使用 YaST 可設定 LDAP 伺服器。LDAP 伺服器的一般使用案例包括使用者帳號資料與郵件、DNS 和 DHCP 伺服器組態的管理。
若要為使用者帳戶資料設定 LDAP 伺服器,請如下執行:
以 root
身份登入。
啟動 YaST 並選取
+ 。將 LDAP 設為系統開機時啟動。
若 LDAP 伺服器必須透過 SLP 宣告服務,請勾選
。選擇
以設定 和 。若要設定您 LDAP 伺服器的
,請如下執行:選取對話方塊左邊的
,接受或修改伺服器組態中所包含的綱要檔案。綱要檔案的預設選擇會套用到提供 YaST 使用者帳戶資料來源的伺服器。透過
,設定 LDAP 伺服器記錄活動的程度 (詳細的程度)。依照您的需要,從預先定義清單中選取或取消選取記錄選項。啟用的選項愈多,您的記錄檔就愈大。決定 LDAP 伺服器允許的連線類型。從下列選擇:
此選項可利用前一個版本的協定 (LDAPv2) 來啟動用戶端的連線要求 (繫結要求)。
LDAP 伺服器通常會拒絕缺乏憑證 (DN 或密碼) 的驗證嘗試。不過,啟用這個選項可以透過密碼而非 DN 來建立匿名連線。
啟用這個選項,可使用 DN 而非密碼,以非驗證 (匿名) 的方式進行連線。
啟用這個選項可允許進行未驗證 (匿名) 的更新操作。在 ACL 和其它規則下的存取權限制相當嚴格 (請參閱 第 36.3.1 節「slapd.conf 中的全域指示詞」)。
若要設定用戶端與伺服器間的安全通訊,請以
執行:將
設定為 ,以啟用用戶端/伺服器通訊的 TLS 和 SSL 加密。按一下
並決定如何獲得有效憑證。選擇 (從外部來源輸入憑證) 或 (使用安裝時建立的憑證)。若您選擇輸入憑證,YaST 會提示您指定其位置的正確路徑。
若您選擇使用一般伺服器證書,但在安裝時未建立的話,則會接著建立。
若要設定您 LDAP 伺服器管理的資料庫,請如下執行:
在對話左邊選擇
項目。按一下
以新增資料庫。輸入所需資料:
輸入您 LDAP 伺服器的基本 DN。
輸入負責管理伺服器的管理員 DN。如果您要檢查 cn
即可,系統會自動填入資料。
輸入資料庫管理員的密碼。
決定要用來保護根 DN 密碼的加密運算法。選擇
、 、 或 。對話方塊中還有 選項,可啟用純文字密碼,但是出於安全性的考量不建議使用。若要確認您的設定,並返回先前的對話方塊,請選取 。強制執行密碼規則,加強 LDAP 伺服器的安全性︰
選取
,以便指定密碼規則。啟用
,可在新增或修改純文字密碼時,先對其進行雜湊,再將其寫入資料庫。可提供有意義的錯誤訊息,幫助將要求繫結至鎖定的帳戶。
![]() | 安全性敏感環境中的已鎖定帳戶 |
---|---|
如果環境對安全性問題比較敏感,請不要使用 選項,因為「帳戶已鎖定」錯誤訊息提供的安全性敏感資訊可能會被潛在攻擊者利用。 |
輸入預設規則物件的 DN。若要使用非 YaST 建議的 DN,請輸入您的選擇。否則,請接受預設設定。
按一下
,完成資料庫組態。如果未選擇使用密碼規則,此時伺服器即可開始執行。如果您選擇啟用密碼規則,則繼續詳細設定密碼規則。如果您選擇的密碼規則物件不存在,YaST 會建立︰
輸入 LDAP 伺服器密碼。
設定密碼變更規則︰
決定儲存在密碼歷程中的密碼數量。使用者也許無法重新使用儲存的密碼。
決定使用者是否可以變更他們的密碼,管理員重設密碼之後使用者是否需要變更密碼。選擇性地要求變更舊密碼。
決定密碼是否需要接受質量檢查,以及檢查的程度。設定最小密碼長度,符合此長度的密碼才是有效密碼。如果您選取
,將允許使用者使用加密的密碼,即使無法執行質量檢查。如果您選擇 ,則只有通過質量測試的密碼才會生效。設定密碼期限規則︰
決定密碼最短壽命 (有效密碼變更之間的時間間隔) 與密碼最長壽命。
決定密碼過期警告與實際密碼過期的時間間隔。
設定在密碼完全過期之前,允許使用過期密碼的次數。
設定鎖定規則︰
啟用密碼鎖定。
決定繫結失敗幾次後觸發密碼鎖定。
決定密碼鎖定的持續時間。
決定密碼失敗保留在快取記憶體中的時間 (過期即清除)。
使用
套用密碼規則設定。如果要編輯先前建立的資料庫,請由目錄樹左方選取其基礎 DN。YaST 會在視窗右邊顯示與資料庫新建對話方塊相似的對話方塊 — 主要差異在於 DN 項目呈灰色而無法變更。
選擇/etc/openldap/slapd.conf
檔案,然後重新啟動伺服器。