發表文章

目前顯示的是 一月, 2017的文章

Linux操作不求人 - 肆章之拾 - 伺服器架設(IX) - 帳號目錄與網域名稱伺服器 - LDAP 與 DNS

圖片
LDAP(Lightweight Directory Access Protocol,https://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol)通常用於跨作業平台間的使用者資料認證,透過TCP/IP的協議方式,便可以維護與登錄同一份帳號密碼跟使用者登錄的資訊,每個使用者用DN(distinguished name)來區別,DN內容包含如email,地址與電話,猶如商業登錄使用的黃頁簿電子版。關於LDAP 的屬性參數,可參考http://www.zytrax.com/books/ldap/ape/ 與 https://www.ldap.com/understanding-ldap-schema。筆者幾年前在安裝 Shibboleth(https://shibboleth.net/about/) 作為全球圖書館藏SSO(Single Sign On)的登入媒介時,就需先安裝LDAP的伺服器認證登入方式。在CentOS6_x64下,便是利用OpenLDAP(http://www.openldap.org/)來達到分享目錄的方式。同樣的,我們利用 yum install -y openldap-*,來下載 OpenLDAP 套件:
























(圖4-82)

接著利用以下指令複製設定檔至 /var/lib/ldap,並變更檔案擁有者與擁有群組皆為 ldap
$ cp /usr/share/openldap-server/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
$ chown ldap:ldap /var/lib/ldap/DB_CONFIG 

接著利用以下指令,產生用來做資料加密的金鑰,再利用ssl做成用RSA加密的金鑰,接著再由此金鑰產生憑證。如圖4-83
$ /etc/pki/tls/certs
$ make ldap.key
$ openssl rsa -in ldap.key -out ldap.key
$ make ldap.csr
$ openssl x509 -in ldap.csr -out ldap.crt -req -signkey ldap.key -days 3650
/*  同樣產生十年的私鑰來使用 */

$ chmod 400 ldap.*