安装和配置OPENLDAP.doc

#    Allowreadbyall##rootdncanalwayswrite!“rootdncanalwayswrite!”(rootdn总是可以写!)的意思正如它所表示的那样。=部分填充的任何项都是对数据库有完全读/写访问权的用户。另外,缺省配置文件使用“secret”作为密码,它以明文形式发送。如果只能从装了防火墙与外界隔离的内部网访问您的LDAP服务器,并且确信将访问LDAP服务器的用户不知道有关信息包嗅探的任何事情,您大概可以以明文形式安全地发送rootdn密码(只要确保将密码“secret”稍加修改,使之不易被猜出)。但是,如果您打算存储在目录中的数据只有一点点机密性,则对密码进行散列处理。可以用slappasswd实用程序完成它,如下所示:[******@thorroot]#slappasswd-h{crypt} 该程序将要求您输入密码,然后slappasswd将给出与所提供的项相对应的crypt字符串。,如上一页所示。其它散列选项包含SSHA(缺省值)、SMD5、MD5和SHA。输入manslappasswd,以获取更多信息。测试服务器现在是测试服务器的好时机了。这里的配置相对比较简单也容易对可能出现的问题进行故障诊断。在RedHatLinux系统上,命令是:[******@thorroot]#serviceldapstart                  接下来,测试您访问目录的能力:[******@thorroot]#ldapsearch-x-b''-sbase'(objectclass=*)'namingContexts如果正确配置了服务器,您应该看到类似于下面的输出(当然,有不同的dc):version:2##filter:(objectclass=*)#requesting:namingContexts##dn:namingContexts:dc=syroidmanor,#searchresultsearch:2result:ess#numResponses:2#numEntries:1如果您得到了错误消息,或输出与上面有很大的不同,则返回并检查配置。要使LDAP服务在重新引导时自动启动,输入以下命令:[******@thorroot]#chkconfigldapon                    再提醒一下,上面的命令特定于RedHat分发版。配置ACL配置LDAP服务器的最后一步是设置一些基本访问控制。这样做可以确保用户只能访问他们需要访问的项。在OpenLDAP下设置ACL(访问控制表,AccessControlList)的方法有两种:可以将include行放在/etc/openldap/,指向一个单独的文件(例如,include/etc/openldap/);。这完全由您选择—Mandrake通常使用include行;RedHat将ACL添加到配置文件。您将在下一页看到一组示例ACL以及它们做些什么的说明。ACL示例#DefineACLs--esstodn=".*,dc=syroidmanor,"attr=userPassword      bydn="cn=root,d