2022年LDAP服务器的配置 .pdf

《2022年LDAP服务器的配置 .pdf》由会员分享，可在线阅读，更多相关《2022年LDAP服务器的配置 .pdf（9页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、誉天 Cisco / Linux认证社区 服务器的配置【协议+服务器 +客户机 +管理 +安全】前言：“ 随着 LDAP （Light Directory Access Protocol ，轻量级目录访问协议）技术的兴起和应用领域的不断扩展，目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案，特别是在网络资源查找、用户访问控制与认证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务等方面，都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统。目录服务有着如此重要的作用，但在过去，企业通常采用基于Windows 的目录服务器，Linux 在这方面相形

2、逊色。作为Windows 的核心内容，目录服务被企业IT人员认为是 Windows 与Linux 相比最具竞争力的部分， 也成为 Linux 产品架构中的软肋。随着 RHEL 4 内附的 LDAP 服务器出现， 这个情况已经改变了。 “ 一、 LDAP 协议简介“LDAP （轻量级目录访问协议，Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。目录服务是一种特殊的数据库系统，其专门针对读取，浏览和搜索操作进行了特定的优化。目录一般用来包含描述性的，基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作操作需

3、要的复杂的事务管理或回卷策略。而目录服务的更新则一般都非常简单。这种目录可以存储包括个人信息、web链结、 jpeg图像等各种信息。为了访问存储在目录中的信息，就需要使用运行在TCP/IP之上的访问协议LDAP 。 LDAP 目录中的信息是是按照树型结构组织，具体信息存储在条目(entry)的数据结构中。条目相当于关系数据库中表的记录；条目是具有区别名DN （Distinguished Name ）的属性（ Attribute ） ，DN 是用来引用条目的，DN相当于关系数据库表中的关键字（Primary Key ） 。属性由类型（ Type）和一个或多个值（Values）组成，相当于关系数据

4、库中的字段（Field）由字段名和数据类型组成，只是为了方便检索的需要，LDAP 中的Type可以有多个 Value， 而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的 。 LDAP 中 条 目 的 组 织 一 般 按 照 地 理 位 置和 组 织 关 系 进 行 组 织 ， 非 常 的 直 观 。 （ 图http:/ ）LDAP 的信息是以树型结构存储的，在树根一般定义国家(c=CN) 或域名 (dc=com) ，在其下则往往定义一个或多个组织(organization)(o=Acme) 或组织单元 (organizational units) (ou=People)。一个

5、组织单元可能包含诸如所有雇员、大楼内的所有打印机等信息。此外， LDAP 支持对条目能够和必须支持哪些属性进行控制，这是有一个特殊的称为对象类别(objectClass)的属性来实现的。 该属性的值决定了该条目必须遵循的一些规则，其规定了该条目能够及至少应该包含哪些属性。例如：inetorgPerson对象类需要支持sn(surname)和cn(common name)属性，但也可以包含可选的如邮件，电话号码等属性。dn ：一条记录的位置；dc ：一条记录所属区域；ou ：一条记录所属组织；cn/uid：一条记录的名字/ID。OpenLdap是一个正在得到日益普遍应用的开源软件，和LADP 完

6、全兼容。 “ 与数据库比较虽然目录也被称为特殊的数据库，但它不同于真正的数据库。目录的大部分操作为读操作。假如你的应用程序要写大量的数据，你应该考虑选择使用数据库来实现。目录支持相对简单的事务处理。相反，数据库被设计成处理大量的各种各样的事务处理。假如你的应用要求这种重负荷的事务支持，你该选择数据库而不是目录。在另一方面，假如你的应用不要求这样的大负荷事务处理，而是偶尔的写一些简单的事务信息。这时，目录是理想的选择。它会更有效，更简单。武汉誉天. 独家授权Cisco / RHCE 培训 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - -

7、 - 名师精心整理 - - - - - - - 第 1 页，共 9 页 - - - - - - - - - 誉天 Cisco / Linux认证社区 ，这样可以写大文件的一部分的信息。目录不能提供这种随机的存取访问。目录条目被分成各种属性。你可以分别获取各种属性。你不能取得一个条目的部分值，如从第几个字节开始。与web的比较不象 web服务器一样，目录不适合推送JPEG图象或 Java程序给客户端。Web服务通常作为开发web应用的跳板。这些平台从 CGI （公用网关接口）到更复杂的像Netscape应用服务平台。目录一般不提供这种形式的应用开发，甚至它不提供目录应用开发平台服务。与FTP比较

8、与FTP的主要区别在于：数据量的大小和客户的类型。另外一点就是FTP是一个非常简单的协议，它专于做一件事情并把它做好。 假如你想做的是把文件从一个地方传送到另一个地方，那么额外的目录下层结构也需要，如复制、查询、更新等。与DNS 比较因特网的域名系统和目录有相似之处，它们都提供对分层式数据库的访问。但其它一些不同把它们区分开来。DNS的主要目的是把主机名转换成IP地址。比较而言，大多数目录有更普通的作用。DNS有一套专门的、固定的计划，而目录允许被扩展。DNS不允许更新它的信息，而目录可以。 DNS 可通过 UDP 的无连接的方式访问，而目录通常是连接访问的。目录举例X.500- 在八十年代中

9、期，两个不同的团体-CCITT 和ISO，各自开始在目录服务方面的研究工作。最后，两个国际性的目录规范融合成一个规范，这就是X.500。X.500 的优势在于它的信息模型，它的多功能性和开放性。LDAP-1993年 7 月，第一个 LDAP 规范是由密歇根大学开发的，也就是RFC1487。LDAP 的开发者们简化了笨重的X.500 目录访问协议，他们在功能性、数据表示、编码和传输方面做了改建。目前，LDAP 的版本是第3 版本，相对以前版本来说，第 3 版本在国际化、 提名、 安全、扩展性和特性方面更加完善。1997 年，第 3 版本成为因特网标准。安装以下软件包：OpenLDAP 、 Ope

10、nLDAP-servers 、 OpenLDAP-clients、 OpenLDAP-devel ，武汉誉天. 独家授权Cisco / RHCE 培训 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 9 页 - - - - - - - - - 誉天 Cisco / Linux认证社区 是服务器套件；OpenLDAP-clients是操作程序套件；OpenLDAP-devel 是开发工具套件。rootRHCE5 migration# rpm -qa | grep ldap

11、openldap-2.3.27-5 python-ldap-2.2.0-2.1 php-ldap-5.1.6-5.el5 mod_authz_ldap-0.26-7.1 nss_ldap-253-3 openldap-devel-2.3.27-5 openldap-clients-2.3.27-5 openldap-servers-2.3.27-5 openldap-2.3.27-5：包含 OpenLDAP 配置文件、库和文档openldap-servers-2.3.27-5：包含 slapd 和 slurpd 服务器、迁移脚本和相关文件openldap-clients-2.3.27-5 ：包

12、含客户机程序，用来访问和修改 OpenLDAP 目录OpenLDAP 包在服务器上安装了很多程序：守护进程：slapd：主 LDAP 服务器slurpd：负责与复制 LDAP 服务器保持同步的服务器对网络上的目录进行操作的客户机程序。下面这两个程序是一对儿：ldapadd：打开一个到 LDAP 服务器的连接，绑定、修改或增加条目ldapsearch：打开一个到 LDAP 服务器的连接，绑定并使用指定的参数进行搜索对本地系统上的数据库进行操作的几个程序：slapadd：将以 LDAP 目录交换格式（LDIF ）指定的条目添加到 LDAP 数据库中slapcat：打开 LDAP 数据库，并将对应的

13、条目输出为 LDIF 格式二、配置 LDAP 服务器我的工作目录在/usr/share/openldap/migration 1. 配置 /etc/openldap/slapd.conf rootRHCE5 migration# slappasswd -s 1234567 ldap server 密码加密SSHAD+Pgu8OZ+0rhLhbjSXtYwSbMAn6oGABC rootRHCE5 migration# vi /etc/openldap/slapd.conf # added by wyong 2008.5.27 database bdb suffix dc=wyong,dc=ne

14、t -注意这里要不能用dc=ns,dc=wyong,dc=net rootdn cn=Manager,dc=ns,dc=wyong,dc=net rootpw secret rootpw SSHAiAloxgWwl+ImMHdfNaJhN2xOdaE8jslY 2.开启服务rootRHCE5 migration# /etc/init.d/ldap start rootRHCE5 migration# ldapsearch -x -b -s base (objectclass=*) namingContexts 武汉誉天. 独家授权Cisco / RHCE 培训 名师资料总结 - - -精品资料

15、欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 9 页 - - - - - - - - - 誉天 Cisco / Linux认证社区 Hat 所提供的 openldap-servers 包包含PADL Software Pty Ltd. 公司的 MigrationTools 工具。我们将使用这些工具将数据从 Linux 系统文件（例如 /etc/group 和 /etc/password ）转换成 LDAP LDIF 格式，这是数据库信息的一种文本格式的表示。这种格式是行界定、冒号分隔的属性-值对。有一

16、组 Perl 脚本被安装到 /usr/share/openldap/migration/ 中执行迁移。这些 Perl 脚本的配置信息包含在 migrate_common.ph 文件的开头。 对于我们的目的来说，只需要修改命名前缀的变量来使用条目的识别名就足够了，如下所示：$DEFAULT_BASE = dc=wyong,dc=net 在进行这些修改之后，请运行脚本 migrate_base.pl ，它会创建根项，并为 Hosts 、Networks、Group 和 People 等创建低一级的组织单元：LDAP 目 录 条 目 和 Linux 密 码 文 件 之 间 的 关 系 图 http:

17、/ . 060725153052580.jpg rootRHCE5 migration# vi migrate_common.ph # modified by wyong 2008.5.27 # Default DNS domain #$DEFAULT_MAIL_DOMAIN = ; $DEFAULT_MAIL_DOMAIN = ; # Default base #$DEFAULT_BASE = dc=padl,dc=com; $DEFAULT_BASE = dc=ns,dc=wyong,dc=net; 添加数据库 “ 树干 “ rootRHCE5 migration# ./migrate_b

18、ase.pl base.ldif rootRHCE5 migration# vi base.ldif 编辑 base.ldif ，删除除 wyong,people,group 之外的所有条目： 在 LDAP 服务器上，使用 OpenLDAP 客户机工具 ldapadd 将以下条目插入到数据库中。简单身份 验 证 必 须 要 使 用 -x 选 项 指 定 。 在 slapd.conf 中 定 义 的 rootdn 身 份 验 证 识 别 名 是“cn=Manager,dc=ns,dc=wyong,dc=net”。对于简单身份验证来说，必须使用密码。 选项 -W 强制提示输入密码。 这个密码就是在

19、 slapd.conf 文件中指定的 rootpw 参数的值。 包含这些条目的 LDIF 文件是使用 -f 选项指定的：rootRHCE5 migration# ldapadd -x -D cn=Manager,dc=ns,dc=wyong,dc=net -W -f base.ldif -v选项将输出更详细的内容Enter LDAP Password: adding new entry dc=wyong,dc=net adding new entry dc=ns,dc=wyong,dc=net adding new entry ou=People,dc=ns,dc=wyong,dc=net a

20、dding new entry ou=Group,dc=ns,dc=wyong,dc=net rootRHCE5 migration# passwd ldap 激活 ldap用户Changing password for user ldap. New UNIX password: 武汉誉天. 独家授权Cisco / RHCE 培训 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 9 页 - - - - - - - - - 誉天 Cisco / Linux认证社区 PASS

21、WORD: it is too short Retype new UNIX password: passwd: all authentication tokens updated successfully 修改 ldap目录权限，否则可能会引起某些问题rootRHCE5 migration# chown -R ldap.ldap /var/lib/ldap 添加 group和user数据库方法一：单独添加，例如添加ldap rootRHCE5 migration# grep ldap /etc/group ldapuser.group rootRHCE5 migration# ./migrat

22、e_group.pl ldapuser.group ldapgroup.ldif rootRHCE5 migration# ldapadd -x -D cn=Manager,dc=ns,dc=wyong,dc=net -W -f ldapgroup.ldif Enter LDAP Password: adding new entry cn=ldap,ou=Group,dc=ns,dc=wyong,dc=net rootRHCE5 migration# grep ldap /etc/passwd ldapuser.passwd rootRHCE5 migration# ./migrate_pas

23、swd.pl ldapuser.passwd ldappasswd.ldif rootRHCE5 migration# ldapadd -x -D cn=Manager,dc=ns,dc=wyong,dc=net -W -f ldappasswd.ldif Enter LDAP Password: adding new entry uid=ldap,ou=People,dc=ns,dc=wyong,dc=net 方法二：rootRHCE5 migration# ./migrate_passwd.pl /etc/passwd user.ldif rootRHCE5 migration# ./mi

24、grate_group.pl /etc/group group.ldif rootRHCE5 migration# /etc/init.d/ldap stop rootRHCE5 migration# slapadd -vl user.ldif rootRHCE5 migration# slapadd -vl group.ldif 如果出现问题，可用下面的方法来尝试troubshooting 1)rootRHCE5 migration# /etc/init.d/ldap stop 停止 ldap 服务rootRHCE5 migration# rm -f /var/lib/ldap/* 并删除数

25、据库文件2)rootRHCE5 migration# chown -R ldap.ldap /var/lib/ldap 否则可能出现“ldap_add: Server is unwilling to perform (53)“ 3)rootRHCE5 migration# vi /etc/openldap/sladp.conf suffix 是否设置正确4)rootRHCE5 openldap# cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG - 如果提示找不到 DB_CONFIG 文件，可以 copy过去5) rootRH

26、CE5 migration# ldapsearch -x -b -s base (objectclass=*) namingContexts rootRHCE5 migration# ldapsearch -x -b cn=mary,dc=ns,dc=wyong,dc=net 检查数据库是否添加成功三、配置 LDAP 客户机身份验证服务是实际向 LDAP 验证用户身份的服务。可插入身份验证模块（PAM）提供了本地Linux 身份验证服务。下面我们将配置 PAM 先对本地的 /etc/passwd 文件检查用户帐号，然后再对 LDAP 服务器进行检查。PAM LDAP 模块可以用来将身份验证重定

27、向到 LDAP 目录上。武汉誉天. 独家授权Cisco / RHCE 培训 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 9 页 - - - - - - - - - 誉天 Cisco / Linux认证社区 PAM 模块提供了 LDAP 身份验证功能。身份验证本身是由 PAM 程序执行的，它从身份验证候选机制中获取用户名，将其绑定到OpenLDAP 服务器上，检索与这个 uid 条目（用户名条目）相关的 DN ；从身份验证候选机制中获取密码， 然后使用这个 DN 和密码

28、试图将其绑定到 OpenLDAP 服务器上。 如果绑定成功， PAM 会报告说这个用户已经成功通过了 pam_ldap.so 提供的身份验证测试。根据 PAM 的配置不同， 在用户看到命令行提示符之前可能会执行其他测试。我们可以采用两种方法来配置 LDAP 客户机。一种快速而简单的方法是运行 /usr/sbin/authconfig ，并在两个屏幕中输入信息。（authconfig-gtk 图形化配置很简单就不说了）另外一种方法是通过编辑客户机 LDAP 配置文件 /etc/ldap.conf ，然后修改 /etc/nsswitch.conf 、/etc/sysconfig/authconfi

29、g 和 /etc/pam.d/system-auth 。PAM 和 NSS 模块使用的基本配置文件是 /etc/ldap.conf 。host 选项指定 LDAP 服务器， base 选项指定这个目录使用的 DN ，最初我们希望关闭加密功能：host base dc=wyong,dc=net ssl off 要 让 NSS 服 务 使 用 OpenLDAP 服 务 器 ， 需 要 将 “ldap ” 添加 到 /etc/nsswitch.conf 文 件 的passwd、shadow 和 group 行中，如下所示：passwd: files ldap shadow: files ldap g

30、roup: files ldap 要 让 PAM 身 份 验 证 服 务 使 用 OpenLDAP 服 务 器 ， 请 将 pam_ldap 行 加 入 到/etc/pam.d/system-auth 中，位置在对应的标准 pam_unix.so 条目之后。四、配置 TLS 安全性LDAP 是以明文的格式通过网络来发送所有信息的，包括密码。我们将采用 TLS 所提供的加密机制（ SSL 的后继者）来解决这个问题。在传输层，数据使用 TLS 协议进行加密和封装，然后通过网络进行传输。用来配置加密的工具都是由 OpenSSL 包提供的。五、管理1.phpLDAPadmin http:/ rootR

31、HCE5 config# cd /var/www/html/ rootRHCE5 html# tar -zxvf phpldapadmin-0.9.8.4.tar.gz rootRHCE5 html# cd phpldapadmin-0.9.8.4/config rootRHCE5 html# cp config.php.example config.php 重点在于配置 config.php 63 /*/ 64 /* Define your LDAP servers in this section */ 65 /*/ 63 开始是重点关注的段落。武汉誉天. 独家授权Cisco / RHCE

32、培训 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 9 页 - - - - - - - - - 誉天 Cisco / Linux认证社区 行是个很好的配置范例235 $i+; 236 $ldapservers-SetValue($i,server,name,Beijing2008 LDAP Server); 例子：$i+; - 没添加一个 LDAP 服务器就需要设置i值$ldapservers-SetValue($i,server,name,My LDAP Server

33、); $ldapservers-SetValue($i,server,host,127.0.0.1); $ldapservers-SetValue($i,server,port,389); $ldapservers-SetValue($i,server,base,array(dc=wyong,dc=net); $ldapservers-SetValue($i,login,dn,cn=Manager,dc=ns,dc=wyong,dc=net); - 和/etc/ $ldapservers-SetValue($i,login,pass,secret); $ldapservers-SetValue

34、($i,appearance,password_hash,ssha); $ldapservers-SetValue($i,login,attr,dn); rootRHCE5 html# firefox http:/ -要开启 httpd服务Login DN: cn=Manager,dc=ns,dc=wyong,dc=net Passwd: 密码就是在 /etc/openldap/slapd.conf 里的 rootpw 六、安全问题配置 TLS 安全性LDAP 是以明文的格式通过网络来发送所有信息的，包括密码。我们将采用 TLS 所提供的加密机制（ SSL 的后继者）来解决这个问题。在传输层，

35、数据使用 TLS 协议进行加密和封装，然后通过网络进行传输。用来配置加密的工具都是由 OpenSSL 包提供的。虽然加密是一个复杂的主题，但是要使用 OpenSSL 包，我们依然需要简要介绍一下 TLS 是如何工作的。数据块使用一个对称密钥算法进行加密，它使用一个密钥来实现对数据的加密和解密。我们还有一个问题： 如何防止出现以正文文本格式将密钥从 LDAP 服务器发送到 LDAP 客户机上的情况。我们使用公钥算法来解决这个问题，其中客户机可以使用一个自由获取的公钥对自己的密钥进行加密，而只有服务器才可以对这个密钥进行解密。公钥是作为证书的一部分来创建和分发的，其中包含了一些支持信息，例如 ID

36、 、过期日期、提供这个证书的 LDAP 服务器的完整域名（FQDN ） 。在 LDAP 客户机使用证书进行加密之前，它会验证自己正在与之进行交谈的服务器拥有这个证书，这是通过加密一个挑战并验证服务器可以对其进行解密实现的。要验证发行这个证书的服务器是一个已经批准过的 LDAP 服务器，客户机被配置为只接受本地证书机构（ CA ）所签署的证书。它使用 CA 所生成的证书中的公钥，这个公钥保存到客户机中以验证这个 LDAP 所产生的证书是有效的。在这个例子中，我们将自己的 LDAP 服务器设置为证书机构，并创建一个自签署的证书供 LDAP 客户机和服务器在加密信息中使用。RHEL5 的openss

37、l-0.9.8b-8.3.el5 包括一个证书管理工具和提供各种加密算法和协议的共享库，要构建证书机构的工作环境并生成自己的自签署证书，需要运行 /etc/pki/tls/misc/CA shell 脚本，这是一个对 openssl 命令的封装程序。 私密性增强邮件 （PEM）是一种用来对数据进行加密和编码的格式。rootRHCE5 pki# /etc/pki/tls/misc/CA -newca 接下来， 要生成由证书机构进行签署的服务器证书。还要使用 nodes 选项，这样就不用在每次启动武汉誉天. 独家授权Cisco / RHCE 培训 名师资料总结 - - -精品资料欢迎下载 - -

38、- - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 9 页 - - - - - - - - - 誉天 Cisco / Linux认证社区 服务器守护进程 slapd 时都需要输入密码了。签署后的公钥被嵌入到证书请求newreq.pem 中，与之匹配的私钥嵌入在 newreq.pem 中：rootRHCE5 pki# openssl req -new -nodes -subj /CN=CIAC/O=CAS/C=CN/ST=JiLin/L=ChangChun -keyout newreq.pem -out newreq.pem

39、-days 365 Generating a 1024 bit RSA private key .+ .+ writing new private key to newreq.pem - subj一定要和 CA -newca设定的一样，否则签署会出错，不过会被程序指出 对证书进行签署rootRHCE5 pki# openssl ca -out newcert.pem -infiles newreq.pem 也可以通过 CA 来签署rootRHCE5 pki# /etc/pki/tls/misc/CA -sign 拷贝证书并强制设置权限rootRHCE5 pki# mkdir /etc/open

40、ldap/ssl/ rootRHCE5 pki# cp /etc/pki/tls/cert.pem /etc/openldap/ssl/ rootRHCE5 pki# mv newcert.pem /etc/openldap/ssl/servercert.pem rootRHCE5 pki# mv newreq.pem /etc/openldap/ssl/serverkey.pem rootRHCE5 pki# chown -R ldap.ldap /etc/openldap/ssl/ rootRHCE5 pki# chmod 400 /etc/openldap/ssl/serverkey.p

41、em rootRHCE5 pki# chmod 644 /etc/openldap/ssl/servercert.pem rootRHCE5 ssl# ls -l 总计 444 -rw-r-r- 1 ldap ldap 441017 05-28 15:43 cert.pem -rw-r-r- 1 ldap ldap 3078 05-28 15:36 servercert.pem -r- 1 ldap ldap 1502 05-28 15:36 serverkey.pem 在 OpenLDAP 服务器上，将以下内容添加到 /etc/openldap/slapd.conf 文件的 global 段

42、下面。TLSCertificateFile 和 TLSCertificateKeyFile 指定了证书文件和私钥文件的路径。TLSCipherSuite 指定了一个 OpenSSL 密码的列表，slapd 在与 TLS 协商建立连接时可以从中按照降序顺序依次选择。TLSCACertificateFile /etc/openldap/ssl/cert.pem TLSCertificateFile /etc/openldap/ssl/servercert.pem TLSCertificateKeyFile /etc/openldap/ssl/serverkey.pem 将以下内容添加到 LDAP

43、服务器的第二个配置文件 /etc/openldap/ldap.conf 中：TLS_CACERTDIR /etc/openldap/ssl TLS_REQCERT allow 为了允许从 OpenLDAP 客户机上使用安全连接，需要将以下内容添加到 /etc/openldap/ldap.conf 文件中：ssl start_tls tls_checkpeer yes 武汉誉天. 独家授权Cisco / RHCE 培训 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 9 页

44、 - - - - - - - - - 誉天 Cisco / Linux认证社区 /etc/openldap/cacerts/cacert.pem rootRHCE5 ssl# tail ./ldap.conf URI ldap:/127.0.0.1/ BASE dc=wyong, dc=net #TLS_CACERTDIR /etc/openldap/cacerts TLS_CACERTDIR /etc/openldap/ssl TLS_REQCERT allow ssl start_tls tls_checkpeer yes tls_cacertfile /etc/openldap/ssl/cert.pem 武汉誉天. 独家授权Cisco / RHCE 培训 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 9 页 - - - - - - - - -