i denne forelæsning, vi skal fælde ldap server med, 389 adresseregister server.de 389 adresseregister server er en virksomhed klasse åben kilde ldap server udviklet af redhat fællesskab.,, funktioner, og– multi - mester replikation, til at give fejltolerance og høje skrive resultater. og– skalerbarhed. tusindvis af transaktioner pr. sekund, titusindvis af samtidige brugere, millioner af angivelser hundredvis af gigabytes data. og– active directory bruger og gruppe synkronisering., og– sikre autentificering og transport (sslv3, tlsv1, og sasl). – støtte til ldapv3., og– på linje, nul nedetid ldap baseret ajourføring af skema, konfiguration -, forvaltnings - og i træ adgang til oplysninger (acis). – grafisk konsol til alle aspekter af brugeren, gruppe og - ledelse. for ded forklaring hovedtræk henvises her.,, forudsætninger, og– ldap server bør indeholde de gyldige fqdn.tilføje ldap server detaljer til din dns - server., og– tilpasse firewall, således at ldap havne, og– for epel og gør en databank for at undgå afhængighed problemer. følger nedenfor forbindelser at tilføje epel og hkm register.,, og– installere epel register i centos /rhel videnskabelig linx 6. x,,, og– installere remi register i centos /rhel /videnskabelige linux 6. x, i denne "sådan" - min ldap server nærmere oplysninger er angivet nedenfor, operativsystem: centos 6,5 - vært navn: server.unixmen.local ip - adresse: 192.168.1.101 /24., der er fuldt ud kvalificeret område - i /etc /værter, fil., redigere fil /etc /værter /,,,vi /etc /værter, tilføje hostname som vist nedenfor., [...] 192.168.1.101 server. unixmen. lokale server, -nsæ de værdier, som din krav.denne lektion vil gældende for alle rhel /centos /sl 6. x serie.,, firewall konfiguration, tilføje følgende ldap havne til din iptables.To do that, edit file ,&"/etc/sysconfig/iptables&",,,# vi /etc/sysconfig/iptables,Add the following lines.,[...] -A INPUT -m state --state NEW -m tcp -p tcp --dport 389 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 636 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 9830 -j ACCEPT [...],Restart firewall.,# service iptables restart,,Performance and Security tuning for LDAP server,,Before installing LDAP server, we have to adjust some files for performance and security.,Edit file ,&"/etc/sysctl.conf&",,,# vi /etc/sysctl.conf,Add the following lines at the end.,[...] net.ipv4.tcp_keepalive_time = 300 net.ipv4.ip_local_port_range = 1024 65000 fs.file-max = 64000,Edit file ,&"/etc/sesikkerheds - /grænser. conf &",,,vi /etc /sikkerhed /grænser. conf, tilføje følgende linjer på bunden., [...] * bløde nofile 8192 * hårdt nofile 8192, redigere fil, og“ /etc /profil og;&",,,vi /etc /profil, tilføje linje sidst., [...] ulimit - n 8192, redigere fil, og&" /etc /pam. d /login &",,,vi /etc /pam. d /login tilføje linje sidst., [...] samling , der kræves /l /sikkerhed /pam_limits. så nu genoptage server.,, installere 389 adresseregister server, skabe en ldap brugerkonto.,useradd ldapadminpasswd ldapadmin, installere 389 adresseregister server med kommando:,yum installere - 389 ds openldap kunder, konfigurere ldap server, nu det ’ tid at konfigurere ldap server.det ’ er temmelig lang proces.løb efter ordre til at konfigurere 389 adresseregister server.,fælde ds admin. pl, vil du blive stillet et par spørgsmål.læs instruktionerne omhyggeligt og besvare dem i overensstemmelse hermed. hvis du lavede en fejl, og som ønsker at vende tilbage til tidligere skærm presse, ctrl + b og indrejse.at annullere den fælde presse, ctrl + c,., ============================================================================== dette program vil nedsætte den 389 fortegnelse, administration og servere.det anbefales, at du "rod" privilegium at oprette software.tips for at bruge dette program: - tryk "enter" at vælge den misligholdelse, og gå til næste skærm - type "control-b" og "enter" for at gå tilbage til den tidligere skærm - type "control-c" til at annullere den fælde program vil de gerne fortsætte med nedsat?[det]:# tryk enter# ============================================================================== dit system er blevet scannet for potentielle problemer, mangler plastre osv. følgende output er en betænkning af de punkter, der skal løses, før der har fundet, at denne software i en produktion miljø.389 adresseregister server system tuning analyse version 23-february-2012.meddelelse: ordningen er i686-unknown-linux2.6.32-431.el6.i686 (1 processor).advarsel: 622mb fysisk hukommelse er tilgængelige på systemet.1024mb anbefales for de bedste resultater på store produktionssystem.advarsel : advarsler ovenfor, bør tages op til revision inden procedure.har du lyst til at fortsætte?[ikke]: ja# type - og tryk enter# ============================================================================== vælge en fælde type: 1.har du mulighed for at udtrykke hurtigt oprette de servere, der anvender de mest fælles muligheder og på forhånd definerede misligholder sine forpligtelser.nyttig for hurtigt evaluering af produkter. 2.typisk giver dig mulighed for at fastlægge fælles misligholdelser og muligheder. 3.skik giver dig mulighed for at fastlægge mere avancerede løsninger.det er anbefalede for erfarne server administratorer.at acceptere den misligholdelse, angivet i parentes, tryk på enter.vælg en fælde type [2]:# tryk enter# ============================================================================== træder fuldt kvalificerede domænenavn på den computer, som du opretter server - software.ved anvendelse af den formular, < hostname >. < domainname > f.eks.: eros.example.com.at acceptere den misligholdelse, angivet i parentes, tryk på enter.advarsel: det kan tage et par minutter, hvis deres dns - servere, ikke kan opnås eller hvis dns er ikke konfigureret korrekt. , hvis du hellere vil ikke vente, slå ctrl-c og køre programmet igen med følgende kommandolinjen mulighed for at præcisere de hostname: general. fullmachinename = your.hostname.domain.name edb - navnet [server. unixmen. lokale]:# tryk enter# ============================================================================== han servere må løbe som en bestemt bruger i en bestemt gruppe.det anbefales kraftigt, at denne bruger ikke har beføjelser på computer (dvs. en ikke - grundlæggende bruger). den fælde procedure vil give brugeren /gruppe nogle tilladelser på bestemte veje /filer til at udføre server specifikke aktiviteter.hvis du endnu ikke har skabt en bruger og gruppen for servere, skaber denne bruger og gruppe bruger deres indfødte operativsystem værker.systemet bruger [ikke]: ldapadmin# træde ldap bruger navn skabt oversystem - koncernen [ikke]: ldapadmin ============================================================================== server oplysninger lagres i konfigurationen adresseregister server.disse oplysninger anvendes af panelet og administration til at organisere og forvalte deres servere server. , hvis du allerede har oprettet en konfiguration adresseregister server, du bør registrere alle servere du oprette eller skabe med den konfiguration, server. til, følgende oplysninger om konfigurationen server, der er fuldt ud kvalificeret vært navn: i den form < hostname >. < domainname > (f.eks. hostname. f.eks. kom) havn - nummer (default 389), suffikset, dn og kodeord for en bruger, der har tilladelse til at skrive den konfiguration, oplysninger, der sædvanligvis konfiguration adresseregister administrator, og hvis du bruger sikkerhed (tls /ssl). , hvis du bruger tls /ssl, angiv tls /ssl (ldaps) havn - nummer (default636) i stedet for de regelmæssige ldap havn, og yde ca - certifikat (i //ascii - format).hvis du endnu ikke har en konfiguration adresseregister server, anføres "nej" til at blive tilskyndet til at oprette en.har du lyst til at registrere denne software med en eksisterende konfiguration adresseregister server?[ikke]:# tryk enter# ============================================================================== indtast administrator id for konfigurationen adresseregister server. er dette id, der typisk anvendes til at logge ind på konsollen. du også vil blive tilskyndet til kodeordet.konfiguration adresseregister server administrator id (admin]:# tryk enter# kodeord:# skabe kodeord# password (bekræfter):# ny type kodeord# ============================================================================== de oplysninger, der er lagret i konfigurationen adresseregister serveren kan opdeles i forskellige administrative områder. , hvis du klarer flere software - udslip på samme tid og forvaltning af oplysninger om flere områder, kan du bruge den administrative område at holde dem adskilt.hvis du ikke bruger administrative områder, tryk på enter til at udvælge misligholdelse. ellers komme nogle beskrivende entydigt navn for administration område, f.eks. navnet på den organisation, der er ansvarlig for forvaltningen af området.administration område [unixmen. lokale]:# tryk enter# ============================================================================== standard adresseregister server netværksport nummer er 389. dog, hvis de ikke er registreret som superuser eller havn 389 er i brug, en standardværdi vil være en tilfældig uudnyttede havn tal større end 1024.hvis du ønsker at bruge havn, 389, sørg for, at du er registreret som superuser, havnen, 389, er ikke i brug.fortegnelse over server netværksport [389]:# tryk enter# ============================================================================== hver enkelt instans af et register - kræver en entydig identifikator.denne identifikator anvendes til de forskellige specifikke sager, f.eks. navn og fortegnelser i filen - system, samt til andre formål som en server instans - id.- identifikationskode [computer]: fortegnelse over# tryk enter# ============================================================================== suffikset er kernen i din telefonbog træ. suffikset skal være en gyldig dn.det anbefales, at du bruger dc = domaincomponent suffiks konvention.for eksempel, hvis dit domæne er example.com, bør de anvende dc = eksempel, dc = kom til din suffix.her vil skabe det første suffiks for dig, men du kan have mere end et suffiks.use registret server værker at skabe yderligere suffikser.suffiks [dc = unixmen, dc = lokal]:# tryk enter# ============================================================================= visse adresseregister server aktiviteter, kræve en administrativ bruger.denne bruger, der kaldes registerføreren og har typisk binder fornemt navn (dn) i kn - = registerføreren.du vil også blive tilskyndet til kodeordet for brugeren. kodeordet skal være mindst 8 tegn, og indeholder ingen steder.tryk control-b eller type "tilbage", så træde tilbage og begynde forfra.registerføreren dn [kn - = registerføreren]:# tryk enter# kodeord:# træde kodeordet# password (bekræfter): ============================================================================== administration server er adskilt fra nogen af dine spind eller anvendelsen servere, da den lytter til en anden havn og adgangen hertil er begrænset.vælg et nummer mellem havn og til at styre deres administration 65535 1024 server.du bør ikke bruge en havn nummer, som du planlægger at køre en web - eller applikationsserver, snarere, at vælge et nummer, som de vil huske, og som ikke anvendes til noget andet.administration havn [9830]:# tryk enter# ============================================================================== interaktiv fase er afsluttet. manuskriptet nu vil oprette deres servere. ind eller gå tilbage, hvis du ønsker at ændre noget.er du klar til at nedsætte deres servere?[det]:# tryk enter# skabe adresseregister server....din nye ds instans - serveren blev med succes har skabt.at skabe konfiguration adresseregister server....ved administration server skabelse....at skabe admin - filer og fortegnelser....ajourføring af adm.conf....ajourføring af admpw....registrering af admin server med konfigurationen adresseregister server....ajourføring af adm.conf med oplysninger fra konfiguration adresseregister server....ajourføring af konfiguration for httpd motor....ved administration - server....produktion: for det første dirsrv administration: produktion: [ okay ] admin - serveren blev med held begyndt.admin - server med held blev skabt, konfigureres og begyndte.spændende....log filen er /tmp /setupo1aldy. log, gøre ldap server dæmon begynder automatisk på hver genstart.,chkconfig dirsrv påchkconfig dirsrv admin, test ldap server, lad os prøve vores ldap - server for eventuelle fejl ved hjælp af følgende kommando.ldapsearch - x - b "d = unixmen, dc = lokale" stikprøve output:,udvidet ldif# ldapv3base < d = unixmen, dc = lokale > mulighed subtreefilter: (objectclass = *)anmodende: alle# unixmen.local dn: dc = unixmen, dc = lokale objectclass: top objectclass: domain dc: unixmenadresseregister administratorer, unixmen.local dn: cn = fortegnelse administratorer, dc = unixmen, dc = lokale objectclass: top objectclass: groupofuniquenames kn: directory administratorer uniquemember: cn = registerførerengafmagt, unixmen.local dn: ou = grupper, dc = unixmen, dc = lokale objectclass: top objectclass: organizationalunit ou: grupperfolk, unixmen.local dn: ou = folk, dc = unixmen, dc = lokale objectclass: top objectclass: organizationalunit ou: folksærlige brugere, unixmen.local dn: ou = særlige brugere, dc = unixmen, dc = lokale objectclass: top objectclass: organizationalunit ou: særlige brugere beskrivelse: særlige administrative kontiregnskabsmæssige ledere, grupper, unixmen.local dn: cn = regnskabsmæssige ledere, ou = grupper, dc = unixmen, dc = lokale objectclass: top objectclass: groupofuniquenames kn - regnskabsføring ledere ou: grupper beskrivelse: folk, der kan forvalte posteringer, uniquemember: cn = registerførerenhøjtstående ledere, grupper, unixmen.local dn: kn - = hr ledere, ou = grupper, dc = unixmen, dc = lokale objectclass: top objectclass: groupofuniquenames kn -: den højtstående repræsentant ledere ou: grupper beskrivelse: folk, der kan klare den højtstående repræsentant angivelser uniquemember: cn = registerførerenqa ledere, grupper, unixmen.local dn: cn = qa ledere, ou = grupper, d = unixmen, dc = lokale objectclass: top objectclass: groupofuniquenames kn: qa ledere ou: grupper beskrivelse: folk, der kan styre qa angivelser uniquemember: cn = registerførerenpd ledere, grupper, unixmen.local dn: kn - = pd ledere, ou = grupper, dc = unixmen, dc = lokale objectclass: top objectclass: groupofuniquenames kn: pd ledere ou: grupper beskrivelse: folk, der kan styre ingeniør angivelser uniquemember: cn = registerførerensøgning resultat -: 2 resultat: 0 succesnumresponses: 10numentries: 9, produktionen vil se noget som ovenfor.hvis du har, således som, 2, angivet i over produktion, du og’ færdig.nu er vores ldap server er klar til brug.,, forvalte 389 d med admin server konsol, bedes være opmærksom på, at hvis du vil styre din 389 ds - serveren grafisk, din server skulle have installeret en gui miljø.hvis du har en minimal anlæg, kan du og’ t adgang til admin - konsollen. som jeg har minimal server, jeg vil installere xfce desktop - pc 'er på min server,yum groupinstall xfce, genstarte din server.genstart, logge ind på serveren. nu kan du få adgang til 389 ds admin - konsollen enten lokalt eller på afstand, adgang til 389 d' administration til lokalt, type, 389 konsol,., adgang til 389 d 'administration trøste din fjernstyring, anføres følgende kommando i terminalen. $ssh - x [email protected] /bar /bin /389 trøste - http: //192.168.1.101:9830, nu du og’ vil blive bedt om at indtaste din ldap server administrative log i detaljer.i mit tilfælde min ldap admin hedder, administration og kodeord er centos,.,, det er hvor mit admin - konsollen ser.,, her kan du skabe, slette eller ændre ldap organisatoriske enheder, grupper og brugere grafisk., 389 ds admin server konsol har to grupper, og– administration - serveren, og– adresseregister server, du kan bruge en af serveren.,, 1.administration server, adgang til administration - grænseflade, klik på din ldap domænenavn, til at udvide.gå til server - gruppen, og–, administration - og klik, åben, på højre side.forelægge følgende skærmbillede.,, konfiguration regning: i konfigurationen regning, du ændrer /indtaste deres admin - ip - adresse, default havn, ldap admin kodeord, default bruger fortegnelse.også du kan definere, hvilke host names tillader, og som ip - adresser, at give adgang til deres ldap server.,, opgaver regning: i de opgaver, afsnit, du kan stoppe /genstarte /konfigurere din server.,,, 2.fortegnelse over server, adgang til registret - grænseflade, klik på din ldap domænenavn, til at udvide.gå til server - gruppen, og–, statistik - og klik, åben, på højre side.forelægge følgende skærmbillede.,, fortegnelse server afsnit, kan du gøre alle nødvendige konfiguration for din ldap server.du kan ændre /ændre misligholdelse havn, skabe brugere, grupper, organisatoriske enheder osv.), er der mange muligheder, der findes i registret - afdeling.gå gennem hvert afsnit og konfigurere som din krav.,, skabe organisation enheder, grupper og brugere, skabe organisationsmæssige enhed:,, gå til dit, statistik, server, fra de vigtigste konsol.i de lande, regning, højre klik på din domain name (eks. unixmen).vælg, nye - > organisation enhed.Refer the following screen.,,Enter your OU name (ex. ,Support Division,) and click Ok.,,The new OU (ex. ,Support Division,) will be created under Unixmen domain.,,Create a Group:,,Now navigate to ,Support Division OU, and create a new group (ex. ,support_group,).,,Enter group name and click Ok.,,The new group will be created under Unixmen/Support Division.,,Create User:,,Right click on the ,Support_group,, and click ,New -> User,.,,Enter the user details such as first name, last name, userid, mail id etc., and click Ok.,,Verify Organizational Unit, Group, User with following command on our server.,# ldapsearch -x -b "dc=unixmen,dc=local",Sample output:,# extended LDIF LDAPv3 base <dc=unixmen,dc=local> with scope subtree filter: (objectclass = *)anmodende: alle# unixmen.local dn: dc = unixmen, dc = lokale objectclass: top objectclass: domain dc: unixmenadresseregister administratorer, unixmen.local dn: cn = fortegnelse administratorer, dc = unixmen, dc = lokale objectclass: top objectclass: groupofuniquenames kn: directory administratorer uniquemember: kn - = registerførerengrupper, unixmen.local dn: ou = grupper, dc = unixmen, dc = lokale objectclass: top objectclass: organizationalunit ou: grupperfolk, unixmen.local dn: ou = folk, dc = unixmen, dc = lokale objectclass: top objectclass: organizationalunit ou: folksærlige brugere, unixmen.local dn: ou. = særlige brugere, dc = unixmen, dc = lokale objectclass: top objectclass: organizationalunit ou: særlige brugere desbeskrivelse: særlige administrative kontiregnskabsmæssige ledere, grupper, unixmen.local dn: cn = regnskabsmæssige ledere, ou = grupper, dc = unixmen, dc = lokale objectclass: top objectclass: groupofuniquenames kn - regnskabsføring ledere ou: grupper beskrivelse: folk, der kan håndtere posteringer, uniquemember: cn = registerførerenhøjtstående ledere, grupper, unixmen.local dn: kn - = hr ledere, ou = grupper, dc = unixmen, dc = lokale objectclass: top objectclass: groupofuniquenames kn -: den højtstående repræsentant ledere ou: grupper beskrivelse: folk, der kan klare den højtstående repræsentant angivelser uniquemember: cn = registerførerenqa ledere, grupper, unixmen.local dn: cn = qa ledere, ou = grupper, dc = unixmen, dc = lokale objectclass: top objectclass: groupofuniquenames kn: qa ledere ou: grupper description: folk, der kan håndtere qa angivelser uniquemember: cn = registerførerenpd ledere, grupper, unixmen.local dn: kn - = pd ledere, ou = grupper, dc = unixmen, dc = lokale objectclass: top objectclass: groupofuniquenames kn: pd ledere ou: grupper beskrivelse: folk, der kan styre ingeniør angivelser uniquemember: cn = registerføreren,støtte division, unixmen.local, dn: ou = støtte division, dc = unixmen, dc = lokale ou: støtte division objectclass: top objectclass: organizationalunit,support_group, støtte division, unixmen.local, dn: kn - = support_group, ou = støtte division, dc = unixmen, dc = lokale objectclass: top objectclass - groupofuniquenames kn: support_group,skumar, support_group, støtte division, unixmen.local, dn: nævnte = skumar- = support_group, ou = støtte division, dc = unixmen, dc = lokal - post: [email protected] nævnte: skumar givenname: senthil objectclass: top objectclass: den person, objectclass: organizationalperson objectclass: inetorgperson sn: kumar kn: senthil kumarsøgning resultat søgning: 2 resultat: 0 succesnumresponses: 13numentries: 12. som du kan se i ovennævnte output, en ny, du ringede, støtte division, en ny gruppe, support_vision, en ny bruger ringede, skumar, er blevet oprettet.jeg har kun omfattede anlæg og grundlæggende konfiguration.der er meget at lære om 389 d 'er.der henviser i den forbindelse på bunden at vide mere om 389 d. i min personlige erfaring, 389 d 'er er meget lettere end openldap i form af anlæg og konfiguration.lad os se, hvordan at konfigurere klient systemer til at autentificere ved hjælp af ldap server i vores næste artikel., du måske ønsker at fælde ldap server i centos 7.tjek vores artikel i, installere og konfigurere ldap server i centos 7, hav en god dag!,, kilde & reference:http://directory.fedoraproject.org/wiki/main_page,