注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

天边云E家 shaoruisky

IT博文共享,知识的海洋

 
 
 

日志

 
 

LDAP+SAMBA設置  

2012-02-18 23:50:40|  分类: linux |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

LDAP+SAMBA設置

LDAP 简介
LDAP 是一种流行的身份验证机制,并可以作为存储个人可识别信息的存储库。与传统的基于平面文件的身份验证机制(例如 /etc/passwd)相比,它有几个优点。优点之一是 LDAP 可以用来实现密码管理的理想形式 —— 单点登录。能够实现单点登录是因为软件应用程序可以通过 TCP/IP 网络针对通用的基于 LDAP 的用户存储库进行远程身份验证。LDAP 身份验证方法与基于平面文件的身份验证方案正好相反,后者通常只使用一台计算机,并不是分布式的。
LDAP 将数据组织为目录信息树(directory information tree)。这个树按照分类对数据进行组织。许多 LDAP 服务器使用 SQL 数据库存储数据,因为这是一种自然的选择。与传统的 SQL 数据库一样,LDAP 使用模式来定义数据应该放在哪里以及数据应该如何格式化。使用模式以及与传统 SQL 数据库的相似性是 LDAP 的关键优点,因为它们大大提高了可扩展性。
集成 Samba 和 LDAP
在 Samba 和 LDAP 服务器之间有三个主要的集成点:
· 第一个集成点是将 Samba 的模式包含到 LDAP 服务器中。
· 第二个集成点是将 Samba 配置为通过 LDAP 服务器进行身份验证。
身份验证要利用 Linux 的 PAM 实用程序(Pluggable Authentication Modules)。PAM 实用程序将身份验证过程从 Linux 上运行的软件应用程序抽象出来,这样应用程序就不必理解特定身份验证机制的复杂细节。因此,PAM 为软件应用程序提供了很大的灵活性,软件应用程序只需调用身份验证 API,而 PAM 会决定是应该使用平面文件、LDAP 还是其他身份验证机制。
· 第三个集成点涉及一组工具,它们帮助管理 Samba 的 LDAP 目录信息树。这个工具箱是由第三方开发的;但是它采用 GNU Public License。
安全
LDAP 的关键优点是它能够作为分布在网络上的软件应用程序的身份验证机制。这个优点的一个副作用是,在身份验证期间密码可能会通过网络传输,因此可能被截获。幸运的是,LDAP 支持 SSL(Secure Sockets Layer)和 TLS。
在本教程中,LDAP 服务器运行在与 Samba 相同的物理服务器上;因此不必进行加密。但是,我将演示如何对 LDAP 和 Samba 之间的通道进行加密,因为这相当简单,而且对于 Samba 和 LDAP 在不同计算机上的情况,这种措施是必要的。
本教程分为两个阶段。第一个阶段详细描述如何在非安全模式中配置 Samba 和 LDAP。第一个阶段完成之后,对 Samba 和 LDAP 服务器之间的通道启用加密。采用两阶段方式是因为在非安全模式中往往更容易进行安装、配置和诊断问题。
配置 LDAP
步骤 1:安装 OpenLDAP
要安装 OpenLDAP:
1. 检查发行版是否已经安装了 OpenLDAP。在一个终端中发出以下命令:rpm -qa | grep ldap。如果没有得到响应 openldap-2.2.13(或更高的版本号),那么应该升级或安装 OpenLDAP(在下面说明)。
2. 如果还没有 OpenLDAP 2.2.13 或更高版本,那么到发行版的镜像站点并下载一个二进制包。我进入
Fedora 的镜像列表
并下载了 openldap-2.2.13-2.i386.rpm。然后发出以下命令:rpm -Uvh openldap-2.2.13-2.i386.rpm。
步骤 2:安装 IDEALX 的 LDAP Toolkit for Samba
需要使用来自 IDEALX 的一个工具箱使 Samba 和 LDAP 服务器之间的许多重要交互自动化。这个工具箱包含一些脚本,Samba 会自动调用它们来添加用户、修改用户、添加机器,等等。这些脚本是用 Perl 编写的,也可以从命令行使用。
要安装 IDEALX 工具箱:
1. 进入
IDEALX 的主页
并下载这个工具箱的 .0.9.1 版或更高版本(smbldap-tools-.0.9.1.tgz)。
2. 在一个临时目录中,用以下命令解开这个工具箱:tar -zxf smbldap-tools-0.9.1.tgz。
3. 创建一个目录用于放置 IDEALX 脚本。在命令提示下输入:mkdir -p /var/lib/samba/sbin。然后输入:chmod -R 755 /var/lib/samba。
4. 进入 tar 命令创建的目录。输入:cd smbldap-tools-0.9.1。
5. 用以下命令将所需的脚本从临时目录复制到永久目录:cp smbldap* configure.pl /var/lib/samba/sbin。
6. 进入 /var/lib/samba/sbin 目录并依次 发出以下命令,设置正确的所属权和权限:
1. chmod 750 *
2. chmod 640 smbldap_bind.conf smbldap.conf smbldap_tools.pm
7. 现在可以安全地删除临时目录。
IDEALX 工具箱需要一些额外的 Perl 模块,系统上可能还没有安装这些模块。本节说明如何下载和安装它们。
1. 首先,需要从 CPAN.org 下载所有必需的 Perl 模块。进入
CPAN.org
并在搜索框中输入以下搜索字符串。
o 搜索 Perl 模块:Crypt::SmbHash
o 搜索 Perl 模块:Digest::SHA1
o 搜索 Perl 模块:IO::Socket::SSL
o 搜索 Perl 模块:Net::SSLeay
可以从每个搜索的结果直接导航到每个模块的主页。在这四个模块的主页上,可以找到下载 Perl 模块的链接。
2. 下一步是对下载的 Perl 模块进行解压。在保存下载的四个模块的目录中,发出以下命令:tar -zxvf *.gz。
3. 最后一步是构建和安装这四个模块。进入每个新创建的目录并作为 root 发出以下命令。
1. perl Makefile.PL
2. make install
步骤 3:配置 OpenLDAP 所需的模式、目录和密钥
如果从 RPM 进行安装而且 Linux 发行版是 Fedora,那么应该有一个称为 /etc/openldap 的目录。在这个目录中有 OpenLDAP 的主配置文件 slapd.conf。在开始编辑这个文件之前,先执行一些预先设置操作
本篇文章来源于 黑软基地-中国最大的黑客软件安全教程下载站!(技术学院) 原文链接:http://www.hackvip.com/article/sort0136/sort0186/Hackvip_147982.html

  评论这张
 
阅读(707)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016