Безопасность и оптимизация Linux.Редакция для Red Hat

       

Конфигурация файла “/etc/ldap/slapd.conf”


Файл “/etc/openldap/slapd.conf” это основной конфигурационный файл для автономного LDAP демона. Все опции: права доступа, пароль, тип базы данных, месторасположение базы данных и прочие могут быть настроены в нем и применены к демону “slapd”. Нижеприведенный пример настраивает файл “slapd.conf” на использование базы данных LDBM.

Редактируйте файл slapd.conf (vi /etc/openldap/slapd.conf) и добавьте/измените следующую информацию:

# # Смотрите slapd.conf(5) для деталей о конфигурационных опциях. # Этот файл не должен быть доступен для чтения всем пользователям. # include /etc/openldap/slapd.at.conf include /etc/openldap/slapd.oc.conf schemacheck off #referral ldap://ldap.itd.umich.edu pidfile /var/run/slapd.pid argsfile /var/run/slapd.args ##################################################################### ## # определения базы данных ldbm ##################################################################### ## database ldbm suffix "o=openna, c=com" directory /var/ldap rootdn "cn=admin, o=openna, c=com" rootpw secret # избегайте использование пароля записанного открытым текстом, особенно # для пользователя rootdn. Смотрите slapd.conf(5) для деталей. # определение индексируемых атрибутов ldbm index cn,sn,uid index objectclass pres,eq index default none # определение прав доступа к ldbm defaultaccess read access to attr=userpassword by self write by dn="cn=admin, o=openna, c=com" write by * compare

Вы должны убедиться, что установили следующие опции в вашем файле “slapd.conf” перед запуском демона slapd:

suffix “o=openna, c=com”

Эта опция определяет DN (отличительное имя) корня поддерева, которое вы пытаетесь создать. Другими словами, это показывает какие элементы должны храниться в этой базе данных.

directory /var/ldap

Эта опция определяет каталог, где должны размещаться база данных и соответствующие индексные файлы LDAP. Мы должны установить этот параметр в “/var/ldap”, потому что мы создали этот каталог на более ранней стадии инсталляции специально для этих целей.


rootdn "cn=admin, o=openna, c=com"

Эта опция определяет DN ( отличительное имя) элемента, которому разрешено делать все, что угодно в каталоге LDAP. Имя введенное здесь может фактически не существовать в файле “/etc/passwd”.

rootpw secret

Эта опция определяет пароль, который может использоваться для аутентификации элемента "super-user" базы данных. Это пароль для опции rootdn определенной выше. Важно не использовать пароли, записанные открытым текстом, а использовать вместо них шифрованные пароли.

index cn,sn,uid | index objectclass pres,eq | index default none

Эти опции определяет индексные определения, которые вы хотите создать и управлять в определении базы данных. Параметры, которые мы определили в нашем “slapd.conf” файле, указывают поддерживать индексы для атрибутов cn, sn и uid (index cn,sn,uid), индексы наличия и эквивалентности для атрибута objectclass (index objectclass pres,eq), и не создавать индексы для всех остальных атрибутов (index default none). Смотрите руководство пользователя для большей информации.

Последние опции в файле “slapd.conf” связаны с контролем доступа к каталогу LDAP.

defaultaccess read access to attr=userpassword by self write by dn="cn=admin, o=openna, c=com" write by * compare

Этот пример применяется для элементов в поддереве "o=openna, c=com". Доступ на чтение разрешается всем, и сам элемент может записывать все свои атрибуты, исключая userpassword. Атрибут userpassword может быть записан только определенным элементом (admin), и сопоставим всеми. Смотрите ваше руководство пользователя для получения большей информации.


Содержание раздела