5 votos

Cuando la configuración de OpenLDAP, por primera vez, ¿cuáles son algunas cosas a tener en cuenta?

Estoy en el proceso de la lectura en la documentación y en la configuración de OpenLDAP para gestionar la autenticación a través de mi red, por correo electrónico, servicios web, cuentas de usuario, cualquier otra cosa que podría lanzar en él. No va a ser algo SUPER grande, pero quiero sentirme vivo, ya que yo estoy haciendo en mi laboratorio en casa.

¿Cuáles son algunas buenas cosas a tener en cuenta o algo para asegurarse de que siempre recuerdo cuando la configuración de OpenLDAP? Debería asegurarse de que siempre viajo a través de SSL? Debo usar Kerbeos? Cualquier cosa que se agradece a tener en cuenta.

6voto

84104 Puntos 6069

Una lista parcial en ningún orden en particular:

  • Uso cn=config ( slapd-config)
  • Configuración maestro-Maestro de replicación en su núcleo.
  • Utilizar siempre algún tipo de cifrado para la autenticación.
  • LDAPS (puerto 636) se deprecia en favor de STARTTLS para LDAP
  • SASL-GSSAPI y SASL-EXTERNOS son útiles si no te gusta escribir contraseñas mucho.
  • deshabilitar el mecanismo SASL no apoyo
  • no utilizar el dn root cuando usted no tiene que
  • preste atención a su Acl. (Los usuarios no deberían tener acceso de escritura a uidNumber y gidNumber)
  • ldapseach -x -H $URI es un anónimo de búsqueda. (ldapwhoami -x -H $URI)
  • limitada réplicas locales puede ser mucho mejor que nscd (de libre acceso a través de la LDAPI:///)
  • superposición de memberof es muy útil para la pertenencia al grupo

Probablemente importantes:
Entender la documentación. No es todo lo que usted necesita, pero seguro que ayuda.

4voto

Jeff Strunk Puntos 1254

Las Bibliotecas SSL

Debian(y por lo tanto Ubuntu) paquete OpenLDAP compilado en contra de gnuTLS en lugar de OpenSSL. Esto está bien para jugar, pero gnuTLS ha sido considerablemente más lento en nuestra red. Siempre me reconstruir el paquete de Ubuntu compilado con OpenSSL.

Otras distribuciones puede hacer el mismo o diferente.

Kerberos

Kerberos no parece realmente útil en mi entorno(~200 estaciones de trabajo linux, ~40 mac, servidores nfs, imap, smtp, servidor web). Ninguno de nuestros cliente común de soporte de aplicaciones de autenticación de kerberos(Firefox, Thunderbird). Sólo sería utilizado en un nivel de host para NFS y como un módulo de PAM para la autenticación. Creo SSL puede hacer tan buen trabajo en mantener las contraseñas en secreto.

Si usted hace uso de kerberos, debe utilizar Heimdal para la integración con el OpenLDAP smbk5pwd de superposición.

Bibliotecas De Cliente

La biblioteca por defecto para la nss de PADL es un poco hinchado y problemático. Te recomiendo que pruebes SSS o nss-pam-ldapd. Ambos funcionan muy bien en mi entorno.

SSS hace mucho más que PADL bibliotecas. Incluye el almacenamiento en caché, por lo que no necesitas nscd.

nss-pam-ldapd es una reescritura de la PADL bibliotecas de hecho ser mucho más eficiente.

La gestión de sus datos

Yo soy un gran fan de phpLDAPAdmin. Esto hace que sea muy fácil ver los esquemas y modificar las entradas individuales.

Otros Servidores LDAP

Se puede ser más lento, pero tienen características más avanzadas.

Es posible que desee probar ApacheDS ya que se ha incorporado kerberos.

2voto

voretaq7 Puntos 63415

Esta pregunta es demasiado amplia para responder, y cualquier respuesta sería muy dependiente de su entorno.

Algunas de las cosas que me iba a tener en cuenta son:

  • ¿LDAP sentido, como el sistema de autenticación?
    • Si no, ¿qué podría ser mejor?
  • ¿LDAP sentido, como el sistema de autorización?
    (autorización serían cosas como sudoers)
    • Si no, ¿qué podría ser mejor?
  • Qué tipo de seguridad tiene sentido?
    • SSL? (definitivamente)
    • Kerberos? (Lo hace todo el apoyo? Todo VA a apoyar en el futuro?)
    • ¿Qué acerca de la seguridad dentro de LDAP en sí (Acl)
      • Objeto/Subárbol permisos
      • Navegación/Búsqueda por... (alguien (anónimo), usuarios registrados, administradores, etc...)
      • ¿Cómo afectará a los usuarios cambiar su contraseña?
  • ¿Cómo vamos a conseguir que las estaciones de trabajo individuales con respecto a información de LDAP?
    • pam_ldap/nss_ldap? (viejo y roto, pero funciona)
    • pam_ldapd (nueva calor: el Menor número de conexiones LDAP, otros beneficios, pero algunas características no implementadas)
  • Vamos a tener que interactuar con Windows alguna VEZ?
    (Si usted dice "sí" aquí usted realmente necesita para utilizar un ANUNCIO como el servidor LDAP)

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: