- 浏览: 181631 次
- 性别:
- 来自: 深圳
文章分类
最新评论
-
Errorize:
一个用servlet实现导出csv文件的实例 -
wendellhu:
求monkey talk应用文档的解压密码
monkey talk应用文档 -
wendellhu:
加密的?
monkey talk应用文档 -
hugang357:
hslh22 写道不错的资源,可以使用,只是没有最大最小值的限 ...
数字微调输入框 -
hslh22:
不错的资源,可以使用,只是没有最大最小值的限制,需要自己去加逻 ...
数字微调输入框
1. 开启日志功能
启用日志功能,需要在编译时指定--enable-debug 选项,默认是允许的。要打开slapd的日志功能,需要在slapd.conf中的全局配置段添加loglevel指令,并后跟一个十进制数字表示的日志级别,如下所示:
# Added logging parameters
loglevel 256
其日志级别如下所示:
-1 记录所有的信息
0 不记录debug
1 跟踪功能调用的信息
2 包处理的debug信息
4 丰富的debug信息
8 连接管理信息
16 包的收发信息
32 搜索过滤的处理过程
64 配置文件的处理过程
128 访问控制列表处理过程
256 连接、操作及其结果的统计数据
512 向客户端返回的结果的统计信息
1024 与shell后端的通信信息
2048 显示记录条目的分析信息
4096 数据库缓存处理信息
8192 数据库索引
16384 从服务器数据同步资源消耗处理信息
若要记录所有的debug日志,可以使用LOG_LEVEL4 syslogd系统日志来记录,这需要在slapd.conf中添加如下语句实现:
local4.debug /var/log/slapd.log
2. 为BDB后端数据库实例指定在内存中的缓存空间大小
在如下句子后
DBDirectory: /usr/local/openldap/var/openldap-data
后添加:
DBCachesize: 2000
3. 访问控制列表:
3.1 语法
access to <what>[by <who> <access> <control>]+
其中,access to指示启用访问控制,上句大致可以理解为:
access to <对什么目标进行控制>[by <作用于哪些访问者> <授予什么样的访问权限><采取什么样的匹配控制动作>]+
3.2 剖析
3.2.1 控制目标<what>
这一域主要是实现对ACL应用对象的指定,对象可以是记录和属性。选择ACL目标记录的方法一般有两种:DN和filter,语法为:
<what> ::= * |
[dn[.<basic-style>]=<regex> | dn.<scope-style>=<DN>]
[filter=<ldapfilter>] [attrs=<attrlist>]
3.2.1.1 指定所有的记录
access to *
3.2.1.2 通过DN指定
语法如下:
to dn[.<basic-style>]=<regex>
<basic-style> ::= regex | exact to dn.<scope-style>=<DN>
<scope-style> ::= base | one | subtree | children
第一种方法是使用正则表达式(dn.regex)或精确匹配(dn.style)的方式来匹配符合条件的记录(这个好像不像想象的那么简单,实现起来颇为费脑筋),例如:
access to dn="^.*,uid=([^,]+),ou=users,(.*)$"
第二种方法通过“区域”选择的方法进行目标记录的选取,对以指定的DN开始的目录树区域进行目标记录匹配。匹配区域的方式共有四种:
base 只匹配DN本身一条记录
one 匹配以给定DN为父目录的所有记录
subtree 匹配以给定DN为根目录的所有子树内的记录
children 匹配给定DN下的所有记录,但应该不包括以DN直接命名的那条记录(参见例子的解释)
例如:对于
0: dc=mydomain,dc=org
1: cn=root,dc=mydomain,dc=org
2: ou=users,dc=mydomain,dc=org
3: uid=samba,ou=users,dc=mydomain,dc=org
4: cn=Administator,uid=samba,ou=users,dc=mydomain,dc=org
5: uid=guest,ou=users,dc=mydomain,dc=org
规则 dn.base="ou=users,dc=mydomain,dc=org" 只会匹配记录2
规则 dn.one="ou=users,dc=mydomain,dc=org" 匹配记录3和记录5,记录4是记录3的子目录,故不算在内
规则 dn.subtree="ou=users,dc=mydomain,dc=org" 匹配记录2、3、4、5
规则 dn.children="ou=users,dc=mydomain,dc=org" 匹配记录3、4、5,因为记录0、1和2都是以DN直接命名的,故不匹配
3.2.1.3 通过filter匹配记录
通过filter指定过滤规则进行记录过虑,语法如下:
access to filter=<ldap filter>
其中filter指定的为search的过滤规则,这类同于linux系统中grep的匹配方式。如:
access to filter=(objectClass=sambaSamAccount)
也可以结合使用DN和filter进行记录的匹配,例如:
access to dn.subtree="ou=users,dc=mydomain,dc=org" filter=(objectClass=posixAccount)
3.2.1.4 通过attrs选取匹配记录
语法:
attrs=<attribute list>
例如:
access to attrs=uid,uidNumber,gidNumber
也可以结合使用DN和attrs进行记录的匹配,例如:
access to dn.subtree="ou=users,dc=mydomain,dc=org" attrs=uid
3.2.2 被用来授权的访问者<who>的指定
指定被授权的用户范围的方法大致有以下几种:
* 所有的访问者,包括匿名的用户
anonymous 非认证的匿名用户
users 认证的用户
self 目标记录的用户自身
dn[.<basic-style>]=<regex> 在指定目录内匹配正则表达式的用户
dn.<scope-style>=<DN> 指定DN内的用户
例如:
by dn.subtree="ou=users,dc=domain,dc=org"="^samba*"
3.2.3 被授予的权限<access>
当选取好ACL作用的目标记录并选取好用户范围后,就该给这些用户授予他们应该得到的权限了。大致的权限(由低到高)有以下几类:
none 无权限,即拒绝访问
auth 访问bind(认证)设置的权限;前提是需要用户提交一个DN形式的用户名并能通过认证
compare 比较属性的权限;(例如:对照查看某用户的telephoneNumber值是不是158 8888 8888),但并不具有搜索的权限
search 利用过虑条件进行搜索的权限,但这并不一定具有可读取搜索结果的权限
read 读取搜索结果的权限
write 更改记录属性值的权限
可以在slapd.conf文件中通过defaultaccess指定默认的权限级别,如:
defaultaccess search
3.2.4 采取什么样的匹配控制动作<control>
在进行记录的匹配时,如果有多条规则存在,那么在第一次匹配产生后是否还进行后续的匹配或采取其它的动作将取决于此项的设置;控制方式共有以下三种:
stop 这个是默认值,这表示在一次匹配产生后将不再进行下一个匹配,所有后续的匹配将会停止。
continue 无论匹配是否已经发生,继续进行直到所有的规则全部进行完匹配检查
break 一个匹配发生后,跳出当前的子句进行后一个子句的检查
3.2.5 一个例子
access to dn.chilren="ou=users,dc=mydomain,dc=org"
attrs=userPassword #指定“密码”属性
by self write #用户自己可更改
by * auth #所有访问者需要通过认证
by dn.children="ou=admins,dc=mydomain,dc=org" write #管理员组的用户可更改
发表评论
-
12hh
2013-06-07 09:35 746fdgtg -
百度只剩1
2012-03-22 00:10 0附件 -
Timer与TimerTask入门
2011-05-24 22:52 829Java2的开发包中提供了 ... -
Timer与TimerTask实例
2011-05-24 22:51 1351今天看了一下Timer与TimerTask的用法并且在网上 ... -
web应用每晚12点定时执行程序代码实例
2011-05-24 22:50 19981、当前web应用的web.xml文件配置容器监听类com ... -
Tomcat java 定时任务
2011-05-24 22:49 1169如何在Web工程中实现任 ... -
Java定时器在Web中的应用
2011-05-24 22:46 903本文实例的最终功能是每天某个时间点(如每晚22点)执行某一功能 ... -
java 导出成.csv文件的乱码问题
2011-05-19 23:54 2529已经解决因为所有页面都是用UTF-8的编码方式。本以为这 ... -
一个用servlet实现导出csv文件的实例
2011-05-19 23:49 3191Java采用反射导出CSV文件替代导出Excel p ... -
Google分页的经典案例
2011-05-05 22:26 758上一页 [1][2][3][4][5][6] ... -
Google分页的经典案例
2011-05-05 22:25 9171 、创建 Page 类, pack ... -
网络管理:openldap详解
2011-04-27 22:45 1063简介 LDAP是轻量目录 ... -
openldap的配置手册
2011-04-27 22:44 893最近一直在安装opneldap-2 ... -
OpenLDAP主配置文件slapd.conf介绍
2011-04-27 22:41 1167安全起见,slapd.conf文件应该只让运行此进程的用户可读 ... -
定制你的LDAP目录的Schema
2011-04-27 22:38 1209(http://www.infoxa.com/asp/tech ... -
ubuntu 8.04上openldap的安装和使用
2011-04-27 22:36 10201、安装openldap。$ sudo apt-get ins ... -
ubuntu上部署OpenLDAP
2011-04-27 22:34 1700原文地址:https://help.ubuntu.com/co ... -
OpenLDAP中 Schema的详细介绍
2011-04-27 22:33 3072本章讲述了如何扩展用户使用的schema。本章假设阅读者已经熟 ... -
第一个JFreeChart实例
2011-01-21 00:12 2518JFreeChart的使用非常简单,我们只需要提供满 ... -
JFreeChart简介及下载、配置
2011-01-21 00:00 1725JFreeChart简介 JFreeChart是 ...
相关推荐
OpenLDAP的slapd.conf文件
用于配置LDAP
This paper presents an efficient heuristic block-loading algorithm based on multi-layer search for the three-dimensional container loading problem. First, a basic heuristic block-loading algorithm is ...
配置文件一般位于/etc/openldap/slapd.conf或/etc/ldap/slapd.d/目录中,具体取决于您的OpenLDAP版本。 创建LDAP数据库:使用slapd服务配置文件中的相关指令,创建一个LDAP数据库(也称为BDB、HDB、MDB等)来存储和...
学习CATIA必备啊
此脚本使用转换为 cn=config 格式的示例 slapd.conf (sample-slapd.conf)。 脚本使用 OpenLDAP 2.4 提供的“cn=config”功能通过 LDAP 操作设置后缀。 它目前配置如下为后缀创建 bdb 后端提供证书时配置 TLS 在 ...
启用和配置 memberof 和 refint 覆盖(请参阅包含的示例 slapd.conf) 设置适当的访问控制列表; adminldap 使用两阶段绑定过程。 用户必须通过 HTTP 身份验证登录。 首先,它使用 BIND_DN 和 BIND_PW(默认为匿名...
一个OpenLDAP叠加层,可以在您添加,更改或删除指定组织单位中的条目时启动脚本。 可以在slapd.conf文件或cn = config dn中配置脚本名称和组织单位。
进入【/etc/ldap】目录编辑ldap.conf文件: 主要就是添加最后那四行,【rootpw {SSHA}.....】就是刚才执行【slapdpasswd】命令生成的经过加密的密码: 服务器搭建之十四LDAP服务器全文共5页,当前为第2页。...
Dockerized 独立 LDAP 守护进程与主管一起运行。 我发现有时我需要一个 LDAP 测试实例来测试我正在制作的应用程序,因此我... LDAP BASE 和 URI 在 config_files/ldap.conf 中设置。 要构建容器: docker build -t
这比直接将文件直接写入slapd.d数据库更为可取。 本质上,它使用的机制描述如下: 将人偶“ ldapdn”资源转换为内存中的ldif ldapsearch现有dn以验证当前内容(如果有) 将搜索结果与实际情况进行比较 找出需要...
LDAP mangle id编写为与sssd一起使用,以便允许强制执行uid和gid值的不同范围,这是具有重叠uid / gid值的多域sssd配置所必需的(请参阅sssd.conf中的min_id / max_id)。 代码 ldap-mangle-id使用Net :: LDAP模块用...
389-ds-base-libs-1.2.11.15-11.el6.i686.rpm ,Linux安装包
1.使用yum命令安装openldap #命令安装openldap yum -y install openldap-servers openldap-clients #复制 cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG #设置权限 chown -R ldap:...
slapd-cyrus是一个slapd后端,用于将LDAP DIT转换为Cyrus IMAP服务器配置。 它可以管理用户文件夹,共享文件夹和共享文件夹的ACL。
openldap从属AD OpenLDAP的初始配置,以使用Ubuntu 18.04 TLS将AD DIT粘贴为OpenLDAP DIT中的后缀安装OpenLDAP:#apt-get install slapd ldap-utils -y 在启动时启用OpenLDAP:#systemctl enable slapd 通过重写...
直接照搬操作,实现在debian服务器上成功搭建ldap服务器,搭建时一些注意实现都有红色字体表明。
活动目录示例,如ApacheDS,OpenDS,OpenDJ和slapd,使用诸如jxplorer之类的工具 问-LDAP的同义词是什么? 一种 - Q-给它一些暗示 一种 - 问-什么是CN,DS,OpenDj,Slapd? 一种 - 问-什么是RDN,DN,OU,CN,DC...
今天收到RHCE的证书,内心自然欣喜了一会了。为了纪念这一历史时刻,我决定把自己平时...另外,值得一提的是LDAP服务器了,在CentOS中使用的是slapd这个软件,配置有点复杂啦,当时把ldap部署起来,足足折腾了2、3天。
Configuration Set up admin password A window wil show. There you need to input LDAP admin password...Answer all the questions and then reconfigure slapd in order to have dpkg ask us a few more questions.