Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:sa:sldap [2011/10/28 17:01] – [Inizializzazione o restore di un database] niccolo
+++ doc:appunti:linux:sa:sldap [2014/12/25 16:24] – [Configurazione TLS] niccolo
@@ Line 46: / Line 46: @@
 Notare che **non è in genere possibile usare ''ldapadd''** per aggiungere oggetti in un database vuoto, ad esempio perché le informazioni per onorare le ACL (es. le password) devono risiedere nel database stesso.
+In modo analogo con ''ldapadd'' non è possibile effettuare il restore di alcuni attributi, in quanto lo schema li dichiara non modificabili dall'utente. Questi alcuni esempi: **''structuralObjectClass''**, **''entryUUID''**, **''creatorsName''**. Quindi in generale il restore va effettuato con **''slapadd''** che interviene direttamente sul database senza passare per il protocollo LDAP.
 ===== Creazione di un indice =====
@@ Line 153: / Line 155: @@
 Per utilizzare i protocolli cifrati **ldaps** (su porta 636 TCP) oppure **ldap con ''StartTLS''** (su porta 389 TCP) bisogna anzitutto creare un certificato auto-firmato, utilizziamo per questo ''openssl''.
-Creare un file di configurazione, ad esempio **''/etc/ldap/tls/ldap.my.rigacci.org.cnf''**:
+Creare un file di configurazione, ad esempio **''/etc/ldap/ssl/ldap.rigacci.org.cnf''**:
 <file>
@@ Line 160: / Line 162: @@
 # following command:
 #
-# openssl req -config /etc/ldap/tls/ldap.my.rigacci.org.cnf \
+# openssl req -config /etc/ldap/ssl/ldap.my.rigacci.org.cnf \
 #     -new -x509 -days 1461 -nodes \
-#     -keyout /etc/ldap/tls/ldap.my.rigacci.org.pem \
+#     -keyout /etc/ldap/ssl/ldap.my.rigacci.org.pem \
-#     -out /etc/ldap/tls/ldap.my.rigacci.org.pem
+#     -out /etc/ldap/ssl/ldap.my.rigacci.org.pem
 #
 # The resulting file (unencrypted otherwise Slapd can't start
@@ Line 174: / Line 176: @@
 distinguished_name              = ldap.rigacci.org_distinguished_name
-[ ldap.my.rigacci.org_distinguished_name ]
+[ ldap.rigacci.org_distinguished_name ]
 countryName                     = IT
 stateOrProvinceName             = Italy
@@ Line 180: / Line 182: @@
 organizationName                = Rigacci.Org
 organizationalUnitName          = Information and Communications Technology
-commonName                      = ldap.my.rigacci.org
+commonName                      = ldap.rigacci.org
 emailAddress                    = webmaster@rigacci.org
 </file>
@@ Line 189: / Line 191: @@
 <file>
-olcTLSCertificateFile: /etc/ldap/tls/ldap.my.rigacci.org.pem
+olcTLSCertificateFile: /etc/ldap/ssl/ldap.rigacci.org.pem
-olcTLSCertificateKeyFile: /etc/ldap/tls/ldap.my.rigacci.org.pem
+olcTLSCertificateKeyFile: /etc/ldap/ssl/ldap.rigacci.org.pem
 </file>
@@ Line 224: / Line 226: @@
 Catturando i pacchetti con **''tcpdump''** sull'interfaccia ''lo'' si verifica che la trasmissione dati sia cifrata.
+===== Cambio password =====
+Per modificare la password di un record LDAP esiste l'**RFC 3062** e l'apposito tool **''ldappasswd''**. Con l'opzione **''%%-D%%''** si specifica le credenziali per il collegamento, con **''%%-S%%''** si attiva la modalità interattiva, l'utente a cui cambiare la password è indicato come ultimo parametro:
+<code>
+ldappasswd -x -D "cn=admin,dc=rigacci,dc=org" -W -h host.rigacci.org -S "cn=user,dc=rigacci,dc=org"
+</code>