doc:appunti:linux:sa:ldap
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
doc:appunti:linux:sa:ldap [2010/10/28 11:26] – niccolo | doc:appunti:linux:sa:ldap [2011/10/31 14:38] (current) – [Configurazione del server] niccolo | ||
---|---|---|---|
Line 9: | Line 9: | ||
È possibile utilizzare LDAP per numerosi scopi; come database per l' | È possibile utilizzare LDAP per numerosi scopi; come database per l' | ||
- | Utilizzando **LDAP per l' | + | Utilizzando **LDAP per l' |
* [[http:// | * [[http:// | ||
Line 93: | Line 93: | ||
directory | directory | ||
- | # Wha can change the userPassword. | + | # Who can change the userPassword. |
access to attrs=userPassword, | access to attrs=userPassword, | ||
by dn=" | by dn=" | ||
Line 104: | Line 104: | ||
access to * | access to * | ||
by dn=" | by dn=" | ||
- | by anonymous auth | ||
by * read | by * read | ||
</ | </ | ||
+ | |||
+ | Attenzione: l' | ||
Le voci **rootdn** e **rootpw** (sopra commentate) possono essere utilizzate per memorizzare le credenziali di amministratore nel file di configurazione invece che nel database. | Le voci **rootdn** e **rootpw** (sopra commentate) possono essere utilizzate per memorizzare le credenziali di amministratore nel file di configurazione invece che nel database. | ||
Line 117: | Line 118: | ||
# following command: | # following command: | ||
# | # | ||
- | # openssl req -config /etc/ldap/tls/ldap.soluzioni.per.cnf \ | + | # openssl req -config /etc/ldap/ssl/ldap.rigacci.org.cnf \ |
- | # -new -x509 -days 1095 -nodes \ | + | # -new -x509 -days 1461 -nodes \ |
- | # | + | # |
- | # -out /etc/ldap/tls/ldap.soluzioni.per.pem | + | # -out /etc/ldap/ssl/ldap.rigacci.org.pem |
# | # | ||
# The resulting file (unencrypted otherwise Slapd can't start | # The resulting file (unencrypted otherwise Slapd can't start | ||
Line 128: | Line 129: | ||
[ req ] | [ req ] | ||
prompt | prompt | ||
- | default_bits | + | default_bits |
distinguished_name | distinguished_name | ||
Line 141: | Line 142: | ||
</ | </ | ||
- | Il certificato **''/ | + | Il certificato **''/ |
< | < | ||
# Allow the server to picks-up the default cypher. | # Allow the server to picks-up the default cypher. | ||
# TLSCipherSuite | # TLSCipherSuite | ||
- | TLSCertificateFile | + | TLSCertificateFile |
- | TLSCertificateKeyFile | + | TLSCertificateKeyFile |
</ | </ | ||
Line 396: | Line 397: | ||
In generale i servizi di **auth**entication sono i più importanti. Per un modulo PAM non è obbligatorio fornire tutti i servizi; ad esempio alcuni moduli PAM potrebbero non fornire la possibilità di cambiare la password. | In generale i servizi di **auth**entication sono i più importanti. Per un modulo PAM non è obbligatorio fornire tutti i servizi; ad esempio alcuni moduli PAM potrebbero non fornire la possibilità di cambiare la password. | ||
- | La procedura Debian di configurazione per **libpam-ldap** richiede diversi parametri: | + | La procedura Debian |
< | < | ||
- | ldaps://192.168.200.245/ | + | LDAP server URI: ldaps://127.0.0.1/ |
- | dc=rigacci, | + | Distinguished name of the search base: dc=rigacci, |
LDAP version to use: 3 | LDAP version to use: 3 | ||
- | Make local root Database admin: | + | Allow LDAP admin account to behave like local root? Yes |
Does the LDAP database require login? No | Does the LDAP database require login? No | ||
- | LDAP account | + | LDAP administrative |
- | LDAP root account | + | LDAP administrative |
- | Local crypt to use when changing | + | Local encryption algorithm |
+ | PAM profiles to enable: Unix authentication, | ||
</ | </ | ||
Le impostazioni vengono salvate in **''/ | Le impostazioni vengono salvate in **''/ | ||
+ | |||
+ | **NOTA:** L'help allegato alla domanda //Allow LDAP admin account to behave like local root?// non è chiaro: rispondendo //No// il file ''/ | ||
**NOTA:** Non dovrebbe essere strettamente necessario che l' | **NOTA:** Non dovrebbe essere strettamente necessario che l' | ||
Line 492: | Line 496: | ||
* **libnss-db** e **nss-updatedb** alternativi a '' | * **libnss-db** e **nss-updatedb** alternativi a '' | ||
- | La procedura Debian di configurazione per **libnss-ldap** richiede diversi parametri: | + | La procedura Debian di configurazione per **libnss-ldap** richiede diversi parametri |
< | < | ||
- | LDAP server Uniform Resource Identifier: | + | LDAP server Uniform Resource Identifier: |
Distinguished name of the search base: dc=rigacci, | Distinguished name of the search base: dc=rigacci, | ||
LDAP version to use: 3 | LDAP version to use: 3 | ||
Line 502: | Line 506: | ||
Make the configuration file readable/ | Make the configuration file readable/ | ||
</ | </ | ||
- | |||
- | :!: **NOTA:** Forse è opportuno rispondere **No** all' | ||
Le impostazioni vengono salvate in **''/ | Le impostazioni vengono salvate in **''/ | ||
+ | |||
+ | :!: **NOTA:** Forse è opportuno rispondere **No** all' | ||
:!: **ATTENZIONE: | :!: **ATTENZIONE: | ||
Line 601: | Line 605: | ||
</ | </ | ||
- | Per fare in modo che tutti i programmi PAM utilizzino Kerberos si modificano alcuni file in **''/ | + | Per fare in modo che tutti i programmi PAM utilizzino Kerberos si modificano alcuni file in **''/ |
+ | |||
+ | **ATTENZIONE**: Con Debian Squeeze queste aggiunte vengono effettuate automaticamente con l' | ||
< | < |
doc/appunti/linux/sa/ldap.1288258015.txt.gz · Last modified: 2010/10/28 11:26 by niccolo