国产精品亚洲精品久久精品,亚洲国产精品专区,久久综合亚洲色hezyo

LDAP+OpenSSL集中認證配置

基本概念
LDAP是以樹方式組織的數據庫。每個節點可以有什么值是通過類來定義。
LINUX或者其它應用的認證就是來BIND LDAP樹上的節點，如果能夠BIND，就算認證成功。
要改變LINUX認證方式，需要讓名字服務NSCD能夠到LDAP查找用戶，這需要nss_ldap.so。
得到用戶后，再到LDAP去認證，這需要pam_ldap.so實現。

公私鑰：公鑰可以唯一解密私鑰加密過的數據，反之亦然。
SSL過程：需要兩對公私鑰(P1,V1),(P2,V2)，假設通信雙方是A和B，B是服務器，A要確認和它通信的是B：
A->B: hello
B->A: 用V2加密過的P1（即用戶證書，A就用P2解密出P1）
A->B: ok
B->A: 用V1加密的一段信息
A->B: 用P1加密一個自動生成的K（用之前的P1解密成功這段信息則認為B是可信的了）
B->A: 用K加密的數據（之后兩對密鑰功能結束，由K來加解密數據）
這里，P2就是第3方的CA證書，由于非對稱加密很慢，所以公私鑰只是用來保證K的傳送安全，之后通信是用K的對稱加密算法來保證。

需要安裝的組件
Berkeley DB 4.2.52 or later - http://www.sleepycat.com/（僅服務端）
NSS_LDAP 2.2.X or PAM_LDAP 1.6.X or later – http://www.padl.com/（僅客戶端）
OpenSSL 0.9.7e or later – http://www.openssl.org/

OpenLDAP 2.3.XX or later - http://www.openldap.org/（僅服務端）

OpenSSH: http://www.openssh.org/

#?cd?/var/tmp

#?tar?xvf?openssh- 3 .X.XpX.tar

#?cd?openssh- 3 .X.XpX

#?./configure?--prefix = /usr?--with-pam?--sysconfdir = /etc/ssh?--with-ssl-dir = /usr

需要修改的文件
服務器端：
/etc/openldap/slapd.conf

include???/etc/openldap/schema/core.schema

include???/etc/openldap/schema/cosine.schema

include???/etc/openldap/schema/inetorgperson.schema

include???/etc/openldap/schema/nis.schema

loglevel?- 1

access?to?attrs = shadowLastChange , userPassword

??????by?self?write

??????by?*?auth

access?to?*

??????by?*?read

TLSCipherSuite??HIGH:MEDIUM:+SSLv2

TLSCACertificateFile?/etc/openldap/cacert.pem

TLSCertificateFile?/etc/openldap/slapd-cert-ldap1.pem

TLSCertificateKeyFile?/etc/openldap/slapd-key-ldap1.pem

TLSVerifyClient?never?

database????bdb

suffix???????? " dc=example,dc=com "

rootdn???????? " cn=Manager,dc=example,dc=com "

rootpw????????secret

directory???????????????/var/lib/ldap

index????objectClass????eq

客戶端：
/etc/ldap.conf

host?ldap1.example.com

base?dc = example , dc = com

ssl?start_tls

tls_cacertfile?/tmp/cacert.pem

??????/etc/pam.d/system-auth

/etc/sysconfig/authconfig

USEDB = no

USEHESIOD = no

USELDAP = yes

USENIS = no

USEKERBEROS = no

USELDAPAUTH = yes

USEMD5 = yes

USESHADOW = yes

USESMBAUTH = no

/etc/nsswitch.conf

/etc/hosts

127.0.0.1 ???????MD_Mother_HDA?localhost

10.56.28.33 ?????ldap1.example.com

/etc/ssh/sshd_config

PasswordAuthentication?yes

ChallengeResponseAuthentication?yes

UsePAM?yes

Subsystem???????sftp????/usr/libexec/sftp-server

需要重啟的服務
service nscd restart???????
service sshd restart

另外，這個文件是LDAP命令使用的，不是系統認證所需：
/etc/openldap/ldap.conf

開始的時候可以不要SSL認證，只需要注釋掉ldap.conf中start_tls一句即可。另外，SSL要求驗證服務器，所以一定要在/etc/hosts文件里加入服務器完整名字，并與SSL證書中一致。

posted on 2006-11-28 15:56 我愛佳娃閱讀(7382) 評論(5) 編輯收藏所屬分類: 服務配置

常用鏈接

留言簿(19)

隨筆分類(134)

隨筆檔案(123)

我的博客

最新隨筆

搜索

積分與排名

最新評論

閱讀排行榜

評論排行榜


只有注冊用戶登錄后才能發表評論。




網站導航: 博客園 IT新聞 Chat2DB C++博客博問管理
相關文章: CAS多點登陸之“非主流”配置方式 4.8以上SSHD配置特定用戶只能在特定目錄SFTP,不能進行其它命令操作 DEBIAN下SSH亂碼解決用YUM安裝LAMP SAMBA配置后ROOT沒有寫權限 (轉) 設置LINUX共享庫so的方法動物機又添新功能：在公司用HTTPTUNNEL通過家里ADSL服務器上網 clearcase循環遞歸加入目錄文件最近在用JPA+SPRING+HIBERNATE及MAVEN2中遇到的問題和解決方法做個筆記自己DIY了一個低功耗基于ADSL的JAVA J2EE服務器