LDAP [4] ile Dizin Hizmeti: OpenLDAP (I)

Merhaba arkadaşlar!. İşe dönelim ve her zaman tavsiye ettiğimiz gibi, serideki önceki üç makaleyi okuyalım:

DNS, DHCP ve NTP, basit dizinimiz için minimum temel hizmetlerdir. OpenLDAP yerel, üzerinde düzgün çalışır Debian 6.0 "Sıkıştır"veya Ubuntu 12.04 LTS'de «Hassas Pangolin».

Örnek ağ:

Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu

Birinci bölümde şunları göreceğiz:

  • OpenLDAP kurulumu (tokat 2.4.23-7.3)
  • Kurulumdan sonra kontroller
  • Dikkate alınacak endeksler
  • Veri Erişim Kontrol Kuralları
  • Sıkıştırmada TLS Sertifikalarının Oluşturulması

İkinci Bölümde devam edeceğiz:

  • Yerel kullanıcı kimlik doğrulaması
  • Veritabanını doldurun
  • Konsol yardımcı programlarını kullanarak veritabanını yönetin
  • Şimdiye kadar özet ...

OpenLDAP kurulumu (tokat 2.4.23-7.3)

OpenLDAP sunucusu paket kullanılarak kurulur şaplak. Paketi de yüklemeliyiz ldap-utils, bu da bize bazı istemci tarafı araçlarının yanı sıra OpenLDAP kendi yardımcı programlarını sağlar.

: ~ # aptitude slapd ldap-utils'i yükle

Kurulum işlemi sırasında, debconf Bizden yönetici veya kullanıcının şifresini soracaktır «Gizem«. Bir dizi bağımlılık da yüklenmiştir; kullanıcı oluşturuldu Openldap; ilk sunucu yapılandırması ve LDAP dizini oluşturulur.

OpenLDAP'nin önceki sürümlerinde, arka plan programı yapılandırması şaplak tamamen dosya üzerinden yapıldı /etc/ldap/slapd.conf. Kullandığımız versiyonda ve daha sonra konfigürasyon aynı şekilde yapılır. şaplakve bu amaçla a DIT «Dizin Bilgi Ağacı»Veya Dizin Bilgi Ağacı ayrı ayrı.

Yapılandırma yöntemi olarak bilinen RTC «Gerçek Zamanlı Yapılandırma»Gerçek Zamanlı Yapılandırma veya Yöntem olarak cn = config, dinamik olarak yapılandırmamızı sağlar şaplak hizmetin yeniden başlatılmasını gerektirmeden.

Konfigürasyon veritabanı, formattaki bir metin dosyaları koleksiyonundan oluşur. LDIF «LDAP Veri Değişim Biçimi»Klasörde bulunan Veri Değişimi için LDAP Biçimi /etc/ldap/slapd.d.

Klasör organizasyonu hakkında fikir edinmek için tokat.d, Hadi koşalım:

: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: toplam 8 drwxr-x --- 3 openldap openldap 4096 Şub 16 11:08 cn = config -rw ------- 1 openldap openldap 407 Şubat 16 11:08 cn = config.ldif /etc/ldap/slapd.d/cn=config: toplam 28 -rw ------- 1 openldap openldap 383 Şubat 16 11:08 cn = modül {0} .ldif drwxr-x --- 2 openldap openldap 4096 Şubat 16 11:08 cn = schema -rw ------- 1 openldap openldap 325 Şub 16 11:08 cn = schema.ldif -rw ------- 1 openldap openldap 343 Şub 16 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 472 Şubat 16 11:08 olcDatabase = {0} config.ldif -rw ------- 1 openldap openldap 586 16 Şub 11:08 olcDatabase = {- 1} frontend.ldif -rw ------- 1 openldap openldap 1012 16 Şubat 11:08 olcDatabase = {1} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = şema: toplam 40 -rw ------- 1 openldap openldap 15474 Şubat 16 11:08 cn = {0} core.ldif -rw ------- 1 openldap openldap 11308 Şubat 16 11:08 cn = {1} cosine.ldif -rw ------- 1 openldap openldap 6438 Şubat 16 11:08 cn = {2} nis.ldif -rw ------- 1 openldap openldap 2802 16 Şub 11:08 cn = {3} inetorgperson.ldif

Önceki çıktıya biraz bakarsak, Backend Squeeze'de kullanılan veritabanı türüdür hdb, bir çeşidi olan bdb "Berkeley Veritabanı" ve tamamen hiyerarşiktir ve alt ağaçların yeniden adlandırılmasını destekler. Olası hakkında daha fazla bilgi edinmek için Arka uçlar OpenLDAP'yi destekleyen, ziyaret edin http://es.wikipedia.org/wiki/OpenLDAP.

Ayrıca üç ayrı veri tabanının kullanıldığını görüyoruz, yani biri konfigürasyona, diğeri ise Frontendve veritabanı olan sonuncusu hdb aslında.

Ayrıca, şaplak varsayılan olarak şemalarla birlikte yüklenir çekirdek, Kosinüs, Niş e iç organizatör.

Kurulumdan sonra kontroller

Bir terminalde çıktıları sakin bir şekilde çalıştırır ve okuruz. Özellikle ikinci komutla, klasörü listelemeden çıkarılan yapılandırmayı kontrol edeceğiz. tokat.d.

: ~ # ldapsearch -Q -LLL -Y HARİCİ -H ldapi: /// -b cn = yapılandırma | more: ~ # ldapsearch -Q -LLL -Y HARİCİ -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = modül {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} core, cn = schema, cn = config dn: cn = {1} kosinüs , cn = schema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetorgperson, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config

Her çıktının açıklaması:

  • cn = config: Global parametreler.
  • cn = modül {0}, cn = yapılandırma: Dinamik olarak yüklenmiş modül.
  • cn = şema, cn = yapılandırma: İçerir kodlanmış sistem şemaları düzeyinde.
  • cn = {0} çekirdek, cn = şema, cn = yapılandırma: kodlanmış çekirdek şemasının.
  • cn = {1} kosinüs, cn = şema, cn = yapılandırma: Şema Kosinüs.
  • cn = {2} nis, cn = şema, cn = yapılandırma: Şema Niş.
  • cn = {3} inetorgperson, cn = schema, cn = config: Şema iç organizatör.
  • olcBackend = {0} hdb, cn = yapılandırma: Backend veri depolama tipi hdb.
  • olcDatabase = {- 1} ön uç, cn = yapılandırma: Frontend veritabanı ve diğer veritabanları için varsayılan parametreler.
  • olcDatabase = {0} config, cn = config: Yapılandırma veritabanı şaplak (cn = config).
  • olcDatabase = {1} hdb, cn = config: Veritabanı örneğimiz (dc = arkadaşlar, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = örnek, dc = com dn
dn: dc = arkadaşlar, dc = cu dn: cn = admin, dc = arkadaşlar, dc = cu
  • dc = arkadaşlar, dc = cu: DIT Temel Dizin Bilgi Ağacı
  • cn = admin, dc = arkadaşlar, dc = cu: Kurulum sırasında bildirilen DIT'nin yöneticisi (rootDN).

Dikkat: Temel son ek dc = arkadaşlar, dc = cu, Onu aldı debconf kurulum sırasında FQDN sunucudan mildap.amigos.cu.

Dikkate alınacak endeksler

Girişlerin endekslenmesi, aramaların performansını artırmak için yapılır. DIT, filtre kriterleri ile. Dikkate alacağımız dizinler, varsayılan şemalarda belirtilen özniteliklere göre önerilen minimum değerlerdir.

Veritabanındaki dizinleri dinamik olarak değiştirmek için, formatta bir metin dosyası oluşturuyoruz LDIFve daha sonra onu veritabanına ekliyoruz. Dosyayı oluşturuyoruz olcDbIndex.ldif ve aşağıdaki içerikle bırakıyoruz:

: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = yapılandırma değişiklik türü: değiştir ekle: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: eqInd, eq, olcDbIndex: login - add: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex: sn pres, sub, eq - add: olcDbIndex olcDbIndex: givenName, subu pres, eq - add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: varsayılan alt - add: olcDbIndex olcDbIndex: mail eq, subinitial - add: olcDbIndex olcDbIndex: dc eq

Dizinleri veritabanına ekliyoruz ve değişiklikleri kontrol ediyoruz:

: ~ # ldapmodify -Y HARİCİ -H ldapi: /// -f ./olcDbIndex.ldif

: ~ # ldapsearch -Q -LLL -Y HARİCİ -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex

dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDbIndex: uid pres, sub, eq olcn presq, sub, eq olcn presq olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: varsayılan sub olcDbIndex: mail eq, subinitial olcDbIndex: dc eq

Veri Erişim Kontrol Kuralları

Kullanıcıların Dizin veritabanındaki verileri okuyabilmesi, değiştirebilmesi, ekleyebilmesi ve silebilmesi için oluşturulan kurallara Erişim Denetimi denir, Erişim Denetimi Listeleri veya «ACL Erişim Kontrol Listesi»Kuralları yapılandıran politikalara.

Hangisini bilmek ACL kurulum işlemi sırasında varsayılan olarak beyan edilmiştir. şaplak, yürütürüz:

: ~ # ldapsearch -Q -LLL -Y HARİCİ -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess

: ~ # ldapsearch -Q -LLL -Y HARİCİ -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} ön uç)' olcAccess

: ~ # ldapsearch -Q -LLL -Y HARİCİ -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess

: ~ # ldapsearch -Q -LLL -Y HARİCİ -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Önceki komutların her biri bize şunu gösterecektir: ACL Şimdiye kadar Rehberimizde ilan etmiştik. Spesifik olarak, son komut hepsini gösterirken, ilk üçü bize her üçü için erişim kontrol kurallarını verir. DIT bizim dahil şaplak.

Konusunda ACL ve çok daha uzun bir makale yapmamak için kılavuz sayfalarını okumanızı öneririz. adam slapd.access.

Kullanıcıların ve yöneticilerin girişlerini güncelleme erişimini garanti etmek oturum açma y Kertenkeleler, aşağıdaki ACL'yi ekleyeceğiz:

## olcAccess.ldif dosyasını oluşturuyoruz ve aşağıdaki içerikle bırakıyoruz: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: modifiye add: olcAccess olcAccess: {1} attrs = loginShell, gecos by dn = "cn = admin, dc = friends, dc = cu" ile yazarak yaz * oku

## ACL'yi ekliyoruz
: ~ # ldapmodify -Y HARİCİ -H ldapi: /// -f ./olcAccess.ldif

# Değişiklikleri kontrol ediyoruz
ldapsearch -Q -LLL -Y HARİCİ -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix

Sertifikaların Üretilmesi TLS Squeeze içinde

OpenLDAP sunucusuyla güvenli bir kimlik doğrulamasına sahip olmak için, bunu şifrelenmiş bir oturum aracılığıyla yapmalıyız ve bunu kullanarak TLS «Taşıma Katmanı Güvenliği» o Güvenli Aktarım Katmanı.

OpenLDAP sunucusu ve istemcileri, yapı Bütünlük ve gizliliğe ilişkin korumanın yanı sıra mekanizma aracılığıyla güvenli LDAP kimlik doğrulaması için destek sağlamak için TLS SASL «Basit Kimlik Doğrulama ve Güvenlik Katmanı« Dış.

Modern OpenLDAP sunucuları, */ StartTLS /* o / protokolüne Güvenli Aktarım Katmanı başlatınLDAPS: ///, eski olan. Herhangi bir sorunuz varsa, * TLS'yi Başlat v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html

Dosyayı varsayılan olarak kurulu olarak bırakın / etc / default / slapd ifade ile SLAPD_SERVICES = »ldap: /// ldapi: ///», istemci ile sunucu arasında şifreli bir kanal kullanmak ve yerel olarak yüklenen OpenLDAP'yi yönetmek için yardımcı uygulamaların kendileri için.

Paketlere göre burada açıklanan yöntem gnutls kutusu y ssl sertifikası Debian 6 "Squeeze" ve ayrıca Ubuntu Sunucusu 12.04 için geçerlidir. Debian 7 "Wheezy" için başka bir yöntem OpenSSL.

Squeeze'de sertifikaların oluşturulması şu şekilde gerçekleştirilir:

1.- Gerekli paketleri kuruyoruz
: ~ # aptitude gnutls-bin ssl-cert yükle

2.- Sertifika Yetkilisi için Birincil Anahtarı oluştururuz
: ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem"

3.- CA'yı (Sertifika Yetkilisi) tanımlamak için bir şablon oluşturuyoruz
: ~ # nano /etc/ssl/ca.info cn = Kübalı Arkadaşlar ca cert_signing_key

4.- Müşteriler için CA Kendinden İmzalı veya Kendinden İmzalı Sertifika oluşturuyoruz
: ~ # certtool --generate-kendinden imzalı \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem

5.- Sunucu için bir Özel Anahtar oluşturuyoruz
: ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem

Dikkat: Değiştir "hafif vuruş"kendi sunucunuz için yukarıdaki dosya adında. Sertifikayı ve Anahtarı hem sunucu hem de onu kullanan hizmet için adlandırmak, işleri net tutmamıza yardımcı olur.

6.- /etc/ssl/mildap.info dosyasını aşağıdaki içerikle oluşturuyoruz:
: ~ # nano /etc/ssl/mildap.info organizasyonu = Kübalı Arkadaşlar cn = mildap.amigos.cu tls_www_server encryption_key signing_key expiration_days = 3650

Dikkat: Yukarıdaki içerikte sertifikanın 10 yıllık bir süre için geçerli olduğunu beyan ederiz. Parametre bizim uygunluğumuza göre ayarlanmalıdır.

7.- Sunucu Sertifikasını oluşturuyoruz
: ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-sertifika /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem

Şimdiye kadar gerekli dosyaları oluşturduk, Dizine sadece Kendinden İmzalı Sertifikanın konumunu eklememiz gerekiyor cacert.pem; Sunucu Sertifikasınınki mildap-cert.pem; ve Sunucunun Özel Anahtarı mildap-key.pem. Oluşturulan dosyaların izinlerini ve sahiplerini de ayarlamalıyız.

: ~ # nano /etc/ssl/certinfo.ldif
dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.pem - add: olcTLSCertKey / etc /mildap-key.pem

8.- Ekliyoruz: ~ # ldapmodify -Y EXTERNAL -H ldapi: /// -f /etc/ssl/certinfo.ldif

9.- Sahip ve izinleri ayarlıyoruz
: ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod veya /etc/ssl/private/mildap-key.pem

Sertifika cacert.pem Her istemcide kopyalamamız gereken şey budur. Bu sertifikanın sunucu üzerinde kullanılabilmesi için dosyada beyan etmeliyiz /etc/ldap/ldap.conf. Bunu yapmak için dosyayı değiştiririz ve aşağıdaki içerikle bırakırız:

: ~ # nano /etc/ldap/ldap.conf
BASE dc = arkadaşlar, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem

Son olarak ve ayrıca bir kontrol olarak servisi yeniden başlatıyoruz şaplak ve çıktısını kontrol ediyoruz syslog sunucudan, yeni beyan edilen sertifika kullanılarak hizmetin düzgün şekilde yeniden başlatılıp başlatılmadığını öğrenmek için.

: ~ # hizmet slapd yeniden başlatma
: ~ # tail / var / log / syslog

Hizmet doğru şekilde yeniden başlamazsa veya cihazda ciddi bir hata gözlemlersek syslog, cesaretiniz kırılmasın. Hasarı onarmayı deneyebilir veya baştan başlayabiliriz. Sıfırdan başlamaya karar verirsek, şaplak, sunucumuzu biçimlendirmemize gerek yoktur.

Şimdiye kadar yaptığımız her şeyi bir nedenle silmek için paketi kaldırmalıyız şaplakve ardından klasörü silin / var / lib / ldap. Dosyayı da orijinal haliyle bırakmalıyız /etc/ldap/ldap.conf.

İlk denemede her şeyin düzgün çalışması nadirdir. 🙂

Bir sonraki taksitte göreceğimizi unutmayın:

  • Yerel kullanıcı kimlik doğrulaması
  • Veritabanını doldurun
  • Konsol yardımcı programlarını kullanarak veritabanını yönetin
  • Şimdiye kadar özet ...

Yakında görüşürüz arkadaşlar !.


19 yorum, sizinkini bırakın

Yorumunuzu bırakın

E-posta hesabınız yayınlanmayacak. Gerekli alanlar ile işaretlenmiştir *

*

*

  1. Verilerden sorumlu: Miguel Ángel Gatón
  2. Verilerin amacı: Kontrol SPAM, yorum yönetimi.
  3. Meşruiyet: Onayınız
  4. Verilerin iletilmesi: Veriler, yasal zorunluluk dışında üçüncü kişilere iletilmeyecektir.
  5. Veri depolama: Occentus Networks (AB) tarafından barındırılan veritabanı
  6. Haklar: Bilgilerinizi istediğiniz zaman sınırlayabilir, kurtarabilir ve silebilirsiniz.

  1.   Hugo dijo

    Öğretmen!!!
    TUTO İLE OLDU!
    mükemmel
    DÜNYANIN TÜM BEĞENİLERİ SİZİN İÇİN.
    😀

    1.    federico dijo

      Çok teşekkür ederim Hugo !!! Konuyla ilgili sonraki makaleleri bekleyin.

  2.   bu isim yanlış dijo

    Selam

    ilginç makaleler dizisi.

    Şu ifadeyi okuduğuma şaşırdım: "Modern OpenLDAP sunucuları, eski TLS / SSL protokolüne göre StartTLS kullanımını veya Güvenli Aktarım Katmanı Başlatmayı tercih ediyor."

    Her durumda, LDAP kapsamı dışında bile, STARTTLS'nin TSL / SSL'den daha üstün bir koruma mekanizması olduğunu iddia ediyor musunuz?

    1.    federico dijo

      Yorum için teşekkürler. OpenLDAP'yi kastettiğime dikkat edin. Ben fazla uzanmıyorum. İçinde http://www.openldap.org/faq/data/cache/185.html, aşağıdakileri okuyabilirsiniz:

      Aktarım Katmanı Güvenliği (TLS), Güvenli Yuva Katmanı'nın (SSL) standart adıdır. Terimler (belirli sürüm numaralarıyla nitelendirilmedikçe) genellikle birbiriyle değiştirilebilir.

      StartTLS, TLS / SSL'yi başlatmak için standart LDAP işleminin adıdır. Bu LDAP işleminin başarıyla tamamlanmasının ardından TLS / SSL başlatılır. Alternatif bağlantı noktası gerekli değildir. Normal bir LDAP bağlantısını TLS / SSL ile korunan bir bağlantıya yükselttiği için bazen TLS yükseltme işlemi olarak anılır.

      ldaps: // ve LDAPS, "TLS / SSL üzerinden LDAP" veya "LDAP Güvenli" anlamına gelir. TLS / SSL, alternatif bir bağlantı noktasına bağlantı kurulduğunda başlatılır (normalde 636). LDAPS bağlantı noktası (636) bu kullanım için kayıtlı olsa da, TLS / SSL başlatma mekanizmasının ayrıntıları standartlaştırılmamıştır.

      Bir kez başlatıldığında, ldaps: // ve StartTLS arasında hiçbir fark yoktur. Aynı yapılandırma seçeneklerini paylaşırlar (ldaps: // dışında ayrı bir dinleyicinin yapılandırılmasını gerektirir, bkz. Slapd (8) 's -h seçeneği) ve benzer güvenlik hizmetlerinin kurulmasıyla sonuçlanır.
      Not:
      1) ldap: // + StartTLS, ldaps: // bağlantı noktasına değil normal bir LDAP bağlantı noktasına (normalde 389) yönlendirilmelidir.
      2) ldaps: // LDAP bağlantı noktasına değil, bir LDAPS bağlantı noktasına (normalde 636) yönlendirilmelidir.

      1.    bu isim yanlış dijo

        Üzgünüm, ancak neden şunu iddia ettiğinizden emin değilim: 1) modern sunucular STARTTLS'yi SSL / TLS'ye tercih ediyor; 2) STARTTLS, eski olan SSL / TLS'ye kıyasla moderndir.

        Yarım aydır sunucuya SSL ile (çoğu özgür yazılımın yaptığı gibi openssl kitaplıklarını kullanarak), / etc / ssl / certs / ve diğer gereçlerdeki CA sertifikalarıyla erişen farklı posta istemcilerinin yapılandırılmasıyla mücadele ediyorum. Ve öğrendiğim şey şu: 1) STARTTLS yalnızca oturumun kimlik doğrulamasını şifreler ve diğer her şey şifresiz olarak gönderilir; 2) SSL kesinlikle oturumun tüm içeriğini şifreler. Bu nedenle, STARTTLS hiçbir durumda teknik olarak SSL'den üstün değildir; Oturumunuzun içeriği ağ üzerinden şifrelenmemiş olarak dolaştığı için aksini düşünmeye meyilli olmayı tercih ederim.

        Başka bir farklı şey de, STARTTLS'nin bilmediğim başka nedenlerden dolayı önerilmesidir: MSWindows ile uyumluluk için, çünkü uygulama daha kararlı veya daha iyi test edilmiştir ... Bilmiyorum. Bu yüzden sana soruyorum.

        Cevabınızda bana eklediğiniz kılavuzdan aldığınız alıntıdan, ldap: // ile ldaps: // arasındaki farkın imap: // ile imaps: // arasındaki veya smtp: // ile arasındaki farka eşdeğer olduğunu görüyorum. smtps: //: farklı bir bağlantı noktası kullanılır, yapılandırma dosyasına bazı ek girişler eklenir, ancak parametrelerin geri kalanı tutulur. Ancak bu STARTTLS'yi tercih edip etmeme konusunda hiçbir şey göstermiyor.

        Selamlar ve cevap için özür dilerim. Sadece biraz daha öğrenmeye çalışıyorum.

        1.    federico dijo

          Bakın, makalelerimde ciddi bir yayın tarafından desteklenmeden bu çapta iddialarda bulunmam çok nadirdir. Dizinin sonunda, ciddi olduğunu düşündüğüm ve yazıyı yazmak için danıştığım tüm dokümantasyon bağlantılarını ekleyeceğim. Size aşağıdaki bağlantıları sunuyorum:

          https://wiki.debian.org/LDAP/OpenLDAPSetup
          Ubuntu Sunucu Kılavuzu https://code.launchpad.net/serverguide
          OpenLDAP-Resmi http://www.openldap.org/doc/admin24/index.html
          SSL / TLS ve StartTLS üzerinden LDAP http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/

          Ve dahası, her paketle birlikte yüklenen ilgili belgelere başvurdum.

          Genel olarak güvenlik konusu ve StartTLS ile TLS / SSL arasındaki farklar çok teknik ve o kadar derin ki, bu tür açıklamalar yapmak için gerekli bilgiye sahip olduğumu düşünmüyorum. Sanırım e-posta ile konuşmaya devam edebiliriz.

          Ayrıca, hiçbir yerde LDAPS: // kullanılamayacağını belirtmiyorum. Daha güvenli olduğunu düşünüyorsanız, devam edin !!!

          Artık size yardımcı olamam ve yorumlarınızı gerçekten takdir ediyorum.

        2.    federico dijo

          OpenLDAP hakkında her zaman elde edebileceğiniz biraz daha netlik:
          http://www.openldap.org/faq/data/cache/605.html

          StartTLS genişletilmiş işlemi [RFC 2830], LDAPv3'ün TLS (SSL) veri gizliliği korumasını etkinleştirmek için standart mekanizmasıdır. Mekanizma, önceden kurulmuş bir LDAP bağlantısı içinde şifrelenmiş bir SSL / TLS bağlantısı kurmak için bir LDAPv3 genişletilmiş işlemi kullanır. Mekanizma TLSv1 ile kullanılmak üzere tasarlanmış olsa da, çoğu uygulama gerekirse SSLv3'e (ve SSLv2'ye) geri dönecektir.

          ldaps: //, LDAP için şifreli bir SSL / TLS bağlantısı kurmak için bir mekanizmadır. Genellikle 636 olan ayrı bir bağlantı noktasının kullanılmasını gerektirir. Başlangıçta LDAPv2 ve SSLv2 ile kullanılmak üzere tasarlanmış olsa da, birçok uygulama LDAPv3 ve TLSv1 ile kullanımını destekler. Ldaps: // için teknik şartname olmamasına rağmen yaygın olarak kullanılmaktadır.

          ldaps: //, TLS'yi Başlat [RFC2830] lehine kullanımdan kaldırılmıştır. OpenLDAP 2.0 her ikisini de destekler.
          Güvenlik nedenleriyle, sunucunun SSLv2'yi kabul etmeyecek şekilde yapılandırılması gerekir.

  3.   özgür bıdık dijo

    Bu, kullanıcıların yorum yapmayacağı makalelerden biri olacak çünkü sadece Linux istasyonlarında porno izledikleri için ilgilenmiyorlar ldap hakkında Çalıştığım şirket için heterojen ağ içinde birkaç ilgili hizmetim var. İyi makale!!

    1.    federico dijo

      Yorum için teşekkürler !!!. Ve birçok makalelerimdeki birkaç yorumla ilgili ifadeniz çok doğrudur. Ancak, ilgilenen okuyuculardan veya makaleyi daha sonra okumak ve başvurmak üzere indiren diğer kişilerden yazışmalar alıyorum.

      Yorumlar yoluyla geri bildirim almak her zaman çok yararlıdır, öyle olsalar bile: Bunu daha sonra okumak, ilginç veya başka bir fikir için kaydettim.

      selamlar

  4.   federico dijo

    Freeke !!! Yorum için teşekkürler. Yorumunuzu postayla aldım ancak sayfayı birkaç kez yenilememe rağmen görmüyorum. Arkadaşım, bunu ve önceki makaleleri Squeeze veya Ubuntu Server 12.04'te sorunsuz deneyebilirsiniz. Wheezy'de sertifikalar, OpenSSL kullanılarak farklı bir şekilde oluşturulur. Ama hiçbir şey. Saygılarımla, kardeş !!!.

  5.   federico dijo

    @thisnameisfalse: En iyi memurun bulanıklığı vardır. Yorumlarınız sayesinde söz konusu paragrafın şöyle olması gerektiğini düşünüyorum:

    Modern OpenLDAP sunucuları, eski olan LDAPS: // protokolüne göre StartTLS veya Güvenli Aktarım Katmanı Başlatmayı tercih eder. Herhangi bir sorunuz varsa, TLS'yi Başlat v. ldaps: // tr http://www.openldap.org/faq/data/cache/605.html

    selamlar

  6.   Jose Monge dijo

    Mükemmel, şu anda ldap'ta ödevim var

  7.   walter dijo

    Her şeyi tek bir dosyaya koyamazsınız, böylece öğreticinin tamamını indirebilirsiniz

  8.   hiç dijo

    Kapsamlı Linux deneyimine sahip bir bilgisayar teknisyeniyim, ancak yine de makalenin ortasında kayboldum. O zaman onu daha dikkatli okuyacağım. Eğitim için çok teşekkür ederim.
    Her ne kadar ActiveDirectory'nin genellikle bunlar için seçildiğini çok daha fazla anlamamıza izin verdiği doğru olsa da. Konfigürasyon ve uygulamanın basitliği söz konusu olduğunda bir farklılık evreni vardır.
    selamlar

  9.   federico dijo

    Yorum yaptığınız için hepinize teşekkür ederim !!!
    @jose monge, umarım sana yardımcı olur
    @walter tüm gönderilerin sonunda html veya pdf formatında bir özet yapıp yapamayacağıma bakacağım
    @eVeR Diğer bir deyişle, bir OpenLDAP, Active Directory'den - öyle görünmese bile - daha basittir. sonraki makaleleri bekleyin ve göreceksiniz.

  10.   Marcelo dijo

    Bir sorgu, kurulumu adım adım yapıyorum ama slapd servisini yeniden başlatırken bana şu hatayı veriyor>

    30 Tem 15:27:37 xxxx slapd [1219]: @ (#) $ OpenLDAP: slapd (Ubuntu) (17 Mart 2014 21:20:08) $ # 012 # 011buildd @ aatxe: /build/buildd/openldap-2.4.31 .XNUMX / debian / build / sunucular / slapd
    Tem 30 15:27:37 xxxxx slapd [1219]: UNKNOWN niteliğiAçıklaması "CHANGETYPE" eklendi.
    Tem 30 15:27:37 xxxxx slapd [1219]: UNKNOWN özniteliğiAçıklama "EKLE" eklendi.
    Tem 30 15:27:37 xxxxx [1219]: <= str2entry: slap_str2undef_ad (-): empty AttributeDescription
    Tem 30 15:27:37 xxxxx slapd [1219]: slapd durdu.
    Tem 30 15:27:37 xxxxx [1219]: links_destroy: yok edilecek bir şey yok.

    1.    x11tete11x dijo

      forumda sorabilirsin 😀 http://foro.desdelinux.net/

  11.   petrop dijo

    Bu mükemmel ve iyi açıklanmış gönderiyi gören herkes için ve bu sorun ACL'ler oluştururken ortaya çıkar:
    ldapmodify: geçersiz biçim (5. satır) girişi: "olcDatabase = {1} hdb, dc = config"

    İnternette arama yaparken kafamı salladıktan sonra, ldapmodify'ın web yüzündeki en doğru tür olduğu ortaya çıktı. Yanlış yerleştirilmiş karakterler ve takip eden boşluklarla histeriktir. Daha fazla uzatmadan, öneri koşulu yan yana yazmak veya X tarafından kendi kendine yazarak * okumaktır. Hala çalışmıyorsa, Notepad ++> Görünüm> Sembolü göster ve son olarak görünmez karakterlere ölümü yükleyin. Umarım birisi yardımcı olur.

  12.   petrop dijo

    Debian Wheezy için OpenSSL'ye dayalı sertifikalar oluşturun, bunun sunabileceği:
    http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/