rigacci.org

User Tools

Site Tools

Trace:
doc:appunti:linux:sa:ldap

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
doc:appunti:linux:sa:ldap [2011/10/12 17:21] – [PAM subsystem] niccolodoc:appunti:linux:sa:ldap [2011/10/31 14:38] (current) – [Configurazione del server] niccolo
Line 118: Line 118:
 # following command: # following command:
 # #
-# openssl req -config /etc/ldap/tls/ldap.soluzioni.per.cnf \ +# openssl req -config /etc/ldap/ssl/ldap.rigacci.org.cnf \ 
-#     -new -x509 -days 1095 -nodes \ +#     -new -x509 -days 1461 -nodes \ 
-#     -keyout /etc/ldap/tls/ldap.soluzioni.per.pem \ +#     -keyout /etc/ldap/ssl/ldap.rigacci.org.pem \ 
-#     -out /etc/ldap/tls/ldap.soluzioni.per.pem+#     -out /etc/ldap/ssl/ldap.rigacci.org.pem
 # #
 # The resulting file (unencrypted otherwise Slapd can't start # The resulting file (unencrypted otherwise Slapd can't start
Line 129: Line 129:
 [ req ] [ req ]
 prompt                          = no prompt                          = no
-default_bits                    = 1024+default_bits                    = 2048
 distinguished_name              = ldap.rigacci.org_distinguished_name distinguished_name              = ldap.rigacci.org_distinguished_name
  
Line 142: Line 142:
 </file> </file>
  
-Il certificato **''/etc/ldap/tls/ldap.rigacci.org.pem''** deve essere protetto con permessi **0400** e deve appartenere all'utente LDAP (**openldap:openldap** in Debian). Per utilizzarlo si aggiunge a ''/etc/ldap/slapd.conf'' le righe:+Il certificato **''/etc/ldap/ssl/ldap.rigacci.org.pem''** deve essere protetto con permessi **0400** e deve appartenere all'utente LDAP (**openldap:openldap** in Debian). Per utilizzarlo si aggiunge a ''/etc/ldap/slapd.conf'' le righe:
  
 <file> <file>
 # Allow the server to picks-up the default cypher. # Allow the server to picks-up the default cypher.
 # TLSCipherSuite         HIGH:MEDIUM:+SSLv2 # TLSCipherSuite         HIGH:MEDIUM:+SSLv2
-TLSCertificateFile     /etc/ldap/tls/ldap.rigacci.org.pem +TLSCertificateFile     /etc/ldap/ssl/ldap.rigacci.org.pem 
-TLSCertificateKeyFile  /etc/ldap/tls/ldap.rigacci.org.pem+TLSCertificateKeyFile  /etc/ldap/ssl/ldap.rigacci.org.pem
 </file> </file>
  
Line 496: Line 496:
   * **libnss-db** e **nss-updatedb** alternativi a ''libnss-ldap'': crea una copia locale dei database, usabile in modalità off-line    * **libnss-db** e **nss-updatedb** alternativi a ''libnss-ldap'': crea una copia locale dei database, usabile in modalità off-line 
  
-La procedura Debian di configurazione per **libnss-ldap** richiede diversi parametri:+La procedura Debian di configurazione per **libnss-ldap** richiede diversi parametri (eseguire '''' per vedere tutte le domande):
  
 <code> <code>
-LDAP server Uniform Resource Identifier: ldaps://192.168.200.245/+LDAP server Uniform Resource Identifier: ldap://127.0.0.1/
 Distinguished name of the search base: dc=rigacci,dc=org Distinguished name of the search base: dc=rigacci,dc=org
 LDAP version to use: 3 LDAP version to use: 3
Line 506: Line 506:
 Make the configuration file readable/writeable by its owner only? Yes Make the configuration file readable/writeable by its owner only? Yes
 </code> </code>
- 
-:!: **NOTA:** Forse è opportuno rispondere **No** all'ultima domanda, visto che anche gli utenti non privilegiati devono poter accedere (in modo anonimo) al database LDAP. Vedi avanti. 
  
 Le impostazioni vengono salvate in **''/etc/libnss-ldap.conf''**. Attivare i privilegi speciali LDAP per root vorrebbe dire che l'utente root del client ha i privilegi di amministratore su LDAP, questo però richiederebbe di memorizzare in chiaro la password di amministratore LDAP nel file **''/etc/libnss-ldap.secret''**. Le impostazioni vengono salvate in **''/etc/libnss-ldap.conf''**. Attivare i privilegi speciali LDAP per root vorrebbe dire che l'utente root del client ha i privilegi di amministratore su LDAP, questo però richiederebbe di memorizzare in chiaro la password di amministratore LDAP nel file **''/etc/libnss-ldap.secret''**.
 +
 +:!: **NOTA:** Forse è opportuno rispondere **No** all'ultima domanda, visto che anche gli utenti non privilegiati devono poter accedere (in modo anonimo) al database LDAP. Vedi avanti.
  
 :!: **ATTENZIONE:** Se in **''/etc/libnss-ldap.conf''** viene impostata l'opzione **binddn**, allora il collegamento al server LDAP avviene con quel nome **invece che in modo anonimo**. Nel nostro caso si preferisce che l'utente non privilegiato faccia collegamenti anonimi, pertanto l'opzione viene omessa. Se l'utente è root allora l'accesso LDAP avviene con le credenziali specificate in **rootbinddn** e la password contenuta in ''/etc/libnss-ldap.secret''. :!: **ATTENZIONE:** Se in **''/etc/libnss-ldap.conf''** viene impostata l'opzione **binddn**, allora il collegamento al server LDAP avviene con quel nome **invece che in modo anonimo**. Nel nostro caso si preferisce che l'utente non privilegiato faccia collegamenti anonimi, pertanto l'opzione viene omessa. Se l'utente è root allora l'accesso LDAP avviene con le credenziali specificate in **rootbinddn** e la password contenuta in ''/etc/libnss-ldap.secret''.
Line 605: Line 605:
 </code> </code>
  
-Per fare in modo che tutti i programmi PAM utilizzino Kerberos si modificano alcuni file in **''/etc/pam.d/''**, aggiungendo al tradizionale **''pam_unix.so''** il modulo **''pam_krb5.so''**:+Per fare in modo che tutti i programmi PAM utilizzino Kerberos si modificano alcuni file in **''/etc/pam.d/''**, aggiungendo al tradizionale **''pam_unix.so''** il modulo **''pam_krb5.so''**. 
 + 
 +**ATTENZIONE**: Con Debian Squeeze queste aggiunte vengono effettuate automaticamente con l'installazione del pacchetto **libpam-krb5**, grazie al comando **''pam-auth-update''**. Le regole sono in realtà molto più elaborate ed efficaci.
  
 <code> <code>
doc/appunti/linux/sa/ldap.1318432907.txt.gz · Last modified: 2011/10/12 17:21 by niccolo