Вопросы Теги

При установке OpenLDAP впервые, что состоят в том, чтобы иметь в виду некоторые вещи?

Спасибо за парней ответов.

Моя цель здесь состоит в том, чтобы понять, почему скачки в графике являются регулярными и цикличными, и затем заставляют их остановиться. Они входят в медленной струйке (приблизительно 5 за один раз). Я понимаю, что соединения TCP перестали работать по той или иной причине, но существует, очевидно, что-то в движении из-за их регулярности. Я подозреваю задание крона где-нибудь, неверную конфигурацию подсистемы балансировки нагрузки или устройство мониторинга как преступник.

Я решил проявить подход UTSL, и вот то, где я в до сих пор:

netstat-s добирается, это - статистика от/proc/net/snmp.

Отлично. Таким образом, ядро обновляет счетчик SNMP каждый раз, когда существует неудавшаяся попытка подключения.

То, что я хотел бы выполнить, является каждым разом, когда существует неудавшееся соединение, к не только обновляет этот счетчик, но и также зарегистрировать "отказавшую попытку подключения от $foo IP на уровне $timestamp"

Так же..., что квалифицирует как неудавшаяся попытка подключения?

исходные власти ядра загрузок вокруг приходят к заключению, что счетчик, который я ищу, является TCP_MIB_ATTEMPTFAILS

держа через 2.6.18 исходных деревьев, я нашел два места, где на это ссылаются:

./net/ipv4/tcp_minisocks.c:

453 struct sock *tcp_check_req(struct sock *sk,struct sk_buff *skb,
454                            struct request_sock *req,
455                            struct request_sock **prev)
456 {

592                 if (flg & (TCP_FLAG_RST|TCP_FLAG_SYN)) {
593                         TCP_INC_STATS_BH(TCP_MIB_ATTEMPTFAILS);
594                         goto embryonic_reset;
595                 }

640 }

... и, include/net/tcp.h

915 static inline void tcp_done(struct sock *sk)
916 {
917         if(sk->sk_state == TCP_SYN_SENT || sk->sk_state == TCP_SYN_RECV)
918                 TCP_INC_STATS_BH(TCP_MIB_ATTEMPTFAILS);
919 
920         tcp_set_state(sk, TCP_CLOSE);
921         tcp_clear_xmit_timers(sk);
922 
923         sk->sk_shutdown = SHUTDOWN_MASK;
924 
925         if (!sock_flag(sk, SOCK_DEAD))
926                 sk->sk_state_change(sk);
927         else
928                 inet_csk_destroy_sock(sk);
929 }

Я немного удивлен, что это только два условия, которые генерируют встречное обновление, но безотносительно.

Первый блок кажется довольно очевидным. "Если Вы видите пакет TCP и с RST и с набором флагов SYN, обновляете счетчик TCP_MIB_ATTEMPTFAILS и сбрасываете соединение".

В попытке поймать их, я вставил следующие правила iptables

iptables -A INPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG
iptables -A OUTPUT -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j LOG

ожидает …..ничего. = (

Второй блок является немного более таинственным, но я собираюсь предположить и предположить, что это означает, "обновляют счетчик TCP_MIB_ATTEMPTFAILS, если сокет находится в определенном состоянии при разъединении его"

Это, я понятия не имею, как протестировать на это.

Мои вопросы, теперь: 1) Я неправильно истолковываю этот график так или иначе? 2) Я на правильном пути? 3) За исключением записи модуля ядра (который я не, где почти достаточно квалифицированный, чтобы сделать), как я могу выполнить свою цель входа?

Спасибо

- s

5
задан 21 December 2011 в 23:15
3 ответа

Неполный список в произвольном порядке:

  • Используйте cn = config (см. man slapd-config ).
  • Установить Мастер-Мастер репликация в вашем ядре.
  • Всегда используйте какое-либо шифрование для аутентификации.
  • LDAPS (порт 636) не рекомендуется в пользу STARTTLS для LDAP.
  • SASL-GSSAPI и SASL-EXTERNAL полезны, если вам не нравится вводить пароли. лот.
  • Отключите механизм SASL, который вы не поддерживаете.
  • Не используйте корневой DN, когда вам не нужно.
  • Обратите внимание на ваши ACL (например, пользователи не должны иметь права на запись в uidNumber и gidNumber ).
  • ldapseach -x -H $ URI - это анонимный поиск. ( ldapwhoami -x -H $ URI ).
  • Ограниченные локальные реплики могут быть намного лучше, чем nscd (самостоятельный доступ через ldapi: /// ).
  • Overlay memberof очень удобен для членство в группе.

Вероятно, важно:
Изучите документацию . Это не все, что вам нужно, но, безусловно, помогает.

6
ответ дан 3 December 2019 в 01:04

Этот вопрос слишком общий, чтобы ответить на него, и любой ответ будет сильно зависеть от вашей среды.

Некоторые вещи , которые я мог бы рассмотреть, следующие:

  • Имеет ли Имеет ли смысл LDAP в качестве системы аутентификации?
    • Если нет, что может быть лучше?
  • Имеет ли смысл LDAP в качестве системы авторизации?
    (авторизация будет выглядеть как sudoers )
    • Если нет, что может быть лучше ?
  • Какая безопасность имеет смысл?
    • SSL? (почти наверняка)
    • Kerberos? (Все ли это поддерживает? Будет ли все поддерживать это в будущем?)
    • Что насчет безопасности в самом LDAP (ACL)
      • Права доступа к объекту / поддереву
      • Доступен для просмотра / поиска ... (любой (анонимный), зарегистрированный пользователь, администратор и т. Д.)
      • Как пользователи изменят свой пароль?
  • Как мы получим отдельные рабочие станции уважают информацию LDAP?
    • pam_ldap / nss_ldap? (старый и неработающий, но работает)
    • pam_ldapd (новая актуальность: меньше соединений LDAP, другие преимущества, но некоторые нереализованные функции)
  • Придется ли нам взаимодействовать с Windows - КОГДА-ЛИБО ?
    (Если вы скажете здесь «да», вам действительно нужно использовать AD в качестве сервера LDAP)
2
ответ дан 3 December 2019 в 01:04

Библиотеки SSL

Пакет Debian (и, следовательно, Ubuntu) OpenLDAP скомпилирован с использованием gnuTLS вместо OpenSSL. Это нормально для игры, но gnuTLS значительно медленнее в нашей сети. Я всегда перестраиваю пакет Ubuntu, скомпилированный для OpenSSL.

Другие дистрибутивы могут делать то же самое или отличаться.

Kerberos

Kerberos действительно не кажется полезным в моей среде (~ 200 рабочих станций Linux, ~ 40 Mac, nfs серверы, imap, smtp, веб-сервер). Ни одно из наших стандартных клиентских приложений не поддерживает аутентификацию Kerberos (Firefox, Thunderbird). Он будет просто использоваться на уровне хоста для NFS и как модуль PAM для аутентификации. Я думаю, что SSL может так же хорошо хранить пароли в секрете.

Если вы действительно используете kerberos, вы должны использовать Heimdal для интеграции с оверлеем OpenLDAP smbk5pwd.

Клиентские библиотеки

Библиотека по умолчанию для nss от PADL немного раздута и неудобна. Я рекомендую вам попробовать SSS или nss-pam-ldapd. Оба они очень хорошо работают в моей среде.

SSS делает гораздо больше, чем библиотеки PADL. Он включает в себя кеширование, поэтому вам не нужен nscd.

nss-pam-ldapd - это переработанная библиотека PADL, сделанная для более эффективной работы.

Управление вашими данными

Я большой поклонник phpLDAPAdmin . Это упрощает просмотр ваших схем и изменение отдельных записей.

Другие серверы LDAP

Они могут быть медленнее, но у них есть более продвинутые функции.

Вы можете попробовать ApacheDS, так как он имеет встроенный Kerberos.

Оба они очень хорошо работают в моей среде.

SSS делает гораздо больше, чем библиотеки PADL. Он включает в себя кеширование, поэтому вам не нужен nscd.

nss-pam-ldapd - это переработанная библиотека PADL, сделанная для более эффективной работы.

Управление вашими данными

Я большой поклонник phpLDAPAdmin . Это упрощает просмотр ваших схем и изменение отдельных записей.

Другие серверы LDAP

Они могут быть медленнее, но у них есть более продвинутые функции.

Вы можете попробовать ApacheDS, так как он имеет встроенный Kerberos.

Оба они очень хорошо работают в моей среде.

SSS делает гораздо больше, чем библиотеки PADL. Он включает в себя кеширование, поэтому вам не нужен nscd.

nss-pam-ldapd - это переработанная библиотека PADL, сделанная для более эффективной работы.

Управление вашими данными

Я большой поклонник phpLDAPAdmin . Это упрощает просмотр ваших схем и изменение отдельных записей.

Другие серверы LDAP

Они могут быть медленнее, но у них есть более продвинутые функции.

Вы можете попробовать ApacheDS, так как он имеет встроенный Kerberos.

Управление вашими данными

Я большой поклонник phpLDAPAdmin . Это упрощает просмотр ваших схем и изменение отдельных записей.

Другие серверы LDAP

Они могут быть медленнее, но у них есть более продвинутые функции.

Вы можете попробовать ApacheDS, так как он имеет встроенный Kerberos.

Управление вашими данными

Я большой поклонник phpLDAPAdmin . Это упрощает просмотр ваших схем и изменение отдельных записей.

Другие серверы LDAP

Они могут быть медленнее, но у них есть более продвинутые функции.

Вы можете попробовать ApacheDS, так как он имеет встроенный Kerberos.

4
ответ дан 3 December 2019 в 01:04

Теги

Похожие вопросы