时间: 2021-07-31 作者:daque
一、运用考察遏制(access control),实行用户认证 对于它,在openldap 2.1 administrator's guide里有精细证明。这边尽管运用。 窜改openldap的摆设文献,减少遏制块
quote:
# vi /usr/local/etc/openldap/slapd.conf access to attr=userpassword by anonymous auth by self write by * none access to * by self write by users read
此遏制块用来遏止隐姓埋名查问,而认证用户不妨窜改本人的一切属性,承诺查问它人的消息条件,但除去userpassword属性。基础上上头的每一条龙都是必需的,过程重复简略回复,毕竟对考察遏制块的看法有了质的奔腾。更加是对于“by anonymous auth”的领会,没有了它,须要认证的用户不许实行认证,由于它查问不到暗号呀!以是“auth”在这边的效率即是承诺隐姓埋名用户不妨读到暗号,但只能用来考证,而不许用来其它的用处,这就保护了暗号属性的安定。 重启ldap效劳
quote:
# /usr/local/etc/rc.d/slapd.sh restart
查问尝试 1、即使还运用ldap browser 2.6的话,这次就不妨运用其它的用户bind了,如运用用户: uid=abc,ou=people,dc=example,dc=com 它的暗号是:abcabc(见前方的例子) 2、在吩咐行实行 # ldapsearch -x -b 'dc=example,dc=com' 'objectclass=*' 隐姓埋名查问截止:(明显没有任何条件)
quote:
# extended ldif # # ldapv3 # base with scope sub # filter: objectclass=* # requesting: all # # search result search: 2 result: 0 success # numresponses: 1 # ldapsearch -x -b 'dc=example,dc=com' -d 'uid=abc,ou=people,dc=example,dc=com' -w abcabc 'uid=a*'
经过指定用户查问的截止:
quote:
# extended ldif # # ldapv3 # base with scope sub # filter: uid=a* # requesting: all # # abc, people, example.com dn: uid=abc,ou=people,dc=example,dc=com objectclass: person objectclass: organizationalperson objectclass: inetorgperson uid: abc sn: zhangs cn: zs userpassword:: ywjjywjj # aaa, people, example.com dn: uid=aaa,ou=people,dc=example,dc=com objectclass: person objectclass: organizationalperson objectclass: inetorgperson uid: aaa sn: aaaa cn:: ywfkqsa= # search result search: 2 result: 0 success # numresponses: 3 # numentries: 2
即使过滤前提仍旧用'objectclass=*'的话,爆发的条件数很多,以是这边就必为了'uid=a*'。从截止中咱们不妨看到“uid=abc,ou=people,dc=example,dc=com”的userpassword属性表露了出来,而另一个用户则没有表露。上头实行的吩咐中赤色局部辨别是查问时运用的用户名和暗号,个中暗号即是条件“uid=abc,ou=people,dc=example,dc=com”中所寄存的userpassword的值。 二、运用ssl/tls 经过认证受权(certificate authority)重心刊行的文凭签发文凭或自签发文凭,这边用的是自签发文凭。