Пред. раздел
|
След. раздел
Домашняя
|
Каталог
Руководство администратора OpenLDAP 2.4
The OpenLDAP Project <
http://www.openldap.org/
>
11 августа 2020 года
Содержание
Предисловие
1. Введение в службы каталогов OpenLDAP
1.1. Что такое служба каталогов?
1.2. Что такое LDAP?
1.3. Для чего можно использовать LDAP?
1.4. Для чего LDAP лучше не использовать?
1.5. Как работает LDAP?
1.6. Как насчёт X.500?
1.7. В чём отличие между LDAPv2 и LDAPv3?
1.8. Непростые взаимоотношения LDAP и реляционных СУБД
1.9. Что такое slapd и на что он способен?
2. Руководство по быстрому развёртыванию и началу работы
3. Общая картина — варианты конфигурации
3.1. Локальная служба каталогов
3.2. Локальная служба каталогов с отсылками
3.3. Реплицируемая служба каталогов
3.4. Распределённая локальная служба каталогов
4. Сборка и установка программного обеспечения OpenLDAP
4.1. Получение и распаковка программного обеспечения
4.2. Программное обеспечение, от которого зависит OpenLDAP
4.2.1.
Transport Layer Security
4.2.2.
Simple Authentication and Security Layer
4.2.3.
Сервис аутентификации Kerberos
4.2.4. Программное обеспечение баз данных
4.2.5. Потоки
4.2.6. TCP Wrappers
4.3. Запуск configure
4.4. Сборка программного обеспечения
4.5. Тестирование программного обеспечения
4.6. Установка программного обеспечения
5. Настройка slapd
5.1. Макет конфигурации
5.2. Директивы конфигурации
5.2.1. cn=config
5.2.2. cn=module
5.2.3. cn=schema
5.2.4. Директивы, специфичные для механизмов манипуляции данными
5.2.5. Директивы, специфичные для базы данных
5.2.6. Директивы баз данных BDB и HDB
5.3. Пример конфигурации
5.4. Конвертирование конфигурационного файла в старом стиле
slapd.conf
(5) в формат
cn=config
6. Конфигурационный файл slapd
6.1. Формат конфигурационного файла
6.2. Директивы конфигурационного файла
6.2.1. Глобальные директивы
6.2.2. Общие директивы механизмов манипуляции данными
6.2.3. Общие директивы баз данных
6.2.4. Директивы баз данных BDB и HDB
6.3. Пример конфигурационного файла
7. Запуск slapd
7.1. Параметры командной строки
7.2. Старт slapd
7.3. Остановка slapd
8. Контроль доступа
8.1. Введение
8.2. Контроль доступа при использовании статической конфигурации
8.2.1. Над чем осуществляется контроль доступа
8.2.2. Кому даются права на доступ
8.2.3. Какие права на доступ могут предоставляться
8.2.4. Принятие решения о предоставлении доступа
8.2.5. Примеры настройки контроля доступа
8.3. Контроль доступа при использовании динамической конфигурации
8.3.1. Над чем осуществляется контроль доступ
8.3.2. Кому даются права на доступ
8.3.3. Какие права на доступ могут предоставляться
8.3.4. Принятие решения о предоставлении доступа
8.3.5. Примеры настройки контроля доступа
8.3.6. Порядок применения контроля доступа
8.4. Типичные примеры контроля доступа
8.4.1. Основные ACL
8.4.2. Соответствие анонимным пользователям и пользователям, прошедшим аутентификацию
8.4.3. Контроль доступа для rootdn
8.4.4. Управление доступом с помощью групп
8.4.5. Предоставление доступа к подмножеству атрибутов
8.4.6. Разрешение пользователю изменять все записи, находящиеся ниже его собственной
8.4.7. Разрешение на создание записи
8.4.8. Советы по использованию регулярных выражений при контроле доступа
8.4.9. Предоставление и запрет доступа на основе факторов силы безопасности (ssf)
8.4.10. Если что-то работает не так, как ожидалось
8.5. Наборы — предоставление прав на основе взаимоотношений
8.5.1. Группы групп
8.5.2. Групповые ACL, где членство указывается без применения DN-синтакса
8.5.3. Переход по ссылкам
9. Ограничения
9.1. Введение
9.2. Мягкие и жёсткие ограничения
9.3. Глобальные ограничения
9.4. Ограничения для отдельной базы данных
9.4.1. Определение того, на кого накладываются ограничения
9.4.2. Определение ограничений по времени
9.4.3. Определение ограничений по размеру
9.4.4. Ограничение по размеру и постраничный вывод результатов
9.5. Примеры настройки ограничений
9.5.1. Простые глобальные ограничения
9.5.2. Мягкие и жёсткие глобальные ограниченияs
9.5.3. Установка определённым пользователям ограничений большего размера
9.5.4. Установка ограничений на возможность выполнения поиска с постраничным выводом результатов
9.6. Дополнительная информация
10. Инструменты создания и обслуживания баз данных
10.1. Создание базы данных через LDAP
10.2. Создание базы данных при отключенном slapd
10.2.1. Программа
slapadd
10.2.2. Программа
slapindex
10.2.3. Программа
slapcat
10.3. Формат текстового представления записи LDIF
11. Механизмы манипуляции данными
11.1. Механизмы Berkeley DB
11.1.1. Обзор
11.1.2. Настройка back-bdb/back-hdb
11.1.3. Дополнительная информация
11.2. LDAP
11.2.1. Обзор
11.2.2. Настройка back-ldap
11.2.3. Дополнительная информация
11.3. LDIF
11.3.1. Обзор
11.3.2. Настройка back-ldif
11.3.3. Дополнительная информация
11.4. LMDB
11.4.1. Обзор
11.4.2. Настройка back-mdb
11.4.3. Дополнительная информация
11.5. Метакаталог
11.5.1. Обзор
11.5.2. Настройка back-meta
11.5.3. Дополнительная информация
11.6. Мониторинг
11.6.1. Обзор
11.6.2. Настройка back-monitor
11.6.3. Дополнительная информация
11.7. Null
11.7.1. Обзор
11.7.2. Настройка back-null
11.7.3. Дополнительная информация
11.8. Passwd
11.8.1. Обзор
11.8.2. Настройка back-passwd
11.8.3. Дополнительная информация
11.9. Perl/Shell
11.9.1. Обзор
11.9.2. Настройка back-perl/back-shell
11.9.3. Дополнительная информация
11.10. Транслятор
11.10.1. Обзор
11.10.2. Настройка back-relay
11.10.3. Дополнительная информация
11.11. SQL
11.11.1. Обзор
11.11.2. Настройка back-sql
11.11.3. Дополнительная информация
12. Наложения
12.1. Ведение журнала доступа
12.1.1. Обзор
12.1.2. Настройка наложения ведения журнала доступа
12.1.3. Дополнительная информация
12.2. Ведение журнала изменений
12.2.1. Обзор
12.2.2. Настройка наложения ведения журнала изменений
12.2.3. Дополнительная информация
12.3. Сцепление
12.3.1. Обзор
12.3.2. Настройка наложения сцепления
12.3.3. Обработка ошибок сцепления
12.3.4. Чтение изменений, внесенных с использованием сцепления
12.3.5. Дополнительная информация
12.4. Ограничения на значения
12.4.1. Обзор
12.4.2. Настройка наложения ограничений
12.4.3. Дополнительная информация
12.5. Динамические службы каталогов (Dynamic Directory Services)
12.5.1. Обзор
12.5.2. Настройка наложения динамических служб каталогов
12.5.3. Дополнительная информация
12.6. Динамические группы
12.6.1. Обзор
12.7. Динамические списки
12.7.1. Обзор
12.7.2. Настройка наложения динамических списков
12.7.3. Дополнительная информация
12.8. Обратное обслуживание членства в группах
12.8.1. Обзор
12.8.2. Настройка наложения членства в группах
12.8.3. Дополнительная информация
12.9. Кэширующий прокси-сервер
12.9.1. Обзор
12.9.2. Настройка наложения кэширующего прокси-сервера
12.9.3. Дополнительная информация
12.10. Политики паролей
12.10.1. Обзор
12.10.2. Настройка наложения политик паролей
12.10.3. Дополнительная информация
12.11. Обеспечение целостности ссылок
12.11.1. Обзор
12.11.2. Настройка наложения обеспечения целостности ссылок
12.11.3. Дополнительная информация
12.12. Настраиваемые коды возврата
12.12.1. Обзор
12.12.2. Настройка кодов возврата
12.12.3. Дополнительная информация
12.13. Перезапись/Переназначение (Rewrite/Remap)
12.13.1. Обзор
12.13.2. Настройка наложения перезаписи/переназначения
12.13.3. Дополнительная информация
12.14. Сервер-поставщик синхронизации
12.14.1. Обзор
12.14.2. Настройка наложения сервера-поставщика синхронизации
12.14.3. Дополнительная информация
12.15. Прозрачный прокси (Translucent Proxy)
12.15.1. Обзор
12.15.2. Настройка наложения прозрачного прокси
12.15.3. Дополнительная информация
12.16. Проверка уникальности атрибутов
12.16.1. Обзор
12.16.2. Настройка наложения проверки уникальности атрибутов
12.16.3. Дополнительная информация
12.17. Сортировка значений атрибутов
12.17.1. Обзор
12.17.2. Настройка наложения сортировки значений атрибутов
12.17.3. Дополнительная информация
12.18. Объединение наложений в стек
12.18.1. Обзор
12.18.2. Возможные сценарии применения
13. Спецификация схемы данных каталога
13.1. Файлы наборов схемы данных, распространяемые с дистрибутивом
13.2. Расширение схемы данных каталога
13.2.1. Идентификаторы объектов
13.2.2. Именование элементов
13.2.3. Файл локального набора схемы данных
13.2.4. Спецификация типа атрибута
13.2.5. Спецификация объектного класса
13.2.6. Макросы OID
14. Вопросы безопасности
14.1. Сетевая безопасность
14.1.1. Выборочное обслуживание запросов
14.1.2. IP-фаервол
14.1.3. TCP Wrappers
14.2. Целостность данных и защита конфиденциальности
14.2.1. Факторы силы безопасности
14.3. Методы аутентификации
14.3.1. Простой ("simple") метод
14.3.2. Метод SASL
14.4. Хранилище паролей
14.4.1. Схема хранения паролей SSHA
14.4.2. Схема хранения паролей CRYPT
14.4.3. Схема хранения паролей MD5
14.4.4. Схема хранения паролей SMD5
14.4.5. Схема хранения паролей SHA
14.4.6. Схема хранения паролей SASL
14.5. Сквозная аутентификация
14.5.1. Настройка slapd на использование поставщика аутентификации
14.5.2. Настройка saslauthd
14.5.3. Тестирование сквозной аутентификации
15. Использование SASL
15.1. Вопросы безопасности при использовании SASL
15.2. Аутентификация с помощью SASL
15.2.1. GSSAPI
15.2.2. KERBEROS_V4
15.2.3. DIGEST-MD5
15.2.4. EXTERNAL
15.2.5. Отображение аутентификационных идентификационных сущностей
15.2.6. Прямое отображение
15.2.7. Отображения, основанные на поиске
15.3. Прокси-авторизация SASL
15.3.1. Применение прокси-авторизации
15.3.2. Авторизационные идентификационные сущности SASL
15.3.3. Правила прокси-авторизации
16. Использование TLS
16.1. Сертификаты TLS
16.1.1. Сертификаты сервера
16.1.2. Сертификаты клиента
16.2. Настройка TLS
16.2.1. Конфигурация сервера
16.2.2. Конфигурация клиента
17. Построение распределённой службы каталогов
17.1. Сведения о нижестоящих частях дерева
17.2. Сведения о вышестоящих частях дерева
17.3. Элемент управления ManageDsaIT
18. Репликация
18.1. Технология репликации
18.1.1. Репликация на основе LDAP Sync
18.2. Варианты развёртывания
18.2.1. Дельта-syncrepl репликация
18.2.2. Разнонаправленная репликация с несколькими поставщиками (Multi-Provider)
18.2.3. Репликация в режиме зеркала (MirrorMode)
18.2.4. Режим Syncrepl-прокси
18.3. Настройка различных типов репликации
18.3.1. Syncrepl
18.3.2. Дельта-syncrepl
18.3.3. Разнонаправленная репликация с несколькими поставщиками
18.3.4. Режим зеркала
18.3.5. Syncrepl прокси
19. Обслуживание
19.1. Резервное копирование каталога
19.2. Журналы Berkeley DB
19.3. Срабатывание контрольных точек
19.4. Миграция
20. Мониторинг
20.1. Настройка мониторинга при использовании cn=config(5)
20.2. Настройка мониторинга при использовании via slapd.conf(5)
20.3. Доступ к информации мониторинга
20.4. Информация мониторинга
20.4.1. Backends
20.4.2. Connections
20.4.3. Databases
20.4.4. Listener
20.4.5. Log
20.4.6. Operations
20.4.7. Overlays
20.4.8. SASL
20.4.9. Statistics
20.4.10. Threads
20.4.11. Time
20.4.12. TLS
20.4.13. Waiters
21. Настройка производительности
21.1. Факторы, влияющие на производительность
21.1.1. Оперативная память
21.1.2. Диски
21.1.3. Топология сети
21.1.4. Проектирование структуры каталога
21.1.5. Предполагаемое использование
21.2. Индексирование
21.2.1. Разберёмся, как работает поиск
21.2.2. Что нужно индексировать
21.2.3. Индексы наличия
21.3. Журналирование
21.3.1. Какой уровень журналирования использовать
21.3.2. На что обращать внимание
21.3.3. Увеличение производительности
21.4. Кэширование
21.4.1. Кэш Berkeley DB
21.4.2. Кэш записей
slapd
(8) (cachesize)
21.4.3. Кэш
IDL
(idlcachesize)
21.5. Потоки
slapd
(8)
22. Устранение неполадок
22.1. Чьи ошибки, пользователя или программного обеспечения?
22.2. Список тестов
22.3. Ошибки OpenLDAP
22.4. Ошибки программного обеспечения третьих сторон
22.5. Как связаться с проектом OpenLDAP
22.6. Как представить Вашу проблему
22.7. Отладка
slapd
(8)
22.8. Коммерческая поддержка
A. Изменения по сравнению с предыдущей версией
A.1. Новые разделы руководства
A.2. Новые функции и возможности в версии 2.4
A.2.1. Лучшая функциональность
cn=config
A.2.2. Лучшая функциональность
cn=schema
A.2.3. Более тонкая настройка Syncrepl
A.2.4. Разнонаправленная репликация с несколькими поставщиками
A.2.5. Репликация конфигурации
slapd
(syncrepl и
cn=config
)
A.2.6. Репликация в режиме посылок
A.2.7. Более гибкое управление конфигурацией TLS
A.2.8. Улучшения производительности
A.2.9. Новые наложения
A.2.10. Новые возможности в существующих наложениях
A.2.11. Новые возможности в slapd
A.2.12. Новые возможности в libldap
A.2.13. Новые клиенты, инструменты и усовершенствования существующих инструментов
A.2.14. Новые опции сборки
A.3. Устаревшие возможности, удалённые из версии 2.4
A.3.1. Slurpd
A.3.2. back-ldbm
B. Переход с версии 2.3.x
B.1. Атрибуты olc*
cn=config
B.2. ACL: чтобы выполнить поиск, требуются привилегии для базы поиска
C. Распространённые ошибки при использовании программного обеспечения OpenLDAP
C.1. Распространённые причины ошибок LDAP
C.1.1. ldap_*: Can't contact LDAP server (невозможно соединиться с сервером LDAP)
C.1.2. ldap_*: No such object (нет такого объекта)
C.1.3. ldap_*: Can't chase referral (невозможно последовать по ссылке)
C.1.4. ldap_*: server is unwilling to perform (сервер не желает выполнять)
C.1.5. ldap_*: Insufficient access (недостаточные полномочия доступа)
C.1.6. ldap_*: Invalid DN syntax (неверный синтаксис DN)
C.1.7. ldap_*: Referral hop limit exceeded (превышен лимит перехода по ссылкам)
C.1.8. ldap_*: operations error (операционная ошибка)
C.1.9. ldap_*: other error (другая ошибка)
C.1.10. ldap_add/modify: Invalid syntax (неверный синтаксис)
C.1.11. ldap_add/modify: Object class violation (нарушение объектного класса)
C.1.12. ldap_add: No such object (нет такого объекта)
C.1.13. ldap add: invalid structural object class chain (неверная цепочка структурного объектного класса)
C.1.14. ldap_add: no structuralObjectClass operational attribute (нет операционного атрибута structuralObjectClass)
C.1.15. ldap_add/modify/rename: Naming violation (нарушение именования)
C.1.16. ldap_add/delete/modify/rename: no global superior knowledge (нет сведений о глобальной вышестоящей части дерева)
C.1.17. ldap_bind: Insufficient access (недостаточные полномочия доступа)
C.1.18. ldap_bind: Invalid credentials (неверные учётные данные)
C.1.19. ldap_bind: Protocol error (ошибка протокола)
C.1.20. ldap_modify: cannot modify object class (не могу изменить объектный класс)
C.1.21. ldap_sasl_interactive_bind_s: ...
C.1.22. ldap_sasl_interactive_bind_s: No such Object (нет такого объекта)
C.1.23. ldap_sasl_interactive_bind_s: No such attribute (нет такого атрибута)
C.1.24. ldap_sasl_interactive_bind_s: Unknown authentication method (неизвестный метод аутентификации)
C.1.25. ldap_sasl_interactive_bind_s: Local error (82) (локальная ошибка)
C.1.26. ldap_search: Partial results and referral received (получены частичные результаты и отсылка)
C.1.27. ldap_start_tls: Operations error (ошибка операций)
C.2. Другие ошибки
C.2.1. ber_get_next on fd X failed errno=34 (Numerical result out of range) (числовой результат за границей диапазона)
C.2.2. ber_get_next on fd X failed errno=11 (Resource temporarily unavailable) (ресурс временно недоступен)
C.2.3. daemon: socket() failed errno=97 (Address family not supported) (семейство адресов не поддерживается)
C.2.4. GSSAPI: gss_acquire_cred: Miscellaneous failure; Permission denied; (различные сбои; доступ запрещён)
C.2.5. access from unknown denied (запрещён доступ от неизвестного)
C.2.6. ldap_read: want=# error=Resource temporarily unavailable (ресурс временно недоступен)
C.2.7. `make test' fails (`make test' завершился неудачей)
C.2.8. ldap_*: Internal (implementation specific) error (80) - additional info: entry index delete failed (внутренняя ошибка, зависящая от конкретной реализации, дополнительная информация: не удалось удалить индекс записи)
C.2.9. ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1) (не могу соединиться с сервером LDAP)
D. Рекомендуемые версии зависимостей программного обеспечения OpenLDAP
D.1. Версии зависимостей
E. Примеры развёртывания OpenLDAP в реальном мире
F. Состав программного обеспечения OpenLDAP
F.1. Клиентские API
F.1.1. ldapc++
F.1.2. ldaptcl
F.2. Наложения
F.2.1. acl
F.2.2. addpartial
F.2.3. allop
F.2.4. autogroup
F.2.5. comp_match
F.2.6. denyop
F.2.7. dsaschema
F.2.8. lastmod
F.2.9. nops
F.2.10. nssov
F.2.11. passwd
F.2.12. proxyOld
F.2.13. smbk5pwd
F.2.14. trace
F.2.15. usn
F.3. Инструменты
F.3.1. Журналирование статистики
F.4. Плагины SLAPI
F.4.1. addrdnvalues
G. Примеры конфигурационных файлов
G.1. slapd.conf
G.2. ldap.conf
G.3. a-n-other.conf
H. Коды возврата LDAP
H.1. Неошибочные коды возврата
H.2. Коды возврата
H.3. success (0) — успех
H.4. operationsError (1) — ошибка операций
H.5. protocolError (2) — ошибка протокола
H.6. timeLimitExceeded (3) — превышение ограничения времени
H.7. sizeLimitExceeded (4) — превышение ограничения размера
H.8. compareFalse (5) — сравнение выявило ложь
H.9. compareTrue (6) — сравнение выявило истину
H.10. authMethodNotSupported (7) — метод аутентификации не поддерживается
H.11. strongerAuthRequired (8) — требуется более строгая аутентификация
H.12. referral (10) — отсылка
H.13. adminLimitExceeded (11) — превышение административного ограничения
H.14. unavailableCriticalExtension (12) — недоступное критическое расширение
H.15. confidentialityRequired (13) — требуется конфиденциальность
H.16. saslBindInProgress (14) — выполняется подсоединение SASL
H.17. noSuchAttribute (16) — нет такого атрибута
H.18. undefinedAttributeType (17) — неопределённый тип атрибута
H.19. inappropriateMatching (18) — неподходящее соответствие
H.20. constraintViolation (19) — нарушение ограничений
H.21. attributeOrValueExists (20) — атрибут или значение существует
H.22. invalidAttributeSyntax (21) — неверный синтаксис атрибута
H.23. noSuchObject (32) — нет такого объекта
H.24. aliasProblem (33) — проблема с псевдонимом
H.25. invalidDNSyntax (34) — неверный синтаксис DN
H.26. aliasDereferencingProblem (36) — проблема с разыменованием псевдонима
H.27. inappropriateAuthentication (48) — несоответствующая аутентификация
H.28. invalidCredentials (49) — неверные учётные данные
H.29. insufficientAccessRights (50) — недостаточные права доступа
H.30. busy (51) — занят
H.31. unavailable (52) — недоступен
H.32. unwillingToPerform (53) — не желают выполнять
H.33. loopDetect (54) — обнаружено зацикливание
H.34. namingViolation (64) — нарушение именования
H.35. objectClassViolation (65) — нарушение объектного класса
H.36. notAllowedOnNonLeaf (66) — не разрешено на нелистовой записи
H.37. notAllowedOnRDN (67) — не разрешено на нелистовой записи
H.38. entryAlreadyExists (68) — запись уже существует
H.39. objectClassModsProhibited (69) — изменение объектного класса запрещено
H.40. affectsMultipleDSAs (71) — оказывается влияние на несколько DSA
H.41. other (80) — другое
I. Глоссарий
I.1. Термины
I.2. Связанные организации
I.3. Связанные продукты
I.4. Документация
J. Общие инструкции configure
K. Уведомления об авторских правах на программное обеспечение OpenLDAP
K.1. Уведомление об авторских правах OpenLDAP
K.2. Дополнительные уведомления об авторских правах
K.3. Уведомление об авторских правах Мичиганского Университета
L. Открытая лицензия OpenLDAP
Pro-LDAP.ru
Эта страница
Содержание
Содержание
Руководство администратора OpenLDAP 2.4
OpenLDAP 2.4 Руководство
Содержание
Введение в службы каталогов OpenLDAP
Быстрое развёртывание и начало работы
Общая картина - варианты конфигурации
Сборка и установка OpenLDAP
Настройка slapd
Конфигурационный файл slapd
Запуск slapd
Контроль доступа
Ограничения
Инструменты
Механизмы манипуляции данными
Наложения
Спецификация схемы
Безопасность
SASL
TLS
Распределённая служба каталогов
Репликация
Обслуживание
Мониторинг
Производительность
Устранение неполадок
Перевод официального руководства OpenLDAP 2.4 Admin Guide
Полное содержание
здесь
LDAP для учёных-ракетчиков
Содержание
О книге
Концепции LDAP
Объекты LDAP
Установка LDAP
Примеры
Настройка
Репликация и отсылки
LDIF и DSML
Протокол
LDAP API
HOWTO
Неполадки
Производительность
Инструменты LDAP
Безопасность
Заметки
Ресурсы LDAP
RFC и X.500
Глоссарий
Объекты
Перевод "LDAP for Rocket Scientists"
Полное содержание
здесь
Ресурсы
Книги
Руководство OpenLDAP 2.4
LDAP для учёных-ракетчиков
Другие
Статьи
Термины LDAP
man-страницы OpenLDAP 2.4
Список RFC
Клиенты LDAP
Файлы наборов схемы
Полезные ресурсы
Форум
Разделы форума
Непрочитанные сообщения
Последние сообщения
Форум проекта
Главная
Pro-LDAP.ru
О проекте
Новости проекта
Участники
Станьте участником!
Сообщите об ошибке!
Об авторских правах
Соглашения проекта
Присоединяйсь!