疯狂的企鹅系列 单点登录和企业目录（四）(4)

另一个使用LDAP的用途是，用它来给你的主机自动创建iptables规则。我们通过在LDAP中枚举主机上所有的服务和允许访问那些服务的网络来实现了这个目标：

dn: cn=login,ou=hosts,o=ci,dc=example,dc=com
objectClass: top
objectClass: ipHost
cn: login
ipHostNumber: 192.168.1.2

dn: cn=sshd,cn=login,ou=hosts,o=ci,dc=example,dc=com
objectClass: top
objectClass: ipService
cn: sshd
ipServicePort: 22
ipServiceProtocol: tcp
ipServiceProtocol: udp
description: SSH Daemon

dn: cn=all-local,cn=sshd,cn=login,ou=hosts,o=ci,
↪dc=example,dc=com
objectClass: top
objectClass: ipNetwork
cn: all-local
ipNetworkNumber: 192.168.1.0
ipNetmaskNumber: 255.255.255.0
description: Local Network

接下来，我们需要一些将穿越所有主机给我们每个主机产生iptables规则的东西，我已经编写了一个脚本create-iptables.sh【请看前面下载的压缩包】，它就能完成这个任务，它依赖几个Perl模块，我已经在资源部分列出来了，简单地说，它所做的就是，给每个主机拷贝一个前缀文件，这个文件有一些规则可以应用到所有主机，以及设置链表，接下来，它确认所有主机的ip允许连回到主机，然后，它遍历服务，为每个服务打开对应的端口，最后，它附加到默认的规则集后，默认的规则是丢弃所有数据包，所有脚本都放在iptables-scripts目录下，所有早先的脚本都保存在iptables-backups目录下，在运行这些脚本前你应该先创建这些目录，这些脚本可以放到合适的主机上运行，保持主机规则是最新的。
你可以容易地修改这个脚本来生成其他的内容，如/etc/hosts.allow和网络设备ACL，这种目录结构的另一个用途是为nmap或nessus生成自定义的扫描。

更多的LDAP用途

最后一个例子是给你的DHCP服务器生成一个dhcpd.conf文件，这个脚本要求在LDAP中的主机必须是ipHost和ieee802Device对象类的成员，并且要有它们的macAddress和指定了ipHostNumber属性，它不是一个非常成熟的脚本，它还不能确认一个主机的ip是否是有效的，它也不能处理由同一个DHCP服务器提供了多ip或多子网的主机。

这里有一个给ISC的DHCP服务器准备的补丁，打上它之后可以直接从LDAP获取信息，但是我建议你先等这个补丁被审核通过，并包括在主发布中，才在你的生产服务器上使用，对于那些好奇的人来说，我在资源部分提供了一个链接。

更多的应用程序直接包括了最LDAP的支持，或提供了一些补丁，这里有一个LDAP sbd后端为BIND9在LDAP中存储区域信息，sudo能从LDAP获取使用它的人的信息，但是，请记住，如果你想在你的组织中使用LDAP，需要一些新的属性或对象类，你可以联系IANA给你使用的属性分配OID。