dcsimg

使用Fedora目录服务器管理LDAP

红帽的免费软件后代拥有快速,可扩展的LDAP服务器,该服务器具有大量文档并易于进行ActiveDirectory集成。

 By 卡拉·施罗德
第页  |  返回第1页

如果您与易受攻击的流行词老板进行了对话,请举手:

PHB:“我们需要转向LDAP。”
长期忍受管理员:“到底是什么?”
PHB:“我们需要转向LDAP。”

因此,在我们探索Fedora目录服务器的奇迹之前,让我们为该问题提供一个有意义的答案。为什么要考虑使用LDAP?这里有一些不错的要点要考虑:

  • 您有很多相当静态的数据可以访问
  • 您想要以跨平台的面向未来的格式存储此数据
  • 您希望这些数据可用于许多不同的应用程序
  • 您的数据不需要完整的关系数据库,但可以很好地放在平面表中

这包括哪些数据?

  • 用户数据,如个人资料,首选项,电子邮件地址和登录名
  • 客户联络人
  • SSL证书
  • 资产追踪

也许您需要其他功能,例如超快的性能和单点登录身份验证。 LDAP已针对快速读取速度进行了优化,远快于任何其他类型的数据存储,并且非常适合跨平台的单点登录。是的,无论它不想多少,您都可以使Windows发挥出色。

什么是LDAP?
术语学徒对诸如“ LDAP数据库”之类的错误表达式一无所知,从而导致危险的高血压,所以让我们对学徒好一点,并使用正确的单词。 LDAP-轻型目录访问协议-是一种用于存储目录并从目录中检索信息的协议,对于OpenLDAP和Fedora Directory Services,该信息都存储在Berkeley DB中。我认为使用“ LDAP目录”作为快捷方式非常安全。

LDAP支持TCP / IP,并得到广泛支持。如今,找到不支持它的网络应用程序已经很不寻常了。这意味着您不需要特殊的客户端软件即可访问LDAP目录。

Fedora目录服务器
无论您的主要计算平台是什么,都有可能必须支持某种形式的LDAP。如果可以选择的话,请给Fedora目录服务器一个很好的外观。大概最常见的问题是“为什么要使用它?普通的旧OpenLDAP有什么问题?”没什么,真的,它能完成工作。只是一些粗糙的边缘–设置起来有点麻烦,文档不完整,而且GPL许可证不友好。它不具有Fedora目录服务器的所有功能,但是坚固且可靠。 FDS中提供的一些OpenLDAP中没有的功能包括:

  • 大量-实际上是几乎过多的文档
  • 友好的用户社区
  • 多原版复制
  • 可靠的热备份和还原
  • Active Directory用户和组的集成实用程序
  • 通过Mozilla NSS进行安全的身份验证和传输
  • 大多数更改不需要重新启动服务器
  • 漂亮的图形管理控制台
  • 基于HTTP的管理服务器

FDS可以从小型测试系统很好地扩展到大型企业系统,这对知道其历史的人来说并不奇怪。它最初以Netscape Directory Server(NDS)的形式出现,然后成为iPlanet Directory Server和SunONE目录服务器。您会发现所有这些原始LDAP服务器仍在使用中,可以轻松处理非常大的负载。引用FDS网站:“ Fedora目录服务器通过实际使用,功能全面,像女妖般的规模而得到加强,并且已经可以处理世界上许多最大的LDAP部署。”因此,您可以从FDS开始LDAP教育,并随着需求的增长而坚持下去。

多主复制是为大型部署而设计的。这允许最多四个相互同步的主服务器,以实现容错和速度。有些人认为多主复制会带来麻烦,并使您的数据处于危险之中。 (请参阅 常见问题解答)。您不必使用多个主机,因为FDS支持标准的主机/从机安排(如果您愿意,也可以使用主/从机)。

FDS使用NSS(网络安全服务)加密后端。这将替代FDS不支持的OpenSSL和GnuTLS。 NSS提供了一种用于中央加密证书管理的机制,这在当今已变得相当繁琐,因为似乎从字处理器到邮件和Web客户端到IRC / ICQ客户端再到远程访问实用程序的每个应用程序都支持证书。如果您已经拥有一批OpenSSL证书,并且不想重新生成整个作品,则NSS附带了一个实用程序,可将其转换为NSS友好格式。

FDS支持策略,这些策略可以全局应用,也可以根据需要进行微调。

就像OpenLDAP一样,FDS使用Sleepycat Software的Berkeley DB。如果您确实愿意,可以使用其他方法,但是我警告您这不是一件微不足道的工作。您可能必须编写自己的插件。

用户认证
网络管理员最大的梦想之一就是跨平台的单点登录身份验证,这并不是一场噩梦。在基于Unix的网络上–Linux,BSD,Mac OS X,商业Unix–不出汗。将Windows投入到冲泡器中,突然之间应该在所有地方都可以正常使用的基本操作变得非常肥胖。在FDS后端,令人讨厌的内容变得可以忍受。 Samba长期以来一直支持使用LDAP后端。如果您因为看起来太难而拒绝使用Samba + LDAP,请尝试使用FDS。 Samba的默认 tdbsam数据库不能很好地扩展到大型部署,并且维护重复的Samba / Unix用户帐户存储是无用的重复工作。并且不要忘记LDAP是通用网络后端,或者几乎是通用网络后端,因此一旦您弄清楚了它就能解决很多问题。

另一种选择是添加出色的 pGINA酿造。这将Windows登录管理器替换为其自己的登录管理器,该登录管理器允许Windows客户端针对您非常希望它们认证的任何服务器进行身份验证。因此,您无需Samba即可轻松地将一些Windows主机添加到Linux或Mac OS X 局域网。

让它走
下周,我们将构建一个简单的身份验证后端,该后端可以与Samba或您喜欢的任何其他方式一起使用。

资源资源
Fedora目录服务器 包含大量的指导和帮助
商业版 红帽目录服务器 也有据可查,与Fedora几乎没有区别
FDS的许可相当复杂。详细信息在这里:
FDS许可

添加到del.icio.us | DiggThis

本文最初于2006年7月26日发布
通过网络更新新闻获取最新消息