வணக்கம் நண்பர்களே!. வணிகத்திற்கு வருவோம், மேலும் தொடரின் முந்தைய மூன்று கட்டுரைகளைப் படிக்க நாங்கள் எப்போதும் பரிந்துரைக்கிறோம்:
- LDAP உடன் அடைவு சேவை. அறிமுகம்.
- LDAP உடன் அடைவு சேவை [2]: NTP மற்றும் dnsmasq.
- LDAP உடன் அடைவு சேவை [3]: Isc-DHCP-Server மற்றும் Bind9.
டி.என்.எஸ், டி.எச்.சி.பி மற்றும் என்.டி.பி ஆகியவை எங்கள் எளிய கோப்பகத்தை அடிப்படையாகக் கொண்ட குறைந்தபட்ச அத்தியாவசிய சேவைகளாகும் OpenLDAP சொந்தமானது, சரியாக வேலை செய்கிறது டெபியன் 6.0 "கசக்கி", அல்லது உபுண்டு 12.04 எல்டிஎஸ் "துல்லியமான பாங்கோலின்" இல்.
எடுத்துக்காட்டு நெட்வொர்க்:
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
முதல் பாகத்தில் நாம் பார்ப்போம்:
- OpenLDAP நிறுவல் (ஸ்லாப் 2.4.23-7.3)
- நிறுவிய பின் சரிபார்க்கிறது
- கணக்கில் எடுத்துக்கொள்ள வேண்டிய குறியீடுகள்
- தரவு அணுகல் கட்டுப்பாட்டு விதிகள்
- கசக்கி TLS சான்றிதழ்களை உருவாக்குதல்
இரண்டாம் பாகத்தில் நாம் தொடருவோம்:
- உள்ளூர் பயனர் அங்கீகாரம்
- தரவுத்தளத்தை விரிவுபடுத்துங்கள்
- கன்சோல் பயன்பாடுகளைப் பயன்படுத்தி தரவுத்தளத்தை நிர்வகிக்கவும்
- இதுவரை சுருக்கம் ...
OpenLDAP நிறுவல் (ஸ்லாப் 2.4.23-7.3)
OpenLDAP சேவையகம் தொகுப்பைப் பயன்படுத்தி நிறுவப்பட்டுள்ளது அறைதல். நாங்கள் தொகுப்பையும் நிறுவ வேண்டும் ldap-utils, இது எங்களுக்கு சில கிளையன்ட் பக்க கருவிகளையும், ஓபன்எல்டிஏபி சொந்த பயன்பாடுகளையும் வழங்குகிறது.
: ap # ஆப்டிட்யூட் நிறுவல் slapd ldap-utils
நிறுவலின் போது, தி டெப்கான்ஃப் இது நிர்வாகி அல்லது பயனரின் கடவுச்சொல்லை கேட்கும் «நிர்வாகம்«. பல சார்புகளும் நிறுவப்பட்டுள்ளன; பயனர் உருவாக்கப்பட்டது openldap; ஆரம்ப சேவையக உள்ளமைவு மற்றும் LDAP கோப்பகமும் உருவாக்கப்பட்டது.
OpenLDAP இன் முந்தைய பதிப்புகளில், டீமான் உள்ளமைவு அறைதல் கோப்பு மூலம் முழுமையாக செய்யப்பட்டது /etc/ldap/slapd.conf. நாங்கள் பயன்படுத்தும் பதிப்பில், பின்னர், உள்ளமைவு ஒரே மாதிரியாக செய்யப்படுகிறது அறைதல், இந்த நோக்கத்திற்காக a ரிசர்வ் «அடைவு தகவல் மரம்»அல்லது அடைவு தகவல் மரம், தனித்தனியாக.
எனப்படும் உள்ளமைவு முறை போக்குவரத்துக் கழக «நிகழ் நேர கட்டமைப்பு»நிகழ் நேர கட்டமைப்பு, அல்லது முறை cn = கட்டமைப்பு, எங்களை மாறும் வகையில் கட்டமைக்க அனுமதிக்கிறது அறைதல் சேவையை மறுதொடக்கம் செய்யாமல்.
உள்ளமைவு தரவுத்தளம் வடிவமைப்பில் உரை கோப்புகளின் தொகுப்பைக் கொண்டுள்ளது எல்.டி.ஐ.எஃப் «LDAP தரவு பரிமாற்ற வடிவமைப்புExchange தரவு பரிமாற்றத்திற்கான LDAP வடிவமைப்பு, கோப்புறையில் அமைந்துள்ளது /etc/ldap/slapd.d.
கோப்புறை அமைப்பின் யோசனை பெற slapd.d, ஓடுவோம்:
: ~ # ls -lR /etc/ldap/slapd.d/ /etc/ldap/slapd.d/: மொத்தம் 8 drwxr-x --- 3 openldap openldap 4096 பிப்ரவரி 16 11:08 cn = config -rw ------- 1 openldap openldap 407 Feb 16 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: மொத்தம் 28 -rw ------- 1 openldap openldap 383 Feb 16 11:08 cn = module {0} .ldif drwxr-x --- 2 openldap openldap 4096 Feb 16 11:08 cn = schema -rw ------- 1 openldap openldap 325 Feb 16 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 Feb 16 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 Feb 16 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 பிப்ரவரி 16 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 Feb 16 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schema: மொத்தம் 40 -rw ------- 1 openldap openldap 15474 Feb 16 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 Feb 16 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 Feb 16 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 பிப்ரவரி 16 11:08 cn = {3} inetorgperson.ldif
முந்தைய வெளியீட்டை நாம் கொஞ்சம் பார்த்தால், அதைக் காண்கிறோம் பின்தளத்தில் Squeeze இல் பயன்படுத்தப்படுகிறது தரவுத்தள வகை எச்டிபி, இது ஒரு மாறுபாடு bdb "பெர்க்லி தரவுத்தளம்", மற்றும் அது முழு படிநிலை மற்றும் துணை மரங்களின் மறுபெயரிடுதலை ஆதரிக்கிறது. சாத்தியமானதைப் பற்றி மேலும் அறிய பின்தளத்தில் இது OpenLDAP ஐ ஆதரிக்கிறது, வருகை http://es.wikipedia.org/wiki/OpenLDAP.
மூன்று தனித்தனி தரவுத்தளங்கள் பயன்படுத்தப்படுவதையும் நாங்கள் காண்கிறோம், அதாவது ஒன்று உள்ளமைவுக்கு அர்ப்பணிக்கப்பட்டுள்ளது, மற்றொன்று முன்நிலை, மற்றும் கடைசியாக தரவுத்தளம் எச்டிபி ஒன்றுக்கு.
மறுபுறம், அறைதல் இயல்புநிலையாக திட்டங்களுடன் நிறுவப்பட்டுள்ளது கோர், கொசைன், ஏப்ரல் e இன்டெர்க்பர்சன்.
நிறுவிய பின் சரிபார்க்கிறது
ஒரு முனையத்தில் நாங்கள் அமைதியாக செயல்படுத்துகிறோம் மற்றும் வெளியீடுகளைப் படிக்கிறோம். கோப்புறையை பட்டியலிடுவதிலிருந்து விலக்கப்பட்ட உள்ளமைவை, குறிப்பாக இரண்டாவது கட்டளையுடன் சரிபார்க்கிறோம் slapd.d.
: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config | மேலும்: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b cn = config dn dn: cn = config dn: cn = module {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} core, cn = schema, cn = config dn: cn = {1} cosine , cn = schema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetorgperson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config
ஒவ்வொரு வெளியீட்டின் விளக்கம்:
- cn = கட்டமைப்பு: உலகளாவிய அளவுருக்கள்.
- cn = தொகுதி {0}, cn = config: மாறும் ஏற்றப்பட்ட தொகுதி.
- cn = schema, cn = config: கொண்டுள்ளது கடின குறியீட்டு கணினி திட்டங்களின் மட்டத்தில்.
- cn = {0} core, cn = schema, cn = config: கடின குறியீட்டு கர்னல் திட்டவட்டத்தின்.
- cn = {1} கொசைன், cn = ஸ்கீமா, cn = config: திட்டம் கொசைன்.
- cn = {2} nis, cn = schema, cn = config: திட்டம் நிஸ்.
- cn = {3} inetorgperson, cn = schema, cn = config: திட்டம் இன்டெர்க்பர்சன்.
- olcBackend = {0} hdb, cn = config: பின்தளத்தில் தரவு சேமிப்பு வகை எச்டிபி.
- olcDatabase = {- 1} frontend, cn = config: முன்நிலை தரவுத்தளம் மற்றும் பிற தரவுத்தளங்களுக்கான இயல்புநிலை அளவுருக்கள்.
- olcDatabase = {0} config, cn = config: இன் உள்ளமைவு தரவுத்தளம் அறைதல் (cn = கட்டமைப்பு).
- olcDatabase = {1} hdb, cn = config: எங்கள் தரவுத்தள நிகழ்வு (dc = நண்பர்கள், dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = எடுத்துக்காட்டு, dc = com dn dn: dc = நண்பர்கள், dc = cu dn: cn = admin, dc = friends, dc = cu
- dc = நண்பர்கள், dc = cu: டிஐடி அடிப்படை அடைவு தகவல் மரம்
- cn = நிர்வாகி, dc = நண்பர்கள், dc = cu: நிறுவலின் போது அறிவிக்கப்பட்ட டிஐடியின் நிர்வாகி (ரூட் டிஎன்).
குறிப்பு: அடிப்படை பின்னொட்டு dc = நண்பர்கள், dc = cu, எடுத்தது டெப்கான்ஃப் நிறுவலின் போது FQDN சேவையகம் ildap.amigos.cu.
கணக்கில் எடுத்துக்கொள்ள வேண்டிய குறியீடுகள்
உள்ளீடுகளின் அட்டவணைப்படுத்தல் தேடல்களின் செயல்திறனை மேம்படுத்துவதற்காக மேற்கொள்ளப்படுகிறது ரிசர்வ், வடிகட்டி அளவுகோல்களுடன். இயல்புநிலை திட்டங்களில் அறிவிக்கப்பட்ட பண்புகளின் படி பரிந்துரைக்கப்பட்ட குறைந்தபட்சங்கள் என்று நாங்கள் கருதுவோம்.
தரவுத்தளத்தில் உள்ள குறியீடுகளை மாறும் வகையில், வடிவமைப்பில் ஒரு உரை கோப்பை உருவாக்குகிறோம் எல்.டி.ஐ.எஃப், பின்னர் அதை தரவுத்தளத்தில் சேர்க்கிறோம். நாங்கள் கோப்பை உருவாக்குகிறோம் olcDbIndex.ldif பின்வரும் உள்ளடக்கத்துடன் அதை விட்டு விடுகிறோம்:
: ~ # நானோ olcDbIndex.ldif dn: olcDatabase = {1} hdb, cn = config changeetype: மாற்றியமைத்தல்: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: olcDbIndex: olcDbIndex: olcDbIndex . .
தரவுத்தளத்தில் குறியீடுகளைச் சேர்த்து, மாற்றத்தை சரிபார்க்கிறோம்:
: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcDbIndex.ldif : ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: oid presc cn presq olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: இயல்புநிலை துணை olcDbIndex: mail eq, subinitial olcDbIndex: dc eq
தரவு அணுகல் கட்டுப்பாட்டு விதிகள்
அடைவு தரவுத்தளத்தில் பயனர்கள் தரவைப் படிக்க, மாற்ற, சேர்க்க மற்றும் நீக்கக்கூடிய வகையில் நிறுவப்பட்ட விதிகள் அணுகல் கட்டுப்பாடு என அழைக்கப்படுகின்றன, அதே நேரத்தில் அணுகல் கட்டுப்பாட்டு பட்டியல்களை நாங்கள் அழைப்போம் அல்லது «ACL அணுகல் கட்டுப்பாட்டு பட்டியல்Config விதிகளை உள்ளமைக்கும் கொள்கைகளுக்கு.
எது என்பதை அறிய ACL கள் இன் நிறுவல் செயல்பாட்டின் போது முன்னிருப்பாக அறிவிக்கப்பட்டது அறைதல், நாங்கள் இயக்குகிறோம்:
: ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcAccess : ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcDatabase = {- 1} frontend)' olcAccess : ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcDatabase = {0} config)' olcAccess : ~ # ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcAccess = *)' olcAccess olcSuffix
முந்தைய கட்டளைகள் ஒவ்வொன்றும் நமக்குக் காண்பிக்கும் ACL கள் இப்போது வரை நாங்கள் எங்கள் கோப்பகத்தில் அறிவித்துள்ளோம். குறிப்பாக, கடைசி கட்டளை அவை அனைத்தையும் காட்டுகிறது, அதே நேரத்தில் முதல் மூன்று எங்களுக்கு மூன்று அணுகல் கட்டுப்பாட்டு விதிகளை வழங்குகிறது. ரிசர்வ் எங்கள் சம்பந்தப்பட்ட அறைதல்.
என்ற தலைப்பில் ACL கள் மேலும் நீண்ட கட்டுரையை உருவாக்கக்கூடாது என்பதற்காக, கையேடு பக்கங்களைப் படிக்க பரிந்துரைக்கிறோம் மனிதன் slapd.access.
பயனர்கள் மற்றும் நிர்வாகிகளின் உள்ளீடுகளை புதுப்பிக்க அவர்களின் அணுகலை உத்தரவாதம் செய்ய உள்நுழைவு y கெக்கோஸ், பின்வரும் ACL ஐ சேர்ப்போம்:
## நாங்கள் olcAccess.ldif கோப்பை உருவாக்கி பின்வரும் உள்ளடக்கத்துடன் விட்டு விடுகிறோம்: ~ # நானோ olcAccess.ldif dn: olcDatabase = {1} hdb, cn = config changeetype: மாற்றியமைத்தல்: olcAccess olcAccess: {1 att to attrs = loginShell, gecos by dn = "cn = admin, dc = friends, dc = cu" சுயமாக எழுதுங்கள் * படி ## நாங்கள் ACL ஐ சேர்க்கிறோம் : ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f ./olcAccess.ldif # மாற்றங்களை நாங்கள் சரிபார்க்கிறோம் ldapsearch -Q -LLL -Y EXTERNAL -H ldapi: /// -b \ cn = config '(olcAccess = *)' olcAccess olcSuffix
சான்றிதழ்களை உருவாக்குதல் டிஎல்எஸ் கசக்கி
OpenLDAP சேவையகத்துடன் பாதுகாப்பான அங்கீகாரத்தைப் பெற, ஒரு மறைகுறியாக்கப்பட்ட அமர்வின் மூலம் அதைச் செய்ய வேண்டும், அதைப் பயன்படுத்தி நாம் அடைய முடியும் TLS «போக்குவரத்து அடுக்கு பாதுகாப்பு» பாதுகாப்பான போக்குவரத்து அடுக்கு.
OpenLDAP சேவையகம் மற்றும் அதன் வாடிக்கையாளர்கள் இதைப் பயன்படுத்த முடியும் கட்டமைப்பை ஒருமைப்பாடு மற்றும் இரகசியத்தன்மை தொடர்பான பாதுகாப்பை வழங்க TLS, அத்துடன் பொறிமுறையின் மூலம் பாதுகாப்பான LDAP அங்கீகாரத்திற்கான ஆதரவு SASL «எளிய அங்கீகாரம் மற்றும் பாதுகாப்பு அடுக்கு« வெளிப்புறம்.
நவீன OpenLDAP சேவையகங்கள் * ஐப் பயன்படுத்துவதை ஆதரிக்கின்றன/ StartTLS /* / க்கு பாதுகாப்பான போக்குவரத்து அடுக்கைத் தொடங்கவும்LDAPS: ///, இது வழக்கற்றுப் போய்விட்டது. ஏதேனும் கேள்விகள் இருந்தால், * ஸ்டார்ட் டி.எல்.எஸ் வி. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html
இயல்பாக நிறுவப்பட்ட கோப்பை விட்டு விடுங்கள் / etc / default / slapd அறிக்கையுடன் SLAPD_SERVICES = »ldap: /// ldapi: ///», கிளையன்ட் மற்றும் சேவையகத்திற்கு இடையில் ஒரு மறைகுறியாக்கப்பட்ட சேனலைப் பயன்படுத்துவதற்கான நோக்கத்துடன், மற்றும் உள்நாட்டில் நிறுவப்பட்ட OpenLDAP ஐ நிர்வகிக்க துணை பயன்பாடுகளும் உள்ளன.
தொகுப்புகளின் அடிப்படையில் இங்கே விவரிக்கப்பட்ட முறை gnutls-பின் y ssl-cert இது டெபியன் 6 "கசக்கி" மற்றும் உபுண்டு சேவையகம் 12.04 க்கும் செல்லுபடியாகும். டெபியன் 7 "வீஸி" க்கு மற்றொரு முறை பிஎச்பி.
கசக்கி சான்றிதழ்களின் தலைமுறை பின்வருமாறு மேற்கொள்ளப்படுகிறது:
1.- தேவையான தொகுப்புகளை நிறுவுகிறோம் : ~ # ஆப்டிட்யூட் நிறுவு gnutls-bin ssl-cert 2.- சான்றிதழ் ஆணையத்திற்கான முதன்மை விசையை உருவாக்குகிறோம் : ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem" 3.- CA (சான்றிதழ் ஆணையம்) ஐ வரையறுக்க ஒரு டெம்ப்ளேட்டை உருவாக்குகிறோம். : ~ # nano /etc/ssl/ca.info cn = கியூப நண்பர்கள் ca cert_signing_key 4.- வாடிக்கையாளர்களுக்காக CA சுய கையொப்பமிடப்பட்ட அல்லது சுய கையொப்பமிட்ட சான்றிதழை உருவாக்குகிறோம் : ~ # certtool --generate-self-sign \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem 5.- சேவையகத்திற்கான ஒரு தனிப்பட்ட விசையை உருவாக்குகிறோம் : ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem குறிப்பு: மாற்றவும் "லேசான"உங்கள் சொந்த சேவையகத்திற்கான மேலே உள்ள கோப்பு பெயரில். சேவையகத்திற்கும் அதைப் பயன்படுத்தும் சேவைக்கும் சான்றிதழ் மற்றும் விசையை பெயரிடுவது விஷயங்களை தெளிவாக வைத்திருக்க எங்களுக்கு உதவுகிறது. 6.- பின்வரும் உள்ளடக்கத்துடன் /etc/ssl/mildap.info கோப்பை உருவாக்குகிறோம்: : ~ # நானோ /etc/ssl/mildap.info அமைப்பு = கியூப நண்பர்கள் cn =ildap.amigos.cu tls_www_server encryption_key signing_key காலாவதி_ நாட்கள் = 3650 குறிப்பு: மேற்கண்ட உள்ளடக்கத்தில் சான்றிதழ் 10 வருட காலத்திற்கு செல்லுபடியாகும் என்று அறிவிக்கிறோம். அளவுருவை எங்கள் வசதிக்கு ஏற்ப சரிசெய்ய வேண்டும். 7.- நாங்கள் சேவையக சான்றிதழை உருவாக்குகிறோம் : ~ # certtool --generate-cert \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca- சான்றிதழ் /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem
இதுவரை நாங்கள் தேவையான கோப்புகளை உருவாக்கியுள்ளோம், சுய கையொப்பமிட்ட சான்றிதழின் இருப்பிடத்தை மட்டுமே கோப்பகத்தில் சேர்க்க வேண்டும் cacert.pem; சேவையக சான்றிதழ் ildap-cert.pem; மற்றும் சேவையகத்தின் தனிப்பட்ட விசை ildap-key.pem. உருவாக்கப்பட்ட கோப்புகளின் அனுமதிகளையும் உரிமையாளரையும் நாங்கள் சரிசெய்ய வேண்டும்.
: ~ # நானோ /etc/ssl/certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert. /mildap-key.pem 8.- சேர்: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif 9.- உரிமையாளர் மற்றும் அனுமதிகளை நாங்கள் சரிசெய்கிறோம் : ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod அல்லது /etc/ssl/private/mildap-key.pem
சான்றிதழ் cacert.pem ஒவ்வொரு கிளையண்டிலும் நாம் நகலெடுக்க வேண்டியது இதுதான். இந்த சான்றிதழை சேவையகத்திலேயே பயன்படுத்த, அதை கோப்பில் அறிவிக்க வேண்டும் /etc/ldap/ldap.conf. இதைச் செய்ய, நாங்கள் கோப்பை மாற்றியமைத்து பின்வரும் உள்ளடக்கத்துடன் விட்டு விடுகிறோம்:
: ~ # நானோ /etc/ldap/ldap.conf BASE dc = நண்பர்கள், dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem
இறுதியாக மற்றும் ஒரு காசோலையாக, சேவையை மறுதொடக்கம் செய்கிறோம் அறைதல் மற்றும் வெளியீட்டை சரிபார்க்கிறோம் இந்த syslog சேவையகத்திலிருந்து, புதிதாக அறிவிக்கப்பட்ட சான்றிதழைப் பயன்படுத்தி சேவை சரியாக மறுதொடக்கம் செய்யப்பட்டதா என்பதைக் கண்டறிய.
: service # சேவை ஸ்லாப் மறுதொடக்கம் : ~ # வால் / வர் / பதிவு / சிஸ்லாக்
சேவை சரியாக மறுதொடக்கம் செய்யப்படாவிட்டால் அல்லது ஒரு கடுமையான பிழையை நாங்கள் கவனிக்கிறோம் இந்த syslog, சோர்வடைய வேண்டாம். சேதத்தை சரிசெய்ய அல்லது மீண்டும் தொடங்க முயற்சி செய்யலாம். புதிதாக தொடங்க முடிவு செய்தால் அறைதல், எங்கள் சேவையகத்தை வடிவமைக்க தேவையில்லை.
ஒரு காரணத்திற்காக அல்லது இன்னொரு காரணத்திற்காக நாங்கள் இதுவரை செய்த அனைத்தையும் அழிக்க, தொகுப்பை நிறுவல் நீக்க வேண்டும் அறைதல், பின்னர் கோப்புறையை நீக்கவும் / var / lib / ldap. கோப்பை அதன் அசல் பதிப்பில் விட்டுவிட வேண்டும் /etc/ldap/ldap.conf.
முதல் முயற்சியிலேயே எல்லாம் சரியாக செயல்படுவது அரிது. 🙂
அடுத்த தவணையில் பார்ப்போம் என்பதை நினைவில் கொள்க:
- உள்ளூர் பயனர் அங்கீகாரம்
- தரவுத்தளத்தை விரிவுபடுத்துங்கள்
- கன்சோல் பயன்பாடுகளைப் பயன்படுத்தி தரவுத்தளத்தை நிர்வகிக்கவும்
- இதுவரை சுருக்கம் ...
விரைவில் சந்திப்போம் நண்பர்களே!
ஆசிரியர் !!!
இது டுடோவுடன் நிகழ்ந்தது!
சிறந்தது
உங்களுக்கான உலகின் எல்லா விருப்பங்களும்.
????
மிக்க நன்றி, ஹ்யூகோ !!! இந்த விஷயத்தில் அடுத்த கட்டுரைகளுக்கு காத்திருங்கள்.
ஹலோ:
உங்கள் தொடர் கட்டுரைகள் சுவாரஸ்யமானது.
இந்த அறிக்கையைப் படித்ததில் எனக்கு ஆச்சரியமாக இருந்தது: "நவீன ஓபன்எல்டிஏபி சேவையகங்கள் ஸ்டார்ட் டிஎல்எஸ் அல்லது பழைய டிஎல்எஸ் / எஸ்எஸ்எல் நெறிமுறைக்கு பாதுகாப்பான போக்குவரத்து அடுக்கைத் தொடங்குவதை விரும்புகின்றன, இது வழக்கற்றுப் போய்விட்டது."
எல்லா சந்தர்ப்பங்களிலும், எல்.டி.ஏ.பி நோக்கத்திற்கு வெளியே கூட, STARTTLS என்பது டி.எஸ்.எல் / எஸ்.எஸ்.எல்.
கருத்துக்கு நன்றி. நான் OpenLDAP என்று பொருள் என்பதை நினைவில் கொள்க. நான் மிகைப்படுத்தவில்லை. இல் http://www.openldap.org/faq/data/cache/185.html, நீங்கள் பின்வருவனவற்றைப் படிக்கலாம்:
போக்குவரத்து அடுக்கு பாதுகாப்பு (டி.எல்.எஸ்) என்பது பாதுகாப்பான சாக்கெட் லேயரின் (எஸ்.எஸ்.எல்) நிலையான பெயர். விதிமுறைகள் (குறிப்பிட்ட பதிப்பு எண்களுடன் தகுதி பெறாவிட்டால்) பொதுவாக பரிமாறிக்கொள்ளக்கூடியவை.
ஸ்டார்ட்.டி.எல்.எஸ் என்பது டி.எல்.எஸ் / எஸ்.எஸ்.எல் தொடங்குவதற்கான நிலையான எல்.டி.ஏ.பி செயல்பாட்டின் பெயர். இந்த எல்.டி.ஏ.பி செயல்பாட்டை வெற்றிகரமாக முடித்தவுடன் டி.எல்.எஸ் / எஸ்.எஸ்.எல் தொடங்கப்படுகிறது. மாற்று துறைமுகம் தேவையில்லை. இது சில நேரங்களில் TLS மேம்படுத்தல் செயல்பாடு என குறிப்பிடப்படுகிறது, ஏனெனில் இது TLS / SSL ஆல் பாதுகாக்கப்பட்ட ஒரு சாதாரண LDAP இணைப்பை மேம்படுத்துகிறது.
ldaps: // மற்றும் LDAPS என்பது "LDAP over TLS / SSL" அல்லது "LDAP Secured" ஐ குறிக்கிறது. மாற்று துறைமுகத்துடன் (பொதுவாக 636) இணைக்கப்பட்டவுடன் TLS / SSL தொடங்கப்படுகிறது. இந்த பயன்பாட்டிற்காக எல்.டி.ஏ.பி.எஸ் போர்ட் (636) பதிவு செய்யப்பட்டிருந்தாலும், டி.எல்.எஸ் / எஸ்.எஸ்.எல் துவக்க பொறிமுறையின் விவரங்கள் தரப்படுத்தப்படவில்லை.
தொடங்கப்பட்டதும், ldaps: // க்கும் StartTLS க்கும் எந்த வித்தியாசமும் இல்லை. அவை ஒரே உள்ளமைவு விருப்பங்களைப் பகிர்ந்து கொள்கின்றன (ldaps தவிர: // க்கு தனி கேட்பவரின் உள்ளமைவு தேவைப்படுகிறது, slapd (8) இன் -h விருப்பத்தைப் பார்க்கவும்) மற்றும் பாதுகாப்பு சேவைகள் நிறுவப்படுவது போன்றவை.
குறிப்பு:
1) ldap: // + StartTLS ஐ சாதாரண LDAP போர்ட்டுக்கு (பொதுவாக 389) இயக்க வேண்டும், ldaps: // port அல்ல.
2) ldaps: // ஒரு LDAPS துறைமுகத்திற்கு (பொதுவாக 636) இயக்கப்பட வேண்டும், LDAP போர்ட் அல்ல.
மன்னிக்கவும், ஆனால் நீங்கள் ஏன் இதைக் கூறுகிறீர்கள் என்று எனக்குத் தெரியவில்லை: 1) நவீன சேவையகங்கள் STARTTLS ஐ SSL / TLS ஐ விரும்புகின்றன; 2) STARTTLS நவீனமானது, SSL / TLS க்கு எதிராக வழக்கற்று உள்ளது.
எஸ்.எஸ்.எல் மூலம் சேவையகத்தை அணுகும் வெவ்வேறு மெயில் கிளையண்டுகளின் உள்ளமைவுடன் (பெரும்பாலான இலவச மென்பொருளைப் போலவே ஓபன்செல் நூலகங்களையும் பயன்படுத்துகிறேன்), / etc / ssl / certs / மற்றும் பிற சாதனங்களில் CA சான்றிதழ்களுடன் அரை மாதமாக நான் போராடி வருகிறேன். நான் கற்றுக்கொண்டது என்னவென்றால்: 1) STARTTLS அமர்வின் அங்கீகாரத்தை மட்டுமே குறியாக்குகிறது, மற்ற அனைத்தும் அதை மறைகுறியாக்காமல் அனுப்புகிறது; 2) அமர்வின் அனைத்து உள்ளடக்கத்தையும் SSL குறியாக்குகிறது. எனவே, எந்தவொரு சந்தர்ப்பத்திலும் STARTTLS தொழில்நுட்ப ரீதியாக SSL ஐ விட உயர்ந்தது அல்ல; உங்கள் அமர்வின் உள்ளடக்கம் பிணையத்தில் குறியாக்கம் செய்யப்படாததால், வேறுவிதமாக சிந்திக்க நான் விரும்புவேன்.
மற்றொரு வித்தியாசமான விஷயம் என்னவென்றால், எனக்குத் தெரியாத பிற காரணங்களுக்காக STARTTLS பரிந்துரைக்கப்படுகிறது: MSWindows உடன் பொருந்தக்கூடியது, ஏனெனில் செயல்படுத்தல் மிகவும் நிலையானது அல்லது சிறப்பாக சோதிக்கப்படுகிறது ... எனக்குத் தெரியாது. அதனால்தான் நான் உங்களிடம் கேட்கிறேன்.
உங்கள் பதிலில் நீங்கள் என்னுடன் இணைத்துள்ள கையேட்டின் மேற்கோளிலிருந்து, ldap: // மற்றும் ldaps: // ஆகியவற்றுக்கு இடையேயான வேறுபாடு imap: // மற்றும் imaps: //, அல்லது smtp க்கு இடையிலான வித்தியாசத்திற்கு சமம் என்பதை நான் காண்கிறேன். // மற்றும் smtps: //: வேறு துறைமுகம் பயன்படுத்தப்படுகிறது, உள்ளமைவு கோப்பில் சில கூடுதல் நுழைவு சேர்க்கப்பட்டுள்ளது, ஆனால் மீதமுள்ள அளவுருக்கள் வைக்கப்படுகின்றன. ஆனால் அது STARTTLS ஐ விரும்புவது பற்றி எதுவும் குறிக்கவில்லை.
வாழ்த்துக்கள், மற்றும் பதிலுக்கு மன்னிக்கவும். நான் இன்னும் கொஞ்சம் கற்றுக்கொள்ள முயற்சிக்கிறேன்.
பாருங்கள், எனது கட்டுரைகளில் சில தீவிரமான வெளியீடுகளால் ஆதரிக்கப்படாமல் அந்த திறனுக்கான கூற்றுக்களை நான் கூறுவது மிகவும் அரிது. தொடரின் முடிவில், நான் தீவிரமாக கருதும் ஆவணங்களை இணைப்பதற்கான அனைத்து இணைப்புகளையும் சேர்ப்பேன், மேலும் இடுகையை எழுத நான் ஆலோசனை செய்தேன். பின்வரும் இணைப்புகளை நான் உங்களுக்கு முன்வைக்கிறேன்:
https://wiki.debian.org/LDAP/OpenLDAPSetup
உபுண்டு சேவையக வழிகாட்டி https://code.launchpad.net/serverguide
OpenLDAP- அதிகாரப்பூர்வ http://www.openldap.org/doc/admin24/index.html
SSL / TLS மற்றும் StartTLS வழியாக LDAP http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/
மேலும், ஒவ்வொரு தொகுப்பிலும் நிறுவப்பட்டுள்ள ஆவணங்களை நான் கலந்தாலோசித்தேன்.
பொதுவாக பாதுகாப்பு பிரச்சினை மற்றும் ஸ்டார்ட் டி.எல்.எஸ் மற்றும் டி.எல்.எஸ் / எஸ்.எஸ்.எல் இடையேயான வேறுபாடுகள் மிகவும் தொழில்நுட்பமானவை மற்றும் அத்தகைய ஆழம் கொண்டவை, இதுபோன்ற விளக்கங்களை வழங்குவதற்கு தேவையான அறிவு இருப்பதாக நான் கருதவில்லை. நாங்கள் மின்னஞ்சல் வழியாக தொடர்ந்து பேசலாம் என்று நினைக்கிறேன்.
மேலும், LDAPS: // ஐப் பயன்படுத்த முடியாது என்று எங்கும் நான் கூறவில்லை. நீங்கள் அதைப் பாதுகாப்பாகக் கருதினால், மேலே செல்லுங்கள் !!!
நான் இனி உங்களுக்கு உதவ முடியாது, உங்கள் கருத்துக்களை நான் மிகவும் பாராட்டுகிறேன்.
ஓபன்எல்டிஏபி பற்றி எப்போதும் இன்னும் கொஞ்சம் தெளிவு பெறலாம்:
http://www.openldap.org/faq/data/cache/605.html
ஸ்டார்ட்.டி.எல்.எஸ் நீட்டிக்கப்பட்ட செயல்பாடு [ஆர்.எஃப்.சி 2830] என்பது டி.எல்.எஸ் (எஸ்.எஸ்.எல்) தரவு ரகசியத்தன்மை பாதுகாப்பை இயக்குவதற்கான எல்.டி.ஏ.பி.வி 3 இன் நிலையான வழிமுறையாகும். ஏற்கனவே நிறுவப்பட்ட எல்.டி.ஏ.பி இணைப்பிற்குள் மறைகுறியாக்கப்பட்ட எஸ்.எஸ்.எல் / டி.எல்.எஸ் இணைப்பை நிறுவ இந்த வழிமுறை எல்.டி.ஏ.பி.வி 3 நீட்டிக்கப்பட்ட செயல்பாட்டைப் பயன்படுத்துகிறது. TLSv1 உடன் பயன்படுத்த இந்த வழிமுறை வடிவமைக்கப்பட்டுள்ள நிலையில், தேவைப்பட்டால் பெரும்பாலான செயலாக்கங்கள் SSLv3 (மற்றும் SSLv2) க்கு திரும்பும்.
ldaps: // என்பது LDAP க்காக மறைகுறியாக்கப்பட்ட SSL / TLS இணைப்பை நிறுவுவதற்கான ஒரு பொறிமுறையாகும். இதற்கு தனித்தனி துறைமுகத்தைப் பயன்படுத்த வேண்டும், பொதுவாக 636. முதலில் LDAPv2 மற்றும் SSLv2 உடன் பயன்படுத்த வடிவமைக்கப்பட்டிருந்தாலும், பல செயலாக்கங்கள் LDAPv3 மற்றும் TLSv1 உடன் அதன் பயன்பாட்டை ஆதரிக்கின்றன. Ldaps க்கு தொழில்நுட்ப விவரக்குறிப்பு இல்லை என்றாலும்: // இது பரவலாக பயன்படுத்தப்படுகிறது.
ldaps: // தொடக்க TLS [RFC2830] க்கு ஆதரவாக நீக்கப்பட்டது. OpenLDAP 2.0 இரண்டையும் ஆதரிக்கிறது.
பாதுகாப்பு காரணங்களுக்காக SSLv2 ஐ ஏற்றுக்கொள்ளாமல் சேவையகத்தை உள்ளமைக்க வேண்டும்.
பயனர்கள் கருத்துத் தெரிவிக்காத அந்தக் கட்டுரைகளில் இதுவும் ஒன்றாகும், ஏனெனில் அவர்கள் தங்கள் லினக்ஸ் நிலையங்களில் மட்டுமே ஆபாசத்தைப் பார்ப்பதால், அவர்கள் வெறுமனே ஆர்வம் காட்டவில்லை. Ldap பற்றி நான் பணிபுரியும் நிறுவனத்திற்கான பன்முக நெட்வொர்க்கில் பல தொடர்புடைய சேவைகள் உள்ளன. நல்ல கட்டுரை !!
கருத்துக்கு நன்றி !!!. எனது பல கட்டுரைகளில் உள்ள சில கருத்துகள் குறித்த உங்கள் அறிக்கை மிகவும் உண்மை. இருப்பினும், ஆர்வமுள்ள வாசகர்களிடமிருந்தோ அல்லது பிற்கால வாசிப்பு மற்றும் பயன்பாட்டிற்காக கட்டுரையைப் பதிவிறக்கும் மற்றவர்களிடமிருந்தோ நான் கடிதத்தைப் பெறுகிறேன்.
கருத்துகள் மூலம் பின்னூட்டங்களைப் பெறுவது எப்போதுமே மிகவும் பயனுள்ளதாக இருக்கும்: அவை பிற்கால வாசிப்பு, சுவாரஸ்யமான அல்லது மற்றொரு கருத்துக்காக சேமித்தேன்.
மேற்கோளிடு
ஃப்ரீக் !!! கருத்துக்கு நன்றி. உங்கள் கருத்தை நான் அஞ்சலில் பெற்றேன், ஆனால் நான் பல முறை பக்கத்தைப் புதுப்பித்தாலும் அதைப் பார்க்கவில்லை. நண்பரே, கசக்கி அல்லது உபுண்டு சேவையகம் 12.04 இல் சிக்கல்கள் இல்லாமல் இதையும் முந்தைய கட்டுரைகளையும் முயற்சி செய்யலாம். வீசியில், OpenSSL ஐப் பயன்படுத்தி சான்றிதழ்கள் வேறு வழியில் உருவாக்கப்படுகின்றன. ஆனால் ஒன்றும் இல்லை. என் அன்புடன், தம்பி !!!.
isthisnameisfalse: சிறந்த எழுத்தருக்கு ஒரு தெளிவின்மை உள்ளது. உங்கள் கருத்துகளுக்கு நன்றி, கேள்விக்குரிய பத்தி பின்வருமாறு இருக்க வேண்டும் என்று நான் நினைக்கிறேன்:
நவீன ஓபன்எல்டிஏபி சேவையகங்கள் எல்.டி.ஏ.பி.எஸ்: // நெறிமுறைக்கு, வழக்கற்றுப் போய்விட்ட ஸ்டார்ட்.டி.எல்.எஸ் அல்லது பாதுகாப்பான போக்குவரத்து அடுக்கைத் தொடங்க விரும்புகின்றன. ஏதேனும் கேள்விகள் இருந்தால், தொடக்க TLS v ஐப் பார்வையிடவும். ldaps: // en http://www.openldap.org/faq/data/cache/605.html
மேற்கோளிடு
சரியானது, இப்போது எனக்கு ldap இல் வீட்டுப்பாடம் உள்ளது
எல்லாவற்றையும் ஒரே கோப்பில் வைக்க முடியாது, எனவே முழுமையான டுடோரியலைப் பதிவிறக்கலாம்
நான் விரிவான லினக்ஸ் அனுபவமுள்ள கணினி தொழில்நுட்ப வல்லுநர், ஆனாலும் கட்டுரையின் நடுவில் நான் தொலைந்து போயிருக்கிறேன். நான் அதை மிகவும் கவனமாக மீண்டும் படிக்கப் போகிறேன். டுடோரியலுக்கு மிக்க நன்றி.
ஆக்டிவ் டைரக்டரி பொதுவாக இந்த விஷயங்களுக்கு ஏன் தேர்ந்தெடுக்கப்படுகிறது என்பதைப் புரிந்துகொள்ள இது நம்மை அனுமதிக்கிறது என்பது உண்மைதான். உள்ளமைவு மற்றும் செயல்படுத்தலின் எளிமைக்கு வரும்போது வேறுபாட்டின் ஒரு பிரபஞ்சம் உள்ளது.
மேற்கோளிடு
கருத்து தெரிவித்த அனைவருக்கும் நன்றி!
monjose monge, இது உங்களுக்கு உதவும் என்று நம்புகிறேன்
எல்லா இடுகைகளின் முடிவிலும் வால்டர், நான் HTML அல்லது பி.டி.எஃப் வடிவத்தில் ஒரு தொகுப்பை உருவாக்க முடியுமா என்று பார்ப்பேன்
VeVeR வேறு வழியில்லாமல், ஒரு ஓபன்எல்டிஏபி ஒரு செயலில் உள்ள கோப்பகம் போல் தெரியவில்லை என்றால் எளிமையானது. அடுத்த கட்டுரைகளுக்காக காத்திருங்கள், நீங்கள் பார்ப்பீர்கள்.
ஒரு வினவல், நான் படிப்படியாக நிறுவலை செய்கிறேன், ஆனால் ஸ்லாப் சேவையை மறுதொடக்கம் செய்யும் போது, அது பின்வரும் பிழையை எனக்கு வீசுகிறது>
ஜூலை 30 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (Mar 17 2014 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / டெபியன் / பில்ட் / சர்வர்கள் / ஸ்லாப்
ஜூலை 30 15:27:37 xxxxx slapd [1219]: அறியப்படாத பண்புக்கூறு விவரம் "CHANGETYPE" செருகப்பட்டது.
ஜூலை 30 15:27:37 xxxxx slapd [1219]: அறியப்படாத பண்புக்கூறு விவரம் "ADD" செருகப்பட்டது.
ஜூலை 30 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): வெற்று பண்புக்கூறு
ஜூலை 30 15:27:37 xxxxx slapd [1219]: slapd நிறுத்தப்பட்டது.
ஜூலை 30 15:27:37 xxxxx [1219]: connection_destroy: அழிக்க எதுவும் இல்லை.
நீங்கள் மன்றத்தில் கேட்கலாம் http://foro.desdelinux.net/
இந்த சிறந்த மற்றும் நன்கு விளக்கப்பட்ட இடுகையைப் பார்க்கும் அனைவருக்கும் மற்றும் ACL களை உருவாக்கும்போது இந்த சிக்கல் நிகழ்கிறது:
ldapmodify: தவறான வடிவம் (வரி 5) நுழைவு: "olcDatabase = {1} hdb, dc = config"
இணையத்தில் என் தலையைத் தேடிய பிறகு, வலையின் முகத்தில் ldapmodify என்பது மிகவும் துல்லியமான வகையாகும். இது தவறான எழுத்துக்கள் மற்றும் பின்தங்கிய இடங்களுடன் வெறித்தனமானது. மேலதிக சலசலப்பு இல்லாமல், நிபந்தனையை அருகருகே எழுத வேண்டும், அது எக்ஸ் மூலம் சுயமாக எழுதுவதன் மூலம் * வாசிப்பதன் மூலம். இது இன்னும் வேலை செய்யவில்லை என்றால் நோட்பேட் ++> காண்க> காட்டு சின்னம் மற்றும் கண்ணுக்கு தெரியாத எழுத்துகளுக்கு மரணம். யாராவது உதவுவார்கள் என்று நம்புகிறேன்.
இது சேவை செய்யக்கூடிய ஓப்பன்எஸ்எஸ்எல் அடிப்படையில் டெபியன் வீஸிக்கான சான்றிதழ்களை உருவாக்குங்கள்:
http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/