使用 YaST 設定 LDAP 伺服器

使用 YaST 可設定 LDAP 伺服器。LDAP 伺服器的一般使用案例包括使用者帳號資料與郵件、DNS 和 DHCP 伺服器組態的管理。

圖形 36.2. YaST LDAP 伺服器組態

YaST LDAP 伺服器組態

若要為使用者帳戶資料設定 LDAP 伺服器,請如下執行:

  1. root 身份登入。

  2. 啟動 YaST 並選取網路服務+LDAP 伺服器

  3. 將 LDAP 設為系統開機時啟動。

  4. 若 LDAP 伺服器必須透過 SLP 宣告服務,請勾選在 SLP 精靈註冊

  5. 選擇設定以設定一般設定資料庫

若要設定您 LDAP 伺服器的全域設定,請如下執行:

  1. 選取對話方塊左邊的綱要檔案,接受或修改伺服器組態中所包含的綱要檔案。綱要檔案的預設選擇會套用到提供 YaST 使用者帳戶資料來源的伺服器。

  2. 透過記錄層級設定,設定 LDAP 伺服器記錄活動的程度 (詳細的程度)。依照您的需要,從預先定義清單中選取或取消選取記錄選項。啟用的選項愈多,您的記錄檔就愈大。

  3. 決定 LDAP 伺服器允許的連線類型。從下列選擇:

    bind_v2

    此選項可利用前一個版本的協定 (LDAPv2) 來啟動用戶端的連線要求 (繫結要求)。

    bind_anon_cred

    LDAP 伺服器通常會拒絕缺乏憑證 (DN 或密碼) 的驗證嘗試。不過,啟用這個選項可以透過密碼而非 DN 來建立匿名連線。

    bind_anon_dn

    啟用這個選項,可使用 DN 而非密碼,以非驗證 (匿名) 的方式進行連線。

    update_anon

    啟用這個選項可允許進行未驗證 (匿名) 的更新操作。在 ACL 和其它規則下的存取權限制相當嚴格 (請參閱 第 36.3.1 節「slapd.conf 中的全域指示詞」)。

  4. 若要設定用戶端與伺服器間的安全通訊,請以 TLS 設定執行:

    1. TLS 可用 設定為,以啟用用戶端/伺服器通訊的 TLS 和 SSL 加密。

    2. 按一下選取憑證並決定如何獲得有效憑證。選擇輸入憑證(從外部來源輸入憑證) 或使用公用伺服器憑證(使用安裝時建立的憑證)。

      • 若您選擇輸入憑證,YaST 會提示您指定其位置的正確路徑。

      • 若您選擇使用一般伺服器證書,但在安裝時未建立的話,則會接著建立。

若要設定您 LDAP 伺服器管理的資料庫,請如下執行:

  1. 在對話左邊選擇資料庫項目。

  2. 按一下新增資料庫以新增資料庫。

  3. 輸入所需資料:

    基本 DN

    輸入您 LDAP 伺服器的基本 DN。

    根 DN

    輸入負責管理伺服器的管理員 DN。如果您要檢查 附加基礎 DN,則只要提供管理員的 cn 即可,系統會自動填入資料。

    LDAP 密碼

    輸入資料庫管理員的密碼。

    加密

    決定要用來保護根 DN 密碼的加密運算法。選擇 cryptsmd5sshasha。對話方塊中還有純文字選項,可啟用純文字密碼,但是出於安全性的考量不建議使用。若要確認您的設定,並返回先前的對話方塊,請選取 確定

  4. 強制執行密碼規則,加強 LDAP 伺服器的安全性︰

    1. 選取密碼規則設定,以便指定密碼規則。

    2. 啟用雜湊純文字密碼,可在新增或修改純文字密碼時,先對其進行雜湊,再將其寫入資料庫。

    3. 顯示帳戶已鎖定狀態可提供有意義的錯誤訊息,幫助將要求繫結至鎖定的帳戶。

      [Warning]安全性敏感環境中的已鎖定帳戶

      如果環境對安全性問題比較敏感,請不要使用顯示帳戶已鎖定狀態選項,因為「帳戶已鎖定」錯誤訊息提供的安全性敏感資訊可能會被潛在攻擊者利用。

    4. 輸入預設規則物件的 DN。若要使用非 YaST 建議的 DN,請輸入您的選擇。否則,請接受預設設定。

  5. 按一下完成,完成資料庫組態。

如果未選擇使用密碼規則,此時伺服器即可開始執行。如果您選擇啟用密碼規則,則繼續詳細設定密碼規則。如果您選擇的密碼規則物件不存在,YaST 會建立︰

  1. 輸入 LDAP 伺服器密碼。

  2. 設定密碼變更規則︰

    1. 決定儲存在密碼歷程中的密碼數量。使用者也許無法重新使用儲存的密碼。

    2. 決定使用者是否可以變更他們的密碼,管理員重設密碼之後使用者是否需要變更密碼。選擇性地要求變更舊密碼。

    3. 決定密碼是否需要接受質量檢查,以及檢查的程度。設定最小密碼長度,符合此長度的密碼才是有效密碼。如果您選取接受不可減檢查的密碼,將允許使用者使用加密的密碼,即使無法執行質量檢查。如果您選擇僅接受檢查過的密碼,則只有通過質量測試的密碼才會生效。

  3. 設定密碼期限規則︰

    1. 決定密碼最短壽命 (有效密碼變更之間的時間間隔) 與密碼最長壽命。

    2. 決定密碼過期警告與實際密碼過期的時間間隔。

    3. 設定在密碼完全過期之前,允許使用過期密碼的次數。

  4. 設定鎖定規則︰

    1. 啟用密碼鎖定。

    2. 決定繫結失敗幾次後觸發密碼鎖定。

    3. 決定密碼鎖定的持續時間。

    4. 決定密碼失敗保留在快取記憶體中的時間 (過期即清除)。

  5. 使用接受套用密碼規則設定。

如果要編輯先前建立的資料庫,請由目錄樹左方選取其基礎 DN。YaST 會在視窗右邊顯示與資料庫新建對話方塊相似的對話方塊 — 主要差異在於 DN 項目呈灰色而無法變更。

選擇完成離開 LDAP 伺服器設定之後,即表示已為 LDAP 伺服器建立一個基本工作組態。如果要微調此設定,可接著編輯 /etc/openldap/slapd.conf 檔案,然後重新啟動伺服器。