首次设置 OpenLDAP 时，需要注意哪些事项？

Question

我正在阅读文档并设置 OpenLDAP 以处理整个网络的身份验证，包括电子邮件、Web 服务、用户帐户以及我可以投入的任何其他内容。它不会是什么超级大的东西，但我希望它有现场感，因为我是在我的家庭实验室里做的。

在设置 OpenLDAP 时，有哪些值得牢记的好事情或确保我永远记住的事情？我应该确保我总是通过 SSL 旅行吗？我应该使用 Kerbeos 吗？记住任何事情都将不胜感激。

Answer 1

没有特定顺序的部分列表：

• 使用cn=config（见man slapd-config）。
• 在您的核心设置主-主复制。
• 始终使用某种加密进行身份验证。
• 不推荐使用 LDAPS（端口 636）以支持 LDAP 的 STARTTLS。
• 如果您不太喜欢输入密码，SASL-GSSAPI 和 SASL-EXTERNAL 会很有用。
• 禁用您不支持的 SASL 机制。
• 非必要时不要使用根 DN。
• 注意您的 ACL（例如，用户不应具有对uidNumber和 的写访问权限gidNumber）。
• ldapseach -x -H $URI是匿名搜索。( ldapwhoami -x -H $URI).
• 有限的本地副本可能比nscd（通过 自我访问ldapi:///）要好得多。
• 叠加memberof对于组成员身份非常方便。

可能很重要：
了解文档。这不是你需要的一切，但它肯定有帮助。