Thứ sáu, 29/05/2015 | 00:00 GMT+7

Cách cấu hình OpenLDAP và thực hiện các tác vụ LDAP quản trị

Quản lý một hệ thống OpenLDAP có thể khó khăn nếu bạn không biết cách cấu hình hệ thống của bạn hoặc nơi tìm thông tin quan trọng mà bạn cần. Trong hướng dẫn này, ta sẽ trình bày cách truy vấn server OpenLDAP của bạn để biết thông tin quan trọng và cách áp dụng các thay đổi đối với hệ thống đang chạy của bạn.

Yêu cầu

Để bắt đầu, bạn phải có quyền truy cập vào hệ thống có cài đặt và cấu hình OpenLDAP. Bạn có thể tìm hiểu cách cài đặt server OpenLDAP tại đây . Bạn nên làm quen với thuật ngữ cơ bản được sử dụng khi làm việc với dịch vụ folder LDAP. Hướng dẫn này được dùng để làm quen với các chủ đề này.

Cấu hình OpenLDAP Online

Các hệ thống LDAP tổ chức dữ liệu mà chúng lưu trữ thành các cấu trúc phân cấp được gọi là Cây thông tin folder hoặc viết tắt là DIT . Bắt đầu từ version 2.3, cấu hình thực tế cho server OpenLDAP được quản lý trong một DIT đặc biệt, thường được root tại một mục có tên là cn=config .

Hệ thống cấu hình này được gọi là cấu hình trực tuyến OpenLDAP, hoặc OLC . Không giống như phương pháp cấu hình không dùng nữa, dựa vào việc đọc các file cấu hình khi dịch vụ khởi động, các sửa đổi được thực hiện đối với OLC được thực hiện ngay lập tức và thường không yêu cầu khởi động lại dịch vụ.

Hệ thống OLC sử dụng các phương pháp LDAP tiêu chuẩn để xác thực và thực hiện sửa đổi. Do đó, việc quản lý đối với các administrator LDAP dày dạn thường liền mạch, vì họ có thể sử dụng cùng kiến thức, kỹ năng và công cụ mà họ sử dụng để vận hành các DIT dữ liệu. Tuy nhiên, đối với những người mới sử dụng LDAP, có thể khó bắt đầu vì bạn có thể cần biết cách sử dụng các công cụ LDAP để cấu hình môi trường học tập.

Hướng dẫn này sẽ tập trung vào việc dạy bạn quản trị OpenLDAP cơ bản để vượt qua tình huống gà và trứng này để bạn có thể bắt đầu học LDAP và quản lý hệ thống của bạn .

Truy cập vào DSE root

Ta sẽ bắt đầu bằng cách nói về một cấu trúc được gọi là DSE root , là cấu trúc chứa tất cả các DIT riêng lẻ của server của ta . Về cơ bản, đây là một mục được sử dụng để quản lý tất cả các DIT mà server biết. Bằng cách bắt đầu từ mục này, ta có thể truy vấn server để xem nó được tổ chức như thế nào và tìm ra nơi tiếp theo.

DSE đại diện cho điều gì?
DSE là viết tắt của “DSA specific entry”, là một mục quản lý hoặc kiểm soát trong server LDAP. DSA là viết tắt của “directory system agent”, về cơ bản nghĩa là một server folder thực hiện giao thức LDAP.

Để truy vấn DSE root , ta phải thực hiện tìm kiếm với cơ sở tìm kiếm trống (null) và với phạm vi tìm kiếm là “cơ sở”. Phạm vi tìm kiếm cơ sở nghĩa là index nhập đã cho sẽ được trả về. Thông thường, điều này được sử dụng để giới hạn độ sâu của tìm kiếm, nhưng khi hoạt động trên DSE root , điều này là bắt buộc (sẽ không có thông tin nào được trả lại nếu bất kỳ phạm vi tìm kiếm nào khác được chọn).

Lệnh ta cần là:

  • ldapsearch -H ldap:// -x -s base -b "" -LLL "+"

Ta giả định bạn đang thực hiện việc này từ chính server LDAP và bạn chưa cài đặt bất kỳ hạn chế truy cập nào. Kết quả sẽ tương tự như sau:

Đầu ra DSE root
dn: structuralObjectClass: OpenLDAProotDSE configContext: cn=config namingContexts: dc=example,dc=com supportedControl: 2.16.840.1.113730.3.4.18  . . .  supportedLDAPVersion: 3 supportedSASLMechanisms: GS2-IAKERB supportedSASLMechanisms: GS2-KRB5 supportedSASLMechanisms: SCRAM-SHA-1 supportedSASLMechanisms: GSSAPI supportedSASLMechanisms: DIGEST-MD5 supportedSASLMechanisms: NTLM supportedSASLMechanisms: CRAM-MD5 entryDN: subschemaSubentry: cn=Subschema 

Ta đã cắt bớt kết quả một chút. Bạn có thể xem metadata quan trọng về server LDAP này. Ta sẽ trình bày một chút ý nghĩa của một số mục này. Bây giờ, ta sẽ xem xét lệnh tạo ra kết quả này.

Lệnh -H ldap:// được sử dụng để chỉ định một truy vấn LDAP không được mã hóa trên localhost. -x không có bất kỳ thông tin xác thực nào cho phép server biết bạn muốn một kết nối ẩn danh. Ta cho nó biết phạm vi tìm kiếm và đặt cơ sở tìm kiếm thành null với -s base -b "" . Ta loại bỏ một số kết quả không liên quan với -LLL . Cuối cùng, dấu "+" chỉ định rằng ta muốn xem các thuộc tính hoạt động thường bị ẩn (đây là nơi ta sẽ tìm thấy thông tin ta cần).

Tìm các DIT mà Server này Quản lý

Đối với mục đích của ta bây giờ, ta đang cố gắng tìm hiểu những DIT nào mà server LDAP cụ thể này được cấu hình để phục vụ. Ta có thể tìm thấy điều đó dưới dạng giá trị của thuộc tính hoạt động namingContexts mà ta có thể thấy trong kết quả ở trên.

Nếu đây là phần thông tin duy nhất ta muốn, ta có thể tạo một truy vấn tốt hơn trông giống như sau:

  • ldapsearch -H ldap:// -x -s base -b "" -LLL "namingContexts"

Ở đây, ta đã gọi ra thuộc tính chính xác mà ta muốn biết giá trị của nó. Mục nhập cơ sở của mỗi DIT trên server có sẵn thông qua thuộc tính namingContexts . Đây là một thuộc tính hoạt động thường sẽ bị ẩn, nhưng việc gọi nó ra một cách rõ ràng cho phép nó được trả về.

Điều này sẽ ngăn chặn các thông tin khác, cung cấp cho ta kết quả sạch sẽ như sau:

Tìm kiếm theo danh mục
dn: namingContexts: dc=example,dc=com 

Ta có thể thấy rằng server LDAP này chỉ có một DIT (không quản lý) được kế thừa từ một mục nhập có tên phân biệt (DN) là dc=example,dc=com . Có thể điều này sẽ trả về nhiều giá trị nếu server chịu trách nhiệm về các DIT bổ sung.

Tìm DIT cấu hình

DIT được dùng để cấu hình server OpenLDAP không được trả về bởi một tìm kiếm namingContexts . Thay vào đó, mục root của config DIT được lưu trữ trong một thuộc tính chuyên dụng gọi là configContext .

Để tìm hiểu DN cơ sở cho cấu hình DIT, bạn truy vấn thuộc tính cụ thể này, giống như ta đã làm trước đây:

  • ldapsearch -H ldap:// -x -s base -b "" -LLL "configContext"

Kết quả có thể sẽ là:

tìm kiếm configContext
dn: configContext: cn=config 

Cấu hình DIT dựa trên DN được gọi là cn=config . Vì có khả năng điều này khớp chính xác với cấu hình DIT của bạn, ta sẽ sử dụng điều này trong suốt hướng dẫn. Sửa đổi các lệnh đã cho nếu cấu hình DIT của bạn khác.

Truy cập DIT cấu hình

Bây giờ ta đã biết vị trí của cấu hình DIT, ta có thể truy vấn nó để xem cài đặt hiện tại. Để làm được điều này, ta thực sự cần phải phân biệt một chút so với định dạng mà ta đang sử dụng cho đến thời điểm này.

Vì DIT này được dùng để thay đổi cài đặt của hệ thống LDAP của ta , nó có một số kiểm soát truy cập tại chỗ. Theo mặc định, nó được cấu hình để cho phép quản trị user root hoặc sudo của HĐH.

Lệnh ta cần có dạng như sau:

  • sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q

Để thực hiện việc này, bạn cần sử dụng sudo trước lệnh và thay thế -x trong các lệnh ldapsearch trước đây của ta bằng -Y EXTERNAL để cho biết ta muốn sử dụng phương pháp xác thực SASL. Bạn cũng cần thay đổi giao thức từ ldap:// thành ldapi:// để thực hiện yêu cầu qua Unix socket. Điều này cho phép OpenLDAP xác minh user hệ điều hành, mà nó cần để đánh giá các thuộc tính kiểm soát truy cập. Sau đó, ta sử dụng mục nhập cn=config làm cơ sở cho tìm kiếm của ta .

Kết quả sẽ là một danh sách dài các cài đặt. Có thể hữu ích khi chuyển nó vào một máy nhắn tin để bạn có thể dễ dàng cuộn lên và xuống:

  • sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q | less

Bạn có thể thấy rằng có khá nhiều thông tin, có thể rất nhiều thứ để xử lý. Lệnh này được in ra khỏi toàn bộ cây cấu hình. Để hiểu rõ hơn về hệ thống phân cấp trong đó thông tin được tổ chức và lưu trữ, thay vào đó ta chỉ cần in ra các DN mục nhập khác nhau:

  • sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q dn

Đây sẽ là một danh sách dễ quản lý hơn nhiều, hiển thị bản thân các tiêu đề (DN) mục nhập thay vì toàn bộ nội dung của chúng:

cn = DN nhập cấu hình
dn: cn=config  dn: cn=module{0},cn=config  dn: cn=schema,cn=config  dn: cn={0}core,cn=schema,cn=config  dn: cn={1}cosine,cn=schema,cn=config  dn: cn={2}nis,cn=schema,cn=config  dn: cn={3}inetorgperson,cn=schema,cn=config  dn: olcBackend={0}hdb,cn=config  dn: olcDatabase={-1}frontend,cn=config  dn: olcDatabase={0}config,cn=config  dn: olcDatabase={1}hdb,cn=config 

Các mục này đại diện cho cấu hình phân cấp nơi các khu vực khác nhau của hệ thống LDAP được cấu hình. Hãy xem những cài đặt nào được xử lý bởi từng mục nhập sau:

Mục nhập cấp cao nhất chứa một số cài đặt chung sẽ áp dụng cho toàn bộ hệ thống (trừ khi bị overrides trong ngữ cảnh cụ thể hơn). Bạn có thể xem những gì được lưu trữ trong mục nhập này bằng lệnh :

  • sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q -s base

Các mục phổ biến trong phần này là cài đặt ủy quyền global , cài đặt chi tiết mức log , con trỏ đến vị trí file PID của quy trình và thông tin về xác thực SASL.

Các mục bên dưới cấu hình các khu vực cụ thể hơn của hệ thống. Hãy xem xét các loại mục nhập khác nhau mà bạn có thể thấy.

Tìm mục nhập của administrator

Đến đây bạn đã có quyền truy cập vào cn=config DIT, ta có thể tìm thấy rootDN của tất cả các DIT trên hệ thống. RootDN về cơ bản là mục nhập quản trị. Ta cũng có thể tìm thấy password (thường được băm) được dùng để đăng nhập vào account đó.

Để tìm rootDN cho từng DIT của bạn, hãy nhập:

  • sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" "(olcRootDN=*)" olcSuffix olcRootDN olcRootPW -LLL -Q

Bạn sẽ nhận được một bản in trông giống như sau:

Thông tin rootDN
dn: olcDatabase={1}hdb,cn=config olcSuffix: dc=example,dc=com olcRootDN: cn=admin,dc=example,dc=com olcRootPW: {SSHA}AOADkATWBqb0SJVbGhcIAYF+ePzQJmW+ 

Nếu hệ thống của bạn phân phát nhiều DIT, bạn sẽ thấy một khối cho mỗi DIT. Ở đây, ta có thể thấy rằng mục nhập quản trị của ta là cn=admin,dc=example,dc=com cho DIT dựa tại dc=example,dc=com . Ta cũng có thể thấy password được băm.

Xem thông tin schemas

Các schemas LDAP xác định các Lớp đối tượng và các thuộc tính có sẵn cho hệ thống. Các schemas có thể được thêm vào hệ thống trong thời gian chạy để cung cấp các loại đối tượng và thuộc tính khác nhau. Tuy nhiên, một số thuộc tính nhất định được tích hợp sẵn trong hệ thống.

Xem schemas dựng sẵn

Lược đồ tích hợp có thể được tìm thấy trong mục nhập cn=schema,cn=config . Bạn có thể xem schemas được tích hợp sẵn trong hệ thống LDAP bằng lệnh :

  • sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=schema,cn=config" -s base -LLL -Q | less

Điều này sẽ hiển thị cho bạn schemas có trong chính hệ thống OpenLDAP. Không giống như mọi schemas khác, schemas này không cần phải thêm vào hệ thống để sử dụng.

Xem schemas bổ sung

Lược đồ tích hợp cung cấp một điểm xuất phát tốt nhưng nó có thể sẽ không có mọi thứ bạn muốn sử dụng trong các mục nhập của bạn . Bạn có thể thêm schemas bổ sung vào hệ thống của bạn thông qua các phương pháp LDIF thông thường. Chúng sẽ có sẵn dưới dạng các mục nhập con bên dưới mục nhập cn=schema đại diện cho schemas được tích hợp sẵn.

Thông thường, chúng sẽ được đặt tên với một số trong ngoặc, theo sau là tên schemas như cn={0}core,cn=schema,cn=config . Số trong ngoặc biểu thị một chỉ số được sử dụng để xác định thứ tự mà schemas được đọc vào hệ thống. Điều này thường được thực hiện tự động bởi hệ thống khi chúng được thêm vào.

Để chỉ xem tên của schemas bổ sung được tải vào hệ thống, có thể chạy lệnh:

  • sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=schema,cn=config" -s one -Q -LLL dn

Đầu ra sẽ hiển thị tên của các mục con. Nó có thể trông giống như thế này, tùy thuộc vào những gì được tải vào hệ thống:

schemas bổ sung
dn: cn={0}core,cn=schema,cn=config  dn: cn={1}cosine,cn=schema,cn=config  dn: cn={2}nis,cn=schema,cn=config  dn: cn={3}inetorgperson,cn=schema,cn=config 

Bản thân schemas và số index được chỉ định có thể khác nhau. Bạn có thể xem nội dung của một schemas cụ thể bằng cách thực hiện tìm kiếm cơ sở và liệt kê schemas cụ thể mà bạn quan tâm. Ví dụ: nếu ta muốn xem schemas cn={3}inetorgperson được liệt kê ở trên, ta có thể nhập:

  • sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn={3}inetorgperson,cn=schema,cn=config" -s base -LLL -Q | less

Nếu bạn muốn in tất cả schemas bổ sung, hãy nhập:

  • sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=schema,cn=config" -s one -LLL -Q | less

Nếu bạn muốn in ra tất cả schemas , bao gồm cả schemas tích hợp, hãy sử dụng điều này thay thế:

  • sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=schema,cn=config" -LLL -Q | less

Cài đặt Mô-đun, Backend và Database

Một số lĩnh vực quan tâm khác trong cấu hình DIT là các module và các cài đặt công nghệ lưu trữ khác nhau.

Mô-đun

Các module được sử dụng để mở rộng chức năng của hệ thống OpenLDAP. Những mục này được sử dụng để trỏ đến và tải các module để sử dụng chức năng của chúng. Cấu hình thực tế được thực hiện thông qua các mục khác.

Các mục được sử dụng để tải module sẽ bắt đầu bằng cn=module{#} trong đó dấu ngoặc vuông chứa một số để sắp xếp tải các module và để phân biệt giữa các mục nhập khác nhau.

Bạn có thể xem các module được tải động trên hệ thống bằng lệnh :

  • sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q "objectClass=olcModuleList"

Bạn sẽ thấy các module hiện đang được tải vào hệ thống:

module đã tải
dn: cn=module{0},cn=config objectClass: olcModuleList cn: module{0} olcModulePath: /usr/lib/ldap olcModuleLoad: {0}back_hdb 

Ví dụ cụ thể này chỉ có một module duy nhất cho phép ta sử dụng module backend hdb .

Backend

Các mục backend được sử dụng để chỉ định công nghệ lưu trữ sẽ thực sự xử lý việc lưu trữ dữ liệu.

Để xem phần backend nào đang hoạt động cho hệ thống của bạn, hãy nhập:

  • sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q "objectClass=olcBackendConfig"

Kết quả sẽ cung cấp cho bạn một ý tưởng về công nghệ lưu trữ đang được sử dụng. Nó có thể trông giống như sau:

OpenLDAP hoạt động backend
dn: olcBackend={0}hdb,cn=config objectClass: olcBackendConfig olcBackend: {0}hdb 

Database

Cấu hình thực tế của các hệ thống lưu trữ này được thực hiện trong các mục database riêng biệt. Cần có một mục nhập database cho mỗi DIT mà hệ thống OpenLDAP phục vụ. Các thuộc tính có sẵn sẽ phụ thuộc vào phần backend được sử dụng cho từng database .

Để xem tất cả tên của các mục nhập database trên hệ thống, hãy nhập:

  • sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "cn=config" -LLL -Q "olcDatabase=*" dn

Bạn sẽ thấy DN của các mục nhập database :

mục database
dn: olcDatabase={-1}frontend,cn=config  dn: olcDatabase={0}config,cn=config  dn: olcDatabase={1}hdb,cn=config 

Hãy thảo luận một chút về những gì mỗi cái này được sử dụng cho:

  • olcDatabase={-1}frontend,cn=config : Mục nhập này được sử dụng để xác định các tính năng của database “frontend” đặc biệt. Đây là database giả được sử dụng để xác định cài đặt chung sẽ áp dụng cho tất cả các database khác (trừ khi bị overrides ).
  • olcDatabase={0}config,cn=config : Mục nhập này được sử dụng để xác định cài đặt cho database cn=config mà ta đang sử dụng. Hầu hết thời gian, đây sẽ chủ yếu là cài đặt kiểm soát truy cập, cấu hình sao chép, v.v.
  • olcDatabase={1}hdb,cn=config : Mục nhập này xác định cài đặt cho database thuộc loại được chỉ định ( hdb trong trường hợp này). Những điều này thường sẽ xác định các điều khiển truy cập, chi tiết về cách dữ liệu sẽ được lưu trữ, lưu trong bộ nhớ cache và vào cache cũng như mục nhập root và chi tiết quản trị của DIT.

Các số trong ngoặc biểu thị một giá trị index . Chúng chủ yếu được tạo tự động bởi hệ thống. Bạn sẽ phải thay thế giá trị đã cho vào mục nhập để tham chiếu thành công.

Bạn có thể xem nội dung của bất kỳ mục nào trong số này bằng lệnh :

  • sudo ldapsearch -H ldapi:// -Y EXTERNAL -b "entry_to_view" -LLL -Q -s base | less

Sử dụng các DN mục nhập được trả về từ lệnh trước đó để điền vào trường entry_to_view .

In các thuộc tính hoạt động của mục nhập (siêu dữ liệu)

Lúc này, ta chủ yếu làm việc với cn=config DIT. Phần còn lại của hướng dẫn này cũng sẽ được áp dụng cho các DIT thông thường.

Mỗi mục nhập có các thuộc tính hoạt động hoạt động như metadata quản trị. Chúng có thể được truy cập trong bất kỳ DIT nào để tìm hiểu thông tin quan trọng về mục nhập.

Để in ra tất cả các thuộc tính hoạt động cho một mục nhập, bạn có thể chỉ định thuộc tính “+” đặc biệt sau mục nhập. Ví dụ: để in ra các thuộc tính hoạt động của một mục nhập tại dc=example,dc=com , ta có thể nhập:

  • ldapsearch -H ldap:// -x -s base -b "dc=example,dc=com" -LLL "+"

Thao tác này sẽ in ra tất cả các thuộc tính hoạt động. Nó có thể trông giống như thế này:

[list operational attributes] dn: dc=example,dc=com structuralObjectClass: organization entryUUID: cdc658a2-8c3c-1034-8645-e30b83a2e38d creatorsName: cn=admin,dc=example,dc=com createTimestamp: 20150511151904Z entryCSN: 20150511151904.220840Z#000000#000#000000 modifiersName: cn=admin,dc=example,dc=com modifyTimestamp: 20150511151904Z entryDN: dc=example,dc=com subschemaSubentry: cn=Subschema hasSubordinates: TRUE 

Điều này có thể hữu ích để xem ai đã sửa đổi hoặc tạo một mục nhập vào thời điểm nào, trong số những thứ khác.

Làm việc với subchema

Các subchema là một đại diện của các lớp và thuộc tính có sẵn. Nó hiển thị thông tin tương tự như các mục schemas trong cn=config DIT, với một số thông tin bổ sung. Điều này có sẵn thông qua các DIT thông thường, không cấu hình, vì vậy không cần quyền truy cập root.

Tìm địa chỉ con

Để tìm địa chỉ con cho một mục nhập, bạn có thể truy vấn tất cả các thuộc tính hoạt động của một mục nhập, như ta đã làm ở trên hoặc bạn có thể yêu cầu thuộc tính cụ thể xác định địa chỉ con cho mục nhập ( subschemaSubentry ):

  • ldapsearch -H ldap:// -x -s base -b "dc=example,dc=com" -LLL subschemaSubentry

Thao tác này sẽ in ra mục nhập danh mục phụ được liên kết với mục nhập hiện tại:

[list subchema entry] dn: dc=chilidonuts,dc=tk subschemaSubentry: cn=Subschema 

Mọi mục nhập trong một cây thường chia sẻ cùng một địa chỉ con, vì vậy bạn thường sẽ không phải truy vấn điều này cho từng mục nhập.

Hiển thị địa chỉ con

Để xem nội dung của mục nhập khí quản con, ta cần truy vấn mục nhập khí quản con mà ta đã tìm thấy ở trên với phạm vi “cơ sở”. Tất cả thông tin quan trọng được lưu trữ trong các thuộc tính hoạt động, vì vậy ta sẽ phải sử dụng lại bộ chọn “+” đặc biệt.

Lệnh ta cần là:

  • ldapsearch -H ldap:// -x -s base -b "<^>cn=subschema" -LLL "+" | less

Thao tác này sẽ in ra toàn bộ mục nhập của danh mục phụ. Ta có thể lọc dựa trên loại thông tin mà ta đang tìm kiếm.

Nếu bạn muốn xem định nghĩa cú pháp LDAP, bạn có thể lọc bằng lệnh :

  • ldapsearch -H ldap:// -x -s base -b "cn=subschema" -LLL ldapSyntaxes | less

Nếu bạn muốn xem các định nghĩa kiểm soát cách xử lý tìm kiếm để trùng với các mục nhập, hãy nhập:

  • ldapsearch -H ldap:// -x -s base -b "cn=subschema" -LLL matchingRules | less

Để xem các mục nào mà các luật đối sánh được dùng để đối sánh, hãy nhập:

  • ldapsearch -H ldap:// -x -s base -b "cn=subschema" -LLL matchingRuleUse | less

Để xem các định nghĩa cho các loại thuộc tính có sẵn, hãy sử dụng:

  • ldapsearch -H ldap:// -x -s base -b "cn=subschema" -LLL attributeTypes | less

Để xem các định nghĩa của objectClass, hãy nhập:

  • ldapsearch -H ldap:// -x -s base -b "cn=subschema" -LLL objectClasses | less

Kết luận

Mặc dù việc vận hành một server OpenLDAP thoạt đầu có vẻ phức tạp, nhưng việc tìm hiểu cấu hình DIT và cách tìm metadata trong hệ thống có thể giúp bạn bắt đầu chạy. Việc sửa đổi cn=config DIT với các file LDIF có thể ảnh hưởng ngay đến hệ thống đang chạy. Ngoài ra, cấu hình hệ thống thông qua DIT cho phép bạn có khả năng cài đặt quản trị từ xa chỉ bằng các công cụ LDAP. Điều này nghĩa là bạn có thể tách quản trị LDAP khỏi quản trị server .


Tags:

Các tin liên quan