我们先回顾一下,part1 介绍了轻型目录访问协议,细述了协议能做什么,不能做什么。part2 阐述了安装和很基本的配置。 part3 展示了使用真实数据组装目录连同如何避免一些常见错误。
今天的安全论述先从散列您的密码开始。
密码散列
我们不想将rootpw 存储在服务器上的明文内,所以我们改用散列。有几种普遍使用的散列方法可通过slappasswd 命令来实现,包括SHA、SSHA、MD5、和CRYPT在内。CRYPT最差,不要用他。SSHA是默认方法,MD5也不错。使用slappasswd 能够生成一个很好的散列rootpw:
|
现在复制粘贴这个很好的新散列到/etc/ldap/slapd.conf内:
|
这能够是个永久配置,很适合用在小型的简单的LAN上。 更好的解决方案就是创建一个LDAP记录,该记录定义了LDAP管理员,还为LDAP管理员使用slapd.conf中的ACLs (access control lists)定义了访问权限。请看OpenLDAP管理员的指南中的重要章节chapter on ACLs ——他是我看到的关于ACLs的最好的指南。
加密
OpenLDAP 默认采用明文在网络上传送信息,包括密码和注册在内。加密能够防止中途截取和窃听。加密需要以下工具:
|
这些在您的系统上应该有。假如没有,不妨先骂他两句,然后访问您的安装盘或您的版本的Web站点,找到他们。在Debian上,寻找 libssl和libsasl;在基于RPM的系统上,寻找openssl、 cyrus-sasl、和cyrus-sasl-md5。(假如您在这一点上偏执的话,那就去吧。 LDAP相当复杂,所以偏执也是一种能够接受的正常行为。)
生成TLS证书
首先我们必须生成一张服务器证书。这是一张自我生成的仅供slapd 使用的证书。假如您无需安装“认证机构”认证其他证书,也无需某种信任的第三组织认证机构,如Thawte,这个方法够用了。
在包含slapd.conf 的目录下运行下列命令。他将会产生一个新的X509 证书,无需密码。他还将证书命名为slapd_cert.pem,密码命名为slapd_key.pem,并给和他一年的使用期限:
|
然后他会向您提出一串问题。不要怕,一一回答他的问题好了。任何这两个文档都必须属于ldap 用户,该用户在Red Hat上称为'ldap.' (在Debian上叫做'root.')现在设定您的权限—— slapd_cert.pem 必须是全世界易懂的,slapd_key.pem 只有ldap 用户才能够读,不允许任何人写入。
重写slapd.conf
接下来我们需要告诉slapd 到哪里找到这些文档:
|
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
