Fedora项目的389目录服务器是一种高级的、完整的开源LDAP(轻量级目录访问协议)服务器,可以满足企业对流行的商业解决方案(如Microsoft的Active Directory)的替代方案的各种需求。它与一个强大的、直观的、易于使用的图形界面捆绑在一起,以方便目录服务器的管理。
本文假设您对LDAP和目录服务有基本的了解。如果没有,文章用于远程身份验证的OpenLDAP很好地介绍了LDAP和目录服务器的总体概念。
安装和设置
中安装389目录服务器CentOS您必须启用EPEL存储库。这个存储库允许您安装389目录服务器之外的许多附加包。如果您还没有安装它,则运行该命令rpm -ivh http://ftp - stud.hs esslingen.de/pub/epel/6/i386/epel -释放- 6 - 8. noarch.rpm,然后运行命令389 - ds.noarch yum安装安装目录服务器及其依赖项。
该安装为您提供了一些基本的包和可执行文件。dirsrv是目录服务器本身;确保它总是通过运行命令随系统启动和停止chkconfig dirsrv上。dirsrv-admin处理管理;你还应该跑chkconfig dirsrv-admin上。
另一个重要的包是图形管理控制台,389-console。如果服务器上有完整的X环境,可以使用命令启动它/usr/bin/389-console。生产服务器通常没有完整的X环境,但您仍然可以通过两种方式之一运行控制台。
第一个选项是在本地客户机上运行控制台,并使用它连接到远程服务器。该项目为各种平台提供了控制台安装包,包括Windows (389-Console-1.1.6-i386)。msi和389-Console-1.1.6-x86_64.msi),从its官方下载页面。在许多Linux发行版中,控制台可以直接从官方存储库安装。在基于Debian和ubuntu的发行版中,这个包被命名为389-console。如果选择从远程客户端连接,请确保到服务器的连接是安全的,因为会传递敏感信息。
使用管理控制台的第二个选项是通过SSH转发您的X会话。为此,您需要在生产服务器上设置一个基本的X环境,您可以通过运行安装它安装xhost xorg-x11-server-Xorg xorg-x11-xauth dejavu sans-fonts dejavu-serif-fonts。在此之后,使用命令设置并导出shell变量DISPLAY出口显示= localhost: 0。然后就可以通过SSH运行远程X程序,包括389-console。首先使用命令建立SSH连接ssh - x < em > serveripaddress < / em >,那里的- x论点支持转发。
配置
要启动目录服务器的初始配置,请运行该命令/usr/sbin/setup-ds-admin.pl。它调用一个直观的、基于文本的向导,指导您完成整个配置过程。它配置了389目录服务器及其管理管理服务。
配置向导提供了三种安装类型:express、typical和custom。从典型的选择开始,这已经足够好了。
该脚本首先检查服务器设置是否存在可能的问题。确保解决安装完成后显示的任何警告。
向导为所有选项提供了很好的解释,并帮助您使用自动检测到的默认值做出正确的选择。以下是一些提示,根据最重要的选项出现的顺序:
- 计算机名称——服务器在其下工作的配置的主机名。默认情况下,配置脚本会自动检测服务器的主机名。请确保此名称是有效的,并能正确解析其他主机。如果没有,就会出现问题,特别是对于使用加密的服务,比如LDAPs(使用加密保护的LDAP);加密服务需要正确解析主机名和证书名的匹配。
- 用户和组——目录服务器在其下运行的用户和组特权。重要的是,这些人不是常规系统用户。用户nobody和组nobody的默认值是合适的。
- 在LDAP中,域用于区分不同的组织结构。您可以保留服务器域的默认选项。
- 目录服务器监听端口——向导要求您选择两个监听端口。对于目录服务器的端口,第一个选择默认为标准LDAP端口389。啊哈,这就是389目录服务器名称的来源!必须选择的第二个端口是让管理控制台连接到的。您应该保留默认值9830。
- 目录服务器标识符——顾名思义,这个值标识目录服务器的每个实例。当您配置了多个目录服务器实例时,这是非常重要的。默认选项是使用您的主机名。这个选项还决定了对应实例的文件存储在何处。例如,如果选择server1作为标识符,则其配置文件将放置在/etc/dirsrv/slap -server1目录中。
向导询问的关键问题之一是是否要将此软件注册到现有的配置目录服务器。一定要回答没有,它指示安装脚本继续完成完整的安装。
完成配置后,您必须配置您的防火墙。通常,LDAP端口(389)应该对您的内部网络或服务器的子网开放,以便服务器可以使用LDAP服务。管理端口(9830)应该只允许用于管理站的IP地址(如果您远程访问它),或者如果您在服务器上本地运行管理控制台,则根本不允许。
政府
要开始在本地使用389目录服务器控制台,请运行命令/usr/bin/389-console。系统将提示您输入管理用户ID、密码和管理URL。如果从本地连接到本地主机,则URL应该类似于http://localhost:9830/。
如左侧菜单树所示,控制台允许您管理管理服务器和目录服务器。在菜单树中双击要管理的服务器。
administration server的接口允许您执行从启动和停止服务到配置日志记录、SSL证书和加密的所有操作。它所有的菜单都是直观和用户友好的。
目录服务器的接口为启动和停止服务器等操作提供了最常用的控件和选项。它还允许您轻松地备份和恢复目录信息,这是非常有用的,因为备份和恢复LDAP信息的通常方法并不简单或简单。
目录服务器的控制台提供了一些高级选项。您可以通过各种插件扩展功能,设置用于监视的SNMP代理,配置复杂复制,甚至直接从控制台浏览LDAP目录数据。
更多信息和完整的指导,请阅读Red Hat指南到目录服务器的商业支持版本;它涵盖了所有你可以在免费下载中找到的内容。
毫无疑问,389目录服务器是开源目录管理的领导者。它是提供类似商业产品中所有企业特性的唯一完整解决方案。
