Xin chào các bạn!. Chúng ta hãy đi vào vấn đề, và như chúng tôi luôn khuyên bạn nên đọc ba bài viết trước trong loạt bài:
- Dịch vụ thư mục với LDAP. Giới thiệu.
- Dịch vụ thư mục với LDAP [2]: NTP và dnsmasq.
- Dịch vụ thư mục với LDAP [3]: Isc-DHCP-Server và Bind9.
DNS, DHCP và NTP là các dịch vụ thiết yếu tối thiểu cho thư mục đơn giản của chúng tôi dựa trên OpenLDAP bản địa, hoạt động đúng trên Debian 6.0 "Bóp"hoặc trong Ubuntu 12.04 LTS "Precise Pangolin".
Mạng ví dụ:
Lan: 10.10.10.0/24
Dominio: amigos.cu
Servidor: mildap.amigos.cu
Sistema Operativo Servidor: Debian 6 "Squeeze
Dirección IP del servidor: 10.10.10.15
Cliente 1: debian7.amigos.cu
Cliente 2: raring.amigos.cu
Cliente 3: suse13.amigos.cu
Cliente 4: seven.amigos.cu
Trong Phần Một, chúng ta sẽ thấy:
- Cài đặt OpenLDAP (tát 2.4.23-7.3)
- Kiểm tra sau khi cài đặt
- Các chỉ số cần tính đến
- Quy tắc kiểm soát truy cập dữ liệu
- Tạo chứng chỉ TLS trong Squeeze
trong Phần thứ hai, chúng ta sẽ tiếp tục với:
- Xác thực người dùng cục bộ
- Điền vào cơ sở dữ liệu
- Quản lý cơ sở dữ liệu bằng các tiện ích bảng điều khiển
- Tóm tắt cho đến nay ...
Cài đặt OpenLDAP (tát 2.4.23-7.3)
Máy chủ OpenLDAP được cài đặt bằng gói tát. Chúng tôi cũng phải cài đặt gói ldap-utils, cung cấp cho chúng tôi một số công cụ phía máy khách, cũng như các tiện ích riêng của OpenLDAP.
: ~ # aptitude cài đặt sldap-utils
Trong quá trình cài đặt, gỡ lỗi Nó sẽ yêu cầu chúng tôi cung cấp mật khẩu của quản trị viên hoặc người dùng «quản trị viên«. Một số phụ thuộc cũng được cài đặt; người dùng được tạo openldap; cấu hình máy chủ ban đầu được tạo cũng như thư mục LDAP.
Trong các phiên bản trước của OpenLDAP, cấu hình daemon tát đã được thực hiện hoàn toàn thông qua tệp /etc/ldap/slapd.conf. Trong phiên bản chúng tôi đang sử dụng và sau đó, cấu hình được thực hiện giống nhau tátvà cho mục đích này DIT «Cây thông tin thư mục»Hoặc Cây Thông tin Thư mục, riêng biệt.
Phương pháp cấu hình được gọi là RTC «Cấu hình thời gian thực»Cấu hình thời gian thực hoặc dưới dạng phương pháp cn = config, cho phép chúng tôi định cấu hình động tát mà không yêu cầu khởi động lại dịch vụ.
Cơ sở dữ liệu cấu hình bao gồm một tập hợp các tệp văn bản ở định dạng LDIF «Định dạng trao đổi dữ liệu LDAP»Định dạng LDAP cho Data Exchange, nằm trong thư mục /etc/ldap/slapd.d.
Để có ý tưởng về tổ chức thư mục tát d, hãy chạy:
: ~ # ls -lR /etc/ldap/slapd.d/
/etc/ldap/slapd.d/: tổng cộng 8 drwxr-x --- 3 openldap openldap 4096 16 tháng 11 08:1 cn = config -rw ------- 407 openldap openldap 16 11 tháng 08 28:1 cn = config.ldif /etc/ldap/slapd.d/cn=config: tổng 383 -rw ------- 16 openldap openldap 11 08 tháng 0 2:4096 cn = module {16} .ldif drwxr-x --- 11 openldap openldap 08 1 tháng 325 16:11 cn = schema -rw ------- 08 openldap openldap 1 tháng 343 16 11:08 cn = schema.ldif -rw ------- 0 openldap openldap 1 472 tháng 16 11:08 olcBackend = {0} hdb.ldif -rw ------- 1 openldap openldap 586 16 tháng 11 08:1 olcDatabase = {1} config.ldif -rw ------- 1012 openldap openldap 16 11 tháng 08 1:40 olcDatabase = {- 1} frontend.ldif -rw ------- 15474 openldap openldap 16 ngày 11 tháng 08 0:1 olcDatabase = {11308} hdb.ldif /etc/ldap/slapd.d/cn = config / cn = schema: total 16 -rw ------- 11 openldap openldap 08 1 tháng 1 6438:16 cn = {11} core.ldif -rw ------- 08 openldap openldap 2 1 tháng 2802 16:11 cn = {08} cosine.ldif -rw ------- 3 openldap openldap XNUMX Ngày XNUMX tháng XNUMX XNUMX:XNUMX cn = {XNUMX} nis.ldif -rw ------- XNUMX openldap openldap XNUMX XNUMX tháng XNUMX XNUMX:XNUMX cn = {XNUMX} inetorgwoman.ldif
Nếu chúng ta nhìn vào kết quả trước đó một chút, chúng ta thấy rằng Backend được sử dụng trong Squeeze là loại cơ sở dữ liệu hdb, là một biến thể của bdb "Cơ sở dữ liệu Berkeley", và nó hoàn toàn có tính phân cấp và hỗ trợ đổi tên các cây con. Để tìm hiểu thêm về điều có thể Phụ trợ hỗ trợ OpenLDAP, hãy truy cập http://es.wikipedia.org/wiki/OpenLDAP.
Chúng tôi cũng thấy rằng ba cơ sở dữ liệu riêng biệt được sử dụng, đó là, một cơ sở dữ liệu dành riêng cho cấu hình, một cơ sở dữ liệu khác để lối vàovà cái cuối cùng là cơ sở dữ liệu hdb mỗi gia nhập.
Hơn nữa, tát được cài đặt theo mặc định với các sơ đồ Trung tâm, Cô sin, Nis e Inetorgman.
Kiểm tra sau khi cài đặt
Trong một thiết bị đầu cuối, chúng tôi bình tĩnh thực thi và đọc kết quả đầu ra. Chúng tôi sẽ kiểm tra, đặc biệt là với lệnh thứ hai, cấu hình được suy ra từ việc liệt kê thư mục tát d.
: ~ # ldapsearch -Q -LLL -Y BÊN NGOÀI -H ldapi: /// -b cn = config | thêm: ~ # ldapsearch -Q -LLL -Y BÊN NGOÀI -H ldapi: /// -b cn = config dn
dn: cn = config dn: cn = module {0}, cn = config dn: cn = schema, cn = config dn: cn = {0} core, cn = schema, cn = config dn: cn = {1} cosine , cn = schema, cn = config dn: cn = {2} nis, cn = schema, cn = config dn: cn = {3} inetorgwoman, cn = schema, cn = config dn: olcBackend = {0} hdb, cn = config dn: olcDatabase = {- 1} frontend, cn = config dn: olcDatabase = {0} config, cn = config dn: olcDatabase = {1} hdb, cn = config
Giải thích từng đầu ra:
- cn = config: Tham số toàn cục.
- cn = mô-đun {0}, cn = config: Mô-đun được tải động.
- cn = schema, cn = config: Chứa mã hóa cứng ở cấp độ của các sơ đồ hệ thống.
- cn = {0} core, cn = schema, cn = config: mã hóa cứng của sơ đồ nhân.
- cn = {1} cosine, cn = schema, cn = config: Kế hoạch Cô sin.
- cn = {2} nis, cn = schema, cn = config: Kế hoạch Nis.
- cn = {3} inetorgwoman, cn = schema, cn = config: Kế hoạch Inetorgman.
- olcBackend = {0} hdb, cn = config: Backend loại lưu trữ dữ liệu hdb.
- olcDatabase = {- 1} giao diện người dùng, cn = config: lối vào của cơ sở dữ liệu và các tham số mặc định cho các cơ sở dữ liệu khác.
- olcDatabase = {0} config, cn = config: Cơ sở dữ liệu cấu hình của tát (cn = config).
- olcDatabase = {1} hdb, cn = config: Phiên bản cơ sở dữ liệu của chúng tôi (dc = bạn bè, dc = cu)
: ~ # ldapsearch -x -LLL -H ldap: /// -b dc = ví dụ, dc = com dn dn: dc = bạn bè, dc = cu dn: cn = admin, dc = bạn bè, dc = cu
- dc = bạn bè, dc = cu: Cây thông tin thư mục cơ sở DIT
- cn = admin, dc = friends, dc = cu: Người quản trị (rootDN) của DIT được khai báo trong quá trình cài đặt.
Ghi: Hậu tố cơ sở dc = bạn bè, dc = cu, lấy nó gỡ lỗi trong quá trình cài đặt từ FQDN từ máy chủ lightap.amigos.cu.
Các chỉ số cần tính đến
Việc lập chỉ mục các mục nhập được thực hiện để cải thiện hiệu suất của các tìm kiếm trên DIT, với tiêu chí bộ lọc. Các chỉ mục mà chúng tôi sẽ xem xét là chỉ số tối thiểu được khuyến nghị theo các thuộc tính được khai báo trong các lược đồ mặc định.
Để sửa đổi động các chỉ mục trong cơ sở dữ liệu, chúng tôi tạo một tệp văn bản ở định dạng LDIFvà sau đó chúng tôi thêm nó vào cơ sở dữ liệu. Chúng tôi tạo tệp olcDbIndex.ldif và chúng tôi để lại nó với nội dung sau:
: ~ # nano olcDbIndex.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: sửa đổi add: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDbIndex: uidNumber eq - add: olcDbIndex olcDbIndex: gidNumber eq - add: olcDbIndex olcDlbIndexIndex: member : loginShell eq, olcDbIndex: đăng nhập - thêm: olcDbIndex olcDbIndex: uid pres, sub, eq - add: olcDbIndex olcDbIndex: cn pres, sub, eq - add: olcDbIndex olcDbIndex olcDbIndex olcDbIndex: snc - pres , ou pres, eq, sub - add: olcDbIndex olcDbIndex: displayName pres, sub, eq - add: olcDbIndex olcDbIndex: sub - add: olcDbIndex olcDbIndex: mail eq, subinitial - add: olcDbIndex
Chúng tôi thêm các chỉ mục vào cơ sở dữ liệu và kiểm tra sửa đổi:
: ~ # ldapmodify -Y BÊN NGOÀI -H ldapi: /// -f ./olcDbIndex.ldif
: ~ # ldapsearch -Q -LLL -Y BÊN NGOÀI -H ldapi: /// -b \ cn = config '(olcDatabase = {1} hdb)' olcDbIndex
dn: olcDatabase = {1} hdb, cn = config olcDbIndex: objectClass eq olcDbIndex: uidNumber, gidNumber eq olcDbIndex: memberUid eq, pres, sub olcDbIndex: loginShell eq olcDq oqqcn cn presq olcDbIndex: sn pres, sub, eq olcDbIndex: givenName, ou pres, eq, sub olcDbIndex: displayName pres, sub, eq olcDbIndex: default sub olcDbIndex: mail eq, subinitial olcD eqIndex: dc
Quy tắc kiểm soát truy cập dữ liệu
Các quy tắc được thiết lập để người dùng có thể đọc, sửa đổi, thêm và xóa dữ liệu trong cơ sở dữ liệu Thư mục được gọi là Kiểm soát Truy cập, trong khi chúng tôi sẽ gọi Danh sách Kiểm soát Truy cập hoặc «Danh sách kiểm soát truy cập ACL»Đối với các chính sách cấu hình các quy tắc.
Để biết cái nào ACL được khai báo theo mặc định trong quá trình cài đặt tát, chúng tôi thực hiện:
: ~ # ldapsearch -Q -LLL -Y BÊN NGOÀI -H ldapi: /// -b \
cn = config '(olcDatabase = {1} hdb)' olcAccess
: ~ # ldapsearch -Q -LLL -Y BÊN NGOÀI -H ldapi: /// -b \
cn = config '(olcDatabase = {- 1} frontend)' olcAccess
: ~ # ldapsearch -Q -LLL -Y BÊN NGOÀI -H ldapi: /// -b \
cn = config '(olcDatabase = {0} config)' olcAccess
: ~ # ldapsearch -Q -LLL -Y BÊN NGOÀI -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix
Mỗi lệnh trước đó sẽ cho chúng ta thấy ACL mà cho đến bây giờ chúng tôi đã khai báo trong Thư mục của mình. Cụ thể, lệnh cuối cùng hiển thị tất cả chúng, trong khi ba lệnh đầu tiên cung cấp cho chúng ta các quy tắc kiểm soát truy cập cho cả ba. DIT tham gia vào tát.
Về chủ đề ACL và để không làm một bài viết dài hơn, chúng tôi khuyên bạn nên đọc các trang hướng dẫn người đàn ông tátd.access.
Để đảm bảo quyền truy cập của người dùng và quản trị viên để cập nhật các mục nhập của họ đăng nhậpShell y Tắc kè, chúng tôi sẽ thêm ACL sau:
## Chúng tôi tạo tệp olcAccess.ldif và để lại tệp với nội dung sau: ~ # nano olcAccess.ldif
dn: olcDatabase = {1} hdb, cn = config changetype: edit add: olcAccess olcAccess: {1} to attrs = loginShell, gecos by dn = "cn = admin, dc = friends, dc = cu" do tự viết bởi * đọc
## Chúng tôi thêm ACL
: ~ # ldapmodify -Y BÊN NGOÀI -H ldapi: /// -f ./olcAccess.ldif
# Chúng tôi kiểm tra các thay đổi
ldapsearch -Q -LL -Y NGOÀI -H ldapi: /// -b \
cn = config '(olcAccess = *)' olcAccess olcSuffix
Tạo chứng chỉ TLS trong Bóp
Để có xác thực an toàn với máy chủ OpenLDAP, chúng ta phải thực hiện việc đó thông qua một phiên được mã hóa mà chúng ta có thể đạt được bằng cách sử dụng TLS «Bảo mật lớp truyền tải» o Lớp truyền tải an toàn.
Máy chủ OpenLDAP và các máy khách của nó có thể sử dụng khuôn khổ TLS để cung cấp sự bảo vệ về tính toàn vẹn và tính bảo mật, cũng như hỗ trợ xác thực LDAP an toàn thông qua cơ chế SASL «Xác thực đơn giản và lớp bảo mật« Bên ngoài.
Máy chủ OpenLDAP hiện đại ưu tiên sử dụng */ StartTLS /* o Bắt đầu một Lớp truyền tải an toàn đến /LDAPS: ///, đã lỗi thời. Bất kỳ câu hỏi nào, hãy truy cập * Bắt đầu TLS v. ldaps: // * en http://www.openldap.org/faq/data/cache/605.html
Chỉ cần để tệp như được cài đặt theo mặc định / etc / default / tátd với tuyên bố SLAPD_SERVICES = »ldap: /// ldapi: ///», với mục tiêu sử dụng kênh được mã hóa giữa máy khách và máy chủ, và bản thân các ứng dụng phụ trợ để quản lý OpenLDAP được cài đặt cục bộ.
Phương pháp được mô tả ở đây, dựa trên các gói thùng đựng hạt dẻ y chứng chỉ ssl nó hợp lệ cho Debian 6 "Squeeze" và cả Ubuntu Server 12.04. Đối với Debian 7 "Wheezy" một phương pháp khác dựa trên OpenSSL.
Việc tạo chứng chỉ trong Squeeze được thực hiện như sau:
1.- Chúng tôi cài đặt các gói cần thiết : ~ # aptitude install gnutls-bin ssl-cert 2.- Chúng tôi tạo Khóa chính cho Tổ chức phát hành chứng chỉ : ~ # sh -c "certtool --generate-privkey> /etc/ssl/private/cakey.pem" 3.- Chúng tôi tạo một mẫu để xác định CA (Cơ quan cấp chứng chỉ) : ~ # nano /etc/ssl/ca.info cn = Những người bạn Cuba ca cert_sign_key 4.- Chúng tôi tạo Chứng chỉ CA Tự ký hoặc Tự ký cho khách hàng : ~ # certtool --generate-self-sign \ --load-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/ca.info \ --outfile / etc / ssl / certs / cacert.pem 5.- Chúng tôi tạo Khóa riêng cho Máy chủ : ~ # certtool --generate-privkey \ --bits 1024 \ --outfile /etc/ssl/private/mildap-key.pem Ghi: Thay thế "nhẹ nhàng"trong tên của tệp ở trên bởi máy chủ của riêng bạn. Đặt tên Chứng chỉ và Khóa, cho cả máy chủ và dịch vụ sử dụng nó, giúp chúng tôi giữ mọi thứ rõ ràng. 6.- Chúng tôi tạo tệp /etc/ssl/mildap.info với nội dung sau: : ~ # nano /etc/ssl/mildap.info tổ chức = Những người bạn Cuba cn = lightap.amigos.cu tls_www_server mã hóa_ khóa ký_ khóa expiration_days = 3650 Ghi: Ở nội dung trước chúng tôi tuyên bố rằng chứng chỉ có giá trị trong thời hạn 10 năm. Tham số phải được điều chỉnh để thuận tiện cho chúng tôi. 7.- Chúng tôi tạo Chứng chỉ Máy chủ : ~ # certtool --generate-certificate \ --load-privkey /etc/ssl/private/mildap-key.pem \ --load-ca-certificate /etc/ssl/certs/cacert.pem \ --load- ca-privkey /etc/ssl/private/cakey.pem \ --template /etc/ssl/mildap.info \ --outfile /etc/ssl/certs/mildap-cert.pem
Cho đến nay, chúng tôi đã tạo các tệp cần thiết, chúng tôi chỉ phải thêm vào Thư mục vị trí của Chứng chỉ tự ký cacert.pem; của Chứng chỉ máy chủ lightap-cert.pem; và Khóa riêng của Máy chủ lightap-key.pem. Chúng tôi cũng phải điều chỉnh quyền và chủ sở hữu của các tệp đã tạo.
: ~ # nano /etc/ssl/certinfo.ldif dn: cn = config add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/mildap-cert.peySCFileer / etcertificate v.v. /mildap-key.pem 8.- Chúng tôi thêm: ~ # ldapmodify -Y BÊN NGOÀI -H ldapi: /// -f /etc/ssl/certinfo.ldif 9.- Chúng tôi điều chỉnh chủ sở hữu và quyền : ~ # adduser openldap ssl-cert: ~ # chgrp ssl-cert /etc/ssl/private/mildap-key.pem: ~ # chmod g + r /etc/ssl/private/mildap-key.pem: ~ # chmod hoặc /etc/ssl/private/mildap-key.pem
Chứng chỉ cacert.pem Nó là cái mà chúng tôi phải sao chép trong mỗi khách hàng. Để chứng chỉ này được sử dụng trên chính máy chủ, chúng tôi phải khai báo nó trong tệp /etc/ldap/ldap.conf. Để thực hiện việc này, chúng tôi sửa đổi tệp và để lại tệp với nội dung sau:
: ~ # nano /etc/ldap/ldap.conf BASE dc = bạn bè, dc = cu URI ldap: //mildap.amigos.cu TLS_CACERT /etc/ssl/certs/cacert.pem
Cuối cùng và cũng để kiểm tra, chúng tôi khởi động lại dịch vụ tát và chúng tôi kiểm tra đầu ra của syslog từ máy chủ, để xem liệu dịch vụ có được khởi động lại đúng cách bằng chứng chỉ mới được khai báo hay không.
: ~ # dịch vụ khởi động lại tát : ~ # tail / var / log / syslog
Nếu dịch vụ không khởi động lại chính xác hoặc chúng tôi nhận thấy một lỗi nghiêm trọng trong syslog, chúng ta đừng nản lòng. Chúng tôi có thể cố gắng sửa chữa hư hỏng hoặc bắt đầu lại. Nếu chúng tôi quyết định bắt đầu lại từ đầu, việc cài đặt tát, không cần thiết phải định dạng máy chủ của chúng tôi.
Để xóa mọi thứ mà chúng tôi đã làm cho đến nay vì lý do này hay lý do khác, chúng tôi phải gỡ cài đặt gói tát, rồi xóa thư mục / var / lib / ldap. Chúng tôi cũng phải để tệp ở phiên bản gốc của nó /etc/ldap/ldap.conf.
Rất hiếm khi mọi thứ hoạt động chính xác trong lần thử đầu tiên. 🙂
Hãy nhớ rằng trong phần tiếp theo chúng ta sẽ thấy:
- Xác thực người dùng cục bộ
- Điền vào cơ sở dữ liệu
- Quản lý cơ sở dữ liệu bằng các tiện ích bảng điều khiển
- Tóm tắt cho đến nay ...
Hẹn gặp lại các bạn !.
Giáo viên!!!
NÓ ĐÃ XẢY RA VỚI TUTO!
là tuyệt vời
tất cả những lời yêu của thế giới dành cho bạn.
????
Cảm ơn bạn rất nhiều, Hugo !!! Chờ các bài viết tiếp theo về chủ đề này.
Hi
thú vị loạt bài báo của bạn.
Tôi rất ngạc nhiên khi đọc tuyên bố này: "Các máy chủ OpenLDAP hiện đại thích sử dụng StartTLS hoặc Start a Secure Transport Layer hơn là giao thức TLS / SSL cũ, đã lỗi thời."
Bạn có tuyên bố rằng, trong mọi trường hợp ngay cả ngoài phạm vi LDAP, STARTTLS là cơ chế bảo vệ vượt trội so với TSL / SSL không?
Cảm ơn vì đã bình luận. Lưu ý rằng tôi có nghĩa là OpenLDAP. Tôi không nói quá. Trong http://www.openldap.org/faq/data/cache/185.html, bạn có thể đọc phần sau:
Bảo mật lớp truyền tải (TLS) là tên tiêu chuẩn của Lớp cổng bảo mật (SSL). Các điều khoản (trừ khi đủ điều kiện với số phiên bản cụ thể) thường có thể hoán đổi cho nhau.
StartTLS là tên của hoạt động LDAP tiêu chuẩn để bắt đầu TLS / SSL. TLS / SSL được bắt đầu khi hoàn tất thành công hoạt động LDAP này. Không cần cổng thay thế. Đôi khi nó được gọi là hoạt động nâng cấp TLS, vì nó nâng cấp kết nối LDAP bình thường lên kết nối được bảo vệ bởi TLS / SSL.
ldaps: // và LDAPS đề cập đến "LDAP qua TLS / SSL" hoặc "LDAP được bảo mật". TLS / SSL bị tắt khi kết nối với một cổng thay thế (thường là 636). Mặc dù cổng LDAPS (636) đã được đăng ký cho mục đích sử dụng này, các thông tin chi tiết của cơ chế khởi tạo TLS / SSL không được chuẩn hóa.
Sau khi khởi tạo, không có sự khác biệt giữa ldaps: // và StartTLS. Chúng chia sẻ các tùy chọn cấu hình giống nhau (ngoại trừ ldaps: // yêu cầu cấu hình một trình nghe riêng biệt, hãy xem tùy chọn -h của Tátd (8)) và kết quả là các dịch vụ bảo mật được thiết lập.
Lưu ý:
1) ldap: // + StartTLS phải được chuyển hướng đến cổng LDAP thông thường (thường là 389), không phải cổng ldaps: //.
2) ldaps: // phải được chuyển hướng đến cổng LDAPS (thường là 636), không phải cổng LDAP.
Xin lỗi, nhưng tôi vẫn không chắc tại sao bạn lại khẳng định rằng: 1) các máy chủ hiện đại thích STARTTLS hơn SSL / TLS; 2) STARTTLS hiện đại, so với SSL / TLS đã lỗi thời.
Tôi đã đấu tranh trong nửa tháng với cấu hình của các ứng dụng thư khách khác nhau truy cập máy chủ bằng SSL (sử dụng thư viện openssl, như hầu hết các phần mềm miễn phí), với chứng chỉ CA trong / etc / ssl / certs / và các đồ dùng khác. Và những gì tôi đã học được là: 1) STARTTLS chỉ mã hóa xác thực phiên, và mọi thứ khác được gửi đi không được mã hóa; 2) SSL mã hóa tuyệt đối tất cả nội dung của phiên. Do đó, không có trường hợp nào STARTTLS vượt trội hơn về mặt kỹ thuật so với SSL; Tôi muốn nghĩ khác đi, vì nội dung phiên của bạn truyền qua mạng không được mã hóa.
Một điều khác nữa là STARTTLS được khuyên dùng vì những lý do khác mà tôi không biết: để tương thích với MSWindows, vì việc triển khai ổn định hơn hoặc được kiểm tra tốt hơn ... Tôi không biết. Đó là lý do tại sao tôi hỏi bạn.
Từ phần trích dẫn của sách hướng dẫn bạn đã đính kèm với tôi trong câu trả lời của bạn, tôi thấy rằng sự khác biệt giữa ldap: // và ldaps: // tương đương với sự khác biệt giữa imap: // và imaps: // hoặc giữa smtp: // và smtps: //: một cổng khác được sử dụng, một số mục nhập bổ sung được thêm vào tệp cấu hình, nhưng phần còn lại của các tham số được giữ lại. Nhưng điều đó không cho thấy bất cứ điều gì về việc thích STARTTLS hay không.
Xin chào, và xin lỗi vì đã trả lời. Tôi chỉ đang cố gắng học thêm một chút.
Hãy nhìn xem, rất hiếm khi trong các bài báo của tôi, tôi tuyên bố về tầm cỡ đó mà không được một số ấn phẩm nghiêm túc hỗ trợ. Ở cuối loạt bài, tôi sẽ bao gồm tất cả các liên kết đến tài liệu mà tôi cho là nghiêm túc và tôi đã tham khảo để viết bài đăng. Tôi cung cấp cho bạn các liên kết sau:
https://wiki.debian.org/LDAP/OpenLDAPSetup
Hướng dẫn máy chủ Ubuntu https://code.launchpad.net/serverguide
OpenLDAP-Official http://www.openldap.org/doc/admin24/index.html
LDAP qua SSL / TLS và StartTLS http://tt4cs.wordpress.com/2014/01/18/ldap-over-ssltls-and-starttls/
Và hơn nữa, tôi đã tham khảo tài liệu đi kèm được cài đặt với mỗi gói.
Vấn đề bảo mật nói chung và sự khác biệt giữa StartTLS và TLS / SSL, rất kỹ thuật và sâu đến mức tôi không cho rằng mình có đủ kiến thức cần thiết để đưa ra những giải thích như vậy. Tôi nghĩ chúng ta có thể tiếp tục nói chuyện qua e-mail.
Hơn nữa, không nơi nào tôi nói rằng không thể sử dụng LDAPS: //. Nếu bạn cho rằng nó an toàn hơn, thì hãy tiến lên !!!
Tôi không thể giúp bạn nữa và tôi thực sự đánh giá cao ý kiến của bạn.
Rõ ràng hơn một chút mà bạn có thể nhận được -luôn về OpenLDAP- trong:
http://www.openldap.org/faq/data/cache/605.html
Hoạt động mở rộng StartTLS [RFC 2830] là cơ chế tiêu chuẩn của LDAPv3 để bật tính năng bảo vệ bí mật dữ liệu TLS (SSL). Cơ chế sử dụng hoạt động mở rộng LDAPv3 để thiết lập kết nối SSL / TLS được mã hóa trong kết nối LDAP đã được thiết lập. Trong khi cơ chế được thiết kế để sử dụng với TLSv1, hầu hết các triển khai sẽ dự phòng về SSLv3 (và SSLv2) nếu cần.
ldaps: // là cơ chế thiết lập kết nối SSL / TLS được mã hóa cho LDAP. Nó yêu cầu sử dụng cổng riêng biệt, thường là 636. Mặc dù ban đầu được thiết kế để sử dụng với LDAPv2 và SSLv2, nhiều triển khai hỗ trợ việc sử dụng nó với LDAPv3 và TLSv1. Mặc dù không có đặc điểm kỹ thuật cho ldaps: // nó được sử dụng rộng rãi.
ldaps: // không được dùng nữa vì Start TLS [RFC2830]. OpenLDAP 2.0 hỗ trợ cả hai.
Vì lý do bảo mật, máy chủ phải được định cấu hình để không chấp nhận SSLv2.
Đây sẽ là một trong những bài báo mà người dùng sẽ không bình luận vì vì họ chỉ xem nội dung khiêu dâm trên các đài Linux của họ, nên họ đơn giản là không quan tâm. Bài báo hay!!
Cảm ơn vì đã bình luận !!!. Và tuyên bố của bạn rất đúng về một vài nhận xét trong nhiều bài báo của tôi. Tuy nhiên, tôi nhận được thư từ những độc giả quan tâm, hoặc từ những người khác tải xuống bài báo để đọc và áp dụng sau này.
Luôn rất hữu ích khi có phản hồi thông qua các nhận xét, ngay cả khi đó là: Tôi đã lưu nó để đọc sau, thú vị hoặc ý kiến khác.
Liên quan
Freeke !!! Cảm ơn vì đã bình luận. Tôi đã nhận được bình luận của bạn trong mail nhưng tôi không thấy nó mặc dù tôi làm mới trang nhiều lần. Bạn ơi, bạn có thể kiểm tra cái này và các bài trước mà không gặp sự cố trên Squeeze hoặc Ubuntu Server 12.04. Trong Wheezy, các chứng chỉ được tạo khác nhau, sử dụng OpenSSL. Nhưng không có gì. Trân trọng, anh trai !!!.
@thisnameisfalse: Nhân viên giỏi nhất bị mờ. Cảm ơn ý kiến của bạn, tôi nghĩ rằng đoạn văn được đề cập sẽ như sau:
Các máy chủ OpenLDAP hiện đại thích sử dụng StartTLS hoặc Bắt đầu một lớp truyền tải an toàn cho giao thức LDAPS: //, giao thức này đã lỗi thời. Bất kỳ câu hỏi nào, hãy truy cập Bắt đầu TLS v. ldaps: // vi http://www.openldap.org/faq/data/cache/605.html
Liên quan
Tuyệt vời, ngay bây giờ tôi có bài tập về nhà trên ldap
Bạn không thể đặt mọi thứ trong một tệp duy nhất nên bạn có thể tải xuống toàn bộ hướng dẫn
Tôi là một kỹ thuật viên máy tính có nhiều kinh nghiệm về Linux, nhưng tôi vẫn bị lạc ở giữa bài viết. Sau đó, tôi sẽ đọc lại nó một cách cẩn thận hơn. Cảm ơn bạn rất nhiều về hướng dẫn.
Mặc dù đúng là nó cho phép chúng ta hiểu thêm nhiều lý do tại sao ActiveDirectory thường được chọn cho những việc này. Có một vũ trụ khác biệt khi nói đến sự đơn giản của cấu hình và triển khai.
Liên quan
Cảm ơn tất cả các bạn đã bình luận !!!
@jose monge, tôi hy vọng nó sẽ giúp bạn
@walter ở cuối tất cả các bài viết, tôi sẽ xem liệu tôi có thể tạo một bản tóm tắt ở định dạng html hoặc pdf không
@eVeR thì ngược lại, OpenLDAP đơn giản hơn - ngay cả khi nó không giống Active Directory. hãy chờ những bài viết tiếp theo và bạn sẽ thấy.
Một truy vấn, tôi thực hiện cài đặt từng bước nhưng khi khởi động lại dịch vụ slutd, nó ném cho tôi lỗi sau>
30 tháng 15 27:37:1219 xxxx tátd [17]: @ (#) $ OpenLDAP: tátd (Ubuntu) (2014 tháng 21 20 08:012:011) $ # 2.4.31 # XNUMXbuildd @ aatxe: /build/buildd/openldap-XNUMX .XNUMX / debian / build / server / slapd
Ngày 30 tháng 15 27:37:1219 xxxxx tát [XNUMX]: Đã chèn thuộc tính UNKNOWN Mô tả "CHANGETYPE".
Ngày 30 tháng 15 27:37:1219 xxxxx tát [XNUMX]: Đã chèn thuộc tính UNKNOWN Mô tả "ADD".
30 thg 15 27:37:1219 xxxxx [2]: <= str2entry: tát_strXNUMXundef_ad (-): rỗng AttributeDescription
30 thg 15 27:37:1219 xxxxx tát [XNUMX]: cái tát dừng lại.
30 tháng 15 27:37:1219 xxxxx [XNUMX]: links_destroy: không có gì để phá hủy.
bạn có thể hỏi trong diễn đàn 😀 http://foro.desdelinux.net/
Đối với tất cả những người thấy bài đăng xuất sắc và được giải thích tốt này và sự cố này xảy ra khi tạo ACL:
ldapmodify: mục nhập định dạng không hợp lệ (dòng 5): "olcDatabase = {1} hdb, dc = config"
Sau khi vắt óc tìm kiếm trên internet, hóa ra ldapmodify là loại chính xác nhất trên trang web. Thật là điên rồ với các ký tự đặt sai vị trí cũng như các khoảng trống ở cuối. Nếu không có thêm lời khuyên nào, lời khuyên là hãy viết theo điều kiện bên cạnh nhau hoặc bằng X viết bằng cách tự viết bằng * read. Nếu nó vẫn không hoạt động, hãy cài đặt Notepad ++> Xem> Hiển thị biểu tượng và cuối cùng là khai tử các ký tự ẩn. Tôi hy vọng ai đó giúp đỡ.
Tạo chứng chỉ cho Debian Wheezy dựa trên OpenSSL, chứng chỉ này có thể phục vụ:
http://blog.phenobarbital.info/2014/10/openldap-tlsssl-configuracion-basica-y-aseguramiento/