我正在阅读文档并设置OpenLDAP以处理整个网络中的身份验证,包括电子邮件,Web服务,用户帐户以及我可以投入的任何其他任何内容.它不会是什么超级大,但我想让它感觉活,因为我在我的家庭实验室做.
在设置OpenLDAP时,要记住哪些好事或确保我始终记得?我应该确保我总是通过SSL旅行吗?我应该使用Kerbeos吗?任何事情都会被铭记在心.
部分列表没有特定顺序:
>使用cn = config(参见man slapd-config).
>在您的核心设置Master-Master复制.
>始终使用某种加密进行身份验证.
>不推荐使用LDAPS(端口636),而使用STARTTLS for LDAP.
>如果您不喜欢输入密码,那么SASL-GSSAPI和SASL-EXTERNAL非常有用.
>禁用您不支持的SASL机制.
>如果不需要,请不要使用根DN.
>注意您的ACL(例如,用户不应具有对uidNumber和gidNumber的写入权限).
> ldapseach -x -H $URI是一个匿名搜索. (ldapwhoami -x -H $URI).
>有限的本地副本可以比nscd好得多(通过ldapi:///自我访问).
> Overlay memberof对于团体会员来说非常方便.
可能很重要:
了解documentation.这不是你需要的一切,但它确实有帮助.
