Dobrý deň, priatelia!. Poďme na vec a ako vždy odporúčame, prečítajte si predchádzajúce tri články v sérii:
- Adresárová služba s LDAP. Úvod.
- Adresárová služba s LDAP [2]: NTP a dnsmasq.
- Adresárová služba s LDAP [3]: Isc-DHCP-Server a Bind9.
DNS, DHCP a NTP sú minimálne základné služby pre náš jednoduchý adresár založený na OpenLDAP natívny, pracuje správne na Debian 6.0 „Squeeze“, alebo v Ubuntu 12.04 LTS «Precise Pangolin».
Príklad siete:
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
V prvej časti uvidíme:
- Inštalácia OpenLDAP (facka 2.4.23-7.3)
- Kontroly po inštalácii
- Indexy, ktoré sa majú zohľadniť
- Pravidlá kontroly prístupu k údajom
- Generovanie certifikátov TLS v Squeeze
zatiaľ čo v druhej časti budeme pokračovať:
- Lokálna autentifikácia užívateľa
- Vyplňte databázu
- Spravujte databázu pomocou obslužných programov konzoly
- Zhrnutie zatiaľ ...
Inštalácia OpenLDAP (facka 2.4.23-7.3)
Server OpenLDAP je nainštalovaný pomocou balíka facka. Musíme tiež nainštalovať balík ldap-utils, ktorá nám poskytuje niektoré nástroje na strane klienta, ako aj vlastné nástroje OpenLDAP.
: ~ # aptitude install slapd ldap-utils
Počas procesu inštalácie sa zobrazí debconf Požiada nás o heslo správcu alebo používateľa «admin«. Je tiež nainštalovaných niekoľko závislostí; používateľ je vytvorený openldap; vytvorí sa počiatočná konfigurácia servera a adresár LDAP.
V starších verziách OpenLDAP bola konfigurácia démona facka sa uskutočnilo úplne prostredníctvom súboru /etc/ldap/slapd.conf. Vo verzii, ktorú používame, a neskôr sa konfigurácia vykonáva rovnako facka, a na tento účel a DIT «Strom informácií o adresári»Alebo strom informácií o adresároch, zvlášť.
Metóda konfigurácie známa ako RTC «Konfigurácia v reálnom čase»Konfigurácia v reálnom čase alebo ako metóda cn = konfigurácia, nám umožňuje dynamicky konfigurovať facka bez nutnosti reštartu služby.
Konfiguračná databáza pozostáva z kolekcie textových súborov vo formáte LDIF «Formát výmeny údajov LDAP»Formát LDAP pre výmenu údajov, ktorý sa nachádza v priečinku /etc/ldap/slapd.d.
Ak chcete získať predstavu o organizácii priečinkov slapd.d, spustime:
: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: spolu 8 drwxr-x --- 3 openldap openldap 4096 16. februára 11:08 cn = config -rw ------- 1 openldap openldap 407 16. februára 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: celkom 28 -rw ------- 1 openldap openldap 383 16. februára 11:08 cn = modul {0} .ldif drwxr-x --- 2 openldap openldap 4096 16. februára 11:08 cn = schéma -rw ------- 1 openldap openldap 325 16. februára 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 16. februára 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 16. februára 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16. feb 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16. feb 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schéma: celkom 40 -rw ------- 1 openldap openldap 15474 16. februára 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 16. februára 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 16. februára 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 16. februára 11:08 cn = {3} inetorgperson.ldif
Ak sa trochu pozrieme na predchádzajúci výstup, zistíme, že backend použitý v Squeeze je typ databázy hdb, čo je variant bdb „Berkeley Database“, a že je plne hierarchická a podporuje premenovanie podstromov. Ak sa chcete dozvedieť viac o možných Backendy ktorý podporuje OpenLDAP, navštívte stránku http://es.wikipedia.org/wiki/OpenLDAP.
Vidíme tiež, že sa používajú tri samostatné databázy, to znamená jedna venovaná konfigurácii, ďalšia jednej Frontenda posledný, ktorým je databáza hdb per se.
Okrem toho, facka je predvolene nainštalovaný so schémami Jadro, kosínus, Nis e internetová osoba.
Kontroly po inštalácii
V termináli pokojne vykonávame a čítame výstupy. Skontrolujeme, hlavne pri druhom príkaze, konfiguráciu odvodenú od výpisu priečinka slapd.d.
: ~ # ldapsearch -Q -LLL -Y EXTERNÉ -H ldapi: /// -b cn = config | viac: ~ # ldapsearch -Q -LLL -Y EXTERNÉ -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = modul {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} jadro, cn = schema, cn = config dn: cn = {1} kosinus , cn = schema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetorgperson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} klientske rozhranie, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config
Vysvetlenie každého výstupu:
- cn = konfigurácia: Globálne parametre.
- cn = modul {0}, cn = konfigurácia: Dynamicky načítaný modul.
- cn = schéma, cn = konfigurácia: Obsahuje pevne na úrovni systémových schém.
- cn = {0} jadro, cn = schéma, cn = konfigurácia: pevne schémy jadra.
- cn = {1} kosínus, cn = schéma, cn = konfigurácia: Schéma Kosínus.
- cn = {2} nis, cn = schéma, cn = konfigurácia: Schéma Niš.
- cn = {3} inetorgperson, cn = schéma, cn = konfigurácia: Schéma internetová osoba.
- olcBackend = {0} hdb, cn = konfigurácia: backend typ úložiska dát hdb.
- olcDatabase = {- 1} klientske rozhranie, cn = konfigurácia: Frontend databázy a predvolené parametre pre ostatné databázy.
- olcDatabase = {0} config, cn = config: konfiguračná databáza servera facka (cn = konfigurácia).
- olcDatabase = {1} hdb, cn = config: Naša inštancia databázy (dc = priatelia, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = príklad, dc = com dn dn: dc = priatelia, dc = cu dn: cn = admin, dc = priatelia, dc = cu
- dc = priatelia, dc = cu: DIT Základný informačný strom adresára
- cn = admin, dc = priatelia, dc = cu: Správca (rootDN) DIT deklarovaný počas inštalácie.
Poznámka:: Základná prípona dc = priatelia, dc = cu, zobral to debconf počas inštalácie od FQDN servera mildap.amigos.cu.
Indexy, ktoré sa majú zohľadniť
Indexovanie položiek sa vykonáva s cieľom zlepšiť výkonnosť vyhľadávania na serveri DITs kritériami filtra. Indexy, ktoré zvážime, sú minimom odporúčaným podľa atribútov deklarovaných v predvolených schémach.
Na dynamickú úpravu indexov v databáze vytvoríme textový súbor vo formáte LDIFa neskôr ho pridáme do databázy. Vytvárame súbor olcDbIndex.ldif a necháme to s nasledujúcim obsahom:
: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = konfiguračný typ zmeny: upraviť add: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: loginDeq, olc: eD, eq, olc: - add: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, sub, eq - add: olcDbIndex olcDbIndex: givenName, - add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: default sub - add: olcDbIndex olcDbIndex: mail eq, subinitial - add: olcDbIndex olcDbIndex: dc eq
Pridáme indexy do databázy a skontrolujeme úpravu:
: ~ # ldapmodify -Y EXTERNÉ -H ldapi: /// -f ./olcDbIndex.ldif
: ~ # ldapsearch -Q -LLL -Y EXTERNÁ -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex
dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: uid pres, subq, eq ol olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: predvolený sub olcDbIndex: e-mail eq, subiniciálny olcDbIndex: dc eq
Pravidlá kontroly prístupu k údajom
Pravidlá, ktoré sú ustanovené tak, aby používatelia mohli čítať, upravovať, pridávať a mazať údaje v databáze Directory, sa nazývajú Access Control, zatiaľ čo my budeme volať zoznamy Access Control alebo «Zoznam riadenia prístupu ACL»K politikám, ktoré konfigurujú pravidlá.
Vedieť ktoré ACL boli štandardne deklarované počas procesu inštalácie facka, vykonáme:
: ~ # ldapsearch -Q -LLL -Y EXTERNÁ -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess
: ~ # ldapsearch -Q -LLL -Y EXTERNÁ -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} frontend)' olcAccess
: ~ # ldapsearch -Q -LLL -Y EXTERNÁ -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess
: ~ # ldapsearch -Q -LLL -Y EXTERNÁ -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix
Každý z predchádzajúcich príkazov nám ukáže ACL že sme doteraz deklarovali v našom adresári. Konkrétne posledný príkaz zobrazuje všetky, zatiaľ čo prvé tri nám poskytujú pravidlá riadenia prístupu pre všetky tri. DIT zapojené do nášho facka.
Na tému ACL a aby nevznikol oveľa dlhší článok, odporúčame prečítať si stránky manuálu muž slapd.prístup.
Zabezpečiť prístup používateľov a správcov k aktualizácii ich záznamov z prihlasovacie prostredie y Gekoni, pridáme nasledujúci zoznam ACL:
## Vytvoríme súbor olcAccess.ldif a ponecháme ho s nasledujúcim obsahom: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = konfiguračný typ zmeny: upraviť add: olcAccess olcAccess: {1} na attrs = loginShell, gecos pomocou dn = "cn = admin, dc = priatelia, dc = cu" písať sám písať * čítať
## Pridáme zoznam ACL
: ~ # ldapmodify -Y EXTERNÉ -H ldapi: /// -f ./olcAccess.ldif
# Skontrolujeme zmeny
ldapsearch -Q -LLL -Y EXTERNÁ -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix
Generovanie certifikátov TLS v Squeeze
Aby sme mohli mať zabezpečenú autentifikáciu na serveri OpenLDAP, musíme to robiť prostredníctvom šifrovanej relácie, ktorú môžeme dosiahnuť použitím TLS «Zabezpečenie transportnej vrstvy» o Zabezpečená transportná vrstva.
Server OpenLDAP a jeho klienti môžu používať server rámec TLS poskytuje ochranu, pokiaľ ide o integritu a dôvernosť, ako aj podporu bezpečnej autentifikácie LDAP prostredníctvom mechanizmu SASL «Jednoduchá autentifikačná a bezpečnostná vrstva« Vonkajšie.
Moderné servery OpenLDAP uprednostňujú použitie */ StartTLS /* o Spustenie bezpečnej transportnej vrstvy do /LDAPS: ///, ktorý je zastaraný. Ak máte akékoľvek otázky, navštívte stránku * Start TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html
Súbor nechajte predvolene nainštalovaný / etc / default / slapd s vyjadrením SLAPD_SERVICES = »ldap: /// ldapi: ///»s cieľom použiť šifrovaný kanál medzi klientom a serverom a samotnými pomocnými aplikáciami na správu OpenLDAP, ktoré sú nainštalované lokálne.
Tu opísaná metóda založená na balíkoch gnutls-bin y ssl-cert je platný pre Debian 6 "Squeeze" a tiež pre Ubuntu Server 12.04. Pre Debian 7 „Wheezy“ iná metóda založená na OpenSSL.
Generovanie certifikátov v Squeeze sa vykonáva nasledovne:
1. - Nainštalujeme potrebné balíčky : ~ # aptitude install gnutls-bin ssl-cert 2.- Vytvoríme primárny kľúč pre certifikačnú autoritu : ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem" 3.- Vytvoríme šablónu na definovanie CA (Certifikačná autorita) : ~ # nano /etc/ssl/ca.info cn = Kubánski priatelia ca cert_signing_key 4.- Pre klientov vytvárame certifikát CA s vlastným podpisom alebo certifikát s vlastným podpisom : ~ # certtool --generate-self-signed \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem 5.- Generujeme súkromný kľúč pre server : ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem Poznámka:: Nahradiť „mierna mapa"v názve vyššie uvedeného súboru pre názov vášho vlastného servera. Pomenovanie certifikátu a kľúča pre server aj pre službu, ktorá ho používa, nám pomáha objasniť veci." 6.- Vytvoríme súbor /etc/ssl/mildap.info s nasledujúcim obsahom: : ~ # nano /etc/ssl/mildap.info organization = Kubánski priatelia cn = mildap.amigos.cu tls_www_server encryption_key podpis_key expiration_days = 3650 Poznámka:: V predchádzajúcom obsahu prehlasujeme, že certifikát je platný po dobu 10 rokov. Parameter musí byť upravený pre naše pohodlie. 7.- Vytvoríme certifikát servera : ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem
Zatiaľ sme vygenerovali potrebné súbory, do Adresára musíme iba pridať umiestnenie Certifikátu s vlastným podpisom cacert.pem; certifikátu servera mildap-cert.pem; a súkromný kľúč servera Mildap-key.pem. Musíme tiež upraviť povolenia a vlastníka vygenerovaných súborov.
: ~ # nano /etc/ssl/certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTLSCtsertl. /mildap-key.pem 8.- Pridávame: ~ # ldapmodify -Y EXTERNÁ -H ldapi: /// -f /etc/ssl/certinfo.ldif 9.- Upravujeme vlastníka a povolenia : ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod alebo /etc/ssl/private/mildap-key.pem
Osvedčenie cacert.pem Je to ten, ktorý musíme skopírovať u každého klienta. Aby sa tento certifikát mohol použiť na samotnom serveri, musíme ho deklarovať v súbore /etc/ldap/ldap.conf. Za týmto účelom upravíme súbor a ponecháme ho v nasledujúcom obsahu:
: ~ # nano /etc/ldap/ldap.conf BASE dc = priatelia, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem
Nakoniec a tiež ako kontrolu reštartujeme službu facka a skontrolujeme výstup súboru syslog zo servera pomocou novo deklarovaného certifikátu zistiť, či bola služba správne reštartovaná.
: ~ # reštart služby slapd : ~ # chvost / var / log / syslog
Pokiaľ sa služba nereštartuje správne alebo spozorujeme vážnu chybu v syslog, nenechajme sa odradiť. Môžeme skúsiť opraviť škody alebo začať odznova. Ak sa rozhodneme začať od nuly s inštaláciou facka, nie je potrebné náš server formátovať.
Ak chcete z toho či onoho dôvodu odstrániť všetko, čo sme doteraz vykonali, musíme balíček odinštalovať fackaa potom priečinok odstráňte / var / lib / ldap. Musíme tiež ponechať súbor v pôvodnom znení /etc/ldap/ldap.conf.
Je zriedkavé, že všetko funguje správne na prvý pokus. 🙂
Pamätajte, že v ďalšom pokračovaní uvidíme:
- Lokálna autentifikácia užívateľa
- Vyplňte databázu
- Spravujte databázu pomocou obslužných programov konzoly
- Zhrnutie zatiaľ ...
Uvidíme sa čoskoro priatelia !.
Učiteľ !!!
STALO SA S TUTO!
je vynikajúci
VÁS PRE VÁS RÁD SVETA.
😀
Ďakujem pekne, Hugo !!! Počkajte si na ďalšie články na túto tému.
Dobrý deň:
zaujímavé vaše série článkov.
Prekvapilo ma, keď som si prečítal toto vyhlásenie: „Moderné servery OpenLDAP uprednostňujú použitie StartTLS alebo Spustiť bezpečnú transportnú vrstvu pred starým protokolom TLS / SSL, ktorý je zastaraný.“
Tvrdíte, že vo všetkých prípadoch aj mimo rozsahu LDAP je STARTTLS ochranný mechanizmus nadradený TSL / SSL?
Ďakujem za komentár. Všimnite si, že mám na mysli OpenLDAP. Nepreháňam. V http://www.openldap.org/faq/data/cache/185.html, môžete si prečítať nasledujúce:
Zabezpečenie transportnej vrstvy (TLS) je štandardný názov pre vrstvu SSL (Secure Socket Layer). Výrazy (pokiaľ nie sú kvalifikované s konkrétnymi číslami verzií) sú všeobecne zameniteľné.
StartTLS je názov štandardnej operácie LDAP na spustenie protokolu TLS / SSL. TLS / SSL sa inicializuje po úspešnom dokončení tejto operácie LDAP. Nie je potrebný žiadny alternatívny port. Niekedy sa označuje ako operácia upgradu TLS, pretože inovuje bežné pripojenie LDAP na pripojenie chránené pomocou TLS / SSL.
ldaps: // a LDAPS označuje „LDAP cez TLS / SSL“ alebo „LDAP zabezpečené“. TLS / SSL sa inicializuje po pripojení k alternatívnemu portu (zvyčajne 636). Aj keď je port LDAPS (636) zaregistrovaný pre toto použitie, podrobnosti o iniciačnom mechanizme TLS / SSL nie sú štandardizované.
Po spustení nie je žiadny rozdiel medzi ldaps: // a StartTLS. Zdieľajú rovnaké možnosti konfigurácie (okrem ldaps: // vyžaduje konfiguráciu samostatného poslucháča, pozri voľbu slapd (8) s -h) a výsledkom sú podobné bezpečnostné služby.
Poznámka:
1) ldap: // + StartTLS by mal smerovať na normálny port LDAP (zvyčajne 389), nie na port ldaps: //.
2) ldaps: // by mal smerovať na port LDAPS (zvyčajne 636), nie na port LDAP.
Prepáčte, ale stále si nie som istý, prečo tvrdíte, že: 1) moderné servery uprednostňujú STARTTLS pred SSL / TLS; 2) že STARTTLS je moderný oproti SSL / TLS, ktorý je zastaraný.
Už pol mesiaca bojujem s konfiguráciou rôznych poštových klientov, ktorí pristupujú na server pomocou protokolu SSL (pomocou knižníc openssl, ako to robí väčšina slobodného softvéru), s certifikátmi CA v / etc / ssl / certs / a ďalšími vymoženosťami. A čo som sa naučil, je toto: 1) STARTTLS iba šifruje autentifikáciu relácie a všetko ostatné sa odosiela nezašifrované; 2) SSL šifruje absolútne všetok obsah relácie. Preto v žiadnom prípade nie je STARTTLS technicky nadradený SSL; Bol by som radšej, keby som si myslel opak, pretože obsah vašej relácie cestuje nezašifrovaný cez sieť.
Ďalšia odlišná vec je, že program STARTTLS sa odporúča z iných dôvodov, ktoré nepoznám: kvôli kompatibilite s MSWindows, pretože implementácia je stabilnejšia alebo je lepšie testovaná ... Neviem. Preto sa ťa pýtam.
Z citácie manuálu, ktorý ste mi priložili vo svojej odpovedi, vidím, že rozdiel medzi ldap: // a ldaps: // je ekvivalentný rozdielu medzi imap: // a imaps: //, alebo medzi smtp: // a smtps: //: použije sa iný port, do konfiguračného súboru sa pridá ďalšia položka, ale ostatné parametre sa zachovajú. To ale nenaznačuje nič o preferovaní STARTTLS alebo nie.
Zdravím a prepáčte za odpoveď. Len sa snažím dozvedieť trochu viac.
Pozri, je veľmi zriedkavé, že vo svojich článkoch uvádzam tvrdenia tohto kalibru bez toho, aby ma podporila nejaká seriózna publikácia. Na konci série uvediem všetky odkazy na dokumentáciu, ktorú považujem za vážnu a ktorú som pri písaní príspevku konzultoval. Posúvam vám nasledujúce odkazy:
https://wiki.debian.org/LDAP/OpenLDAPSetup
Sprievodca Ubuntu Server https://code.launchpad.net/serverguide
OpenLDAP-úradník http://www.openldap.org/doc/admin24/index.html
LDAP cez SSL / TLS a StartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/
Ďalej som si preštudoval sprievodnú dokumentáciu, ktorá je nainštalovaná ku každému balíku.
Otázka bezpečnosti vo všeobecnosti a rozdiely medzi StartTLS a TLS / SSL sú veľmi technické a také hlboké, že sa nepovažujem za osobu potrebnú na takéto vysvetlenie. Myslím, že môžeme pokračovať v rozhovoroch prostredníctvom e-mailu.
Navyše nikde neuvádzam, že LDAPS: // nemožno použiť. Ak to považujete za bezpečnejšie, pokračujte !!!
Už ti nemôžem pomôcť a veľmi si vážim tvoje komentáre.
Trochu jasnejšie, čo môžete získať - vždy o OpenLDAP- v:
http://www.openldap.org/faq/data/cache/605.html
Rozšírená operácia StartTLS [RFC 2830] je štandardný mechanizmus LDAPv3 na umožnenie ochrany dôvernosti údajov TLS (SSL). Mechanizmus využíva rozšírenú operáciu LDAPv3 na vytvorenie šifrovaného spojenia SSL / TLS v rámci už vytvoreného spojenia LDAP. Aj keď je mechanizmus navrhnutý na použitie s TLSv1, väčšina implementácií sa v prípade potreby vráti k SSLv3 (a SSLv2).
ldaps: // je mechanizmus na vytvorenie šifrovaného pripojenia SSL / TLS pre LDAP. Vyžaduje použitie samostatného portu, obvykle 636. Aj keď je pôvodne navrhnutý na použitie s LDAPv2 a SSLv2, mnoho implementácií podporuje jeho použitie s LDAPv3 a TLSv1. Aj keď pre ldaps: // neexistuje žiadna technická špecifikácia, je často používaná.
Podpora protokolu ldaps: // je v prospech spustenia TLS [RFC2830]. OpenLDAP 2.0 podporuje oboje.
Z bezpečnostných dôvodov by mal byť server nakonfigurovaný tak, aby neakceptoval SSLv2.
Bude to jeden z článkov, ku ktorým nebudú používatelia pridávať komentáre, pretože keďže sledujú porno iba na svojich linuxových staniciach, jednoducho ich to nezaujíma. O ldap mám v rámci heterogénnej siete pre spoločnosť, pre ktorú pracujem, niekoľko súvisiacich služieb. Dobrý článok !!
Ďakujem za komentár !!!. A vaše tvrdenie je veľmi pravdivé, pokiaľ ide o niekoľko komentárov v mnohých mojich článkoch. Dostávam však korešpondenciu od zainteresovaných čitateľov alebo od ostatných, ktorí si článok stiahnu pre ďalšie prečítanie a použitie.
Vždy je veľmi užitočné mať spätnú väzbu prostredníctvom komentárov, aj keď sú: Uložil som si ju na neskoršie prečítanie, na zaujímavý alebo iný názor.
pozdravy
Freeke !!! Ďakujem za komentár. Váš komentár som dostal poštou, ale nevidím ho, aj keď stránku niekoľkokrát obnovím. Priateľu, tento a predchádzajúce články si môžeš bez problémov vyskúšať na Squeeze alebo Ubuntu Server 12.04. Certifikáty Wheezy sa generujú odlišne pomocou OpenSSL. Ale nič. S pozdravom brat !!!
@thisnameisfalse: Najlepší úradník je rozmazaný. Vďaka vašim komentárom si myslím, že predmetný odsek by mal byť nasledovný:
Moderné servery OpenLDAP uprednostňujú použitie protokolu StartTLS alebo Start a Secure Transport Layer pred zastaraným protokolom LDAPS: //. Ak máte akékoľvek otázky, navštívte stránku Start TLS v. ldaps: // sk http://www.openldap.org/faq/data/cache/605.html
pozdravy
Perfektné, práve mám domáce úlohy na ldap
Nemôžete vložiť všetko do jedného súboru, aby ste si mohli stiahnuť kompletný návod
Som počítačový technik s rozsiahlymi skúsenosťami s Linuxom, napriek tomu som sa v polovici článku stále stratil. Potom to prečítam opatrnejšie. Ďakujem pekne za návod.
Aj keď je pravda, že nám umožňuje oveľa viac pochopiť, prečo sa práve ActiveDirectory pre tieto veci vyberá. Pokiaľ ide o jednoduchosť konfigurácie a implementácie, existuje rozdiel.
pozdravy
Ďakujem všetkým za komentár !!!
@ jose monge, dúfam, že ti pomôže
@ walter na konci všetkých príspevkov, uvidím, či dokážem urobiť kompendium vo formáte html alebo pdf
@ eVeR, naopak, OpenLDAP je jednoduchší - aj keď to nevyzerá ako Active Directory. počkaj si na ďalšie články a uvidíš.
Dotaz, urobím inštaláciu krok za krokom, ale pri reštarte služby slapd mi hodí nasledujúcu chybu>
30. júla 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (17. marca 2014 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / debian / build / servery / slapd
30. júla 15:27:37 xxxxx slapd [1219]: NEZNÁMY atribút Vložený popis „CHANGETYPE“.
30. júla 15:27:37 xxxxx slapd [1219]: atribút UNKNOWN Popis „ADD“ bol vložený.
30. júla 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): prázdny AttributeDescription
30. júla 15:27:37 xxxxx slapd [1219]: slapd zastavené.
30. júla 15:27:37 xxxxx [1219]: connections_destroy: nič na zničenie.
môžete sa opýtať na fóre 😀 http://foro.desdelinux.net/
Pre všetkých, ktorí vidia tento vynikajúci a dobre vysvetlený príspevok, sa tento problém vyskytuje pri vytváraní zoznamov prístupových práv:
ldapmodify: položka v neplatnom formáte (riadok 5): "olcDatabase = {1} hdb, dc = config"
Po tom, čo som hľadal na internete, ukázalo sa, že ldapmodify je najpresnejší typ textu na webe. Je to hysterické s nesprávne umiestnenými znakmi, ako aj s koncovými medzerami. Bez ďalších okolkov sa odporúča napísať podmienku vedľa seba alebo pomocou X napísať samostatne napísať pomocou * prečítať. Ak to stále nefunguje, nainštalujte si Poznámkový blok ++> Zobraziť> Zobraziť symbol a nakoniec smrť neviditeľným znakom. Dúfam, že niekto pomôže.
Generujte certifikáty pre Debian Wheezy na základe OpenSSL, ktoré môžu slúžiť:
http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/