Serbisyo sa Direktoryo na may LDAP [4]: ​​OpenLDAP (I)

fico

12 Minutos

Kumusta Mga Kaibigan!. Suriin natin ang bagay na ito, at tulad ng lagi naming inirerekumenda na basahin ang tatlong nakaraang mga artikulo sa serye:

Ang DNS, DHCP at NTP ay ang pinakamaliit na mahahalagang serbisyo para sa aming simpleng direktoryo batay sa OpenLDAP katutubong, gumagana nang maayos sa Debian 6.0 "Squeeze", o sa Ubuntu 12.04 LTS na "Precise Pangolin".

Halimbawa ng network:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Sa Bahagi Uno makikita natin:

  • Pag-install ng OpenLDAP (sampal 2.4.23-7.3)
  • Mga tseke pagkatapos ng pag-install
  • Mga indeks upang isaalang-alang
  • Mga Panuntunan sa Pagkontrol sa Pag-access ng Data
  • Pagbuo ng TLS Mga Sertipiko sa Squeeze

habang sa Ikalawang Bahagi magpapatuloy kami sa:

  • Pagpapatotoo ng lokal na gumagamit
  • Populate ang database
  • Pamahalaan ang database gamit ang mga utility ng console
  • Buod sa ngayon ...

Pag-install ng OpenLDAP (sampal 2.4.23-7.3)

Ang OpenLDAP server ay naka-install gamit ang package sampal. Dapat din nating mai-install ang package ldap-utils, na nagbibigay sa amin ng ilang mga tool sa panig ng kliyente, pati na rin ang sariling mga utility ng OpenLDAP.

: ~ # aptitude i-install ang slapd ldap-utils

Sa panahon ng proseso ng pag-install, ang debconf Hihilingin sa amin ang password ng administrator o gumagamit «admin«. Ang isang bilang ng mga dependency ay naka-install din; ang gumagamit ay nilikha openldap; ang paunang pagsasaayos ng server ay nilikha pati na rin ang direktoryo ng LDAP.

Sa mga naunang bersyon ng OpenLDAP, ang pagsasaayos ng daemon sampal ay tapos na sa pamamagitan ng file /etc/ldap/slapd.conf. Sa bersyon na ginagamit namin at sa paglaon, ang pagsasaayos ay tapos na sa pareho sampal, at para sa hangaring ito a DIT «Tree Impormasyon sa Direktoryo»O Tree Directory Information, magkahiwalay.

Ang paraan ng pagsasaayos na kilala bilang RTC «Pag-configure ng Real Time»Real Time Configuration, o bilang Pamamaraan cn = config, ay nagbibigay-daan sa amin upang pabagu-configure ang sampal nang hindi nangangailangan ng isang restart ng serbisyo.

Ang database ng pagsasaayos ay binubuo ng isang koleksyon ng mga file ng teksto sa format LDIF «Format ng Palitan ng Data ng LDAP»Format ng LDAP para sa Data Exchange, na matatagpuan sa folder /etc/ldap/slapd.d.

Upang makakuha ng ideya ng samahan ng folder sampal.d, tumakbo tayo:

: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: kabuuang 8 drwxr-x --- 3 openldap openldap 4096 Peb 16 11:08 cn = config -rw ------- 1 openldap openldap 407 Peb 16 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: total 28 -rw ------- 1 openldap openldap 383 Peb 16 11:08 cn = module {0} .ldif drwxr-x --- 2 openldap openldap 4096 Peb 16 11:08:1 cn = schema -rw ------- 325 openldap openldap 16 Peb 11 08 1:343 cn = schema.ldif -rw ------- 16 openldap openldap 11 Peb 08 0:1 olcBackend = {472} hdb.ldif -rw ------- 16 openldap openldap 11 Peb 08 0 1:586 olcDatabase = {16} config.ldif -rw ------- 11 openldap openldap 08 Peb 1 1:1012 olcDatabase = {- 16} frontend.ldif -rw ------- 11 openldap openldap 08 Peb 1 40:1 olcDatabase = {15474} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schema: total 16 -rw ------- 11 openldap openldap 08 Peb 0 1:11308 cn = {16} core.ldif -rw ------- 11 openldap openldap 08 Peb 1 1:6438 cn = {16} cosine.ldif -rw ------- 11 openldap openldap 08 Peb 2 1:2802 cn = {16} nis.ldif -rw ------- 11 openldap openldap 08 Peb 3 XNUMX:XNUMX cn = {XNUMX} inetorgperson.ldif

Kung titingnan natin nang kaunti ang nakaraang output, nakikita natin na ang backend ginamit sa Squeeze ay ang uri ng database hdb, na kung saan ay isang pagkakaiba-iba ng bdb "Berkeley Database", at ito ay ganap na hierarchical at sinusuportahan ang pagpapalit ng pangalan ng mga sub-puno. Upang matuto nang higit pa tungkol sa maaari Mga backend na sumusuporta sa OpenLDAP, bumisita http://es.wikipedia.org/wiki/OpenLDAP.

Nakita rin namin na tatlong magkakahiwalay na mga database ang ginagamit, iyon ay, isang nakatuon sa pagsasaayos, isa pa Frontend, at ang huling isa na ang database hdb per se.

Bukod dito, sampal ay naka-install bilang default sa mga eskematiko Ubod, Cosine, Nis e tao sa internet.

Mga tseke pagkatapos ng pag-install

Sa isang terminal mahinahon kaming nagpapatupad at nagbasa ng mga output. Susuriin namin, lalo na sa pangalawang utos, ang pagsasaayos ay nabawas mula sa listahan ng folder sampal.d.

: ~ # ldapsearch -Q -LLL -Y EXternalAL -H ldapi: /// -b cn = config | higit pa: ~ # ldapsearch -Q -LLL -Y EXternalAL -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = module {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} core, cn = schema, cn = config dn: cn = {1} cosine , cn = schema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetorgperson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config

Paliwanag ng bawat output:

  • cn = config: Mga pandaigdigang parameter.
  • cn = module {0}, cn = config: Dynamic na na-load na module.
  • cn = schema, cn = config: Naglalaman ng hard-code sa antas ng mga system skema.
  • cn = {0} core, cn = schema, cn = config: Ang hard-code ng skema ng kernel.
  • cn = {1} cosine, cn = schema, cn = config: Ang plano Magtahi.
  • cn = {2} nis, cn = schema, cn = config: Ang plano Nis.
  • cn = {3} inetorgperson, cn = schema, cn = config: Ang plano tao sa internet.
  • olcBackend = {0} hdb, cn = config: backend uri ng imbakan ng data hdb.
  • olcDatabase = {- 1} frontend, cn = config: Frontend ng database at mga default na parameter para sa iba pang mga database.
  • olcDatabase = {0} config, cn = config: Ang pagsasaayos ng database ng sampal (cn = config).
  • olcDatabase = {1} hdb, cn = config: Ang aming halimbawa ng database (dc = mga kaibigan, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = halimbawa, dc = com dn
dn: dc = mga kaibigan, dc = cu dn: cn = admin, dc = mga kaibigan, dc = cu
  • dc = mga kaibigan, dc = cu: DIT Base Direktoryo ng Puno ng Impormasyon
  • cn = admin, dc = mga kaibigan, dc = cu: Administrator (rootDN) ng DIT na idineklara sa panahon ng pag-install.

Nota: Ang base panlapi dc = mga kaibigan, dc = cu, kinuha debconf sa panahon ng pag-install mula sa FQDN server banayad.amigos.cu.

Mga indeks upang isaalang-alang

Isinasagawa ang pag-index ng mga entry upang mapabuti ang pagganap ng mga paghahanap sa DIT, na may pamantayan sa filter. Ang mga index na isasaalang-alang namin ay ang pinakamaliit na inirekumenda alinsunod sa mga katangiang idineklara sa mga default na iskema.

Upang mabago ang pagbabago ng mga index sa database, lumilikha kami ng isang text file sa format LDIF, at sa paglaon idinagdag namin ito sa database. Lumilikha kami ng file olcDbIndex.ldif at iniiwan namin ito sa sumusunod na nilalaman:

: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: memberUid eqd, olcDbIndex olcDb : loginShell eq, olcDbIndex: pag-login - pagdagdag: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, sub, eqb addnd , ou pres, eq, sub - add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: default sub - add: olcDbIndex olcDbIndex: mail eq, subinitial - add: olcDbIndex olcDbInd:

Idinagdag namin ang mga index sa database at suriin ang pagbabago:

: ~ # ldapmodify -Y EXternalAL -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # ldapsearch -Q -LLL -Y EXternalAL -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex

dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: uid pres, subq, cqqc olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: default sub olcDbIndex: mail eq, subinitial olcDbIndex: dc eq

Mga Panuntunan sa Pagkontrol sa Pag-access ng Data

Ang mga patakarang itinatag upang ang mga gumagamit ay mabasa, mabago, magdagdag at magtanggal ng data sa database ng Direktoryo ay tinatawag na Access Control, habang tatawagin namin ang Mga Listahan ng Control ng Control o «Listahan ng Kontrol sa ACL Access»Sa mga patakaran na nag-configure ng mga patakaran.

Para malaman kung alin Mga ACL ay idineklara bilang default sa panahon ng proseso ng pag-install ng sampal, isinasagawa namin:

: ~ # ldapsearch -Q -LLL -Y EXternalAL -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXternalAL -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} frontend)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXternalAL -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess

: ~ # ldapsearch -Q -LLL -Y EXternalAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Ang bawat isa sa mga naunang utos ay magpapakita sa amin ng Mga ACL na hanggang ngayon ay idineklara namin sa aming Direktoryo. Partikular, ang huling utos ay nagpapakita sa kanilang lahat, habang ang unang tatlo ay nagbibigay sa amin ng mga panuntunan sa kontrol sa pag-access para sa lahat ng tatlo. DIT kasangkot sa aming sampal.

Sa paksa ng Mga ACL at upang hindi makagawa ng isang mas mahabang artikulo, inirerekumenda namin ang pagbabasa ng mga manu-manong pahina sampal ng tao. access.

Upang garantiya ang pag-access ng mga gumagamit at administrador upang i-update ang kanilang mga entry ng pag-loginShell y Geckos, idaragdag namin ang sumusunod na ACL:

## Lumilikha kami ng olcAccess.ldif file at iniiwan ito sa sumusunod na nilalaman: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modify add: olcAccess olcAccess: {1} to attrs = loginShell, gecos by dn = "cn = admin, dc = friends, dc = cu" isulat ng sarili mong isulat ni * basahin

## Nagdagdag kami ng ACL
: ~ # ldapmodify -Y EXternalAL -H ldapi: /// -f ./olcAccess.ldif

# Sinusuri namin ang mga pagbabago
ldapsearch -Q -LLL -Y EXternalAL -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Pagbuo ng Mga Sertipiko TLS sa Pigilan

Upang magkaroon ng isang ligtas na pagpapatotoo sa OpenLDAP server, dapat nating gawin ito sa pamamagitan ng isang naka-encrypt na sesyon na makakamit natin sa pamamagitan ng paggamit ng TLS «Seguridad sa Layer ng Transport» o Secure Transport Layer.

Ang OpenLDAP server at ang mga kliyente nito ay magagamit ang balangkas TLS upang magbigay ng proteksyon tungkol sa integridad at pagiging kompidensiyal, pati na rin upang suportahan ang ligtas na pagpapatunay ng LDAP sa pamamagitan ng mekanismo SASL «Simpleng Pagpapatotoo at Security Layer« Panlabas

Pinapaboran ng modernong mga server ng OpenLDAP ang paggamit ng */ StartTLS /* o Magsimula ng isang Secure Transport Layer sa / protocolLDAPS: ///, na kung saan ay lipas na. Anumang mga katanungan, bisitahin ang * Start TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html

Iwanan lamang ang file bilang naka-install bilang default / etc / default / slapd kasama ang pahayag SLAPD_SERVICES = »ldap: /// ldapi: ///», na may layunin na gumamit ng isang naka-encrypt na channel sa pagitan ng client at ng server, at ang mga aplikasyon ng auxiliary mismo upang pamahalaan ang OpenLDAP na nai-install nang lokal.

Ang pamamaraan na inilarawan dito, batay sa mga pakete gnutls-bin y ssl-cert wasto ito para sa Debian 6 "Squeeze" at para din sa Ubuntu Server 12.04. Para kay Debian 7 "Wheezy" ibang pamamaraan batay sa OpenSSL.

Ang pagbuo ng mga sertipiko sa Squeeze ay isinasagawa tulad ng sumusunod:

1.- Nag-i-install kami ng mga kinakailangang package
: ~ # aptitude i-install ang gnutls-bin ssl-cert

2.- Lumilikha kami ng Pangunahing Susi para sa Awtoridad ng Sertipiko
: ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3.- Lumilikha kami ng isang template upang tukuyin ang CA (Certificate Authority)
: ~ # nano /etc/ssl/ca.info cn = Mga Kaibigan ng Cuban ca cert_signing_key

4.- Lumilikha kami ng CA Self Signed o Self-Signed Certificate para sa mga kliyente
: ~ # certtool --generate-self-signed \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem

5.- Bumubuo kami ng isang Pribadong Susi para sa Server
: ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem

Nota: Palitan "banayad"sa pangalan ng file sa itaas ng sa iyong sariling server. Ang pagpapangalan sa Sertipiko at Susi, kapwa para sa server at para sa serbisyong gumagamit nito, ay tumutulong sa amin na panatilihing malinaw ang mga bagay.

6.- Lumilikha kami ng file /etc/ssl/mildap.info kasama ang sumusunod na nilalaman:
: ~ # nano /etc/ssl/mildap.info samahan = Mga Kaibigan ng Cuba cn = mildap.amigos.cu tls_www_server encryption_key sign_key expiration_day = 3650

Nota: Sa nakaraang nilalaman idineklara namin na ang sertipiko ay may bisa para sa isang tagal ng panahon ng 10 taon. Dapat ayusin ang parameter sa aming kaginhawaan.

7.- Lumilikha kami ng Server Certificate
: ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem

Sa ngayon ay nakabuo kami ng mga kinakailangang file, idagdag lamang sa Direktoryo ang lokasyon ng Sertipiko na Signed ng Sarili cacert.pem; ng Sertipiko ng Server banayad-cert.pem; at ang Pribadong Susi ng Server mildap-key.pem. Dapat din nating ayusin ang mga pahintulot at may-ari ng mga nabuong file.

: ~ # nano /etc/ssl/certinfo.ldif
dn: cn = config add: olcTLSCACertSCFile olcTLSCACert CertificateFile: /etc/ssl/certs/cacert.pem - idagdag: olcTLSCert CertificateFile olcTLSCert sijilFile: /etc/ssl/certs/mildap-cert.pem - idagdag: olcTLSCerteyFileSertertFileSertertFileSertertFileScourseFile: atbp /mildap-key.pem

8.- Idagdag: ~ # ldapmodify -Y EXternalAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

9.- Inaayos namin ang may-ari at mga pahintulot
: ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod o /etc/ssl/private/mildap-key.pem

Ang sertipiko cacert.pem Ito ang dapat nating kopyahin sa bawat kliyente. Para magamit ang sertipiko na ito sa server mismo, dapat namin itong ideklara sa file /etc/ldap/ldap.conf. Upang magawa ito, binago namin ang file at iniiwan ito sa sumusunod na nilalaman:

: ~ # nano /etc/ldap/ldap.conf
BASE dc = mga kaibigan, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

Sa wakas at bilang tseke din, restart namin ang serbisyo sampal at suriin namin ang output ng syslog mula sa server, upang malaman kung ang serbisyo ay na-restart nang maayos gamit ang bagong idineklarang sertipiko.

: ~ # service slapd restart
: ~ # buntot / var / log / syslog

Kung ang serbisyo ay hindi muling restart nang tama o sinusunod namin ang isang seryosong error sa syslog, huwag tayong panghinaan ng loob. Maaari naming subukang ayusin ang pinsala o magsimula muli. Kung magpasya kaming magsimula sa simula ang pag-install ng sampal, hindi kinakailangan na mai-format ang aming server.

Upang burahin ang lahat ng nagawa natin sa ngayon para sa isang kadahilanan o iba pa, dapat nating alisin ang pag-uninstall ng package sampal, at pagkatapos ay tanggalin ang folder / var / lib / ldap. Dapat din nating iwan ang file sa orihinal na bersyon /etc/ldap/ldap.conf.

Bihirang gumagana ang lahat nang tama sa unang pagsubok. 🙂

Tandaan na sa susunod na yugto ay makikita natin:

  • Pagpapatotoo ng lokal na gumagamit
  • Populate ang database
  • Pamahalaan ang database gamit ang mga utility ng console
  • Buod sa ngayon ...

Magkita tayo mga kaibigan !.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.

  1.   Hugo dijo
    nakararaan 10 taon

    Guro!!!
    NANGYARI ITO SA TUTO!
    ay mahusay
    lahat ng GUSTO NG MUNDO PARA SA IYO.
    ????

    Tumugon kay Hugo
    1.    Federico dijo
      nakararaan 10 taon

      Maraming salamat, Hugo !!! Maghintay para sa mga susunod na artikulo tungkol sa paksa.

      Tumugon kay federico
  2.   mali ang pangalang ito dijo
    nakararaan 10 taon

    Hola:

    kawili-wili ang iyong serye ng mga artikulo.

    Nagulat ako nang basahin ang pahayag na ito: "Mas gusto ng mga modernong OpenLDAP server ang paggamit ng StartTLS o Magsimula ng isang Secure Transport Layer sa lumang TLS / SSL protocol, na kung saan ay lipas na."

    Inaangkin mo ba na, sa lahat ng kaso kahit sa labas ng saklaw ng LDAP, ang StarttlS ay isang mekanismo ng proteksyon na nakahihigit sa TSL / SSL?

    Tumugon sa thisnameisfalse
    1.    Federico dijo
      nakararaan 10 taon

      Salamat sa komento. Tandaan na ang ibig kong sabihin ay OpenLDAP. Hindi ako nag-o-overreach. Sa http://www.openldap.org/faq/data/cache/185.html, maaari mong basahin ang sumusunod:

      Ang Transport Layer Security (TLS) ay ang karaniwang pangalan para sa Secure Socket Layer (SSL). Ang mga termino (maliban kung kwalipikado na may tukoy na mga numero ng bersyon) sa pangkalahatan ay maaaring palitan.

      Ang StartTLS ay ang pangalan ng karaniwang pagpapatakbo ng LDAP para sa pagpapasimula ng TLS / SSL. Ang TLS / SSL ay sinimulan sa matagumpay na pagkumpleto ng pagpapatakbo ng LDAP na ito. Walang kinakailangang alternatibong port. Minsan tinutukoy ito bilang pagpapatakbo ng pag-upgrade ng TLS, dahil ina-upgrade nito ang isang normal na koneksyon sa LDAP sa isang protektado ng TLS / SSL.

      ldaps: // at ang LDAPS ay tumutukoy sa "LDAP sa paglipas ng TLS / SSL" o "LDAP Secured". Ang TLS / SSL ay pinainit sa pagkakakonekta sa isang kahaliling port (karaniwang 636). Kahit na ang LDAPS port (636) ay nakarehistro para sa paggamit na ito, ang mga detalye ng mekanismo ng pagsisimula ng TLS / SSL ay hindi na-standardize.

      Kapag pinasimulan, walang pagkakaiba sa pagitan ng ldaps: // at StartTLS. Ibinahagi nila ang parehong mga pagpipilian sa pagsasaayos (maliban sa mga ldaps: // nangangailangan ng pagsasaayos ng isang hiwalay na tagapakinig, tingnan ang slapd (8) s -h na pagpipilian) at magreresulta sa tulad ng mga serbisyong panseguridad na itinatag.
      tandaan:
      1) ldap: // + StartTLS dapat idirekta sa isang normal na port ng LDAP (normal na 389), hindi ang ldaps: // port.
      2) ldaps: // dapat idirekta sa isang port ng LDAPS (karaniwang 636), hindi sa port ng LDAP.

      Tumugon kay federico
      1.    mali ang pangalang ito dijo
        nakararaan 10 taon

        Paumanhin, ngunit hindi pa rin ako sigurado kung bakit mo inaangkin na: 1) ginusto ng mga modernong server ang mga StartTLS kaysa sa SSL / TLS; 2) Ang StartTLS ay moderno, kumpara sa SSL / TLS na lipas na.

        Nakikipaglaban ako para sa kalahating buwan sa pagsasaayos ng iba't ibang mga kliyente ng mail na nag-access sa server sa pamamagitan ng SSL (gamit ang mga library ng openssl, tulad ng ginagawa ng karamihan sa libreng software), na may mga sertipiko ng CA sa / etc / ssl / certs / at iba pang mga gamit. At ang natutunan ko ay ang: 1) Ang mga StartTLS ay naka-encrypt lamang ng pagpapatunay ng sesyon, at lahat ng iba pa ay ipinadala na hindi naka-encrypt; 2) Ang SSL ay naka-encrypt ganap na lahat ng nilalaman ng session. Samakatuwid, sa walang kaso ay mas mataas ang tekniko ng StartTLS kaysa sa SSL; Mas gugustuhin kong mag-isip ng iba, dahil ang nilalaman ng iyong session ay naglalakbay na hindi naka-encrypt sa network.

        Ang isa pang magkakaibang bagay ay inirerekumenda ang StarttLS para sa iba pang mga kadahilanan na hindi ko alam: para sa pagiging tugma sa MSWindows, dahil ang pagpapatupad ay mas matatag o mas mahusay na masubukan ... Hindi ko alam. Kaya pala tinatanong kita.

        Mula sa quote mula sa manwal na naidikit mo sa akin sa iyong sagot, nakikita ko na ang pagkakaiba sa pagitan ng ldap: // at ldaps: // ay katumbas ng pagkakaiba sa pagitan ng imap: // at imaps: //, o sa pagitan ng smtp : // at smtps: //: ibang port ang ginagamit, ilang karagdagang entry ang idinagdag sa config file, ngunit ang natitirang mga parameter ay pinananatili. Ngunit hindi ito nagpapahiwatig ng anuman tungkol sa kagustuhan ang mga STARTTLS o hindi.

        Pagbati, at paumanhin para sa tugon. Sinusubukan ko lang na matuto nang kaunti pa.

        Tumugon sa thisnameisfalse
        1.    Federico dijo
          nakararaan 10 taon

          Tingnan, napakabihirang sa aking mga artikulo gumawa ako ng mga paghahabol sa kalibre na iyon nang hindi sinusuportahan ng ilang seryosong paglalathala. Sa pagtatapos ng serye isasama ko ang lahat ng mga link sa dokumentasyon na itinuturing kong seryoso, at kumonsulta ako upang isulat ang post. Isusulong ko sa iyo ang mga sumusunod na link:

          https://wiki.debian.org/LDAP/OpenLDAPSetup
          Ubuntu ServerGuide https://code.launchpad.net/serverguide
          OpenLDAP-Opisyal http://www.openldap.org/doc/admin24/index.html
          LDAP sa paglipas ng SSL / TLS at StartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/

          At saka, sinangguni ko ang kasamang dokumentasyon na naka-install sa bawat pakete.

          Ang isyu ng seguridad sa pangkalahatan at ang mga pagkakaiba sa pagitan ng StartTLS at TLS / SSL, ay napaka-teknikal at napakalalim na hindi ko isinasaalang-alang ang aking sarili na magkaroon ng kinakailangang kaalaman upang magbigay ng mga naturang paliwanag. Sa palagay ko maaari naming ipagpatuloy ang pakikipag-usap sa pamamagitan ng e-mail.

          Bukod dito, kahit saan hindi ko masasabi na ang LDAPS: // ay hindi maaaring gamitin. Kung isinasaalang-alang mo itong mas ligtas, pagkatapos ay magpatuloy !!!

          Hindi na kita matulungan at talagang pinahahalagahan ko ang iyong mga komento.

          Tumugon kay federico
        2.    Federico dijo
          nakararaan 10 taon

          Kaunting kalinawan na maaari mong makuha -laging tungkol sa OpenLDAP- sa:
          http://www.openldap.org/faq/data/cache/605.html

          Ang pinalawak na operasyon ng StartTLS [RFC 2830] ay karaniwang pamantayan ng LDAPv3 para sa pagpapagana ng proteksyon ng kumpidensyal ng data ng TLS (SSL). Gumagamit ang mekanismo ng isang pinalawak na operasyon ng LDAPv3 upang magtatag ng isang naka-encrypt na koneksyon sa SSL / TLS sa loob ng isang naitaguyod na koneksyon sa LDAP. Habang ang mekanismo ay idinisenyo para magamit sa TLSv1, ang karamihan sa mga pagpapatupad ay babalik sa SSLv3 (at SSLv2) kung kinakailangan.

          ldaps: // ay isang mekanismo para sa pagtataguyod ng isang naka-encrypt na koneksyon sa SSL / TLS para sa LDAP. Nangangailangan ito ng paggamit ng magkakahiwalay na port, karaniwang 636. Bagaman orihinal na idinisenyo para magamit sa LDAPv2 at SSLv2, maraming pagpapatupad ang sumusuporta sa paggamit nito sa LDAPv3 at TLSv1. Bagaman walang pantukoy na panteknikal para sa ldaps: // malawak itong ginagamit.

          Ang mga ldaps: // ay hindi na ginugusto pabor sa Start TLS [RFC2830]. Sinusuportahan ng OpenLDAP 2.0 ang pareho.
          Para sa mga kadahilanang panseguridad dapat na mai-configure ang server na hindi tanggapin ang SSLv2.

          Tumugon kay federico
  3.   freebsddick dijo
    nakararaan 10 taon

    Ito ang magiging isa sa mga artikulong kung saan hindi magkomento ang mga gumagamit sapagkat dahil porn sa kanilang mga istasyon ng Linux lamang ang pinapanood nila, wala silang pakialam. Magandang artikulo !!

    Tumugon kay freebsddick
    1.    Federico dijo
      nakararaan 10 taon

      Salamat sa komento !!!. At ang iyong pahayag ay totoong totoo patungkol sa ilang mga puna sa marami sa aking mga artikulo. Gayunpaman, nakakatanggap ako ng sulat mula sa mga interesadong mambabasa, o mula sa iba na nag-download ng artikulo para sa susunod na pagbabasa at aplikasyon.

      Laging napaka kapaki-pakinabang na magkaroon ng puna sa pamamagitan ng mga komento, kahit na sila ay: na-save ko ito para sa susunod na pagbabasa, kawili-wili, o ibang opinyon.

      Regards

      Tumugon kay federico
  4.   Federico dijo
    nakararaan 10 taon

    Ang Freeke !!! Salamat sa komento. Natanggap ko ang iyong puna sa mail ngunit hindi ko ito nakikita kahit na nai-refresh ko ang pahina nang maraming beses. Kaibigan, maaari mong subukan ito at ang mga nakaraang artikulo nang walang mga problema sa Squeeze o Ubuntu Server 12.04. Sa mga sertipiko ng Wheezy ay naiiba ang nabuo, gamit ang OpenSSL. Pero wala. Regards ko kuya !!!.

    Tumugon kay federico
  5.   Federico dijo
    nakararaan 10 taon

    @thisnameisfalse: Ang pinakamahusay na klerk ay nakakakuha ng isang lumabo. Salamat sa iyong mga puna, sa palagay ko ang talatang pinag-uusapan ay dapat na tulad ng sumusunod:

    Mas gusto ng mga modernong OpenLDAP server ang paggamit ng StartTLS, o Magsimula ng isang Secure Transport Layer, sa LDAPS: // protocol, na kung saan ay lipas na. Anumang mga katanungan, bisitahin ang Start TLS v. ldaps: // tl http://www.openldap.org/faq/data/cache/605.html

    Regards

    Tumugon kay federico
  6.   Jose Monge dijo
    nakararaan 10 taon

    Perpekto, sa ngayon mayroon akong takdang aralin sa ldap

    Sagot kay jose monge
  7.   Walter dijo
    nakararaan 10 taon

    Hindi mo mailalagay ang lahat sa isang solong file upang mai-download mo ang kumpletong tutorial

    Tumugon kay walter
  8.   eVER dijo
    nakararaan 10 taon

    Ako ay isang tekniko sa computer na may malawak na karanasan sa Linux, ngunit nawala pa rin ako sa gitna ng artikulo. Pagkatapos ay babasahin ko itong mas maingat. Maraming salamat sa tutorial.
    Bagaman totoo na pinapayagan kaming malaman ang higit pa kung bakit Karaniwan na napili ang ActiveDirectory para sa mga bagay na ito. Mayroong isang uniberso ng pagkakaiba pagdating sa pagiging simple ng pagsasaayos at pagpapatupad.
    Regards

    Tumugon kay eVeR
  9.   Federico dijo
    nakararaan 10 taon

    Salamat sa inyong lahat sa pagbibigay ng puna !!!
    @ jose monge, sana makatulong ito sa iyo
    @walter sa pagtatapos ng lahat ng mga post, titingnan ko kung makakagawa ako ng isang compendium sa html o format na pdf
    @eVeR sa kabilang banda, ang isang OpenLDAP ay mas simple -kahit na parang hindi ito isang Active Directory. hintayin ang mga susunod na artikulo at makikita mo.

    Tumugon kay federico
  10.   Marcelo dijo
    nakararaan 10 taon

    Isang query, ginagawa ko ang hakbang-hakbang sa pag-install ngunit kapag i-restart ang slapd service, itinatapon nito sa akin ang sumusunod na error>

    Hul 30 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (Mar 17 2014 21:20:08) $ # 012 # 011 buildd @ aatxe: / build/ buildd/openldap-2.4.31 .XNUMX / debian / build / server / slapd
    Hul 30 15:27:37 xxxxx slapd [1219]: Hindi kilalang katangian na Inilarawan ang paglalarawan na "CHANGETYPE".
    Hul 30 15:27:37 xxxxx slapd [1219]: Hindi kilalang katangian na Inilarawan ang paglalarawan na "ADD".
    Hul 30 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): walang laman na AttributionDescription
    Hul 30 15:27:37 xxxxx slapd [1219]: huminto si slapd.
    Hul 30 15:27:37 xxxxx [1219]: mga koneksyon_destroy: walang dapat sirain.

    Tumugon kay Marcelo
    1.    x11tete11x dijo
      nakararaan 10 taon

      maaari kang magtanong sa forum 😀 http://foro.desdelinux.net/

      Tumugon sa x11tete11x
  11.   petrop dijo
    nakararaan 9 taon

    Para sa lahat na nakakakita ng mahusay at napaliwanag na post na ito at nangyayari ang problemang ito kapag lumilikha ng mga ACL:
    ldapmodify: hindi wastong format (linya 5) na entry: "olcDatabase = {1} hdb, dc = config"

    Matapos ang pagod sa aking ulo sa paghahanap sa internet, lumalabas na ang ldapmodify ay ang pinaka tumpak na uri doon sa mukha ng web. Ito ay hysterical na may mga maling lugar na character pati na rin ang mga sumusunod na puwang. Nang walang karagdagang pag-aalinlangan, ang payo ay isulat ang ayon sa kundisyon sa tabi ng bawat isa o ni X na isulat sa sarili mong isulat ng * basahin. Kung hindi pa rin ito gumagana i-install ang Notepad ++> Tingnan> Ipakita ang simbolo at sa wakas ay kamatayan sa mga hindi nakikitang character. Sana may makatulong.

    Tumugon kay pedrop
  12.   petrop dijo
    nakararaan 9 taon

    Bumuo ng mga sertipiko para sa Debian Wheezy batay sa OpenSSL na maihahatid nito:
    http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/

    Tumugon kay pedrop