Pozdravljeni prijatelji!. Pojdimo k poslu in kot vedno priporočamo, preberite tri prejšnje članke v seriji:
- Imeniška storitev z LDAP. Uvod.
- Imeniška storitev z LDAP [2]: NTP in dnsmasq.
- Imeniška storitev z LDAP [3]: Isc-DHCP-strežnik in Bind9.
DNS, DHCP in NTP so minimalne bistvene storitve za naš preprost imenik, ki temelji na OpenLDAP native, deluje pravilno na Debian 6.0 "Stisni", ali v Ubuntu 12.04 LTS "Precise Pangolin".
Primer omrežja:
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
V prvem delu bomo videli:
- Namestitev OpenLDAP (slapd 2.4.23-7.3)
- Pregledi po namestitvi
- Indeksi, ki jih je treba upoštevati
- Pravila za nadzor dostopa do podatkov
- Ustvarjanje potrdil TLS v stiskanju
medtem ko bomo v drugem delu nadaljevali z:
- Lokalno preverjanje pristnosti uporabnika
- Popolnite bazo podatkov
- Upravljajte bazo podatkov s pomočjo pripomočkov konzole
- Povzetek do zdaj ...
Namestitev OpenLDAP (slapd 2.4.23-7.3)
Strežnik OpenLDAP je nameščen s pomočjo paketa klofuta. Paket moramo tudi namestiti ldap-utils, ki nam ponuja nekaj orodij na strani odjemalca, pa tudi lastne pripomočke OpenLDAP.
: ~ # aptitude namesti slapd ldap-utils
Med namestitvijo je debconf Vprašal nas bo za geslo skrbnika ali uporabnika «admin«. Nameščene so tudi številne odvisnosti; uporabnik je ustvarjen openldap; se ustvari začetna konfiguracija strežnika in imenik LDAP.
V starejših različicah OpenLDAP je bila konfiguracija demona klofuta je bilo v celoti izvedeno prek datoteke /etc/ldap/slapd.conf. V različici, ki jo uporabljamo in kasneje, se konfiguracija izvede na enak način klofuta, in v ta namen a DIT «Imeniško informacijsko drevo»Ali informacijsko drevo imenika, posebej.
Konfiguracijska metoda, znana kot RTC «Konfiguracija v realnem času»Konfiguracija v realnem času ali kot metoda cn = konfiguracija, nam omogoča dinamično konfiguriranje klofuta brez ponovnega zagona storitve.
Konfiguracijska baza podatkov je sestavljena iz zbirke besedilnih datotek v tej obliki LDIF «Oblika izmenjave podatkov LDAP»Format LDAP za izmenjavo podatkov, ki se nahaja v mapi /etc/ldap/slapd.d.
Da dobite idejo o organizaciji map slapd.d, zaženemo:
: ~ # ls -lR /etc/ldap/slapd.d/ /etc/ldap/slapd.d/: skupaj 8 drwxr-x --- 3 openldap openldap 4096 16. februar 11:08 cn = config -rw ------- 1 openldap openldap 407 16. februar 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: skupaj 28 -rw ------- 1 openldap openldap 383 16. februar 11:08 cn = modul {0} .ldif drwxr-x --- 2 openldap openldap 4096 16. februar 11:08 cn = schema -rw ------- 1 openldap openldap 325 16. februar 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 16. februar 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 16. februar 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16. februar 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16. februar 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schema: skupaj 40 -rw ------- 1 openldap openldap 15474 16. februar 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 16. februar 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 16. februar 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 16. februar 11:08 cn = {3} inetorgperson.ldif
Če nekoliko pogledamo prejšnji izhod, vidimo, da Backend v Squeeze uporablja tip baze podatkov hdb, kar je različica bdb "Podatkovna baza Berkeley" in da je popolnoma hierarhična ter podpira preimenovanje pod dreves. Če želite izvedeti več o možnem Vrečke ki podpira OpenLDAP, obiščite http://es.wikipedia.org/wiki/OpenLDAP.
Prav tako vidimo, da se uporabljajo tri ločene zbirke podatkov, to je ena, namenjena konfiguraciji, druga pa začelje, in zadnja, ki je baza podatkov hdb same po sebi.
Po drugi strani pa klofuta je privzeto nameščen s shemami Core, Cosine, Niš e Inetorgoseba.
Pregledi po namestitvi
V terminalu mirno izvajamo in beremo izhode. Preverili bomo, še posebej z drugim ukazom, konfiguracijo, izpeljano iz navajanja mape slapd.d.
: ~ # ldapsearch -Q -LLL -Y ZUNANJI -H ldapi: /// -b cn = config | več: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn dn: cn = config dn: cn = module {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} core, cn = schema, cn = config dn: cn = {1} kosinus , cn = schema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetorgperson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config
Pojasnilo vsakega izhoda:
- cn = konfiguracija: Globalni parametri.
- cn = modul {0}, cn = config: Dinamično naložen modul.
- cn = shema, cn = config: Vsebuje težko kodiran na ravni sistemskih shem.
- cn = {0} jedro, cn = shema, cn = config: The težko kodiran sheme jedra.
- cn = {1} kosinus, cn = shema, cn = konfiguracija: Shema Kosinus.
- cn = {2} nis, cn = shema, cn = config: Shema Niš.
- cn = {3} inetorgperson, cn = shema, cn = config: Shema Inetorgoseba.
- olcBackend = {0} hdb, cn = config: Backend vrsta shranjevanja podatkov hdb.
- olcDatabase = {- 1} frontend, cn = config: začelje baze podatkov in privzeti parametri za druge baze podatkov.
- olcDatabase = {0} config, cn = config: Konfiguracijska baza podatkov klofuta (cn = konfiguracija).
- olcDatabase = {1} hdb, cn = config: Naš primerek baze podatkov (dc = prijatelji, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = primer, dc = com dn dn: dc = prijatelji, dc = cu dn: cn = admin, dc = prijatelji, dc = cu
- dc = prijatelji, dc = cu: DIT informacijsko drevo osnovnega imenika
- cn = admin, dc = prijatelji, dc = cu: Skrbnik (rootDN) DIT-a, prijavljenega med namestitvijo.
opomba: Osnovna pripona dc = prijatelji, dc = cu, vzel debconf med namestitvijo iz FQDN strežnik mildap.amigos.cu.
Indeksi, ki jih je treba upoštevati
Indeksiranje vnosov se izvede za izboljšanje uspešnosti iskanj na DIT, z merili filtra. Indeksi, ki jih bomo upoštevali, so najmanj priporočeni glede na atribute, deklarirane v privzetih shemah.
Za dinamično spreminjanje indeksov v zbirki podatkov ustvarimo besedilno datoteko v obliki zapisa LDIF, kasneje pa ga dodamo v bazo podatkov. Datoteko ustvarimo olcDbIndex.ldif in ga pustimo z naslednjo vsebino:
: ~ # nano olcDbIndex.ldif dn: olcDatabase = {1} hdb, cn = config changetype: modificiraj add: olcDbIndex olcDbIndex: uidNumber eq - dodaj: olcDbIndex olcDbIndex: gidNumber eq - dodaj: olcDbIndex olcDbIdex: memberUdDIndex eBeDDIndex: memberDbIndex: memberDbIndex: memberDbIndex: memberDbIndex : loginShell eq, olcDbIndex: login - add: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, ol, eDbDIndex olDDIndex: add, olDDIndex: add, ol, ecdb , ou pres, eq, sub - dodaj: olcDbIndex olcDbIndex: displayName pres, sub, eq - dodaj: olcDbIndex olcDbIndex: privzeti pod - dodaj: olcDbIndex olcDbIndex: mail eq, subinitial - dodaj: olcDbIndex olcDbIndex olcDbIndex
V bazo podatkov dodamo indekse in preverimo spremembe:
: ~ # ldapmodify -Y ZUNANJI -H ldapi: /// -f ./olcDbIndex.ldif : ~ # ldapsearch -Q -LLL -Y ZUNANJI -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIdec presq eq subq eq presq eq presq eq presq eq sub presq eq cn presq olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: privzeti sub olcDbIndex: mail eq, subinitial olcDbIndex: dc eq
Pravila za nadzor dostopa do podatkov
Nadzor dostopa se imenuje pravila, ki so vzpostavljena tako, da lahko uporabniki berejo, spreminjajo, dodajajo in brišejo podatke v zbirki podatkov imenika, medtem ko bomo poklicali sezname nadzora dostopaSeznam nadzora dostopa ACL»Na pravilnike, ki določajo pravila.
Da vem katero ACL so bile privzeto razglašene med postopkom namestitve klofuta, izvedemo:
: ~ # ldapsearch -Q -LLL -Y ZUNANJI -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcAccess : ~ # ldapsearch -Q -LLL -Y ZUNANJI -H ldapi: /// -b \ cn = config '(olcDatabase = {- 1} frontend)' olcAccess : ~ # ldapsearch -Q -LLL -Y ZUNANJI -H ldapi: /// -b \ cn = config '(olcDatabase = {0} config)' olcAccess : ~ # ldapsearch -Q -LLL -Y ZUNANJI -H ldapi: /// -b \ cn = config '(olcAccess = *)' olcAccess olcSuffix
Vsak od prejšnjih ukazov nam bo pokazal ACL da smo do zdaj v našem imeniku deklarirali. Natančneje, zadnji ukaz jih prikaže vse, medtem ko nam prvi trije dajo pravila nadzora dostopa za vse tri. DIT vključeni v naše klofuta.
Na temo ACL in da ne bi nastajal veliko daljši članek, priporočamo branje strani z navodili človek slapd.dostop.
Uporabnikom in skrbnikom zagotoviti dostop do posodobitve vnosov loginShell y Gekoni, bomo dodali naslednji ACL:
## Ustvarimo datoteko olcAccess.ldif in jo pustimo z naslednjo vsebino: ~ # nano olcAccess.ldif dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcAccess olcAccess: {1} to attrs = loginShell, gecos z dn = "cn = admin, dc = prijatelji, dc = cu" piši sam piši * preberite ## Dodamo ACL : ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif # Spremembe preverimo ldapsearch -Q -LLL -Y ZUNANJI -H ldapi: /// -b \ cn = config '(olcAccess = *)' olcAccess olcSuffix
Priprava potrdil TLS v Stisni
Za varno preverjanje pristnosti s strežnikom OpenLDAP moramo to storiti s šifrirano sejo, ki jo lahko dosežemo z uporabo TLS «Varnost transportnega sloja» o varen transportni sloj.
Strežnik OpenLDAP in njegove stranke lahko uporabljajo Okvir TLS za zagotavljanje zaščite v zvezi s celovitostjo in zaupnostjo ter podpiranje varne LDAP overitve prek mehanizma SASL «Enostavno preverjanje pristnosti in varnostni sloj« Zunanji.
Sodobni strežniki OpenLDAP favorizirajo uporabo */ StartTLS /* o Zaženite varen transportni sloj na /LDAPS: ///, ki je zastarel. Če imate kakršna koli vprašanja, obiščite * Začni TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html
Samo pustite datoteko, kot je privzeto nameščena / etc / default / slapd z izjavo SLAPD_SERVICES = »ldap: /// ldapi: ///», z namenom uporabe šifriranega kanala med odjemalcem in strežnikom ter samimi pomožnimi aplikacijami za upravljanje OpenLDAP, ki je nameščen lokalno.
Tu opisana metoda temelji na paketih gnutls-bin y ssl-cert velja za Debian 6 "Squeeze" in tudi za Ubuntu Server 12.04. Za Debian 7 "Wheezy" druga metoda, ki temelji na OpenSSL.
Ustvarjanje potrdil v orodju Squeeze se izvede na naslednji način:
1. - Namestimo potrebne pakete : ~ # aptitude namestite gnutls-bin ssl-cert 2. - Ustvarimo primarni ključ za overitelja : ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem" 3. - Ustvarimo predlogo za določitev CA (overitelja potrdil) : ~ # nano /etc/ssl/ca.info cn = kubanski prijatelji ca cert_signing_key 4. - Za stranke izdelamo potrdilo CA z lastnim podpisom ali samopodpisom : ~ # certtool --generate-self-signed \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem 5. - Za strežnik ustvarimo zasebni ključ : ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem opomba: Zamenjati "mildap"v imenu zgornje datoteke za lastno strežnico. Poimenovanje potrdila in ključa, tako za strežnik kot za storitev, ki ga uporablja, nam pomaga, da stvari ostanejo jasne. 6. - Ustvarimo datoteko /etc/ssl/mildap.info z naslednjo vsebino: : ~ # nano /etc/ssl/mildap.info organization = kubanski prijatelji cn = mildap.amigos.cu tls_www_server encryption_key sign_key expiration_days = 3650 opomba: V prejšnji vsebini izjavljamo, da je potrdilo veljavno 10 let. Parameter je treba prilagoditi našemu udobju. 7. - Ustvarimo strežniško potrdilo : ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem
Do zdaj smo ustvarili potrebne datoteke, v imenik moramo dodati le lokacijo samopodpisanega potrdila cacert.pem; potrdilo strežnika mildap-cert.pem; in zasebni ključ strežnika mildap-ključ.pem. Prav tako moramo prilagoditi dovoljenja in lastnika ustvarjenih datotek.
: ~ # nano /etc/ssl/certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTec / TCP / skript / olcTec / TCP / skript / olcTec / TCP / skript / olcTec / TCP / SCP -key.pem 8. - Dodamo: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif 9. - Prilagodimo lastnika in dovoljenja : ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod ali /etc/ssl/private/mildap-key.pem
Potrdilo cacert.pem To je tisto, ki ga moramo kopirati pri vsaki stranki. Da bo to potrdilo uporabljeno na samem strežniku, ga moramo prijaviti v datoteki /etc/ldap/ldap.conf. V ta namen spremenimo datoteko in jo pustimo z naslednjo vsebino:
: ~ # nano /etc/ldap/ldap.conf BASE dc = prijatelji, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem
Na koncu in tudi kot preverjanje ponovno zaženemo storitev klofuta in preverimo izhodno vrednost datoteke syslog s strežnika, da ugotovite, ali je bila storitev znova zagnana z novo prijavljenim potrdilom.
: ~ # ponovni zagon storitve slapd : ~ # tail / var / log / syslog
Če se storitev ne zažene pravilno ali opazimo resno napako v syslog, ne bodimo malodušni. Lahko poskusimo popraviti škodo ali začeti znova. Če se odločimo za začetek namestitve klofuta, našega strežnika ni treba formatirati.
Če želite izbrisati vse, kar smo doslej naredili iz takšnih ali drugačnih razlogov, moramo paket odstraniti klofutain nato zbrišite mapo / var / lib / ldap. Datoteko moramo pustiti tudi v izvirni različici /etc/ldap/ldap.conf.
Redko se zgodi, da že ob prvem poskusu vse deluje pravilno. 🙂
Ne pozabite, da bomo v naslednjem delu videli:
- Lokalno preverjanje pristnosti uporabnika
- Popolnite bazo podatkov
- Upravljajte bazo podatkov s pomočjo pripomočkov konzole
- Povzetek do zdaj ...
Se vidimo kmalu prijatelji !.
Učitelj !!!
Zgodilo se je s tutom!
je odlična
VSE LIKOVE SVETA ZA VAS.
????
Najlepša hvala, Hugo !!! Počakajte na naslednje članke na to temo.
Hi
zanimiva vaša serija člankov.
Bil sem presenečen, ko sem prebral to izjavo: "Sodobni strežniki OpenLDAP raje uporabljajo StartTLS ali Zaženi varen transportni sloj kot stari protokol TLS / SSL, ki je zastarel."
Ali trdite, da je STARTTLS v vseh primerih, tudi zunaj obsega LDAP, zaščitni mehanizem, ki je boljši od TSL / SSL?
Hvala za komentar. Upoštevajte, da mislim na OpenLDAP. Ne presegam. V http://www.openldap.org/faq/data/cache/185.html, lahko preberete naslednje:
Transport Layer Security (TLS) je standardno ime za Secure Socket Layer (SSL). Pogoji (razen če so opredeljeni s posebnimi številkami različic) so na splošno zamenljivi.
StartTLS je ime standardne operacije LDAP za zagon TLS / SSL. TLS / SSL se zažene po uspešnem zaključku te operacije LDAP. Nadomestna vrata niso potrebna. Včasih se imenuje tudi operacija nadgradnje TLS, saj nadgradi običajno povezavo LDAP s povezavo, zaščiteno s TLS / SSL.
ldaps: // in LDAPS se nanaša na "LDAP prek TLS / SSL" ali "LDAP zaščiten". TLS / SSL se sproži ob povezavi z nadomestnimi vrati (običajno 636). Čeprav so vrata LDAPS (636) registrirana za to uporabo, podrobnosti mehanizma za zagon TLS / SSL niso standardizirane.
Ko se enkrat sproži, med ldaps: // in StartTLS ni razlike. Imajo enake konfiguracijske možnosti (razen ldaps: // zahteva konfiguracijo ločenega poslušalca, glejte možnost slapd (8) -h) in povzroči vzpostavitev podobnih varnostnih storitev.
Opomba:
1) ldap: // + StartTLS mora biti usmerjen na običajna vrata LDAP (običajno 389), ne pa na vrata ldaps: //.
2) ldaps: // mora biti usmerjen na vrata LDAPS (običajno 636), ne na vrata LDAP.
Žal še vedno nisem prepričan, zakaj trdite, da: 1) sodobni strežniki imajo raje STARTTLS kot SSL / TLS; 2) da je STARTTLS sodoben v primerjavi s SSL / TLS, ki je zastarel.
Pol meseca se borim s konfiguracijo različnih poštnih odjemalcev, ki dostopajo do strežnika prek SSL (z uporabo knjižnic openssl, kot to počne večina brezplačne programske opreme), s potrdili CA v / etc / ssl / certs / in drugimi pripomočki. In naučil sem se, da: 1) STARTTLS šifrira samo preverjanje pristnosti seje, vse ostalo pa se pošlje nešifrirano; 2) SSL šifrira popolnoma vso vsebino seje. Zato STARTTLS v nobenem primeru ni tehnično boljši od SSL; Raje bi bil nagnjen k drugačnemu mnenju, saj vsebina vaše seje potuje nešifrirano po omrežju.
Druga stvar je, da je STARTTLS priporočljiv iz drugih razlogov, ki jih ne poznam: zaradi združljivosti z MSWindows, ker je izvedba bolj stabilna ali je bolje preizkušena ... Ne vem. Zato te prosim.
Iz citata iz priročnika, ki ste mi ga priložili v svojem odgovoru, vidim, da je razlika med ldap: // in ldaps: // enakovredna razliki med imap: // in imaps: // ali med smtp : // in smtps: //: uporabljajo se druga vrata, v konfiguracijsko datoteko se doda nekaj dodatnih vnosov, ostali parametri pa se ohranijo. Toda to ne pomeni ničesar o tem, ali želite imeti STARTTLS ali ne.
Lep pozdrav in žal za odgovor. Samo poskušam se naučiti malo več.
Poglejte, zelo redko je, da v svojih člankih trdim takšen kaliber, ne da bi me podprla kakšna resna publikacija. Na koncu serije bom vključil vse povezave do dokumentacije, ki se mi zdi resna in sem se posvetoval za pisanje prispevka. Predlagam vam naslednje povezave:
https://wiki.debian.org/LDAP/OpenLDAPSetup
Ubuntu ServerGuide https://code.launchpad.net/serverguide
OpenLDAP-Official http://www.openldap.org/doc/admin24/index.html
LDAP prek SSL / TLS in StartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/
Poleg tega sem si ogledal priloženo dokumentacijo, ki je nameščena z vsakim paketom.
Vprašanje varnosti na splošno in razlike med StartTLS in TLS / SSL so zelo tehnične in tako poglobljene, da se mi ne zdi potrebno znanje za takšna pojasnila. Mislim, da se lahko še naprej pogovarjamo po elektronski pošti.
Poleg tega nikjer ne trdim, da LDAPS: // ni mogoče uporabiti. Če se vam zdi varnejše, potem nadaljujte !!!
Ne morem vam več pomagati in zelo cenim vaše komentarje.
Nekaj več jasnosti lahko dobite - vedno o OpenLDAP - v:
http://www.openldap.org/faq/data/cache/605.html
Razširjena operacija StartTLS [RFC 2830] je standardni mehanizem LDAPv3 za omogočanje zaščite zaupnosti podatkov TLS (SSL). Mehanizem uporablja razširjeno operacijo LDAPv3 za vzpostavitev šifrirane povezave SSL / TLS znotraj že vzpostavljene povezave LDAP. Medtem ko je mehanizem zasnovan za uporabo s TLSv1, se večina izvedb po potrebi vrne na SSLv3 (in SSLv2).
ldaps: // je mehanizem za vzpostavitev šifrirane povezave SSL / TLS za LDAP. Zahteva uporabo ločenih vrat, običajno 636. Čeprav so bile prvotno zasnovane za uporabo z LDAPv2 in SSLv2, številne izvedbe podpirajo njegovo uporabo z LDAPv3 in TLSv1. Čeprav za ldaps ni tehnične specifikacije: // se pogosto uporablja.
ldaps: // je zastarel v korist zagona TLS [RFC2830]. OpenLDAP 2.0 podpira oboje.
Iz varnostnih razlogov mora biti strežnik nastavljen tako, da ne sprejema SSLv2.
To bo eden tistih člankov, v katerem uporabniki ne bodo komentirali, ker jim je vseeno, ker si na svojih Linux postajah ogledajo samo pornografije, jih preprosto ne zanima.O ldapu imam v heterogeno mrežo več povezanih storitev za podjetje, v katerem delam. Dober članek !!
Hvala za komentar !!!. Vaša izjava je resnična glede nekaj komentarjev v mnogih mojih člankih. Dobivam pa korespondenco zainteresiranih bralcev ali drugih, ki članek prenesejo za poznejše branje in prijavo.
Vedno je koristno imeti povratne informacije prek komentarjev, tudi če so: shranil sem jih za poznejše branje, zanimivo ali drugo mnenje.
pozdrav
Freeke !!! Hvala za komentar. Vaš komentar sem prejel po pošti, vendar ga ne vidim, čeprav stran večkrat osvežim. Prijatelj, ta in prejšnje članke lahko brez težav preizkusiš v orodju Squeeze ali Ubuntu Server 12.04. V Wheezyju se potrdila generirajo drugače z uporabo OpenSSL. Ampak nič. Lep pozdrav, bratec !!!
@thisnameisfalse: Najboljši referent ima zamegljenost. Zahvaljujoč vašim komentarjem menim, da bi moral biti zadevni odstavek naslednji:
Sodobni strežniki OpenLDAP raje uporabljajo StartTLS ali Start a Secure Transport Layer kot protokol LDAPS: //, ki je zastarel. Če imate kakršna koli vprašanja, obiščite Start TLS v. ldaps: // en http://www.openldap.org/faq/data/cache/605.html
pozdrav
Odlično, zdaj imam domačo nalogo na ldap
Ne morete vsega shraniti v eno datoteko, tako da lahko prenesete celotno vadnico
Sem računalniški tehnik z bogatimi Linux izkušnjami, vendar sem se sredi članka še vedno izgubil. Potem ga bom prebral natančneje. Najlepša hvala za vadnico.
Res pa je, da nam omogoča, da veliko bolj razumemo, zakaj je za te stvari običajno izbran ActiveDirectory. Ko gre za enostavnost konfiguracije in izvedbe, obstaja vesolje razlik.
pozdrav
Hvala vsem za komentar!
@jose monge, upam, da ti pomaga
@walter na koncu vseh objav bom videl, če lahko sestavim zbirko v obliki html ali pdf
@eVeR, obratno, OpenLDAP je preprostejši - tudi če se ne zdi Active Directory. počakajte na naslednje članke in videli boste.
Poizvedba nameščam korak za korakom, a ob ponovnem zagonu storitve slapd mi prikaže naslednjo napako>
30. julij 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (17. mar. 2014 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / debian / build / servers / slapd
30. julij 15:27:37 xxxxx slapd [1219]: Vstavljen je NEZNAN atributOpis "CHANGETYPE".
30. julij 15:27:37 xxxxx slapd [1219]: vstavljen je NEZNAN atributOpis "DODAJ".
30. julij 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): empty AttributeDescription
30. julij 15:27:37 xxxxx slapd [1219]: slapd se je ustavil.
30. julij 15:27:37 xxxxx [1219]: connections_destroy: nič za uničenje.
lahko vprašate na forumu 😀 http://foro.desdelinux.net/
Za vse, ki vidijo to odlično in dobro razloženo objavo in se ta težava zgodi pri ustvarjanju ACL-jev:
ldapmodify: neveljavna oblika (vrstica 5) vnos: "olcDatabase = {1} hdb, dc = config"
Po razbijanju glave po internetu se izkaže, da je ldapmodify najbolj natančna vrsta na spletu. Histerično je tako z napačno postavljenimi znaki kot tudi s presledki. Brez nadaljnjih nasvetov je nasvet, da napišete pogoj drug ob drugem ali X, če napišete sami, napišite * preberite. Če še vedno ne deluje, namestite Notepad ++> Pogled> Prikaži simbol in na koncu smrt nevidnim znakom. Upam, da nekdo pomaga.
Ustvari potrdila za Debian Wheezy na podlagi OpenSSL, ki lahko služijo:
http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/