Imeniška storitev z LDAP [4]: ​​OpenLDAP (I)

fico

12 minut

Pozdravljeni prijatelji!. Pojdimo k poslu in kot vedno priporočamo, preberite tri prejšnje članke v seriji:

DNS, DHCP in NTP so minimalne bistvene storitve za naš preprost imenik, ki temelji na OpenLDAP native, deluje pravilno na Debian 6.0 "Stisni", ali v Ubuntu 12.04 LTS "Precise Pangolin".

Primer omrežja:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

V prvem delu bomo videli:

  • Namestitev OpenLDAP (slapd 2.4.23-7.3)
  • Pregledi po namestitvi
  • Indeksi, ki jih je treba upoštevati
  • Pravila za nadzor dostopa do podatkov
  • Ustvarjanje potrdil TLS v stiskanju

medtem ko bomo v drugem delu nadaljevali z:

  • Lokalno preverjanje pristnosti uporabnika
  • Popolnite bazo podatkov
  • Upravljajte bazo podatkov s pomočjo pripomočkov konzole
  • Povzetek do zdaj ...

Namestitev OpenLDAP (slapd 2.4.23-7.3)

Strežnik OpenLDAP je nameščen s pomočjo paketa klofuta. Paket moramo tudi namestiti ldap-utils, ki nam ponuja nekaj orodij na strani odjemalca, pa tudi lastne pripomočke OpenLDAP.

: ~ # aptitude namesti slapd ldap-utils

Med namestitvijo je debconf Vprašal nas bo za geslo skrbnika ali uporabnika «admin«. Nameščene so tudi številne odvisnosti; uporabnik je ustvarjen openldap; se ustvari začetna konfiguracija strežnika in imenik LDAP.

V starejših različicah OpenLDAP je bila konfiguracija demona klofuta je bilo v celoti izvedeno prek datoteke /etc/ldap/slapd.conf. V različici, ki jo uporabljamo in kasneje, se konfiguracija izvede na enak način klofuta, in v ta namen a DIT «Imeniško informacijsko drevo»Ali informacijsko drevo imenika, posebej.

Konfiguracijska metoda, znana kot RTC «Konfiguracija v realnem času»Konfiguracija v realnem času ali kot metoda cn = konfiguracija, nam omogoča dinamično konfiguriranje klofuta brez ponovnega zagona storitve.

Konfiguracijska baza podatkov je sestavljena iz zbirke besedilnih datotek v tej obliki LDIF «Oblika izmenjave podatkov LDAP»Format LDAP za izmenjavo podatkov, ki se nahaja v mapi /etc/ldap/slapd.d.

Da dobite idejo o organizaciji map slapd.d, zaženemo:

: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: skupaj 8 drwxr-x --- 3 openldap openldap 4096 16. februar 11:08 cn = config -rw ------- 1 openldap openldap 407 16. februar 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: skupaj 28 -rw ------- 1 openldap openldap 383 16. februar 11:08 cn = modul {0} .ldif drwxr-x --- 2 openldap openldap 4096 16. februar 11:08 cn = schema -rw ------- 1 openldap openldap 325 16. februar 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 16. februar 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 16. februar 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16. februar 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16. februar 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schema: skupaj 40 -rw ------- 1 openldap openldap 15474 16. februar 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 16. februar 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 16. februar 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 16. februar 11:08 cn = {3} inetorgperson.ldif

Če nekoliko pogledamo prejšnji izhod, vidimo, da Backend v Squeeze uporablja tip baze podatkov hdb, kar je različica bdb "Podatkovna baza Berkeley" in da je popolnoma hierarhična ter podpira preimenovanje pod dreves. Če želite izvedeti več o možnem Vrečke ki podpira OpenLDAP, obiščite http://es.wikipedia.org/wiki/OpenLDAP.

Prav tako vidimo, da se uporabljajo tri ločene zbirke podatkov, to je ena, namenjena konfiguraciji, druga pa začelje, in zadnja, ki je baza podatkov hdb same po sebi.

Po drugi strani pa klofuta je privzeto nameščen s shemami Core, Cosine, Niš e Inetorgoseba.

Pregledi po namestitvi

V terminalu mirno izvajamo in beremo izhode. Preverili bomo, še posebej z drugim ukazom, konfiguracijo, izpeljano iz navajanja mape slapd.d.

: ~ # ldapsearch -Q -LLL -Y ZUNANJI -H ldapi: /// -b cn = config | več: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = module {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} core, cn = schema, cn = config dn: cn = {1} kosinus , cn = schema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetorgperson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config

Pojasnilo vsakega izhoda:

  • cn = konfiguracija: Globalni parametri.
  • cn = modul {0}, cn = config: Dinamično naložen modul.
  • cn = shema, cn = config: Vsebuje težko kodiran na ravni sistemskih shem.
  • cn = {0} jedro, cn = shema, cn = config: The težko kodiran sheme jedra.
  • cn = {1} kosinus, cn = shema, cn = konfiguracija: Shema Kosinus.
  • cn = {2} nis, cn = shema, cn = config: Shema Niš.
  • cn = {3} inetorgperson, cn = shema, cn = config: Shema Inetorgoseba.
  • olcBackend = {0} hdb, cn = config: Backend vrsta shranjevanja podatkov hdb.
  • olcDatabase = {- 1} frontend, cn = config: začelje baze podatkov in privzeti parametri za druge baze podatkov.
  • olcDatabase = {0} config, cn = config: Konfiguracijska baza podatkov klofuta (cn = konfiguracija).
  • olcDatabase = {1} hdb, cn = config: Naš primerek baze podatkov (dc = prijatelji, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = primer, dc = com dn
dn: dc = prijatelji, dc = cu dn: cn = admin, dc = prijatelji, dc = cu
  • dc = prijatelji, dc = cu: DIT informacijsko drevo osnovnega imenika
  • cn = admin, dc = prijatelji, dc = cu: Skrbnik (rootDN) DIT-a, prijavljenega med namestitvijo.

opomba: Osnovna pripona dc = prijatelji, dc = cu, vzel debconf med namestitvijo iz FQDN strežnik mildap.amigos.cu.

Indeksi, ki jih je treba upoštevati

Indeksiranje vnosov se izvede za izboljšanje uspešnosti iskanj na DIT, z merili filtra. Indeksi, ki jih bomo upoštevali, so najmanj priporočeni glede na atribute, deklarirane v privzetih shemah.

Za dinamično spreminjanje indeksov v zbirki podatkov ustvarimo besedilno datoteko v obliki zapisa LDIF, kasneje pa ga dodamo v bazo podatkov. Datoteko ustvarimo olcDbIndex.ldif in ga pustimo z naslednjo vsebino:

: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modificiraj add: olcDbIndex olcDbIndex: uidNumber eq - dodaj: olcDbIndex olcDbIndex: gidNumber eq - dodaj: olcDbIndex olcDbIdex: memberUdDIndex eBeDDIndex: memberDbIndex: memberDbIndex: memberDbIndex: memberDbIndex : loginShell eq, olcDbIndex: login - add: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, ol, eDbDIndex olDDIndex: add, olDDIndex: add, ol, ecdb , ou pres, eq, sub - dodaj: olcDbIndex olcDbIndex: displayName pres, sub, eq - dodaj: olcDbIndex olcDbIndex: privzeti pod - dodaj: olcDbIndex olcDbIndex: mail eq, subinitial - dodaj: olcDbIndex olcDbIndex olcDbIndex

V bazo podatkov dodamo indekse in preverimo spremembe:

: ~ # ldapmodify -Y ZUNANJI -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # ldapsearch -Q -LLL -Y ZUNANJI -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex

dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIdec presq eq subq eq presq eq presq eq presq eq sub presq eq cn presq olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: privzeti sub olcDbIndex: mail eq, subinitial olcDbIndex: dc eq

Pravila za nadzor dostopa do podatkov

Nadzor dostopa se imenuje pravila, ki so vzpostavljena tako, da lahko uporabniki berejo, spreminjajo, dodajajo in brišejo podatke v zbirki podatkov imenika, medtem ko bomo poklicali sezname nadzora dostopaSeznam nadzora dostopa ACL»Na pravilnike, ki določajo pravila.

Da vem katero ACL so bile privzeto razglašene med postopkom namestitve klofuta, izvedemo:

: ~ # ldapsearch -Q -LLL -Y ZUNANJI -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess

: ~ # ldapsearch -Q -LLL -Y ZUNANJI -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} frontend)' olcAccess

: ~ # ldapsearch -Q -LLL -Y ZUNANJI -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess

: ~ # ldapsearch -Q -LLL -Y ZUNANJI -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Vsak od prejšnjih ukazov nam bo pokazal ACL da smo do zdaj v našem imeniku deklarirali. Natančneje, zadnji ukaz jih prikaže vse, medtem ko nam prvi trije dajo pravila nadzora dostopa za vse tri. DIT vključeni v naše klofuta.

Na temo ACL in da ne bi nastajal veliko daljši članek, priporočamo branje strani z navodili človek slapd.dostop.

Uporabnikom in skrbnikom zagotoviti dostop do posodobitve vnosov loginShell y Gekoni, bomo dodali naslednji ACL:

## Ustvarimo datoteko olcAccess.ldif in jo pustimo z naslednjo vsebino: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcAccess olcAccess: {1} to attrs = loginShell, gecos z dn = "cn = admin, dc = prijatelji, dc = cu" piši sam piši * preberite

## Dodamo ACL
: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif

# Spremembe preverimo
ldapsearch -Q -LLL -Y ZUNANJI -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Priprava potrdil TLS v Stisni

Za varno preverjanje pristnosti s strežnikom OpenLDAP moramo to storiti s šifrirano sejo, ki jo lahko dosežemo z uporabo TLS «Varnost transportnega sloja» o varen transportni sloj.

Strežnik OpenLDAP in njegove stranke lahko uporabljajo Okvir TLS za zagotavljanje zaščite v zvezi s celovitostjo in zaupnostjo ter podpiranje varne LDAP overitve prek mehanizma SASL «Enostavno preverjanje pristnosti in varnostni sloj« Zunanji.

Sodobni strežniki OpenLDAP favorizirajo uporabo */ StartTLS /* o Zaženite varen transportni sloj na /LDAPS: ///, ki je zastarel. Če imate kakršna koli vprašanja, obiščite * Začni TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html

Samo pustite datoteko, kot je privzeto nameščena / etc / default / slapd z izjavo SLAPD_SERVICES = »ldap: /// ldapi: ///», z namenom uporabe šifriranega kanala med odjemalcem in strežnikom ter samimi pomožnimi aplikacijami za upravljanje OpenLDAP, ki je nameščen lokalno.

Tu opisana metoda temelji na paketih gnutls-bin y ssl-cert velja za Debian 6 "Squeeze" in tudi za Ubuntu Server 12.04. Za Debian 7 "Wheezy" druga metoda, ki temelji na OpenSSL.

Ustvarjanje potrdil v orodju Squeeze se izvede na naslednji način:

1. - Namestimo potrebne pakete
: ~ # aptitude namestite gnutls-bin ssl-cert

2. - Ustvarimo primarni ključ za overitelja
: ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3. - Ustvarimo predlogo za določitev CA (overitelja potrdil)
: ~ # nano /etc/ssl/ca.info cn = kubanski prijatelji ca cert_signing_key

4. - Za stranke izdelamo potrdilo CA z lastnim podpisom ali samopodpisom
: ~ # certtool --generate-self-signed \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem

5. - Za strežnik ustvarimo zasebni ključ
: ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem

opomba: Zamenjati "mildap"v imenu zgornje datoteke za lastno strežnico. Poimenovanje potrdila in ključa, tako za strežnik kot za storitev, ki ga uporablja, nam pomaga, da stvari ostanejo jasne.

6. - Ustvarimo datoteko /etc/ssl/mildap.info z naslednjo vsebino:
: ~ # nano /etc/ssl/mildap.info organization = kubanski prijatelji cn = mildap.amigos.cu tls_www_server encryption_key sign_key expiration_days = 3650

opomba: V prejšnji vsebini izjavljamo, da je potrdilo veljavno 10 let. Parameter je treba prilagoditi našemu udobju.

7. - Ustvarimo strežniško potrdilo
: ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem

Do zdaj smo ustvarili potrebne datoteke, v imenik moramo dodati le lokacijo samopodpisanega potrdila cacert.pem; potrdilo strežnika mildap-cert.pem; in zasebni ključ strežnika mildap-ključ.pem. Prav tako moramo prilagoditi dovoljenja in lastnika ustvarjenih datotek.

: ~ # nano /etc/ssl/certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTec / TCP / skript / olcTec / TCP / skript / olcTec / TCP / skript / olcTec / TCP / SCP -key.pem

8. - Dodamo: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

9. - Prilagodimo lastnika in dovoljenja
: ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod ali /etc/ssl/private/mildap-key.pem

Potrdilo cacert.pem To je tisto, ki ga moramo kopirati pri vsaki stranki. Da bo to potrdilo uporabljeno na samem strežniku, ga moramo prijaviti v datoteki /etc/ldap/ldap.conf. V ta namen spremenimo datoteko in jo pustimo z naslednjo vsebino:

: ~ # nano /etc/ldap/ldap.conf
BASE dc = prijatelji, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

Na koncu in tudi kot preverjanje ponovno zaženemo storitev klofuta in preverimo izhodno vrednost datoteke syslog s strežnika, da ugotovite, ali je bila storitev znova zagnana z novo prijavljenim potrdilom.

: ~ # ponovni zagon storitve slapd
: ~ # tail / var / log / syslog

Če se storitev ne zažene pravilno ali opazimo resno napako v syslog, ne bodimo malodušni. Lahko poskusimo popraviti škodo ali začeti znova. Če se odločimo za začetek namestitve klofuta, našega strežnika ni treba formatirati.

Če želite izbrisati vse, kar smo doslej naredili iz takšnih ali drugačnih razlogov, moramo paket odstraniti klofutain nato zbrišite mapo / var / lib / ldap. Datoteko moramo pustiti tudi v izvirni različici /etc/ldap/ldap.conf.

Redko se zgodi, da že ob prvem poskusu vse deluje pravilno. 🙂

Ne pozabite, da bomo v naslednjem delu videli:

  • Lokalno preverjanje pristnosti uporabnika
  • Popolnite bazo podatkov
  • Upravljajte bazo podatkov s pomočjo pripomočkov konzole
  • Povzetek do zdaj ...

Se vidimo kmalu prijatelji !.


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.

  1.   Hugo je dejal
    nazaj 10 let

    Učitelj !!!
    Zgodilo se je s tutom!
    je odlična
    VSE LIKOVE SVETA ZA VAS.
    ????

    Odgovorite Hugu
    1.    Federico je dejal
      nazaj 10 let

      Najlepša hvala, Hugo !!! Počakajte na naslednje članke na to temo.

      Odgovor na federico
  2.   to ime je napačno je dejal
    nazaj 10 let

    Hi

    zanimiva vaša serija člankov.

    Bil sem presenečen, ko sem prebral to izjavo: "Sodobni strežniki OpenLDAP raje uporabljajo StartTLS ali Zaženi varen transportni sloj kot stari protokol TLS / SSL, ki je zastarel."

    Ali trdite, da je STARTTLS v vseh primerih, tudi zunaj obsega LDAP, zaščitni mehanizem, ki je boljši od TSL / SSL?

    Odgovorite na toimeisfalse
    1.    Federico je dejal
      nazaj 10 let

      Hvala za komentar. Upoštevajte, da mislim na OpenLDAP. Ne presegam. V http://www.openldap.org/faq/data/cache/185.html, lahko preberete naslednje:

      Transport Layer Security (TLS) je standardno ime za Secure Socket Layer (SSL). Pogoji (razen če so opredeljeni s posebnimi številkami različic) so na splošno zamenljivi.

      StartTLS je ime standardne operacije LDAP za zagon TLS / SSL. TLS / SSL se zažene po uspešnem zaključku te operacije LDAP. Nadomestna vrata niso potrebna. Včasih se imenuje tudi operacija nadgradnje TLS, saj nadgradi običajno povezavo LDAP s povezavo, zaščiteno s TLS / SSL.

      ldaps: // in LDAPS se nanaša na "LDAP prek TLS / SSL" ali "LDAP zaščiten". TLS / SSL se sproži ob povezavi z nadomestnimi vrati (običajno 636). Čeprav so vrata LDAPS (636) registrirana za to uporabo, podrobnosti mehanizma za zagon TLS / SSL niso standardizirane.

      Ko se enkrat sproži, med ldaps: // in StartTLS ni razlike. Imajo enake konfiguracijske možnosti (razen ldaps: // zahteva konfiguracijo ločenega poslušalca, glejte možnost slapd (8) -h) in povzroči vzpostavitev podobnih varnostnih storitev.
      Opomba:
      1) ldap: // + StartTLS mora biti usmerjen na običajna vrata LDAP (običajno 389), ne pa na vrata ldaps: //.
      2) ldaps: // mora biti usmerjen na vrata LDAPS (običajno 636), ne na vrata LDAP.

      Odgovor na federico
      1.    to ime je napačno je dejal
        nazaj 10 let

        Žal še vedno nisem prepričan, zakaj trdite, da: 1) sodobni strežniki imajo raje STARTTLS kot SSL / TLS; 2) da je STARTTLS sodoben v primerjavi s SSL / TLS, ki je zastarel.

        Pol meseca se borim s konfiguracijo različnih poštnih odjemalcev, ki dostopajo do strežnika prek SSL (z uporabo knjižnic openssl, kot to počne večina brezplačne programske opreme), s potrdili CA v / etc / ssl / certs / in drugimi pripomočki. In naučil sem se, da: 1) STARTTLS šifrira samo preverjanje pristnosti seje, vse ostalo pa se pošlje nešifrirano; 2) SSL šifrira popolnoma vso vsebino seje. Zato STARTTLS v nobenem primeru ni tehnično boljši od SSL; Raje bi bil nagnjen k drugačnemu mnenju, saj vsebina vaše seje potuje nešifrirano po omrežju.

        Druga stvar je, da je STARTTLS priporočljiv iz drugih razlogov, ki jih ne poznam: zaradi združljivosti z MSWindows, ker je izvedba bolj stabilna ali je bolje preizkušena ... Ne vem. Zato te prosim.

        Iz citata iz priročnika, ki ste mi ga priložili v svojem odgovoru, vidim, da je razlika med ldap: // in ldaps: // enakovredna razliki med imap: // in imaps: // ali med smtp : // in smtps: //: uporabljajo se druga vrata, v konfiguracijsko datoteko se doda nekaj dodatnih vnosov, ostali parametri pa se ohranijo. Toda to ne pomeni ničesar o tem, ali želite imeti STARTTLS ali ne.

        Lep pozdrav in žal za odgovor. Samo poskušam se naučiti malo več.

        Odgovorite na toimeisfalse
        1.    Federico je dejal
          nazaj 10 let

          Poglejte, zelo redko je, da v svojih člankih trdim takšen kaliber, ne da bi me podprla kakšna resna publikacija. Na koncu serije bom vključil vse povezave do dokumentacije, ki se mi zdi resna in sem se posvetoval za pisanje prispevka. Predlagam vam naslednje povezave:

          https://wiki.debian.org/LDAP/OpenLDAPSetup
          Ubuntu ServerGuide https://code.launchpad.net/serverguide
          OpenLDAP-Official http://www.openldap.org/doc/admin24/index.html
          LDAP prek SSL / TLS in StartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/

          Poleg tega sem si ogledal priloženo dokumentacijo, ki je nameščena z vsakim paketom.

          Vprašanje varnosti na splošno in razlike med StartTLS in TLS / SSL so zelo tehnične in tako poglobljene, da se mi ne zdi potrebno znanje za takšna pojasnila. Mislim, da se lahko še naprej pogovarjamo po elektronski pošti.

          Poleg tega nikjer ne trdim, da LDAPS: // ni mogoče uporabiti. Če se vam zdi varnejše, potem nadaljujte !!!

          Ne morem vam več pomagati in zelo cenim vaše komentarje.

          Odgovor na federico
        2.    Federico je dejal
          nazaj 10 let

          Nekaj ​​več jasnosti lahko dobite - vedno o OpenLDAP - v:
          http://www.openldap.org/faq/data/cache/605.html

          Razširjena operacija StartTLS [RFC 2830] je standardni mehanizem LDAPv3 za omogočanje zaščite zaupnosti podatkov TLS (SSL). Mehanizem uporablja razširjeno operacijo LDAPv3 za vzpostavitev šifrirane povezave SSL / TLS znotraj že vzpostavljene povezave LDAP. Medtem ko je mehanizem zasnovan za uporabo s TLSv1, se večina izvedb po potrebi vrne na SSLv3 (in SSLv2).

          ldaps: // je mehanizem za vzpostavitev šifrirane povezave SSL / TLS za LDAP. Zahteva uporabo ločenih vrat, običajno 636. Čeprav so bile prvotno zasnovane za uporabo z LDAPv2 in SSLv2, številne izvedbe podpirajo njegovo uporabo z LDAPv3 in TLSv1. Čeprav za ldaps ni tehnične specifikacije: // se pogosto uporablja.

          ldaps: // je zastarel v korist zagona TLS [RFC2830]. OpenLDAP 2.0 podpira oboje.
          Iz varnostnih razlogov mora biti strežnik nastavljen tako, da ne sprejema SSLv2.

          Odgovor na federico
  3.   freebsddick je dejal
    nazaj 10 let

    To bo eden tistih člankov, v katerem uporabniki ne bodo komentirali, ker jim je vseeno, ker si na svojih Linux postajah ogledajo samo pornografije, jih preprosto ne zanima.O ldapu imam v heterogeno mrežo več povezanih storitev za podjetje, v katerem delam. Dober članek !!

    Odgovorite na freebsddick
    1.    Federico je dejal
      nazaj 10 let

      Hvala za komentar !!!. Vaša izjava je resnična glede nekaj komentarjev v mnogih mojih člankih. Dobivam pa korespondenco zainteresiranih bralcev ali drugih, ki članek prenesejo za poznejše branje in prijavo.

      Vedno je koristno imeti povratne informacije prek komentarjev, tudi če so: shranil sem jih za poznejše branje, zanimivo ali drugo mnenje.

      pozdrav

      Odgovor na federico
  4.   Federico je dejal
    nazaj 10 let

    Freeke !!! Hvala za komentar. Vaš komentar sem prejel po pošti, vendar ga ne vidim, čeprav stran večkrat osvežim. Prijatelj, ta in prejšnje članke lahko brez težav preizkusiš v orodju Squeeze ali Ubuntu Server 12.04. V Wheezyju se potrdila generirajo drugače z uporabo OpenSSL. Ampak nič. Lep pozdrav, bratec !!!

    Odgovor na federico
  5.   Federico je dejal
    nazaj 10 let

    @thisnameisfalse: Najboljši referent ima zamegljenost. Zahvaljujoč vašim komentarjem menim, da bi moral biti zadevni odstavek naslednji:

    Sodobni strežniki OpenLDAP raje uporabljajo StartTLS ali Start a Secure Transport Layer kot protokol LDAPS: //, ki je zastarel. Če imate kakršna koli vprašanja, obiščite Start TLS v. ldaps: // en http://www.openldap.org/faq/data/cache/605.html

    pozdrav

    Odgovor na federico
  6.   Jose Monge je dejal
    nazaj 10 let

    Odlično, zdaj imam domačo nalogo na ldap

    Odgovorite na jose monge
  7.   walter je dejal
    nazaj 10 let

    Ne morete vsega shraniti v eno datoteko, tako da lahko prenesete celotno vadnico

    Odgovorite Walterju
  8.   EVER je dejal
    nazaj 10 let

    Sem računalniški tehnik z bogatimi Linux izkušnjami, vendar sem se sredi članka še vedno izgubil. Potem ga bom prebral natančneje. Najlepša hvala za vadnico.
    Res pa je, da nam omogoča, da veliko bolj razumemo, zakaj je za te stvari običajno izbran ActiveDirectory. Ko gre za enostavnost konfiguracije in izvedbe, obstaja vesolje razlik.
    pozdrav

    Odgovorite na eVeR
  9.   Federico je dejal
    nazaj 10 let

    Hvala vsem za komentar!
    @jose monge, upam, da ti pomaga
    @walter na koncu vseh objav bom videl, če lahko sestavim zbirko v obliki html ali pdf
    @eVeR, obratno, OpenLDAP je preprostejši - tudi če se ne zdi Active Directory. počakajte na naslednje članke in videli boste.

    Odgovor na federico
  10.   Marcelo je dejal
    nazaj 10 let

    Poizvedba nameščam korak za korakom, a ob ponovnem zagonu storitve slapd mi prikaže naslednjo napako>

    30. julij 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (17. mar. 2014 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / debian / build / servers / slapd
    30. julij 15:27:37 xxxxx slapd [1219]: Vstavljen je NEZNAN atributOpis "CHANGETYPE".
    30. julij 15:27:37 xxxxx slapd [1219]: vstavljen je NEZNAN atributOpis "DODAJ".
    30. julij 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): empty AttributeDescription
    30. julij 15:27:37 xxxxx slapd [1219]: slapd se je ustavil.
    30. julij 15:27:37 xxxxx [1219]: connections_destroy: nič za uničenje.

    Odgovor Marcelu
    1.    x11tete11x je dejal
      nazaj 10 let

      lahko vprašate na forumu 😀 http://foro.desdelinux.net/

      Odgovorite na x11tete11x
  11.   petrop je dejal
    nazaj 9 let

    Za vse, ki vidijo to odlično in dobro razloženo objavo in se ta težava zgodi pri ustvarjanju ACL-jev:
    ldapmodify: neveljavna oblika (vrstica 5) vnos: "olcDatabase = {1} hdb, dc = config"

    Po razbijanju glave po internetu se izkaže, da je ldapmodify najbolj natančna vrsta na spletu. Histerično je tako z napačno postavljenimi znaki kot tudi s presledki. Brez nadaljnjih nasvetov je nasvet, da napišete pogoj drug ob drugem ali X, če napišete sami, napišite * preberite. Če še vedno ne deluje, namestite Notepad ++> Pogled> Prikaži simbol in na koncu smrt nevidnim znakom. Upam, da nekdo pomaga.

    Odgovori pedropu
  12.   petrop je dejal
    nazaj 9 let

    Ustvari potrdila za Debian Wheezy na podlagi OpenSSL, ki lahko služijo:
    http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/

    Odgovori pedropu