electronică care accesează serverul prin SSL (folosind biblioteci openssl, așa cum face majoritatea software-urilor gratuite), cu certificate CA în / etc / ssl / certs / și alte accesorii. Și ceea ce am învățat este că: 1) STARTTLS criptează doar autentificarea sesiunii și orice altceva este trimis necriptat; 2) SSL criptează absolut tot conținutul sesiunii. Prin urmare, în niciun caz STARTTLS nu este tehnic superior SSL; Aș prefera să fiu înclinat să cred opusul, deoarece conținutul sesiunii tale călătorește necriptat prin rețea.
Un alt lucru diferit este că STARTTLS este recomandat din alte motive pe care nu le cunosc: pentru compatibilitatea cu MSWindows, deoarece implementarea este mai stabilă sau este mai bine testată ... Nu știu. De aceea te întreb.
Din citatul din manualul pe care mi l-ați atașat în răspunsul dvs., văd că diferența dintre ldap: // și ldaps: // este echivalentă cu diferența dintre imap: // și imaps: //, sau între smtp : // și smtps: //: se folosește un port diferit, se adaugă o intrare suplimentară în fișierul de configurare, dar restul parametrilor sunt păstrați. Dar asta nu indică nimic despre preferința STARTTLS sau nu.
Salutări și scuze pentru răspuns. Încerc doar să învăț puțin mai mult.
Uite, este foarte rar ca în articolele mele să fac afirmații de acel calibru fără să fiu susținut de o publicație serioasă. La sfârșitul seriei voi include toate linkurile către documentația pe care o consider serioasă și pe care am consultat-o pentru a scrie postarea. Vă avans următoarele linkuri:
https://wiki.debian.org/LDAP/OpenLDAPSetup
Ghidul serverului Ubuntu https://code.launchpad.net/serverguide
OpenLDAP-Oficial http://www.openldap.org/doc/admin24/index.html
LDAP prin SSL / TLS și StartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/
Și, în plus, am consultat documentația de însoțire care este instalată cu fiecare pachet.
Problema securității în general și diferențele dintre StartTLS și TLS / SSL sunt foarte tehnice și de o asemenea profunzime încât nu mă consider a avea cunoștințele necesare pentru a da astfel de explicații. Cred că putem vorbi în continuare prin e-mail.
Mai mult, nicăieri nu afirm că LDAPS: // nu poate fi folosit. Dacă considerați că este mai sigur, atunci mergeți mai departe !!!
Nu te mai pot ajuta și apreciez foarte mult comentariile tale.
Un pic mai multă claritate, puteți obține-întotdeauna despre OpenLDAP- în:
http://www.openldap.org/faq/data/cache/605.html
Operațiunea extinsă StartTLS [RFC 2830] este mecanismul standard LDAPv3 pentru a permite protecția confidențialității datelor TLS (SSL). Mecanismul utilizează o operațiune extinsă LDAPv3 pentru a stabili o conexiune SSL / TLS criptată într-o conexiune LDAP deja stabilită. În timp ce mecanismul este conceput pentru a fi utilizat cu TLSv1, majoritatea implementărilor vor reveni la SSLv3 (și SSLv2), dacă este necesar.
ldaps: // este un mecanism pentru stabilirea unei conexiuni SSL / TLS criptate pentru LDAP. Necesită utilizarea unui port separat, de obicei 636. Deși inițial conceput pentru a fi utilizat cu LDAPv2 și SSLv2, multe implementări acceptă utilizarea acestuia cu LDAPv3 și TLSv1. Deși nu există specificații tehnice pentru ldaps: // este utilizat pe scară largă.
ldaps: // este depreciat în favoarea Start TLS [RFC2830]. OpenLDAP 2.0 acceptă ambele.
Din motive de securitate, serverul trebuie configurat să nu accepte SSLv2.
Acesta va fi unul dintre acele articole în care utilizatorii nu vor comenta deoarece, deoarece urmăresc porno doar pe stațiile lor Linux, pur și simplu nu sunt interesați. Despre ldap am mai multe servicii conexe în rețeaua eterogenă pentru compania la care lucrez. Bun articol !!
Multumesc pentru comentariu !!!. Și afirmația dvs. cu privire la puținele comentarii din multe dintre articolele mele este foarte adevărată. Cu toate acestea, primesc corespondență de la cititorii interesați sau de la alții care descarcă articolul pentru citire și aplicare ulterioară.
Este întotdeauna foarte util să ai feedback prin comentarii, chiar dacă acestea sunt: l-am salvat pentru o lectură ulterioară, interesantă sau pentru o altă opinie.
În ceea ce priveşte
The Freeke !!! Mulțumesc pentru comentariu. Am primit comentariul dvs. prin e-mail, dar nu îl văd, chiar dacă reîmprospătez pagina de mai multe ori. Prietene, poți testa acest lucru și articolele anterioare fără probleme pe Squeeze sau Ubuntu Server 12.04. În Wheezy, certificatele sunt generate într-un mod diferit, utilizând OpenSSL. Dar nimic. Cu respect, frate !!!.
@thisnameisfalse: Cel mai bun funcționar are o neclaritate. Datorită comentariilor dvs., cred că paragraful în cauză ar trebui să fie după cum urmează:
Serverele OpenLDAP moderne preferă utilizarea StartTLS sau Start a Secure Transport Layer, în locul protocolului LDAPS: //, care este învechit. Orice întrebare, accesați Start TLS v. ldaps: // ro http://www.openldap.org/faq/data/cache/605.html
În ceea ce priveşte
Perfect, chiar acum am teme pe ldap
Nu puteți pune totul într-un singur fișier, astfel încât să puteți descărca tutorialul complet
Sunt tehnician în informatică, cu o vastă experiență în Linux și încă mi-a fost dor de mijlocul articolului. Apoi am de gând să-l recitesc mai atent. Vă mulțumesc foarte mult pentru tutorial.
Deși este adevărat că ne permite să înțelegem mult mai multe de ce ActiveDirectory este de obicei ales pentru aceste lucruri. Există un univers al diferenței când vine vorba de simplitatea configurării și implementării.
În ceea ce priveşte
Va multumesc tuturor pentru comentarii !!!
@jose monge, sper sa te ajute
@walter la sfârșitul tuturor postărilor, voi vedea dacă pot face un compendiu în format html sau pdf
@eVeR invers, un OpenLDAP este mai simplu - chiar dacă nu pare un Active Directory. așteptați următoarele articole și veți vedea.
O interogare, fac instalarea pas cu pas, dar la repornirea serviciului slapd, îmi aruncă următoarea eroare>
30 iulie 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (17 mar 2014 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / debian / build / servers / slapd
30 iulie 15:27:37 xxxxx slapd [1219]: atribut NECUNOSCUTDescriere "CHANGETYPE" introdusă.
30 iulie 15:27:37 xxxxx slapd [1219]: atribut NECUNOSCUTDescrierea "ADAUGĂ" a fost inserată.
30 iulie 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): gol AttributeDescription
30 iulie 15:27:37 xxxxx slapd [1219]: slapd oprit.
30 iulie 15:27:37 xxxxx [1219]: connections_destroy: nimic de distrus.
puteți întreba în forum 😀 http://foro.desdelinux.net/
Pentru toți cei care văd această postare excelentă și bine explicată și această problemă se întâmplă la crearea ACL-urilor:
ldapmodify: format nevalid (linia 5) intrare: "olcDatabase = {1} hdb, dc = config"
După ce mi-am căutat capul căutând pe internet, se dovedește că ldapmodify este cel mai precis tip de pe web. Este isteric, cu personaje deplasate, precum și spații de urmărire. Fără alte întrebări, sfatul este să scrieți condiția secundară una lângă cealaltă sau prin X scrieți prin auto scriere prin * citit Dacă tot nu funcționează, instalați Notepad ++> Vizualizare> Afișați simbolul și, în cele din urmă, moartea caracterelor invizibile. Sper că cineva va fi de ajutor.
Generați certificate pentru Debian Wheezy pe baza OpenSSL, acest lucru poate servi:
http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/