Përshëndetje miq!. Le të fillojmë biznesin dhe siç rekomandojmë gjithmonë, lexoni tre artikujt e mëparshëm në seri:
- Shërbimi i direktorisë me LDAP. Prezantimi.
- Shërbimi i Drejtorisë me LDAP [2]: NTP dhe dnsmasq.
- Shërbimi i Direktorisë me LDAP [3]: Isc-DHCP-Server dhe Bind9.
DNS, DHCP dhe NTP janë shërbimet minimale thelbësore për direktorinë tonë të thjeshtë bazuar në OpenLDAP amtare, punon si duhet në Debian 6.0 "Shtrydh", ose në Ubuntu 12.04 LTS "Pangolin i saktë".
Rrjeti Shembull:
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
Në pjesën e parë do të shohim:
- Instalimi OpenLDAP (shuplakë 2.4.23-7.3)
- Kontrollon pas instalimit
- Indekset që duhet të merren parasysh
- Rregullat e Kontrollit të Hyrjes në të Dhëna
- Gjenerimi i Certifikatave TLS në Shtrydhje
ndërsa në pjesën e dytë do të vazhdojmë me:
- Vërtetimi i përdoruesit lokal
- Popullo bazën e të dhënave
- Menaxhoni bazën e të dhënave duke përdorur shërbimet e tastierës
- Përmbledhje deri më tani ...
Instalimi OpenLDAP (shuplakë 2.4.23-7.3)
Serveri OpenLDAP është instaluar duke përdorur paketën shuplakë. Ne gjithashtu duhet të instalojmë paketën ldap-utils, i cili na siguron disa mjete nga ana e klientit, si dhe shërbimet e vetë OpenLDAP.
: ~ # aftësi instaloni slapd ldap-utils
Gjatë procesit të instalimit, debkonf Do të na kërkojë fjalëkalimin e administratorit ose përdoruesit «admin« Një numër varësish janë instaluar gjithashtu; është krijuar përdoruesi openldap; krijohet konfigurimi fillestar i serverit si dhe direktoria LDAP.
Në versionet e mëparshme të OpenLDAP, konfigurimi i daemon shuplakë është bërë tërësisht përmes dosjes /etc/ldap/slapd.conf. Në versionin që po përdorim dhe më vonë, konfigurimi bëhet në të njëjtën gjë shuplakë, dhe për këtë qëllim a DIT «Drejtoria e informacionit Pema»Ose Pema e Informacionit të Direktorisë, veç e veç.
Metoda e konfigurimit e njohur si RTC «Konfigurimi në kohë reale»Konfigurimi në kohë reale, ose si Metoda cn = konfigurim, na lejon të konfigurojmë dinamikisht shuplakë pa kërkuar një rinisje të shërbimit.
Baza e të dhënave e konfigurimit përbëhet nga një koleksion i skedarëve të tekstit në format LDIF «Formati i shkëmbimit të të dhënave LDAP»Formati LDAP për Shkëmbimin e të Dhënave, i vendosur në dosje /etj/ldap/slapd.d.
Për të marrë një ide të organizimit të dosjes shuplakë.d, le te vrapojme:
: # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: gjithsej 8 drwxr-x --- 3 openldap openldap 4096 Shkurt 16 11:08 cn = konfigurimi -rw ------- 1 openldap openldap 407 Shk 16 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: gjithsej 28 -rw ------- 1 openldap openldap 383 Shk 16 11:08 cn = moduli {0} .ldif drwxr-x --- 2 openldap openldap 4096 Shkurt 16 11:08 cn = skema -rw ------- 1 openldap openldap 325 Shk 16 11:08 cn = skema.ldif -rw ------- 1 openldap openldap 343 Shk 16 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 Shk 16 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 Shkurt 16:11 olcDatabase = {- 08} frontend.ldif -rw ------- 1 openldap openldap 1 Shk 1012 16:11 olcDatabase = {08} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = skema: gjithsej 1 -rw ------- 40 openldap openldap 1 Shk 15474 16:11 cn = {08} core.ldif -rw ------- 0 openldap openldap 1 11308 shkurt 16:11 cn = {08} cosine.ldif -rw ------- 1 openldap openldap 1 Shk 6438 16:11 cn = {08} nis.ldif -rw ------- 2 openldap openldap 1 Shkurt 2802 16:11 cn = {08} inetorgperson.ldif
Nëse shohim pak daljen e mëparshme, shohim se backend i përdorur në Squeeze është lloji i bazës së të dhënave hdb, e cila është një variant i BDB "Baza e të dhënave Berkeley", dhe se është plotësisht hierarkike dhe mbështet riemërtimin e nën-pemëve. Për të mësuar më shumë rreth asaj që është e mundur fundi i pasëm që mbështet OpenLDAP, vizitoni http://es.wikipedia.org/wiki/OpenLDAP.
Ne gjithashtu shohim se përdoren tre baza të të dhënave të ndara, domethënë një kushtuar konfigurimit, një tjetër për frontend, dhe e fundit që është baza e të dhënave hdb në vetvete.
Për më tepër, shuplakë është instaluar në mënyrë të paracaktuar me skemat Bërthamë, kosinus, prill e person në internet.
Kontrollon pas instalimit
Në një terminal ne ekzekutojmë dhe lexojmë me qetësi rezultatet. Ne do të kontrollojmë, sidomos me komandën e dytë, konfigurimin e nxjerrë nga listimi i dosjes shuplakë.d.
: ~ # ldapsearch -Q -LLL -Y E JASHTME -H ldapi: /// -b cn = konfigurimi | më shumë: l # ldapsearch -Q -LLL -Y E JASHTME -H ldapi: /// -b cn = konfiguroni dn
dn: cn = konfigurimi dn: cn = moduli {0}, cn = konfigurimi dn: cn = skema, cn = konfigurimi dn: cn = {0} bërthama, cn = skema, cn = konfigurimi dn: cn = {1} kosinus , cn = skema, cn = konfigurimi dn: cn = {2} nis, cn = skema, cn = konfigurimi dn: cn = {3} inetorgperson, cn = skema, cn = konfigurimi dn: olcBackend = {0} hdb, cn = konfigurimi dn: olcDatabase = {- 1} frontend, cn = konfigurimi dn: olcDatabase = {0} konfigurimi, cn = konfigurimi dn: olcDatabase = {1} hdb, cn = konfigurimi
Shpjegimi i secilës dalje:
- cn = konfigurim: Parametrat globalë.
- cn = moduli {0}, cn = konfigurimi: Modul i ngarkuar në mënyrë dinamike.
- cn = skema, cn = konfigurimi: Përmban i koduar fort në nivelin e skemave të sistemit.
- cn = {0} thelbi, cn = skema, cn = konfigurimi: Të i koduar fort të skemës së bërthamës.
- cn = {1} kosinus, cn = skemë, cn = konfigurim: Skema Kosinus
- cn = {2} nis, cn = skemë, cn = konfigurim: Skema Nishit
- cn = {3} inetorgperson, cn = skema, cn = konfigurimi: Skema person në internet.
- olcBackend = {0} hdb, cn = konfigurim: backend lloji i ruajtjes së të dhënave hdb.
- olcDatabase = {- 1} frontend, cn = konfigurim: frontend të bazës së të dhënave dhe parametrat e paracaktuar për bazat e të dhënave të tjera.
- olcDatabase = {0} konfigurimi, cn = konfigurimi: Baza e të dhënave e konfigurimit të shuplakë (cn = konfigurim).
- olcDatabase = {1} hdb, cn = konfigurimi: Shembulli ynë i bazës së të dhënave (dc = miq, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = shembull, dc = com dn dn: dc = miq, dc = cu dn: cn = administrator, dc = miq, dc = cu
- dc = miq, dc = cu: Pema e informacionit të bazës së DIT
- cn = administratori, dc = miqtë, dc = cu: Administratori (rootDN) i DIT i deklaruar gjatë instalimit.
Shënim: Prapashtesa bazë dc = miq, dc = cu, e mori atë debkonf gjatë instalimit nga FQDN nga serveri mildap.amigos.cu.
Indekset që duhet të merren parasysh
Indeksimi i shënimeve kryhet për të përmirësuar performancën e kërkimeve në DIT, me kritere filtri. Indekset që do të shqyrtojmë janë minimumi i rekomanduar sipas atributeve të deklaruara në skemat e paracaktuara.
Për të modifikuar dinamikisht indekset në bazën e të dhënave, ne krijojmë një skedar teksti në format LDIF, dhe më vonë ne e shtojmë atë në bazën e të dhënave. Ne krijojmë skedarin olcDbIndex.ldif dhe e lëmë me përmbajtjen vijuese:
: # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = lloji i konfigurimit: modifiko shto: olcDbIndex olcDbIndex: uidNumber eq - shto: olcDbIndex olcDbIndex: gidNumber eq - shto: olcDbIndex olcDbIndex: olUDDI endex: : hyrja Shell eq, olcDbIndex: hyrja - shto: olcDbIndex olcDbIndex: uid pres, nën, eq - shto: olcDbIndex olcDbIndex: cn pres, nën, eq - shto: olcDbIndex olcDbIndex: sn pres, sub, olcDN: olcD , ose pres, eq, nën - shto: olcDbIndex olcDbIndex: shfaq Emrin pres, nën, eq - shto: olcDbIndex olcDbIndex: nën nën - shto: olcDbIndex olcDbIndex: eq mail, nënfjalor - shto: olcDbIndex olcDbIndex olcDbIndex:
Ne shtojmë indekset në bazën e të dhënave dhe kontrollojmë modifikimin:
: ~ # ldapmodify -Y E JASHTME -H ldapi: /// -f ./olcDbIndex.ldif
: ~ # ldapsearch -Q -LLL -Y E JASHTME -H ldapi: /// -b \ cn = konfigurim '(olcDatabase = {1} hdb)' olcDbIndex
dn: olcDatabase = {1} hdb, cn = konfigurim olcDbIndex: objektKlasa eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: anëtarUid eq, pres, nën olcDbIndex: hyrjaShell eq olcDbIndex: pres, subc, pres, u, pres: cn presq olcDbIndex: sn pres, sub, eq olcDbIndex: dhënë Emri, ose pres, eq, nën olcDbIndex: shfaq Emri pres, nën, eq olcDbIndex: nën nën olcDbIndex: mail eq, olcDbIndex nënfjalor: dc eq
Rregullat e Kontrollit të Hyrjes në të Dhëna
Rregullat që janë vendosur në mënyrë që përdoruesit të mund të lexojnë, modifikojnë, shtojnë dhe fshijnë të dhëna në bazën e të dhënave të Drejtorisë quhen Kontrolli i Hyrjes, ndërsa ne do të quajmë Listat e Kontrollit të Hyrjes ose «Lista e Kontrollit të Hyrjes ACL»Për politikat që konfigurojnë rregullat.
Të dihet cila ACL-të u deklaruan si parazgjedhje gjatë procesit të instalimit të shuplakë, ne ekzekutojmë:
: ~ # ldapsearch -Q -LLL -Y E JASHTME -H ldapi: /// -b \
cn = konfigurimi '(olcDatabase = {1} hdb)' olcAccess
: ~ # ldapsearch -Q -LLL -Y E JASHTME -H ldapi: /// -b \
cn = konfigurimi '(olcDatabase = {- 1} frontend)' olcAccess
: ~ # ldapsearch -Q -LLL -Y E JASHTME -H ldapi: /// -b \
cn = konfigurim '(olcDatabase = {0} konfigurim)' olcAccess
: ~ # ldapsearch -Q -LLL -Y E JASHTME -H ldapi: /// -b \
cn = konfigurimi '(olcAccess = *)' olcAccess olcSuffix
Secila nga komandat e mëparshme do të na tregojë ACL-të që deri më tani ne e kemi deklaruar në Drejtorinë tonë. Konkretisht, komanda e fundit i tregon të gjithë, ndërsa tre të parat na japin rregullat e kontrollit të hyrjes për të tre. DIT përfshirë në tonë shuplakë.
Në temën e ACL-të dhe për të mos bërë një artikull shumë më të gjatë, ju rekomandojmë të lexoni faqet manuale njeri shuplakë.qasja.
Për të garantuar hyrjen e përdoruesve dhe administratorëve për të azhurnuar shënimet e tyre hyrja Shell y Geckos, ne do të shtojmë ACL vijuese:
## Ne krijojmë skedarin olcAccess.ldif dhe e lëmë me përmbajtjen vijuese: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = konfigurimi changetype: modifikoj add: olcAccess olcAccess: {1} to attrs = loginShell, gecos nga dn = "cn = administratori, dc = shokët, dc = cu" shkruaj vetë shkruaj nga * lexoni
## Ne shtojmë ACL
: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif
# Ne kontrollojmë ndryshimet
ldapsearch -Q -LLL -Y E JASHTME -H ldapi: /// -b \
cn = konfigurimi '(olcAccess = *)' olcAccess olcSuffix
Gjenerimi i Certifikatave TLS në Shtrydhje
Për të pasur një vërtetim të sigurt me serverin OpenLDAP, ne duhet ta bëjmë atë përmes një seance të koduar të cilën mund ta arrijmë duke përdorur TLS «Siguria e shtresës së transportit» o Shtresa e Sigurt e Transportit.
Serveri OpenLDAP dhe klientët e tij janë në gjendje të përdorin strukturë TLS për të siguruar mbrojtje në lidhje me integritetin dhe konfidencialitetin, si dhe mbështetje për vërtetimin e sigurt të LDAP përmes mekanizmit SASL «Vërtetimi i thjeshtë dhe shtresa e sigurisë« E jashtme.
Serverat modernë OpenLDAP favorizojnë përdorimin e */ StartTLS /* o Filloni një Shtresë të Sigurt Transporti në /LDAPS: ///, e cila është vjetëruar. Ndonjë pyetje, vizitoni * Filloni TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html
Thjesht lini skedarin siç është instaluar si parazgjedhje / etj / parazgjedhur / shuplakë me deklaratën SLAPD_SERVICES = »ldap: /// ldapi: ///», me qëllim të përdorimit të një kanali të koduar midis klientit dhe serverit, dhe vetë aplikacioneve ndihmëse për të administruar OpenLDAP që janë instaluar lokalisht.
Metoda e përshkruar këtu, bazuar në paketat gutat e koshave y ssl-çert është e vlefshme për Debian 6 "Shtrydh" dhe gjithashtu për Ubuntu Server 12.04. Për Debian 7 "Wheezy" një metodë tjetër e bazuar në OpenSSL.
Gjenerimi i certifikatave në Shtrydhje kryhet si më poshtë:
1.- Ne instalojmë paketat e nevojshme : ~ # aftësi instaloni gnutls-bin ssl-cert 2.- Ne krijojmë Çelësin Primar për Autoritetin e Certifikimit : sh # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem" 3.- Ne krijojmë një model për të përcaktuar CA (Autoriteti i Certifikimit) : n # nano /etc/ssl/ca.info cn = Miqtë Kubanë ca cert_signing_key 4.- Ne krijojmë Certifikatën e Vetë-Nënshkrimit ose Vetë-Nënshkrimit të CA për klientët : cert # certtool - gjenerohet i vetë-nënshkruar \ - load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs cacert.pem 5.- Ne krijojmë një çelës privat për serverin : cert # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem Shënim: Zëvendëso "butë"në emrin e skedarit më lart për serverin tuaj. Emërtimi i Certifikatës dhe Çelësit, si për serverin ashtu edhe për shërbimin që e përdor atë, na ndihmon t'i mbajmë gjërat qartë. 6.- Ne krijojmë skedarin /etc/ssl/mildap.info me përmbajtjen vijuese: : n # nano /etc/ssl/mildap.info organizatë = Miqtë Kuban cn = mildap.amigos.cu tls_www_server encryption_key sign_key_dding_keys_days = 3650 Shënim: Në përmbajtjen e mëparshme deklarojmë se çertifikata është e vlefshme për një periudhë kohore prej 10 vjetësh. Parametri duhet të rregullohet për lehtësinë tonë. 7.- Ne krijojmë Certifikatën e Serverit : cert # certtool - gjenero-certifikatë \ - load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certifikatë /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem
Deri më tani ne kemi gjeneruar skedarët e nevojshëm, ne vetëm duhet të shtojmë në Drejtori vendndodhjen e Certifikatës së Vetë-Nënshkruar cacert.pem; atë të Certifikatës së serverit mildap-cert.pem; dhe çelësin privat të serverit butë butë.pem. Ne gjithashtu duhet të rregullojmë lejet dhe pronarin e skedarëve të gjeneruar.
: # nano /etc/ssl/certinfo.ldif dn: cn = konfigurimi shtoni: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - shtoni: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - shtoni: private / olcT -key.pem 8.- Shtojmë: l # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif 9.- Ne rregullojmë pronarin dhe lejet : ~ # adduser openldap ssl-cert: # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: # chmod ose /etc/ssl/private/mildap-key.pem
Certifikata cacert.pem Theshtë ai që duhet ta kopjojmë në secilin klient. Që kjo certifikatë të përdoret në vetë serverin, duhet ta deklarojmë atë në skedar /etc/ldap/ldap.conf. Për ta bërë këtë, ne modifikojmë skedarin dhe e lëmë me përmbajtjen e mëposhtme:
: # nano /etc/ldap/ldap.conf BAZA dc = miq, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem
Më në fund dhe gjithashtu si një kontroll, ne rifillojmë shërbimin shuplakë dhe ne kontrollojmë prodhimin e syslog nga serveri, për të zbuluar nëse shërbimi u rindez siç duhet duke përdorur certifikatën e sapo deklaruar.
:. # rinisni shiritin e shërbimit : tail # tail / var / log / syslog
Nëse shërbimi nuk rifillon siç duhet ose vërejmë një gabim serioz në syslog, le të mos dekurajohemi. Ne mund të përpiqemi të riparojmë dëmet ose të fillojmë nga e para. Nëse vendosim të fillojmë nga e para instalimin e shuplakë, nuk është e nevojshme të formatojmë serverin tonë.
Për të fshirë gjithçka që kemi bërë deri më tani për një arsye apo një tjetër, duhet të çinstalojmë paketën shuplakë, dhe pastaj fshini dosjen / var / lib / ldap. Ne gjithashtu duhet ta lëmë skedarin në versionin e tij origjinal /etc/ldap/ldap.conf.
Rareshtë e rrallë që gjithçka funksionon si duhet në provën e parë. 🙂
Mos harroni se në këstin tjetër do të shohim:
- Vërtetimi i përdoruesit lokal
- Popullo bazën e të dhënave
- Menaxhoni bazën e të dhënave duke përdorur shërbimet e tastierës
- Përmbledhje deri më tani ...
Shihemi së shpejti miq !.
Mesues !!!
NDODH ME TUTO!
është e shkëlqyeshme
të gjitha PIKAT E BOTS P YR JU.
😀
Faleminderit shumë, Hugo !!! Prisni për artikujt e ardhshëm mbi këtë temë.
Hi
interesante seria juaj e artikujve.
U befasova kur lexova këtë deklaratë: "serverat modernë OpenLDAP preferojnë përdorimin e StartTLS ose Filloni një Shtresë Transporti të Sigurt se protokolli i vjetër TLS / SSL, i cili është i vjetëruar".
A pohoni se, në të gjitha rastet edhe jashtë fushëveprimit të LDAP, STARTTLS është një mekanizëm mbrojtje më i lartë se TSL / SSL?
Faleminderit per koment Vini re se dua të them OpenLDAP. Unë nuk e teproj. Në http://www.openldap.org/faq/data/cache/185.html, ju mund të lexoni sa vijon:
Transport Layer Security (TLS) është emri standard për Secure Socket Layer (SSL). Termat (përveç nëse kualifikohen me numra të veçantë të versionit) janë përgjithësisht të këmbyeshëm.
StartTLS është emri i operacionit standard LDAP për fillimin e TLS / SSL. TLS / SSL fillon me përfundimin e suksesshëm të këtij operacioni LDAP. Asnjë port alternativ nuk është i nevojshëm. Ndonjëherë referohet si operacioni i azhurnimit të TLS, pasi azhurnon një lidhje normale LDAP me atë të mbrojtur nga TLS / SSL.
ldaps: // dhe LDAPS i referohet "LDAP mbi TLS / SSL" ose "LDAP të Sigurt". TLS / SSL fillon me lidhjen me një port alternativ (normalisht 636). Megjithëse porta LDAPS (636) është regjistruar për këtë përdorim, të dhënat e mekanizmit të fillimit të TLS / SSL nuk janë të standardizuara.
Pasi të fillohet, nuk ka asnjë ndryshim midis ldaps: // dhe StartTLS. Ata ndajnë të njëjtat opsione konfigurimi (përveç ldaps: // kërkon konfigurimin e një dëgjuesi të veçantë, shih opsionin -h slapd (8)) dhe rezultojnë në krijimin e shërbimeve të ngjashme.
Shënim:
1) ldap: // + StartTLS duhet të drejtohet në një port normal LDAP (normalisht 389), jo në portin ldaps: //.
2) ldaps: // duhet të drejtohet në një port LDAPS (normalisht 636), jo në portin LDAP.
Na vjen keq, por ende nuk jam i sigurt pse pohoni se: 1) serverat modern preferojnë STARTTLS ndaj SSL / TLS; 2) që STARTTLS është modern, kundrejt SSL / TLS që është vjetëruar.
Unë kam qenë duke luftuar për gjysmë muaj me konfigurimin e klientëve të ndryshëm të postës që hyjnë në server nga SSL (duke përdorur biblioteka openssl, siç bën shumica e softverit falas), me certifikata CA në / etc / ssl / certs / dhe sende të tjera. Dhe ajo që kam mësuar është se: 1) STARTTLS vetëm kripton vërtetimin e sesionit, dhe gjithçka tjetër dërgohet e paskriptuar; 2) SSL kripton absolutisht të gjithë përmbajtjen e sesionit. Prandaj, në asnjë rast STARTTLS nuk është teknikisht më superior se SSL; Unë do të isha më i prirur të mendoja ndryshe, pasi përmbajtja e sesionit tuaj udhëton e pakriptuar në rrjet.
Një tjetër gjë e ndryshme është që STARTTLS rekomandohet për arsye të tjera që nuk i di: për pajtueshmëri me MSWindows, sepse implementimi është më i qëndrueshëm ose është testuar më mirë ... Nuk e di. Prandaj po ju pyes.
Nga citimi i manualit që më keni bashkangjitur në përgjigjen tuaj, unë shoh se ndryshimi midis ldap: // dhe ldaps: // është ekuivalent me ndryshimin midis imap: // dhe imaps: //, ose midis smtp: // dhe smtps: //: përdoret një port tjetër, shtohet një hyrje shtesë në skedarin e konfigurimit, por pjesa tjetër e parametrave ruhen. Por kjo nuk tregon asgjë për të preferuar apo jo STARTTLS.
Përshëndetje, dhe më vjen keq për përgjigjen. Thjesht po përpiqem të mësoj pak më shumë.
Shikoni, është shumë e rrallë që në artikujt e mi të bëj pretendime të atij kalibri pa u mbështetur nga ndonjë botim serioz. Në fund të serisë do të përfshij të gjitha lidhjet për dokumentacionin që unë i konsideroj serioze dhe që jam këshilluar për të shkruar postin. Ju avancoj lidhjet e mëposhtme:
https://wiki.debian.org/LDAP/OpenLDAPSetup
Udhëzues Ubuntu ServerGuide https://code.launchpad.net/serverguide
OpenLDAP-Zyrtare http://www.openldap.org/doc/admin24/index.html
LDAP mbi SSL / TLS dhe StartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/
Dhe për më tepër, unë u konsultova me dokumentacionin shoqërues që është i instaluar me secilën paketë.
Çështja e sigurisë në përgjithësi dhe ndryshimet midis StartTLS dhe TLS / SSL, janë shumë teknike dhe të një thellësie të tillë që unë nuk e konsideroj veten të kem njohuritë e nevojshme për të dhënë shpjegime të tilla. Mendoj se mund të vazhdojmë të flasim përmes postës elektronike.
Për më tepër, askund nuk pohoj se LDAPS: // nuk mund të përdoret. Nëse e konsideroni më të sigurt, atëherë vazhdoni !!!
Nuk mund t'ju ndihmoj më dhe i vlerësoj me të vërtetë komentet tuaja.
Pak më shumë qartësi mund të merrni - gjithnjë për OpenLDAP - në:
http://www.openldap.org/faq/data/cache/605.html
Operacioni i zgjatur StartTLS [RFC 2830] është mekanizmi standard i LDAPv3 për të mundësuar mbrojtjen e konfidencialitetit të të dhënave TLS (SSL). Mekanizmi përdor një operacion të zgjatur LDAPv3 për të vendosur një lidhje të koduar SSL / TLS brenda një lidhje LDAP tashmë të vendosur. Ndërsa mekanizmi është krijuar për përdorim me TLSv1, shumica e implementimeve do të kthehen në SSLv3 (dhe SSLv2) nëse është e nevojshme.
ldaps: // është një mekanizëm për krijimin e një lidhje të koduar SSL / TLS për LDAP. Kërkon përdorimin e një porti të veçantë, zakonisht 636. Megjithëse fillimisht ishte krijuar për t'u përdorur me LDAPv2 dhe SSLv2, shumë zbatime mbështesin përdorimin e tij me LDAPv3 dhe TLSv1. Edhe pse nuk ka specifikim teknik për ldaps: // është përdorur gjerësisht.
ldaps: // është zhvlerësuar në favor të Start TLS [RFC2830]. OpenLDAP 2.0 mbështet të dyja.
Për arsye sigurie serveri duhet të konfigurohet që të mos pranojë SSLv2.
Ky do të jetë një nga ata artikuj në të cilët përdoruesit nuk do të komentojnë sepse pasi që ata shikojnë pornografi vetëm në stacionet e tyre Linux, ata thjesht nuk janë të interesuar. Rreth ldap Unë kam disa shërbime të lidhura brenda rrjetit heterogjen për kompaninë për të cilën punoj. Artikull i mbare !!
Faleminderit për komentin !!!. Dhe deklarata juaj është shumë e vërtetë në lidhje me komentet e pakta në shumë prej artikujve të mi. Sidoqoftë, marr korrespodencë nga lexuesit e interesuar, ose nga të tjerët që shkarkojnë artikullin për leximin dhe aplikimin e mëvonshëm.
Alwaysshtë gjithmonë shumë e dobishme të kesh reagime përmes komenteve, edhe nëse ato janë: Unë e ruajta atë për një lexim të mëvonshëm, interesant ose një mendim tjetër.
të fala
Liria !!! Faleminderit per koment Kam marrë komentin tuaj në postë por nuk e shoh edhe pse e rifreskoj faqen disa herë. Mik, mund ta provosh këtë dhe artikujt e mëparshëm pa probleme në Squeeze ose Ubuntu Server 12.04. Në Wheezy certifikatat gjenerohen ndryshe, duke përdorur OpenSSL. Por asgje. Përshëndetjet e mia, vëlla !!!.
@thisnameisfalse: Nëpunësi më i mirë merr një turbullirë. Falë komenteve tuaja, mendoj se paragrafi në fjalë duhet të jetë si më poshtë:
Serverat modernë OpenLDAP preferojnë përdorimin e StartTLS, ose Filloni një Shtresë të Sigurt Transporti, ndaj protokollit LDAPS: //, i cili është i vjetëruar. Për ndonjë pyetje, vizitoni Start TLS v. ldaps: // en http://www.openldap.org/faq/data/cache/605.html
të fala
E përsosur, tani kam detyrat e shtëpisë në ldap
Ju nuk mund të vendosni gjithçka në një skedar të vetëm që të mund të shkarkoni udhëzuesin e plotë
Unë jam një teknik kompjuteri me përvojë të gjerë në Linux, por prapë humba në mes të artikullit. Atëherë do ta lexoj më me kujdes. Faleminderit shumë për tutorialin.
Edhe pse është e vërtetë që na lejon të kuptojmë shumë më tepër pse ActiveDirectory zakonisht zgjidhet për këto gjëra. Ekziston një univers ndryshimesh kur bëhet fjalë për thjeshtësinë e konfigurimit dhe zbatimit.
të fala
Faleminderit të gjithëve që komentuat !!!
@jose monge, shpresoj te te ndihmoje
@walter në fund të të gjitha postimeve, do të shoh nëse mund të bëj një përmbledhje në formatin html ose pdf
Anasjelltas, një OpenLDAP është më i thjeshtë - edhe nëse nuk duket si Direktori Aktive. prisni për artikujt e ardhshëm dhe do të shihni.
Një pyetje, unë bëj instalimin hap pas hapi, por kur rifilloj shërbimin slapd, ai më hedh gabimin e mëposhtëm>
30 Kor 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (17 Mar 2014 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / debian / build / server / slapd
30 korrik 15:27:37 xxxxx slapd [1219]: është futur atributi i panjohurPërshkrimi "CHANGETYPE".
30 korrik 15:27:37 xxxxx slapd [1219]: është futur atributi i panjohur Përshkrimi "SHTO".
30 Kor 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): bosh AttributeDescription
30 Kor 15:27:37 xxxxx slapd [1219]: shuplaka u ndal.
30 Kor 15:27:37 xxxxx [1219]: connections_destroy: asgjë për të shkatërruar.
mund te pyesni ne forumin http://foro.desdelinux.net/
Për të gjithë ata që e shohin këtë postim të shkëlqyeshëm dhe të shpjeguar mirë dhe ky problem ndodh kur krijoni ACL:
ldapmodify: hyrja në formatin e pavlefshëm (rreshti 5): "olcDatabase = {1} hdb, dc = konfigurimi"
Pasi më grumbulloi kokën duke kërkuar në internet, rezulton se ldapmodify është lloji më i saktë atje në faqen e internetit. Hyshtë histerike me personazhe të gabuar, si dhe hapësira zvarritëse. Pa zhurmë të mëtejshme, këshilla është të shkruani kushtin pranë njëri-tjetrit ose duke shkruar X duke shkruar vetë duke lexuar *. Nëse akoma nuk funksionon instaloni Notepad ++> View> Trego simbolin dhe më në fund vdekjen tek personazhet e padukshëm. Shpresoj që dikush të ndihmojë.
Gjeneroni certifikata për Debian Wheezy bazuar në OpenSSL kjo mund të shërbejë:
http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/