OpenLDAP kiszolgáló, az orosz nyelvű leírás ubuntu
Lightweight Directory Access Protocol, vagy LDAP - protokoll kéréseket és a változások a szolgáltatás alapján X.500 könyvtár, fut át a TCP / IP. A jelenlegi verzió LDAP LDAPv3 meghatározott RFC4510. és az LDAP végrehajtás Ubuntu - az OpenLDAP, a jelenlegi verzió 2.4.25 (Oneiric) (2.4.28 PreCíz - egy megjegyzést a fordító.).
Így ez a protokoll hozzáférést biztosít LDAP könyvtárakat. Íme néhány kulcsfontosságú fogalmak és kifejezések:
LDAP címtár - fa adatok formájában rekordok. hierarchikus természete, az úgynevezett címtárinformációs fa (DIT).
A rekord tartalmaz egy sor olyan attribútumokat.
Az attribútum a típusa (név / leírás) és egy vagy több értéket.
Minden attribútumnak meg kell határozni legalább egy objectClass.
Tulajdonságok és objektum osztályok meghatározása a rendszerek (objektum osztály valóban tekinthető egy speciális típusú attribútum).
Minden bejegyzés egy egyedi azonosítója: annak megkülönböztető név (DN vagy DN). Ez áll a relatív megkülönböztetett név (RDN), belépését követően a szülő DN.
DN bejegyzést - ez nem egy tulajdonság. Ez nem számít bele a tényleges felvételt.
tárgy szempontjából. konténer és a csomópont (csomópont) van néhány felhangjai, de ezek mindegyikét lényegében kijelöli olyan dolog, mint felvétel, technikailag helyes kifejezés.
Például, akkor van egy rekord, amely 11 attribútumokat. A DN - Ez a "cn = John Doe, dc = example, dc = com"; ez RND - a "cn = John Doe"; és a szülő DN - "dc = example, dc = com".
A fenti post - it LDIF formátum (LDAP Data Interchange Format). Minden olyan információt teszel a DIT kell ebben a formátumban. Ez határozza meg RFC2849.
Telepítése OpenLDAP szerver szolgáltatás, és a szokásos LDAP segédprogramok. Ezek a csomagok slapd és ldap-utils, ill.
Telepítse szánható létrehozni egy működő konfigurációt. Különösen, hogy létre fog hozni egy adatbázis például, akkor tárolni az adatokat. Azonban, az utótag (vagy a bázis DN) pontjára kell meghatározni a domain helyi_állomás. Ha a használni kívánt mást, a / etc / hosts és cserélje ki a domain nevet a jobb oldalon. Példaként, ha szüksége van az utótag dc = example, dc = com. akkor a fájl kell, hogy egy ilyen sort:
A visszavonás változások telepítése után a csomagot.
Ez az útmutató fogja használni az adatbázist utótag dc = example, dc = com.
Mi továbbra is a telepítést:
Kezdve Ubuntu 8.10 slapd úgy tervezték, hogy egymástól függetlenül állítható, elosztása egy külön DIT erre a célra. Ez lehetővé teszi, hogy dinamikusan konfigurálható slapd anélkül perestartovyvat szolgáltatást. Ez a konfiguráció adatbázis tartalmazza a gyűjtemény szöveges LDIF található fájlok /etc/ldap/slapd.d. Ez a kiviteli alak működik ismert különböző neveken: slapd-config módszerrel, RTC módszer (valós idejű beállítás) vagy cn = config módszerrel. Továbbra is használhatja a hagyományos módszer egy sima file (slapd.conf), de ez nem ajánlott; Ez a funkció végül el kell távolítani.
Ubuntu most használja az slapd-config eljárás konfigurálására slapd ezt az útmutatót és ezt tükrözi.
Néhány klasszikus rendszer (koszinusz, nis, inetorgperson) már elérhető a slapd. Ez is egy bázis (core) rendszer, amely a feltételezések bármilyen a dolgozó áramkör.
A telepítési folyamat létrehoz 2 DIT. Az egyik a slapd-config, és egy saját adatait (dc = example, dc = com). Vessünk egy pillantást:
Itt látható, hogy néz ki, mint egy fa (DIT) slapd-config tárol. Emlékezzünk, hogy ez a keret alapján a LDIF és a /etc/ldap/slapd.d:
Ne módosítsa az adatbázis slapd-config közvetlenül. Módosítások az LDAP protokoll (közművek).
Itt van, hogy a fa úgy néz ki, slapd-config keresztül az LDAP protokoll:
Magyarázat rekordok:
Megcsinálta! Két bázisok (utótag: dc = példa, dc = com) most szinkronban.
Miután a replikáció elindul, akkor követni azt a futás:
Ha a kapcsolat lassú és / vagy az LDAP adatbázis nagy, a folyamat hozza összhangba contextCSN ügyfelek és beszállítók lehet hosszabbítani. De tudnod kell, hogy a folyamat elindult, amint a fogyasztói contextCSN elkerülhetetlenül növeli.
Annak ellenőrzésére, hogy ez működik, csak kérje a DN a fogyasztói bázist:
Meg kell jelennie a felhasználó # 'John #' és csoportos # „Miners #”, valamint a csomópontok # „Emberek #” és # 'Csoportok #'.
Szabályozza, hogy milyen típusú hozzáférési (olvasás, írás, és így tovább.) A felhasználók meg kell adni a források ismert Access Control. Ezek kombinációi irányelvek nevezzük hozzáférés-vezérlési listák (ACL).
Amikor elindultunk a csomag slapd különböző ACL beállítása automatikusan történik. Meg fogjuk vizsgálni, néhány fontos következményei kihagyások, és ezt, megértjük azt az elképzelést, hogy a ACL, és hogyan kell beállítani őket.
A hatékony ACL LDAP-lekérdezés meg kell nézni a ACL bejegyzés a kért adatbázist, valamint a felvétel egy speciális adatbázis például előtérben. Alapértelmezésben ACL. az utóbbi által szerzett keresetet, ha azok nem esnek egybe a szabályokat a leírtak szerint történik. Az alap front-end adat lekérdezhető a második körben, és az ACL alkalmazzuk az első mérkőzés között a két ACL forrásokból. A következő parancsok azt mutatják, rendre ACL adatbázist HDB ( "dc = example, dc = com"), és azok azonosak az adatbázisból front-end:
így az eredeti az előző bekezdésben, mert nem hiszem, hogy helyesen megértette:
Ahhoz, hogy a tényleges ACL LDAP-lekérdezés meg kell nézni az ACL-bejegyzések az adatbázis lekérdezett valamint azokat a különleges frontend adatbázispéldány. Az ACL tartozó utóbbi aktus alapértelmezettként esetében azok a korábbi nem egyezik. A frontend adatbázis a második konzultálni kell, és az ACL kell alkalmazni az első, hogy megfeleljen ( «első mérkőzés nyer») közül 2 ACL forrásokból. A következő parancsok ad, illetve az ACL a HDB adatbázis ( «dc = example, dc = com»), és azokat a frontend adatbázis:
rootdn mindig teljes hozzáférést biztosít az adatbázisban. Hozzátéve, hogy a ACL nyújt teljes konfiguráció, de csökkenését okozza slapd teljesítményt.
Az első ACL nagyon fontos:
Ezt is képviselteti magát egy másik utat egy jobb megértéséhez:
Ez az összetett ACL (kettő) a következőkre van szükség:
UserPassword tulajdonság nem áll rendelkezésre az összes többi felhasználó kivéve rootdn amely teljes hozzáférést.
Keresés az DIT végezhetjük névtelenül, mert # 'By * read #' az ACL.
Mint korábban említettük, nem adminisztrátor felhasználó létrehozása a slapd-config bázis. Van azonban azonosítása SASL, amely teljes hozzáférést biztosít rá. Ez hasonló a rendszergazda a localhost (root / sudo). Itt is van:
A következő parancs megmutatja az ACL adatbázist slapd-config:
Mivel ez a SASL hitelesítés, szükségünk van egy SASL mechanizmust, amikor megkeresett LDAP közüzemi kérdéses, és látni fogjuk, hogy sokszor ebben a kézikönyvben. Ez a külső (külső) mechanizmus. Lásd az előző parancs példaként. Kérjük, vegye figyelembe:
Akkor érdemes használni a sudo azonosítani a gyökér ACL működött.
Egy rövid módja annak, hogy az összes ACL a következő:
Van még egy csomó elmondható a hozzáférés-szabályozás. Lásd slapd.access vezetést.
Amikor egy hitelesítési OpenLDAP szerver, akkor a legjobb, ha ezt a titkosított ülésen. Ez úgy érhető el használatával közlekedéssel szintű titkosítás (TLS).
Itt tartunk a saját tanúsítvány Központ (Certificate Authority - CA), majd hozzon létre és aláírja a tanúsítványt az LDAP szerver nevében a CA Mivel slapd felhasználásával összeállított gnutls könyvtárban. fogjuk használni, hogy ezeket a feladatokat a közüzemi certtool.
A csomag telepítése gnutls-bin és ssl-cert:
Hozzon létre egy privát kulcs tanúsítványt a központ: