Ldap опис з прикладами

бібліотеки OpenSSL TLS

Служби аутентифікації Kerberos

Для використання забезпечуваних Kerberos служб аутентифікації вкрай рекомендується:

Cyrus's Simple Authentication and Security Layer Libraries

Програми баз даних

Головний принцип роботи баз даних в slapd в OpenLDAP - LDBM, для зберігання елементів він вимагає наявності пакета з сумісною базою даних. LDBM сумісний з Sleepycat Software BerkeleyDB (рекомендується) або з Free Software Foundation's GNU Database Manager (GDBM). Якщо на час конфігурування жоден з цих пакетів не доступний, ви не зможете побудувати slapd з підтримкою головного механізму роботи з базою даних.

Якщо ваша операційна система не надає жодного з цих двох пакетів, необхідно отримати і встановити один з них.

GDBM доступний зі сторінки FSF сайту ftp://ftp.gnu.org/pub/gnu/gdbm. На момент написання остання версія 1.8.

slapd підтримує TCP wrappers (IP фільтри контролю доступу), якщо вони встановлені. Для серверів містять приватну інформацію рекомендується використання TCP wrappers або інших фільтрів доступу IP-рівня (таких як надаються IP-firewall).

Для написання цього документа я використовував версію 2.0.4 пакету OpenLDAP. Моя операційна система-Slackware Linux з ядром 2.2.13.

Як описано в розд. Налаштування LDAP сервера>, ця опція вказує, які елементи поміщені в цій базі даних. Ви повинні її встановити в значення відмітної імені кореня піддерева, яке ви збираєтеся створити. наприклад:

suffix "o = TUDelft, c = NL"

Ви повинні перевірити, що вказали каталог, де повинні бути створені індексні файли:

Вам слід створити його, тепер ви можете підключатися до slapd як хтось з правами на додавання записів. Це робиться наступними двома опціями у визначенні бази даних:

/ * Не забудьте тут використовується crypto або SHA пароль. * /

Ці опції задають відмітна ім'я і пароль, що використовуються для аутентифікації елемента "суперкористувача" бази даних (тобто елементу якому дозволено робити все). Дані тут відмітна ім'я і пароль будуть працювати завжди, не залежно від того, чи існує такий елемент насправді і чи має він такий же пароль. Це вирішує проблему курки і яйця щодо аутентифікації і додавання елементів до існування самих елементів.

Якщо ви використовуєте SASL механізм аутентифікації LDAP, рядок rootpw можна відкинути. Більш детальну інформацію шукайте в секціях Настоянка LDAP і Аутентификация.

На закінчення, ви повинні упевнитися, що визначення бази даних містить визначення необхідних вам індексів:

index <| default> [Pres, eq, approx, sub, none]

Наприклад, для індексації атрибутів cn, sn, uid і objectclass можна використовувати такі рядки конфігурації індексів.

index objectclass pres, eq

index default none

Як тільки ви все налаштували на ваш смак, запустіть slapd, підключіться за допомогою вашого улюбленого LDAP клієнта, і почніть додавати елементи. Наприклад, для додавання за допомогою утиліти ldapadd елемента TUDelft і наступного за ним елемента Postmaster, ви можете створити файл / tmp / newentry з таким вмістом:

Якщо містить нецензурні символи або починається з пробілу, двокрапки ( ':'), або знака менше ( '. Можливо в вашому випадку вам буде потрібно тільки додати елемент відповідний переміщуваного профілю (dn: nsLIProfileName =.).

- Налаштування Netscape Navigator: Наступний крок - налаштувати Netscape на ваш LDAP сервер для активації роумінгу. Просто виконайте послідовність:

Увійдіть в меню Edit => Preferences => Roaming User

Тепер вам слід активувати Roaming Access для цього профілю, клацнувши на кнопку відповідну цієї опції.

Заповніть поле імені користувача відповідним значенням, воно повинно бути ідентично полю nsLIProfileName = з елемента профілю користувача з LDIF профілю. Приклад: seallers

Клацніть на Server Information, активуйте LDAP Server і заповніть поля наступною інформацією:

УВАГА: Перед запуском броузера Netscape автоматично замінює змінну $ USERID на ім'я обраного профілю. Так якщо ви обрали профіль seallers, він змінить $ USERID на seallers, якщо ви обрали профіль gonzales, він змінить $ USERID на gonzales. Якщо ви не знайомі з профілями, запустіть додаток Profile Manager, яке поставляється в наборі Netscape Comunicator. Ця програма розроблена для обслуговування декількох користувачів броузера на одній машині, і кожен з них має власні настройки броузера.

І фінальний крок - перезапуск сервера. Подивіться секцію розд. Завершення LDAP сервера> для розуміння того, як його безпечно зупинити і розд. Запуск LDAP сервера> як його знову запустити.