即使密码和大量的敏感信息没有保存在LDAP目录中,你的用户也不希望整个互联网都知道他们的电话号码、电子邮件地址或员工ID。一旦你阅读了“OpenLDAP Everywhere”,并工作在LDAP服务器上,你需要保护传输的信息和对目录的访问。
第一步是用OpenSSL保护数据传输,首先,分别拷贝我们的证书和密钥到/etc/openldap/ssl/slapd-cert.pem和/etc/openldap/ssl/slapd-key.pem,在slapd.conf中我需要五个选项:TLSCipherSuite(可选的)、TLSCACertificatePath、TLSCertificateFile、TLSCertificateKeyFile和TLSVerifyClient。sldpd.conf(5)帮助页很好地给这些选项做了定义。
保护了线路上传输的数据,接着我们要使用Kerberos KDC保护认证。OpenLDAP进行认证协商时使用了Kerberos和SASL,我首先必须告诉slapd如何找到它的Kerberos keytab文件,通过编辑/etc/conf.d/slapd或在启动slapd之前先定义KRB5_KTNAME变量,在slapd.conf中必须定义两个选项:sasl-secprops和sasl-regexp。
现在TLS和SASL能被使用了,但不是必须的。在slapd.conf中不止两个选项,安全和允许被用于特定的安全方法和加密强度需要的正确地操作。同时,确认正确地设置了访问控制列表(ACL)--参考slapd.access(5)。
安全地复制Kerberos
我们通过从kdc.example.com复制我们的Kerberos数据库到ldap.example.com作为开始,因此,如果kdc.example.com失效了,ldap.example.com将轻松接手,一个重要的事实需要记住,那就是在任何真实的网络环境中只能存在一个kadmin服务器,否则,就没有一个权威的数据库作为升级的源了,Kerberos与kprop和kpropd一起安全地传播Kerberos数据库,首先我们必须将kpropd标识为已知的服务,将下面这一行添加到/etc/services:
krb5_prop 754/tcp
我们需要定义ACL文件/etc/krb5kdc/hpropd.acl,它告诉kpropd哪个主机被允许进行传播,在这个文件中最重要的就是要给出主KDC的主机名字,你可以列出几个KDC的主机名字,如果有一个失效了,我们就可以选择一个新的主KDC,在它上面启动kadmin服务,从这个主的KDC传播到其他从的KDC。
我们现在创建一个xinetd服务定义, /etc/xinetd.d/kpropd;在我们的从KDC上,(重新)启动xinetd,在kdc.example.com转储数据库,然后传播它到从KDC上,那么他
们有一个初始化配置:
# /usr/sbin/kdb5_util dump /etc/krb5kdc/slavedump
# /usr/sbin/kprop -f /etc/krb5kdc/slavedump \
ldap.example.com
最后,当设置kdc.example.com数据库时,我们在每个从KDC上使用主KDC密钥创建了一个隐藏文件,然后启动kdc服务:
# /usr/sbin/kdb5_util stash
# /etc/init.d/mit-krb5kdc start
为了周期性地传播KDC数据库,我们在kdc.example.com上义了一个cron定时任务,感谢Jason Garman和O'Reilly出版的书籍:The Definitive Guide for the original cron job。
每小时运行一次这个脚本或从/etc/cron.hourly里进行定义,我们的Kerberos数据库现在已经安全地从主KDC复制到所有的从KDC中了,如果主KDC失效的话,我们可以切换到一个从KDC,这期间速度很快而且几乎没有数据丢失,现在我们正在传播Kerberos的改变,我们能增加从服务器到krb5.conf文件中将其作为有效的KDC。
| 共4页: 上一页 [1] 2 [3] [4] 下一页 | ||||||
|
|
· 提高警惕 勿让僵尸蚕食.. · NAC安全访问控制 · 测试Cisco NAC解决方案 · 企业如何进行计算机取.. · 发现新病毒 ntldr.exe .. · J0ker的CISSP之路:系.. |
· 安全专家浅谈面向业务.. · 双击电脑硬盘驱动器无.. · 虚拟化技术潜在的安全.. · 中小企业数据保护解决.. · 备份:保护虚拟机的关键 · 广东信息安全保护有新.. |
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · iSCSI应用与发展 · SQL Server 2008/2005.. · SOA 面向服务架构 · SQL Server 2008/2005.. · iSCSI应用与发展 · RAID——磁盘阵列基础 · 中间件应用技术专题 · SQL Server入门到精通 |
· 病毒查杀专题 · 国际文档格式标准开战 · Linux防火墙 · 路由器设置与口令恢复 · 打造安全服务器 · Sniffer安全技术从入门.. · SOA 面向服务架构 · ADSL应用面面俱到 |
|||
|
||||
| · iSCSI应用与发展 · 中间件应用技术专题 · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · iSCSI应用与发展 · RAID——磁盘阵列基础 · 身份认证技术 |
· 病毒查杀专题 · 清除流氓软件——51CTO.. · Sniffer安全技术从入门.. · 路由器设置与口令恢复 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · ADSL应用面面俱到 · ADSL应用面面俱到 |
|||
