Служба каталогов с LDAP [4]: ​​OpenLDAP (I)

Привет друзья!. Давайте перейдем к делу и, как мы всегда рекомендуем, прочитайте три предыдущие статьи этой серии:

DNS, DHCP и NTP - это минимально необходимые службы для нашего простого каталога на основе OpenLDAP родной, корректно работает на Debian 6.0 «Сжать»или в Ubuntu 12.04 LTS "Precise Pangolin".

Пример сети:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

В первой части мы увидим:

  • Установка OpenLDAP (slapd 2.4.23-7.3)
  • Проверки после установки
  • Индексы, которые нужно учитывать
  • Правила контроля доступа к данным
  • Генерация сертификатов TLS в Squeeze

а во второй части мы продолжим:

  • Локальная аутентификация пользователя
  • Заполнить базу данных
  • Управляйте базой данных с помощью консольных утилит
  • Резюме на данный момент ...

Установка OpenLDAP (slapd 2.4.23-7.3)

Сервер OpenLDAP устанавливается с помощью пакета шлепок. Мы также должны установить пакет ldap-utils, который предоставляет нам некоторые клиентские инструменты, а также собственные утилиты OpenLDAP.

: ~ # aptitude install slapd ldap-utils

В процессе установки Debconf Он попросит у нас пароль администратора или пользователя «админ«. Также установлен ряд зависимостей; пользователь создан openldap; создается начальная конфигурация сервера и каталог LDAP.

В более ранних версиях OpenLDAP конфигурация демона шлепок было сделано полностью через файл /etc/ldap/slapd.conf. В версии, которую мы используем, и более поздней, конфигурация выполняется тем же шлепок, и для этого DIT «Дерево информации каталога»Или информационное дерево каталога отдельно.

Метод конфигурации, известный как RTC «Конфигурация в реальном времени»Конфигурация в реальном времени или как метод cn = config, позволяет динамически настраивать шлепок без перезапуска службы.

База данных конфигурации состоит из набора текстовых файлов в формате LDIF «Формат обмена данными LDAP»Формат LDAP для обмена данными, расположенный в папке /etc/ldap/slapd.d.

Чтобы получить представление об организации папок slapd.d, Давайте работать:

: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: всего 8 drwxr-x --- 3 openldap openldap 4096 16 февраля 11:08 cn = config -rw ------- 1 openldap openldap 407 16 февраля 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: всего 28 -rw ------- 1 openldap openldap 383 16 февраля 11:08 cn = module {0} .ldif drwxr-x --- 2 openldap openldap 4096 16 февраля 11:08 cn = schema -rw ------- 1 openldap openldap 325 16 февраля 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 16 февраля 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 16 февраля 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16 февраля, 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16 февраля 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schema: total 40 -rw ------- 1 openldap openldap 15474 16 февраля 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 16 февраля 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 16 февраля 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 16 февраля, 11:08 cn = {3} inetorgperson.ldif

Если мы немного посмотрим на предыдущий вывод, мы увидим, что Backend в Squeeze используется тип базы данных HDB, который является вариантом BDB «База данных Беркли», и что она полностью иерархическая и поддерживает переименование поддеревьев. Чтобы узнать больше о возможном Backends который поддерживает OpenLDAP, посетите http://es.wikipedia.org/wiki/OpenLDAP.

Мы также видим, что используются три отдельные базы данных, то есть одна предназначена для конфигурации, а другая - для Frontend, и последний, который является базой данных HDB как таковой.

Кроме того, шлепок устанавливается по умолчанию вместе со схемами Основные, Косинус, Ниша e Inetorgperson.

Проверки после установки

В терминале спокойно выполняем и читаем выводы. Мы проверим, особенно с помощью второй команды, конфигурацию, выведенную из списка папки slapd.d.

: ~ # ldapsearch -Q -LLL -Y ВНЕШНИЙ -H ldapi: /// -b cn = config | подробнее: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = module {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} core, cn = schema, cn = config dn: cn = {1} cosine , cn = schema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetorgperson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} интерфейс, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config

Объяснение каждого вывода:

  • cn = config: Глобальные параметры.
  • cn = модуль {0}, cn = config: Динамически загружаемый модуль.
  • cn = схема, cn = config: Содержит жестко на уровне схемотехники системы.
  • cn = {0} core, cn = schema, cn = config: The жестко схемы ядра.
  • cn = {1} косинус, cn = schema, cn = config: Схема Косинус.
  • cn = {2} nis, cn = schema, cn = config: Схема Ниш.
  • cn = {3} inetorgperson, cn = schema, cn = config: Схема Inetorgperson.
  • olcBackend = {0} hdb, cn = config: Backend тип хранения данных HDB.
  • olcDatabase = {- 1} интерфейс, cn = config: Frontend базы данных и параметры по умолчанию для других баз данных.
  • olcDatabase = {0} config, cn = config: база данных конфигурации шлепок (cn = config).
  • olcDatabase = {1} hdb, cn = config: наш экземпляр базы данных (dc = друзья, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = пример, dc = com dn
dn: dc = друзья, dc = cu dn: cn = admin, dc = друзья, dc = cu
  • dc = друзья, dc = cu: Информационное дерево базового каталога DIT
  • cn = admin, dc = друзья, dc = cu: Администратор (rootDN) DIT, объявленный во время установки.

примечание: Основной суффикс dc = друзья, dc = cu, взял его Debconf при установке из Полное доменное имя с сервера mildap.amigos.cu.

Индексы, которые нужно учитывать

Индексация записей выполняется для повышения эффективности поиска на DIT, с критериями фильтрации. Рассматриваемые нами индексы являются минимально рекомендуемыми в соответствии с атрибутами, объявленными в схемах по умолчанию.

Чтобы динамически изменять индексы в базе данных, мы создаем текстовый файл в формате LDIF, а позже добавляем в базу. Создаем файл olcDbIndex.ldif и оставляем его со следующим содержанием:

: ~ # нано olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: изменить add: olcDbIndex olcDbIndex: uidNumber eq - добавить: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: memberUb eq, olcDbIndex: memberUid eq, olcDbIndex: memberUid eq, olcDbIndex: memberUid eq, olcDbIndex : loginShell eq, olcDbIndex: login - добавить: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - добавить: olcDbIndex olcDbIndex: sn, pres, subcDb given olcDbIndex: sn, pres, subc eq - addIndex: sn, prec, eq , ou pres, eq, sub - add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: sub - add: olcDbIndex olcDbIndex: mail eq, subinitial - add: olcDbIndex olcDbIndex: dcDbIndex

Добавляем индексы в базу и проверяем модификацию:

: ~ # ldapmodify -Y ВНЕШНИЙ -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # ldapsearch -Q -LLL -Y ВНЕШНИЙ -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex

dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: uid presc eq sub, olc eq olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: sub по умолчанию olcDbIndex: mail eq, subinitial olcDbIndex: dc eq

Правила контроля доступа к данным

Контроль доступа называется правилами, которые установлены таким образом, чтобы пользователи могли читать, изменять, добавлять и удалять данные в базе данных Справочника, в то время как мы будем называть списки контроля доступа или «Список контроля доступа ACL»К политикам, которые настраивают правила.

Чтобы знать, какие списки управления доступом были объявлены по умолчанию в процессе установки шлепок, выполняем:

: ~ # ldapsearch -Q -LLL -Y ВНЕШНИЙ -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess

: ~ # ldapsearch -Q -LLL -Y ВНЕШНИЙ -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} интерфейс)' olcAccess

: ~ # ldapsearch -Q -LLL -Y ВНЕШНИЙ -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess

: ~ # ldapsearch -Q -LLL -Y ВНЕШНИЙ -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Каждая из предыдущих команд покажет нам списки управления доступом что до сих пор мы заявляли в нашем Справочнике. В частности, последняя команда показывает их все, а первые три дают нам правила контроля доступа для всех трех. DIT участвует в наших шлепок.

По поводу списки управления доступом и, чтобы не делать намного более длинную статью, мы рекомендуем прочитать страницы руководства человек slapd.access.

Чтобы гарантировать доступ пользователей и администраторов к обновлению своих записей loginShell y Гекконы, мы добавим следующий ACL:

## Мы создаем файл olcAccess.ldif и оставляем его со следующим содержимым: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: изменить add: olcAccess olcAccess: {1} на attrs = loginShell, gecos by dn = "cn = admin, dc = friends, dc = cu" написать самостоятельно написать * читать

## Добавляем ACL
: ~ # ldapmodify -Y ВНЕШНИЙ -H ldapi: /// -f ./olcAccess.ldif

# Проверяем изменения
ldapsearch -Q -LLL -Y ВНЕШНИЙ -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Генерация сертификатов TLS в сжатии

Чтобы иметь безопасную аутентификацию с сервером OpenLDAP, мы должны сделать это через зашифрованный сеанс, которого мы можем достичь, используя TLS «Безопасность транспортного уровня» o Безопасный транспортный уровень.

Сервер OpenLDAP и его клиенты могут использовать рамки TLS для обеспечения защиты целостности и конфиденциальности, а также поддержки безопасной аутентификации LDAP через механизм SASL «Простая аутентификация и уровень безопасности« Внешний.

Современные серверы OpenLDAP предпочитают использование */ StartTLS /* o Запустить безопасный транспортный уровень на /LDAPS: ///, который устарел. По всем вопросам посетите * Start TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html

Просто оставьте файл установленным по умолчанию / и т.д. / по умолчанию / slapd с заявлением SLAPD_SERVICES = »ldap: /// ldapi: ///», с целью использования зашифрованного канала между клиентом и сервером и самих вспомогательных приложений для администрирования локально установленных OpenLDAP.

Описанный здесь метод на основе пакетов Gnutls-bin y SSL-сертификат это действительно для Debian 6 «Squeeze», а также для Ubuntu Server 12.04. Для Debian 7 "Wheezy" другой метод, основанный на OpenSSL.

Генерация сертификатов в Squeeze осуществляется следующим образом:

1.- Устанавливаем необходимые пакеты
: ~ # aptitude install gnutls-bin ssl-cert

2.- Мы создаем первичный ключ для центра сертификации
: ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3.- Создаем шаблон для определения CA (центра сертификации)
: ~ # nano /etc/ssl/ca.info cn = Кубинские друзья ca cert_signing_key

4.- Мы создаем самоподписанный или самоподписанный сертификат CA для клиентов.
: ~ # certtool --generate-self-signed \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem

5.- Генерируем закрытый ключ для сервера
: ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem

примечание: Заменить "Mildap"в приведенном выше имени файла для вашего собственного сервера. Присвоение имени сертификату и ключу как для сервера, так и для службы, которая его использует, помогает нам сохранять ясность.

6.- Создаем файл /etc/ssl/mildap.info со следующим содержанием:
: ~ # nano /etc/ssl/mildap.info organization = Кубинские друзья cn = mildap.amigos.cu tls_www_server encryption_key signed_key expiration_days = 3650

примечание: В предыдущем содержании мы заявляем, что сертификат действителен в течение 10 лет. Параметр должен быть настроен для нашего удобства.

7.- Создаем Сертификат Сервера
: ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem

Пока мы сгенерировали необходимые файлы, нам нужно только добавить в каталог расположение самоподписанного сертификата. cacert.pem; сертификат сервера mildap-cert.pem; и закрытый ключ сервера mildap-key.pem. Мы также должны настроить разрешения и владельца сгенерированных файлов.

: ~ # нано /etc/ssl/certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - добавить: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pemLSCey / privateSCeyKey и т. д. -key.pem

8.- Добавляем: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

9.- Настраиваем владельца и разрешения
: ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod или /etc/ssl/private/mildap-key.pem

Сертификат cacert.pem Это то, что мы должны копировать в каждом клиенте. Чтобы этот сертификат использовался на самом сервере, мы должны объявить его в файле /etc/ldap/ldap.conf. Для этого мы модифицируем файл и оставляем его со следующим содержимым:

: ~ # нано /etc/ldap/ldap.conf
БАЗА dc = друзья, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

Наконец, а также в качестве проверки мы перезапускаем службу шлепок и мы проверяем вывод системный журнал с сервера, чтобы узнать, правильно ли была перезапущена служба с использованием вновь объявленного сертификата.

: ~ # перезапуск службы slapd
: ~ # хвост / var / log / syslog

Если служба не перезагружается правильно или мы наблюдаем серьезную ошибку в системный журнал, не будем унывать. Мы можем попытаться устранить повреждение или начать все сначала. Если мы решим начать с нуля установку шлепок, наш сервер не нужно форматировать.

Чтобы стереть все, что мы сделали до сих пор по той или иной причине, мы должны удалить пакет шлепок, а затем удалите папку / var / lib / ldap. Мы также должны оставить файл в исходной версии /etc/ldap/ldap.conf.

Редко все работает правильно с первого раза. 🙂

Помните, что в следующей части мы увидим:

  • Локальная аутентификация пользователя
  • Заполнить базу данных
  • Управляйте базой данных с помощью консольных утилит
  • Резюме на данный момент ...

До скорой встречи, друзья !.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

19 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Хьюго сказал

    Учитель !!!
    ЭТО ПРОИЗОШЛО С ПУЧКОЙ!
    отлично
    ВСЕ НРАВИТСЯ МИРА ДЛЯ ВАС.
    ????

    1.    Federico сказал

      Большое спасибо, Хьюго !!! Ждите следующих статей по теме.

  2.   это имя сказал

    Привет

    интересна ваша серия статей.

    Я был удивлен, прочитав следующее заявление: «Современные серверы OpenLDAP предпочитают использование StartTLS или Start a Secure Transport Layer старому протоколу TLS / SSL, который устарел».

    Вы утверждаете, что во всех случаях, даже за пределами области действия LDAP, STARTTLS является механизмом защиты, превосходящим TSL / SSL?

    1.    Federico сказал

      Спасибо за комментарий. Обратите внимание, что я имею в виду OpenLDAP. Я не преувеличиваю. В http://www.openldap.org/faq/data/cache/185.html, вы можете прочитать следующее:

      Transport Layer Security (TLS) - стандартное название Secure Socket Layer (SSL). Термины (если не указаны конкретные номера версий) обычно взаимозаменяемы.

      StartTLS - это имя стандартной операции LDAP для инициирования TLS / SSL. TLS / SSL инициируется после успешного завершения этой операции LDAP. Альтернативный порт не требуется. Иногда это называют операцией обновления TLS, поскольку она обновляет обычное соединение LDAP до соединения, защищенного TLS / SSL.

      ldaps: // и LDAPS относятся к «LDAP через TLS / SSL» или «Защищенному LDAP». TLS / SSL инициируется при подключении к альтернативному порту (обычно 636). Хотя порт LDAPS (636) зарегистрирован для этого использования, особенности механизма инициирования TLS / SSL не стандартизированы.

      После запуска нет разницы между ldaps: // и StartTLS. Они используют одни и те же параметры конфигурации (за исключением ldaps: // требует настройки отдельного слушателя, см. Параметр -h в slapd (8)), и в результате создаются аналогичные службы безопасности.
      Примечание:
      1) ldap: // + StartTLS должен быть направлен на обычный порт LDAP (обычно 389), а не на порт ldaps: //.
      2) ldaps: // должен быть направлен на порт LDAPS (обычно 636), а не на порт LDAP.

      1.    это имя сказал

        Извините, но я все еще не понимаю, почему вы утверждаете, что: 1) современные серверы предпочитают STARTTLS SSL / TLS; 2) STARTTLS является современным, в отличие от SSL / TLS, который устарел.

        Я полмесяца боролся с настройкой различных почтовых клиентов, которые обращаются к серверу по SSL (используя библиотеки openssl, как и большинство бесплатных программ), с сертификатами CA в / etc / ssl / certs / и другими атрибутами. И я узнал, что: 1) STARTTLS шифрует только аутентификацию сеанса, а все остальное отправляет ее в незашифрованном виде; 2) SSL шифрует абсолютно все содержимое сеанса. Следовательно, STARTTLS ни в коем случае технически не превосходит SSL; Я бы предпочел думать иначе, поскольку содержимое вашего сеанса передается по сети в незашифрованном виде.

        Другое дело, что STARTTLS рекомендуется по другим причинам, которых я не знаю: для совместимости с MSWindows, потому что реализация более стабильна или лучше протестирована ... Я не знаю. Вот почему я спрашиваю вас.

        Из цитаты из руководства, которое вы приложили ко мне в своем ответе, я вижу, что разница между ldap: // и ldaps: // эквивалентна разнице между imap: // и imaps: // или между smtp : // и smtps: //: используется другой порт, в файл конфигурации добавляется некоторая дополнительная запись, но остальные параметры сохраняются. Но это ничего не говорит о том, предпочитаете STARTTLS или нет.

        Приветствую и извиняюсь за ответ. Я просто пытаюсь узнать немного больше.

        1.    Federico сказал

          Послушайте, очень редко в своих статьях я делаю заявления такого калибра без поддержки каких-либо серьезных публикаций. В конце серии я включу все ссылки на документацию, которые я считаю серьезными и с которыми я консультировался, чтобы написать сообщение. Предлагаю вам следующие ссылки:

          https://wiki.debian.org/LDAP/OpenLDAPSetup
          Ubuntu ServerGuide https://code.launchpad.net/serverguide
          OpenLDAP-Официальный http://www.openldap.org/doc/admin24/index.html
          LDAP через SSL / TLS и StartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/

          Кроме того, я ознакомился с сопроводительной документацией, установленной с каждым пакетом.

          Проблема безопасности в целом и различия между StartTLS и TLS / SSL очень технические и настолько глубокие, что я не считаю себя обладающим необходимыми знаниями, чтобы давать такие объяснения. Думаю, мы можем продолжить общение по электронной почте.

          Более того, я нигде не утверждаю, что LDAPS: // нельзя использовать. Если считаете безопаснее, то вперед !!!

          Я больше не могу вам помочь, и я очень ценю ваши комментарии.

        2.    Federico сказал

          Немного больше ясности вы можете получить - всегда об OpenLDAP- в:
          http://www.openldap.org/faq/data/cache/605.html

          Расширенная операция StartTLS [RFC 2830] - это стандартный механизм LDAPv3 для включения защиты конфиденциальности данных TLS (SSL). Механизм использует расширенную операцию LDAPv3 для установления зашифрованного соединения SSL / TLS в уже установленном соединении LDAP. Хотя механизм разработан для использования с TLSv1, большинство реализаций при необходимости откатятся к SSLv3 (и SSLv2).

          ldaps: // - это механизм для установления зашифрованного SSL / TLS-соединения для LDAP. Он требует использования отдельного порта, обычно 636. Хотя изначально он был разработан для использования с LDAPv2 и SSLv2, многие реализации поддерживают его использование с LDAPv3 и TLSv1. Хотя для ldaps: // нет технической спецификации, он широко используется.

          ldaps: // устарел в пользу Start TLS [RFC2830]. OpenLDAP 2.0 поддерживает оба.
          По соображениям безопасности сервер должен быть настроен так, чтобы не принимать SSLv2.

  3.   Freebsddick сказал

    Это будет одна из тех статей, в которых пользователи не будут комментировать, потому что, так как они только смотреть порно на своих станциях Linux, они просто не заботятся. О LDAP У меня есть несколько сопутствующих услуг в гетерогенной сети для компании я работаю. Хорошая статья !!

    1.    Federico сказал

      Спасибо за комментарий !!!. И ваше утверждение очень верно относительно немногих комментариев во многих моих статьях. Тем не менее, я получаю письма от заинтересованных читателей или от тех, кто загружает статью для последующего чтения и применения.

      Всегда очень полезно получать обратную связь через комментарии, даже если они есть: я сохранил их для последующего чтения, интересного или другого мнения.

      привет

  4.   Federico сказал

    Freeke !!! Спасибо за комментарий. Я получил ваш комментарий по почте, но не вижу его, хотя обновляю страницу несколько раз. Друг, вы можете без проблем протестировать эту и предыдущие статьи на Squeeze или Ubuntu Server 12.04. В Wheezy сертификаты генерируются иначе, с использованием OpenSSL. Но ничего. С уважением, брат !!!.

  5.   Federico сказал

    @thisnameisfalse: у лучшего клерка размытие. Благодаря вашим комментариям я думаю, что рассматриваемый абзац должен быть следующим:

    Современные серверы OpenLDAP предпочитают использование StartTLS или Start a Secure Transport Layer протоколу LDAPS: //, который является устаревшим. Если возникнут вопросы, посетите Start TLS v. ldaps: // ru http://www.openldap.org/faq/data/cache/605.html

    привет

  6.   Хосе Монге сказал

    Отлично, сейчас у меня домашнее задание по ldap

  7.   Вальтер сказал

    Вы не можете поместить все в один файл, поэтому вы можете загрузить полное руководство

  8.   Когда-либо сказал

    Я компьютерный техник с большим опытом работы в Linux, но все же запутался в середине статьи. Затем я перечитаю его более внимательно. Большое спасибо за учебник.
    Хотя это правда, что это позволяет нам гораздо больше понять, почему для этих целей обычно выбирают ActiveDirectory. Когда дело доходит до простоты настройки и реализации, существует масса различий.
    привет

  9.   Federico сказал

    Спасибо всем за комментарии!
    @jose monge, надеюсь, это вам поможет
    @walter в конце всех постов, посмотрю, смогу ли я сделать сборник в формате html или pdf
    @eVeR наоборот, OpenLDAP проще - хотя это может показаться и не так - чем Active Directory. ждите следующих статей и увидите.

  10.   Marcelo сказал

    Запрос, я выполняю установку шаг за шагом, но при перезапуске службы slapd выдает следующую ошибку>

    30 июля, 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (17 марта 2014 г., 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / дебиан / сборка / серверы / slapd
    30 июля, 15:27:37 xxxxx slapd [1219]: НЕИЗВЕСТНЫЙ атрибут Описание "CHANGETYPE" вставлено.
    30 июля, 15:27:37 xxxxx slapd [1219]: НЕИЗВЕСТНЫЙ атрибут Описание "ДОБАВИТЬ" вставлено.
    30 июля, 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): empty AttributeDescription
    30 июля, 15:27:37 xxxxx slapd [1219]: slapd остановлен.
    30 июля, 15:27:37 xxxxx [1219]: connections_destroy: нечего разрушать.

    1.    x11tete11x сказал

      можно спросить в форуме 😀 http://foro.desdelinux.net/

  11.   педроп сказал

    Для всех, кто видит этот отличный и хорошо объясненный пост, и эта проблема возникает при создании ACL:
    ldapmodify: недопустимый формат (строка 5): "olcDatabase = {1} hdb, dc = config"

    После ломки головы в интернете выяснилось, что ldapmodify - самый точный тип из существующих в сети. Это истерично с неуместными символами, а также с конечными пробелами. Без лишних слов, совет: писать по условию рядом друг с другом или по X писать самостоятельно писать по * чтению. Если это все еще не работает, установите Notepad ++> View> Show symbol и, наконец, смерть невидимым персонажам. Надеюсь, кому-то поможет.

  12.   педроп сказал

    Генерация сертификатов для Debian Wheezy на основе OpenSSL может служить:
    http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/