편집: 개발자를 제외하고 OpenLDAP가 어떻게 작동하는지 아는 사람이 아무도 없기 때문에 결국 간단한 구성 파일로 설정하기 훨씬 쉬운 GLAuth를 선호하여 OpenLDAP를 포기했습니다. 나는 몇 분 안에 문제를 해결할 수 있었습니다. OpenLDAP가 더 강력하거나 더 많은 기능을 가지고 있을 수 있다는 것을 알고 있지만 프록시 AD의 경우 OpenLDAP를 사용하는 것은 큰 망치로 호두를 깨는 것과 같으므로 피하고 싶을 수도 있습니다.
우리 회사에는 사용자를 관리하기 위한 Active Directory와 LDAP를 통해 로그인 시스템을 수행하려는 사무실 외부의 여러 웹 서비스가 있습니다. SSL을 통해 LDAP를 게시하고 이러한 모든 웹 서비스가 우리 AD에 로그인하도록 하고 싶지만 SSL을 통해서도 AD를 노출하고 싶지 않기 때문에 DMZ에서 AD에 대한 OpenLDAP 프록시를 설정하고 연결하려고 합니다. 읽기 전용 모드 AD에 쓰기. 저는 전혀 LDAP 전문가가 아닙니다. 과거에 다른 LDAP를 설정할 때 몇 가지 단계에 따라 하나의 LDAP를 실행한 다음 Apache Directory Studio 또는 LAM을 사용하여 이를 관리했는데 이것이 더 쉬울 것이라고 예상했습니다. 달성하기 글쎄요, 이것은 제가 예상했던 것보다 더 많은 일인 것 같습니다. 달성하기 어렵습니다.
저는 이 문제를 몇 주 동안 처리해 왔지만 해결 방법을 찾을 수 없습니다. 모두가 slapd.conf는 더 이상 사용되지 않으며 더 이상 사용해서는 안 된다고 말하고 LDIF를 통해 SSL로 OpenLDAP를 구성하는 방법에 대한 많은 튜토리얼이 있지만 LDIF를 통해 구성하는 방법을 찾을 수 없습니다.SSL을 AD 프록시로 사용하는 openldap.
LDAP를 AD 프록시로 구성할 수 있는 유일한 방법은 삼바 사이트에서 이 slapd.conf 파일을 사용하는 것입니다.
### Schema includes ###########################################################
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/nis.schema
## Module paths ##############################################################
modulepath /usr/lib64/openldap/
moduleload back_ldap
moduleload rwm
# Main settings ###############################################################
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
### Database definition (Proxy to AD) #########################################
database ldap
readonly yes
protocol-version 3
rebind-as-user
uri "ldap://{AD-Hostname/IP}:389"
suffix "{your Domain DN}"
overlay rwm
rwm-map attribute uid sAMAccountName
### Logging ###################################################################
loglevel 0
schemas/inetorgperson.schema이것도 수정 해서 추가했어요
################
#AD schema
################
attributetype ( 1.2.840.113556.1.4.221
NAME 'sAMAccountName'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.15' SINGLE-VALUE )
################
schemas/inetorgperson.ldif마지막으로 sAMAccountName 속성을 추가합니다.
olcAttributeTypes: ( 1.2.840.113556.1.4.221 NAME 'sAMAccountName' SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
그리고
olcObjectClasses: ( 2.16.840.1.113730.3.2.2 NAME 'inetOrgPerson' DESC 'RFC2
798: Internet Organizational Person' SUP organizationalPerson STRUCTURAL MAY
( audio $ businessCategory $ carLicense $ departmentNumber $ displayName $ em
ployeeNumber $ employeeType $ givenName $ homePhone $ homePostalAddress $ ini
tials $ jpegPhoto $ labeledURI $ mail $ manager $ mobile $ o $ pager $ photo
$ roomNumber $ secretary $ uid $ userCertificate $ x500uniqueIdentifier $ pre
ferredLanguage $ userSMIMECertificate $ sAMAccountName $ userPKCS12i ) )
작동했지만 디렉토리를 삭제 slapd.d하고 다시 만든 후
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
(그런 다음 적절한 소유권을 적용합니다).
분명히 이 작업을 수행했을 때 LDIF를 사용한 이전 구성(로컬 데이터베이스 생성 및 SSL 설정)이 삭제되었으며 slapd.conf를 사용하고 sladp.d 디렉터리를 생성했기 때문에 내 ldap 관리자 계정도 삭제되었습니다. SSL을 다시 구성하거나 더 많은 데이터베이스를 추가하지 마세요.
따라서 이들을 혼합하는 방법을 알아야 합니다. 또는 slapd.conf 파일 예를 사용하여 AD 프록시를 설정합니다.그리고관리자가 향후 LDIF를 사용하거나 AD 프록시 구성을 위한 LDIF 샘플을 사용하여 LDAP를 수정하도록 합니다.