Ao configurar o OpenLDAP pela primeira vez, quais são algumas coisas que você deve ter em mente?

5

Estou no processo de ler documentação e configurar o OpenLDAP para lidar com autenticação em toda a minha rede, para e-mail, serviços da Web, contas de usuário, qualquer outra coisa que eu possa usar. Não vai ser nada SUPER grande, mas eu quero que ele se sinta ao vivo, já que estou fazendo isso no meu laboratório em casa.

Quais são algumas coisas boas que você deve ter em mente ou algo para se certificar de que eu sempre me lembro ao configurar o OpenLDAP? Devo ter certeza de que sempre viajo por SSL? Devo usar Kerbeos? Qualquer coisa seria apreciada para ter em mente.

    
por Chiggins 21.12.2011 / 22:15

3 respostas

6

Uma lista parcial sem uma ordem específica:

  • Use cn=config (consulte man slapd-config ).
  • Configure o Mestre-Mestre replicação em seu núcleo.
  • Sempre use algum tipo de criptografia para autenticação.
  • O LDAPS (porta 636) está obsoleto em favor do STARTTLS para LDAP.
  • SASL-GSSAPI e SASL-EXTERNAL são úteis se você não gosta muito de digitar senhas.
  • Desative o mecanismo SASL que você não suporta.
  • Não use o DN da raiz quando você não precisa.
  • Preste atenção às suas ACLs (por exemplo, os usuários não devem ter acesso de gravação a uidNumber e gidNumber ).
  • ldapseach -x -H $URI é uma pesquisa anônima. ( ldapwhoami -x -H $URI ).
  • As réplicas locais limitadas podem ser muito melhores do que nscd (acesso próprio via ldapi:/// ).
  • A sobreposição de memberof é muito útil para membros de grupos.

Provavelmente importante:
Entenda a documentação . Não é tudo que você precisa, mas certamente ajuda.

    
por 21.12.2011 / 22:45
4

Bibliotecas SSL

O pacote Debian (e, portanto, o Ubuntu) OpenLDAP compilado contra gnuTLS ao invés de OpenSSL. Isso é bom para brincar, mas o gnuTLS foi significativamente mais lento em nossa rede. Eu sempre reconstruo o pacote do Ubuntu compilado contra o OpenSSL.

Outras distros podem fazer o mesmo ou diferentes.

Kerberos

O Kerberos não parece realmente útil no meu ambiente (~ 200 estações de trabalho linux, ~ 40 macs, servidores nfs, imap, smtp, servidor web). Nenhum dos nossos aplicativos clientes comuns suportam a autenticação Kerberos (Firefox, Thunderbird). Ele seria usado apenas em um nível de host para NFS e como um módulo PAM para autenticação. Acho que o SSL pode fazer um trabalho tão bom quanto manter as senhas secretas.

Se você usa o kerberos, você deve usar o Heimdal para integração com a sobreposição do OpenLDAP smbk5pwd.

Bibliotecas do cliente

A biblioteca padrão para nss de PADL é um pouco inchada e problemática. Eu recomendo que você tente SSS ou nss-pam-ldapd. Ambos funcionam muito bem no meu ambiente.

O SSS faz muito mais do que as bibliotecas da PADL. Inclui caching, então você não precisa do nscd.

nss-pam-ldapd é uma reescrita das bibliotecas da PADL feita para ser muito mais eficiente.

Gerenciando seus dados

Sou um grande fã do phpLDAPAdmin . Isso torna muito fácil visualizar seus esquemas e modificar entradas individuais.

Outros servidores LDAP

Eles podem ser mais lentos, mas possuem recursos mais avançados.

Você pode querer experimentar o ApacheDS, já que ele tem kerberos embutidos.

    
por 21.12.2011 / 22:45
2

Esta pergunta é muito ampla para responder, e qualquer resposta seria muito dependente do seu ambiente.

Algumas coisas que eu considero são:

  • O LDAP faz sentido como o sistema de autenticação?
    • Se não, o que pode ser melhor?
  • O LDAP faz sentido como o sistema de autorização?
    (a autorização seria algo como sudoers )
    • Se não, o que pode ser melhor?
  • Que tipo de segurança faz sentido?
    • SSL? (praticamente definitivamente)
    • Kerberos? (Tudo suporta isso? Tudo vai apoiar isso no futuro?)
    • E quanto à segurança dentro do próprio LDAP (ACLs)
      • Permissões de objeto / subárvore
      • Navegável / pesquisável por ... (qualquer pessoa (anônima), usuários registrados, administradores, etc ...)
      • Como os usuários mudarão sua senha?
  • Como vamos fazer com que as estações de trabalho individuais respeitem as informações do LDAP?
    • pam_ldap / nss_ldap? (antigo e quebrado, mas funciona)
    • pam_ldapd (novo hotness: menos conexões LDAP, outros benefícios, mas alguns recursos não implementados)
  • Teremos que interagir com o Windows - EVER ?
    (Se você disser "sim" aqui, você realmente precisa usar o AD como servidor LDAP)
por 21.12.2011 / 22:51

Tags