Ao configurar o OpenLDAP pela primeira vez, quais são algumas coisas que você deve ter em mente?

Uma lista parcial sem uma ordem específica:

• Use cn=config (consulte man slapd-config ).
• Configure o Mestre-Mestre replicação em seu núcleo.
• Sempre use algum tipo de criptografia para autenticação.
• O LDAPS (porta 636) está obsoleto em favor do STARTTLS para LDAP.
• SASL-GSSAPI e SASL-EXTERNAL são úteis se você não gosta muito de digitar senhas.
• Desative o mecanismo SASL que você não suporta.
• Não use o DN da raiz quando você não precisa.
• Preste atenção às suas ACLs (por exemplo, os usuários não devem ter acesso de gravação a uidNumber e gidNumber ).
• ldapseach -x -H $URI é uma pesquisa anônima. ( ldapwhoami -x -H $URI ).
• As réplicas locais limitadas podem ser muito melhores do que nscd (acesso próprio via ldapi:/// ).
• A sobreposição de memberof é muito útil para membros de grupos.

Provavelmente importante:
Entenda a documentação . Não é tudo que você precisa, mas certamente ajuda.

Bibliotecas SSL

O pacote Debian (e, portanto, o Ubuntu) OpenLDAP compilado contra gnuTLS ao invés de OpenSSL. Isso é bom para brincar, mas o gnuTLS foi significativamente mais lento em nossa rede. Eu sempre reconstruo o pacote do Ubuntu compilado contra o OpenSSL.

Outras distros podem fazer o mesmo ou diferentes.

Kerberos

O Kerberos não parece realmente útil no meu ambiente (~ 200 estações de trabalho linux, ~ 40 macs, servidores nfs, imap, smtp, servidor web). Nenhum dos nossos aplicativos clientes comuns suportam a autenticação Kerberos (Firefox, Thunderbird). Ele seria usado apenas em um nível de host para NFS e como um módulo PAM para autenticação. Acho que o SSL pode fazer um trabalho tão bom quanto manter as senhas secretas.

Se você usa o kerberos, você deve usar o Heimdal para integração com a sobreposição do OpenLDAP smbk5pwd.

Bibliotecas do cliente

A biblioteca padrão para nss de PADL é um pouco inchada e problemática. Eu recomendo que você tente SSS ou nss-pam-ldapd. Ambos funcionam muito bem no meu ambiente.

O SSS faz muito mais do que as bibliotecas da PADL. Inclui caching, então você não precisa do nscd.

nss-pam-ldapd é uma reescrita das bibliotecas da PADL feita para ser muito mais eficiente.

Gerenciando seus dados

Sou um grande fã do phpLDAPAdmin . Isso torna muito fácil visualizar seus esquemas e modificar entradas individuais.

Outros servidores LDAP

Eles podem ser mais lentos, mas possuem recursos mais avançados.

Você pode querer experimentar o ApacheDS, já que ele tem kerberos embutidos.

Esta pergunta é muito ampla para responder, e qualquer resposta seria muito dependente do seu ambiente.

Algumas coisas que eu considero são:

• O LDAP faz sentido como o sistema de autenticação?
  • Se não, o que pode ser melhor?
• O LDAP faz sentido como o sistema de autorização?
  (a autorização seria algo como sudoers )
  • Se não, o que pode ser melhor?
• Que tipo de segurança faz sentido?
  • SSL? (praticamente definitivamente)
  • Kerberos? (Tudo suporta isso? Tudo vai apoiar isso no futuro?)
  • E quanto à segurança dentro do próprio LDAP (ACLs)
    • Permissões de objeto / subárvore
    • Navegável / pesquisável por ... (qualquer pessoa (anônima), usuários registrados, administradores, etc ...)
    • Como os usuários mudarão sua senha?
• Como vamos fazer com que as estações de trabalho individuais respeitem as informações do LDAP?
  • pam_ldap / nss_ldap? (antigo e quebrado, mas funciona)
  • pam_ldapd (novo hotness: menos conexões LDAP, outros benefícios, mas alguns recursos não implementados)
• Teremos que interagir com o Windows - EVER ?
  (Se você disser "sim" aqui, você realmente precisa usar o AD como servidor LDAP)