Привет друзья!. Давайте перейдем к делу и, как мы всегда рекомендуем, прочитайте три предыдущие статьи этой серии:
- Служба каталогов с LDAP. Введение.
- Служба каталогов с LDAP [2]: NTP и dnsmasq.
- Служба каталогов с LDAP [3]: Isc-DHCP-сервер и Bind9.
DNS, DHCP и NTP - это минимально необходимые службы для нашего простого каталога на основе OpenLDAP родной, корректно работает на Debian 6.0 «Сжать»или в Ubuntu 12.04 LTS "Precise Pangolin".
Пример сети:
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
В первой части мы увидим:
- Установка OpenLDAP (slapd 2.4.23-7.3)
- Проверки после установки
- Индексы, которые нужно учитывать
- Правила контроля доступа к данным
- Генерация сертификатов TLS в Squeeze
а во второй части мы продолжим:
- Локальная аутентификация пользователя
- Заполнить базу данных
- Управляйте базой данных с помощью консольных утилит
- Резюме на данный момент ...
Установка OpenLDAP (slapd 2.4.23-7.3)
Сервер OpenLDAP устанавливается с помощью пакета шлепок. Мы также должны установить пакет ldap-утилиты, который предоставляет нам некоторые клиентские инструменты, а также собственные утилиты OpenLDAP.
: ~ # aptitude install slapd ldap-utils
В процессе установки Debconf Он попросит у нас пароль администратора или пользователя «Администратор«. Также установлен ряд зависимостей; пользователь создан openldap; создается начальная конфигурация сервера и каталог LDAP.
В более ранних версиях OpenLDAP конфигурация демона шлепок было сделано полностью через файл /etc/ldap/slapd.conf. В версии, которую мы используем, и более поздней, конфигурация выполняется тем же шлепок, и для этого DIT «Дерево информации каталога»Или информационное дерево каталога отдельно.
Метод конфигурации, известный как RTC «Конфигурация в реальном времени»Конфигурация в реальном времени или как метод cn = config, позволяет динамически настраивать шлепок без перезапуска службы.
База данных конфигурации состоит из набора текстовых файлов в формате ЛДИФ «Формат обмена данными LDAP»Формат LDAP для обмена данными, расположенный в папке /etc/ldap/slapd.d.
Чтобы получить представление об организации папок slapd.d, Давайте работать:
: ~ # ls -lR /etc/ldap/slapd.d/ /etc/ldap/slapd.d/: всего 8 drwxr-x --- 3 openldap openldap 4096 16 февраля 11:08 cn = config -rw ------- 1 openldap openldap 407 16 февраля 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: всего 28 -rw ------- 1 openldap openldap 383 16 февраля 11:08 cn = module {0} .ldif drwxr-x --- 2 openldap openldap 4096 16 февраля 11:08 cn = schema -rw ------- 1 openldap openldap 325 16 февраля 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 16 февраля 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 16 февраля 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16 февраля, 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16 февраля 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schema: total 40 -rw ------- 1 openldap openldap 15474 16 февраля 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 16 февраля 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 16 февраля 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 16 февраля, 11:08 cn = {3} inetorgperson.ldif
Если мы немного посмотрим на предыдущий вывод, мы увидим, что Backend в Squeeze используется тип базы данных HDB, который является вариантом BDB «База данных Беркли», и что она полностью иерархическая и поддерживает переименование поддеревьев. Чтобы узнать больше о возможном Backends который поддерживает OpenLDAP, посетите http://es.wikipedia.org/wiki/OpenLDAP.
Мы также видим, что используются три отдельные базы данных, то есть одна предназначена для конфигурации, а другая - для Frontend, и последний, который является базой данных HDB как таковой.
Кроме того, шлепок устанавливается по умолчанию вместе со схемами Основные, Косинус, Ниша e Инеторгперсон.
Проверки после установки
В терминале спокойно выполняем и читаем выводы. Мы проверим, особенно с помощью второй команды, конфигурацию, выведенную из списка папки slapd.d.
: ~ # ldapsearch -Q -LLL -Y ВНЕШНИЙ -H ldapi: /// -b cn = config | подробнее: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn dn: cn = config dn: cn = module {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} core, cn = schema, cn = config dn: cn = {1} cosine , cn = schema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetorgperson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} интерфейс, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config
Объяснение каждого вывода:
- cn = config: Глобальные параметры.
- cn = модуль {0}, cn = config: Динамически загружаемый модуль.
- cn = схема, cn = config: Содержит жестко на уровне схемотехники системы.
- cn = {0} core, cn = schema, cn = config: The жестко схемы ядра.
- cn = {1} косинус, cn = schema, cn = config: Схема Косинус.
- cn = {2} nis, cn = schema, cn = config: Схема Ниш.
- cn = {3} inetorgperson, cn = schema, cn = config: Схема Инеторгперсон.
- olcBackend = {0} hdb, cn = config: Backend тип хранения данных HDB.
- olcDatabase = {- 1} интерфейс, cn = config: Frontend базы данных и параметры по умолчанию для других баз данных.
- olcDatabase = {0} config, cn = config: база данных конфигурации шлепок (cn = config).
- olcDatabase = {1} hdb, cn = config: наш экземпляр базы данных (dc = друзья, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = пример, dc = com dn dn: dc = друзья, dc = cu dn: cn = admin, dc = друзья, dc = cu
- dc = друзья, dc = cu: Информационное дерево базового каталога DIT
- cn = admin, dc = друзья, dc = cu: Администратор (rootDN) DIT, объявленный во время установки.
примечание: Основной суффикс dc = друзья, dc = cu, взял его Debconf при установке из Полное доменное имя с сервера Mildap.amigos.cu.
Индексы, которые нужно учитывать
Индексация записей выполняется для повышения эффективности поиска на DIT, с критериями фильтрации. Рассматриваемые нами индексы являются минимально рекомендуемыми в соответствии с атрибутами, объявленными в схемах по умолчанию.
Чтобы динамически изменять индексы в базе данных, мы создаем текстовый файл в формате ЛДИФ, а позже добавляем в базу. Создаем файл olcDbIndex.ldif и оставляем его со следующим содержанием:
: ~ # нано olcDbIndex.ldif dn: olcDatabase = {1} hdb, cn = config changetype: изменить add: olcDbIndex olcDbIndex: uidNumber eq - добавить: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: memberUb eq, olcDbIndex: memberUid eq, olcDbIndex: memberUid eq, olcDbIndex: memberUid eq, olcDbIndex : loginShell eq, olcDbIndex: login - добавить: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - добавить: olcDbIndex olcDbIndex: sn, pres, subcDb given olcDbIndex: sn, pres, subc eq - addIndex: sn, prec, eq , ou pres, eq, sub - add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: sub - add: olcDbIndex olcDbIndex: mail eq, subinitial - add: olcDbIndex olcDbIndex: dcDbIndex
Добавляем индексы в базу и проверяем модификацию:
: ~ # ldapmodify -Y ВНЕШНИЙ -H ldapi: /// -f ./olcDbIndex.ldif : ~ # ldapsearch -Q -LLL -Y ВНЕШНИЙ -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: uid presc eq sub, olc eq olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: sub по умолчанию olcDbIndex: mail eq, subinitial olcDbIndex: dc eq
Правила контроля доступа к данным
Контроль доступа называется правилами, которые установлены таким образом, чтобы пользователи могли читать, изменять, добавлять и удалять данные в базе данных Справочника, в то время как мы будем называть списки контроля доступа или «Список контроля доступа ACL»К политикам, которые настраивают правила.
Чтобы знать, какие списки управления доступом были объявлены по умолчанию в процессе установки шлепок, выполняем:
: ~ # ldapsearch -Q -LLL -Y ВНЕШНИЙ -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcAccess : ~ # ldapsearch -Q -LLL -Y ВНЕШНИЙ -H ldapi: /// -b \ cn = config '(olcDatabase = {- 1} интерфейс)' olcAccess : ~ # ldapsearch -Q -LLL -Y ВНЕШНИЙ -H ldapi: /// -b \ cn = config '(olcDatabase = {0} config)' olcAccess : ~ # ldapsearch -Q -LLL -Y ВНЕШНИЙ -H ldapi: /// -b \ cn = config '(olcAccess = *)' olcAccess olcSuffix
Каждая из предыдущих команд покажет нам списки управления доступом что до сих пор мы заявляли в нашем Справочнике. В частности, последняя команда показывает их все, а первые три дают нам правила контроля доступа для всех трех. DIT участвует в наших шлепок.
По поводу списки управления доступом и, чтобы не делать намного более длинную статью, мы рекомендуем прочитать страницы руководства человек slapd.access.
Чтобы гарантировать доступ пользователей и администраторов к обновлению своих записей логинШелл y Гекконы, мы добавим следующий ACL:
## Мы создаем файл olcAccess.ldif и оставляем его со следующим содержимым: ~ # nano olcAccess.ldif dn: olcDatabase = {1} hdb, cn = config changetype: изменить add: olcAccess olcAccess: {1} на attrs = loginShell, gecos by dn = "cn = admin, dc = friends, dc = cu" написать самостоятельно написать * читать ## Добавляем ACL : ~ # ldapmodify -Y ВНЕШНИЙ -H ldapi: /// -f ./olcAccess.ldif # Проверяем изменения ldapsearch -Q -LLL -Y ВНЕШНИЙ -H ldapi: /// -b \ cn = config '(olcAccess = *)' olcAccess olcSuffix
Генерация сертификатов TLS в сжатии
Чтобы иметь безопасную аутентификацию с сервером OpenLDAP, мы должны сделать это через зашифрованный сеанс, которого мы можем достичь, используя TLS «Безопасность транспортного уровня» o Безопасный транспортный уровень.
Сервер OpenLDAP и его клиенты могут использовать рамки TLS для обеспечения защиты целостности и конфиденциальности, а также поддержки безопасной аутентификации LDAP через механизм SASL «Простая аутентификация и уровень безопасности« Внешний.
Современные серверы OpenLDAP предпочитают использование */ StartTLS /* o Запустить безопасный транспортный уровень на /LDAPS: ///, который устарел. По всем вопросам посетите * Start TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html
Просто оставьте файл установленным по умолчанию / и т.д. / по умолчанию / slapd с заявлением SLAPD_SERVICES = »ldap: /// ldapi: ///», с целью использования зашифрованного канала между клиентом и сервером и самих вспомогательных приложений для администрирования локально установленных OpenLDAP.
Описанный здесь метод на основе пакетов Gnutls-bin y SSL-сертификат это действительно для Debian 6 «Squeeze», а также для Ubuntu Server 12.04. Для Debian 7 "Wheezy" другой метод, основанный на OpenSSL.
Генерация сертификатов в Squeeze осуществляется следующим образом:
1.- Устанавливаем необходимые пакеты : ~ # aptitude install gnutls-bin ssl-cert 2.- Мы создаем первичный ключ для центра сертификации : ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem" 3.- Создаем шаблон для определения CA (центра сертификации) : ~ # nano /etc/ssl/ca.info cn = Кубинские друзья ca cert_signing_key 4.- Мы создаем самоподписанный или самоподписанный сертификат CA для клиентов. : ~ # certtool --generate-self-signed \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem 5.- Генерируем закрытый ключ для сервера : ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem примечание: Заменить "Mildap"в приведенном выше имени файла для вашего собственного сервера. Присвоение имени сертификату и ключу как для сервера, так и для службы, которая его использует, помогает нам сохранять ясность. 6.- Создаем файл /etc/ssl/mildap.info со следующим содержанием: : ~ # nano /etc/ssl/mildap.info organization = Кубинские друзья cn = mildap.amigos.cu tls_www_server encryption_key signed_key expiration_days = 3650 примечание: В предыдущем содержании мы заявляем, что сертификат действителен в течение 10 лет. Параметр должен быть настроен для нашего удобства. 7.- Создаем Сертификат Сервера : ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem
Пока мы сгенерировали необходимые файлы, нам нужно только добавить в каталог расположение самоподписанного сертификата. cacert.pem; сертификат сервера milap-cert.pem; и закрытый ключ сервера Mildap-key.pem. Мы также должны настроить разрешения и владельца сгенерированных файлов.
: ~ # нано /etc/ssl/certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - добавить: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pemLSCey / privateSCeyKey и т. д. -key.pem 8.- Добавляем: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif 9.- Настраиваем владельца и разрешения : ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod или /etc/ssl/private/mildap-key.pem
Сертификат cacert.pem Это то, что мы должны копировать в каждом клиенте. Чтобы этот сертификат использовался на самом сервере, мы должны объявить его в файле /etc/ldap/ldap.conf. Для этого мы модифицируем файл и оставляем его со следующим содержимым:
: ~ # нано /etc/ldap/ldap.conf БАЗА dc = друзья, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem
Наконец, а также в качестве проверки мы перезапускаем службу шлепок и мы проверяем вывод системный журнал с сервера, чтобы узнать, правильно ли была перезапущена служба с использованием вновь объявленного сертификата.
: ~ # перезапуск службы slapd : ~ # хвост / var / log / syslog
Если служба не перезагружается правильно или мы наблюдаем серьезную ошибку в системный журнал, не будем унывать. Мы можем попытаться устранить повреждение или начать все сначала. Если мы решим начать с нуля установку шлепок, наш сервер не нужно форматировать.
Чтобы стереть все, что мы сделали до сих пор по той или иной причине, мы должны удалить пакет шлепок, а затем удалите папку / var / lib / ldap. Мы также должны оставить файл в исходной версии /etc/ldap/ldap.conf.
Редко все работает правильно с первого раза. 🙂
Помните, что в следующей части мы увидим:
- Локальная аутентификация пользователя
- Заполнить базу данных
- Управляйте базой данных с помощью консольных утилит
- Резюме на данный момент ...
До скорой встречи, друзья !.
Учитель !!!
ЭТО ПРОИЗОШЛО С ПУЧКОЙ!
отлично
ВСЕ НРАВИТСЯ МИРА ДЛЯ ВАС.
????
Большое спасибо, Хьюго !!! Ждите следующих статей по теме.
Привет
интересна ваша серия статей.
Я был удивлен, прочитав следующее заявление: «Современные серверы OpenLDAP предпочитают использование StartTLS или Start a Secure Transport Layer старому протоколу TLS / SSL, который устарел».
Вы утверждаете, что во всех случаях, даже за пределами области действия LDAP, STARTTLS является механизмом защиты, превосходящим TSL / SSL?
Спасибо за комментарий. Обратите внимание, что я имею в виду OpenLDAP. Я не преувеличиваю. В http://www.openldap.org/faq/data/cache/185.html, вы можете прочитать следующее:
Transport Layer Security (TLS) - стандартное название Secure Socket Layer (SSL). Термины (если не указаны конкретные номера версий) обычно взаимозаменяемы.
StartTLS - это имя стандартной операции LDAP для инициирования TLS / SSL. TLS / SSL инициируется после успешного завершения этой операции LDAP. Альтернативный порт не требуется. Иногда это называют операцией обновления TLS, поскольку она обновляет обычное соединение LDAP до соединения, защищенного TLS / SSL.
ldaps: // и LDAPS относятся к «LDAP через TLS / SSL» или «Защищенному LDAP». TLS / SSL инициируется при подключении к альтернативному порту (обычно 636). Хотя порт LDAPS (636) зарегистрирован для этого использования, особенности механизма инициирования TLS / SSL не стандартизированы.
После запуска нет разницы между ldaps: // и StartTLS. Они используют одни и те же параметры конфигурации (за исключением ldaps: // требует настройки отдельного слушателя, см. Параметр -h в slapd (8)), и в результате создаются аналогичные службы безопасности.
Примечание:
1) ldap: // + StartTLS должен быть направлен на обычный порт LDAP (обычно 389), а не на порт ldaps: //.
2) ldaps: // должен быть направлен на порт LDAPS (обычно 636), а не на порт LDAP.
Извините, но я все еще не понимаю, почему вы утверждаете, что: 1) современные серверы предпочитают STARTTLS SSL / TLS; 2) STARTTLS является современным, в отличие от SSL / TLS, который устарел.
Я полмесяца боролся с настройкой различных почтовых клиентов, которые обращаются к серверу по SSL (используя библиотеки openssl, как и большинство бесплатных программ), с сертификатами CA в / etc / ssl / certs / и другими атрибутами. И я узнал, что: 1) STARTTLS шифрует только аутентификацию сеанса, а все остальное отправляет ее в незашифрованном виде; 2) SSL шифрует абсолютно все содержимое сеанса. Следовательно, STARTTLS ни в коем случае технически не превосходит SSL; Я бы предпочел думать иначе, поскольку содержимое вашего сеанса передается по сети в незашифрованном виде.
Другое дело, что STARTTLS рекомендуется по другим причинам, которых я не знаю: для совместимости с MSWindows, потому что реализация более стабильна или лучше протестирована ... Я не знаю. Вот почему я спрашиваю вас.
Из цитаты из руководства, которое вы приложили ко мне в своем ответе, я вижу, что разница между ldap: // и ldaps: // эквивалентна разнице между imap: // и imaps: // или между smtp : // и smtps: //: используется другой порт, в файл конфигурации добавляется некоторая дополнительная запись, но остальные параметры сохраняются. Но это ничего не говорит о том, предпочитаете STARTTLS или нет.
Приветствую и извиняюсь за ответ. Я просто пытаюсь узнать немного больше.
Послушайте, очень редко в своих статьях я делаю заявления такого калибра без поддержки каких-либо серьезных публикаций. В конце серии я включу все ссылки на документацию, которые я считаю серьезными и с которыми я консультировался, чтобы написать сообщение. Предлагаю вам следующие ссылки:
https://wiki.debian.org/LDAP/OpenLDAPSetup
Руководство по серверу Ubuntu https://code.launchpad.net/serverguide
OpenLDAP-Официальный http://www.openldap.org/doc/admin24/index.html
LDAP через SSL / TLS и StartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/
Кроме того, я ознакомился с сопроводительной документацией, установленной с каждым пакетом.
Проблема безопасности в целом и различия между StartTLS и TLS / SSL очень технические и настолько глубокие, что я не считаю себя обладающим необходимыми знаниями, чтобы давать такие объяснения. Думаю, мы можем продолжить общение по электронной почте.
Более того, я нигде не утверждаю, что LDAPS: // нельзя использовать. Если считаете безопаснее, то вперед !!!
Я больше не могу вам помочь, и я очень ценю ваши комментарии.
Немного больше ясности вы можете получить - всегда об OpenLDAP- в:
http://www.openldap.org/faq/data/cache/605.html
Расширенная операция StartTLS [RFC 2830] - это стандартный механизм LDAPv3 для включения защиты конфиденциальности данных TLS (SSL). Механизм использует расширенную операцию LDAPv3 для установления зашифрованного соединения SSL / TLS в уже установленном соединении LDAP. Хотя механизм разработан для использования с TLSv1, большинство реализаций при необходимости откатятся к SSLv3 (и SSLv2).
ldaps: // - это механизм для установления зашифрованного SSL / TLS-соединения для LDAP. Он требует использования отдельного порта, обычно 636. Хотя изначально он был разработан для использования с LDAPv2 и SSLv2, многие реализации поддерживают его использование с LDAPv3 и TLSv1. Хотя для ldaps: // нет технической спецификации, он широко используется.
ldaps: // устарел в пользу Start TLS [RFC2830]. OpenLDAP 2.0 поддерживает оба.
По соображениям безопасности сервер должен быть настроен так, чтобы не принимать SSLv2.
Это будет одна из тех статей, в которых пользователи не будут комментировать, потому что, так как они только смотреть порно на своих станциях Linux, они просто не заботятся. О LDAP У меня есть несколько сопутствующих услуг в гетерогенной сети для компании я работаю. Хорошая статья !!
Спасибо за комментарий !!!. И ваше утверждение очень верно относительно немногих комментариев во многих моих статьях. Тем не менее, я получаю письма от заинтересованных читателей или от тех, кто загружает статью для последующего чтения и применения.
Всегда очень полезно получать обратную связь через комментарии, даже если они есть: я сохранил их для последующего чтения, интересного или другого мнения.
привет
Freeke !!! Спасибо за комментарий. Я получил ваш комментарий по почте, но не вижу его, хотя обновляю страницу несколько раз. Друг, вы можете без проблем протестировать эту и предыдущие статьи на Squeeze или Ubuntu Server 12.04. В Wheezy сертификаты генерируются иначе, с использованием OpenSSL. Но ничего. С уважением, брат !!!.
@thisnameisfalse: у лучшего клерка размытие. Благодаря вашим комментариям я думаю, что рассматриваемый абзац должен быть следующим:
Современные серверы OpenLDAP предпочитают использование StartTLS или Start a Secure Transport Layer протоколу LDAPS: //, который является устаревшим. Если возникнут вопросы, посетите Start TLS v. ldaps: // ru http://www.openldap.org/faq/data/cache/605.html
привет
Отлично, сейчас у меня домашнее задание по ldap
Вы не можете поместить все в один файл, поэтому вы можете загрузить полное руководство
Я компьютерный техник с большим опытом работы в Linux, но все же запутался в середине статьи. Затем я перечитаю его более внимательно. Большое спасибо за учебник.
Хотя это правда, что это позволяет нам гораздо больше понять, почему для этих целей обычно выбирают ActiveDirectory. Когда дело доходит до простоты настройки и реализации, существует масса различий.
привет
Спасибо всем за комментарии!
@jose monge, надеюсь, это вам поможет
@walter в конце всех постов, посмотрю, смогу ли я сделать сборник в формате html или pdf
@eVeR наоборот, OpenLDAP проще - хотя это может показаться и не так - чем Active Directory. ждите следующих статей и увидите.
Запрос, я выполняю установку шаг за шагом, но при перезапуске службы slapd выдает следующую ошибку>
30 июля, 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (17 марта 2014 г., 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / дебиан / сборка / серверы / slapd
30 июля, 15:27:37 xxxxx slapd [1219]: НЕИЗВЕСТНЫЙ атрибут Описание "CHANGETYPE" вставлено.
30 июля, 15:27:37 xxxxx slapd [1219]: НЕИЗВЕСТНЫЙ атрибут Описание "ДОБАВИТЬ" вставлено.
30 июля, 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): empty AttributeDescription
30 июля, 15:27:37 xxxxx slapd [1219]: slapd остановлен.
30 июля, 15:27:37 xxxxx [1219]: connections_destroy: нечего разрушать.
можно спросить в форуме 😀 http://foro.desdelinux.net/
Для всех, кто видит этот отличный и хорошо объясненный пост, и эта проблема возникает при создании ACL:
ldapmodify: недопустимый формат (строка 5): "olcDatabase = {1} hdb, dc = config"
После ломки головы в интернете выяснилось, что ldapmodify - самый точный тип из существующих в сети. Это истерично с неуместными символами, а также с конечными пробелами. Без лишних слов, совет: писать по условию рядом друг с другом или по X писать самостоятельно писать по * чтению. Если это все еще не работает, установите Notepad ++> View> Show symbol и, наконец, смерть невидимым персонажам. Надеюсь, кому-то поможет.
Генерация сертификатов для Debian Wheezy на основе OpenSSL может служить:
http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/