使用 YaST 设置 LDAP 服务器。使用 LDAP 服务器的一个典型例子包括管理用户帐户数据和配置邮件、DNS 和 DHCP 服务器。
要为用户帐户数据设置 LDAP 服务器,如下操作:
以
root身份登录。启动 YaST 并选择+。
将 LDAP 设置成在系统自举时启动。
如果 LDAP 服务器应该通过 SLP 宣告其服务,则选取。
选择以配置和。
要配置 LDAP 服务器的,继续如下操作:
通过选择对话框左面部分的,接受或修改服务器配置中包括的纲要文件。纲要文件的默认选择适用于提供 YaST 用户帐户数据源的服务器。
使用,可以配置 LDAP 服务器的日志记录活动的程度(冗长级别)。从预定义列表中,根据需要选择或取消选择日志记录选项。启用的选项越多,日志文件就会越大。
确定 LDAP 服务器允许的连接类型。选择自:
- bind_v2
此选项支持从使用上一版本协议 (LDAPv2) 的客户机发出的连接请求(联结请求)。
- bind_anon_cred
通常 LDAP 服务器拒绝所有身份凭证(DN 或密码)为空的身份验证尝试。但启用此选项后,可以在使用密码但不提供 DN 的情况下建立匿名连接。
- bind_anon_dn
若启用此选项,则可以使用 DN 但不提供密码以无身份验证方式(匿名地)建立连接。
- update_anon
启用此选项支持以非身份验证(匿名)方式执行更新操作。访问要受 ACL 和其他规则的限制(请参见 第 36.3.1 节 “slapd.conf 中的全局指令”)。
要在客户机和服务器之间配置安全通信,继续 操作:
将 设置成以启用客户机/服务器通信的 TLS 和 SSL 加密。
单击并确定如何获得有效证书。选择(从外部源导入证书)或(使用安装期间创建的证书)。
如果您选择导入证书,则 YaST 提示您指定其位置的准确路径。
如果您选择使用公共服务器证书并且安装期间未创建该证书,则会在以后的操作中创建它。
要配置 LDAP 服务器管理的数据库,继续如下操作:
在对话框的左面部分选择项。
单击以添加新的数据库。
输入请求的数据:
输入 LDAP 服务器的基本 DN。
输入负责服务器的管理员的 DN。如果选中,只需提供管理员的
cn,系统会自动填充其余部分。- LDAP 密码
输入数据库管理员的密码。
- 加密
确定要用于保护根 DN 的密码的加密算法。选择 、、 或 。该对话框还包含选项,支持使用明文密码;但出于安全考虑,不建议启用此选项。要确认设置并返回上一个对话框,请选择。
启用强制密码策略以对 LDAP 服务器提供额外的安全性:
选择以指定密码策略。
任何时候添加或修改明文密码时,激活以在写入数据库前对明文密码执行哈希运算。
提供了对于将请求绑定到锁定帐户有价值的错误消息。
![[Warning]](admon/warning.png)
对安全性敏感的环境中的锁定帐户 如果环境对安全性问题敏感,请不要使用选项,因为“锁定帐户”错误消息提供的安全敏感信息可能会被潜在的攻击者利用。
输入默认策略对象的 DN。要使用不同于 YaST 建议的 DN,请输入您的选择。否则,接受默认设置。
通过单击以完成数据库配置。
如果未选择密码策略,服务器将准备好在此时运行。如果选择启用密码策略,继续配置密码策略的细节。如果选择了还不存在的密码策略对象,YaST 会创建一个:
输入 LDAP 服务器密码。
配置密码更改策略:
确定储存在密码历史中的密码个数。用户可能无法重复使用已保存的密码。
确定用户是否可更改其密码,以及在管理员进行重设置后,用户是否需要更改密码。可以选择在更改密码时要求提供旧密码。
确定是否应对密码进行质量检查以及检查的程度。设置为使密码有效而必须满足的最小密码长度。如果选择,尽管无法执行质量检查,用户仍可使用加密的密码。如果选择,则只有通过质量测试的那些密码可作为有效密码被接受。
配置密码过期策略:
确定最短(两次有效密码更改之间需经过的时间)和最长密码使用期限。
确定密码失效警告和实际密码失效之间的时间。
设置密码完全失效前宽限使用失效密码的次数。
配置锁定策略:
启用密码锁定。
确定触发密码锁定的绑定失败次数。
确定密码锁定的持续时间。
确定清除密码故障前将其保留在缓存中的时长。
选择应用密码策略设置。
要编辑此前创建的数据库,请在左侧的目录树中选择其基本 DN。在窗口的右侧,YaST 显示与创建新数据库时所用相似的对话框 - 主要区别在于基本 DN 项已灰化且无法更改。
选择以退出 LDAP 服务器配置后,就可以使用 LDAP 服务器的基本工作配置了。要对此设置进行微调,请相应地编辑文件 /etc/openldap/slapd.conf,然后重启动服务器。