OpenLDAP服务器自动启动和安全设定

    如果希望ldap每次启动都能自动运行，可以用ntsysv设置。以root权限运行命令：
    ＃ntsysv
 

    打开如图6 所示的窗口，在ldap服务选项加上*（用空格键），然后重新启动系统，这样系统会启动ldap目录服务。

    2.使用访问控制(Access Control)实现用户认证

    修改OpenLDAP的配置文件，增加控制模块方法如下：
    # vi /usr/local/etc/OpenLDAP/slapd.conf
    access to attr=userPassword
　　　　by anonymous auth
　　　　by self write
　　　　by * none
    access to *
　　　　by self write
　　　　by users read

    这里访问控制用于禁止匿名查询，而认证用户可以修改自己的所有属性，除了userPassword属性，允许查询它人的信息条目。上面的每一行都是必须 的，如果没有“by anonymous auth”，需要认证的用户不能完成认证，因为它查询不到密码。所以“auth”在这里的作用就是允许匿名用户可以读到密码，但只能用于验证，而不能用于 其它的用途，这就保证了密码属性的安全。

    另外前面介绍/etc/OpenLDAP/slapd.conf文件设定密码时，使用了明文，主要是为了调试方便，实际工作时应当使用加密方法。最新版本的OpenLDAP支持三种加密方法：MD5、CRYPT、SSHA。我们不想将rootpw 存储在 服务器上的明文内，所以我们改用散列。有几种普遍使用的散列方法可通过slappasswd 命令来实现，包括SHA、SSHA、MD5、和CRYPT在内。安全方面CRYPT最差。SSHA是默认方法，MD5也不错。使用slappasswd 可以生成一个很好的散列rootpw：

    $ slappasswd
    New password:
    Re-enter new password:
    {SSHA}Lr7P++EoH6GpIS4GZ36vkV4R422RuW7R
    现在复制粘贴这个很好的新散列到/etc/ldap/slapd.conf内： 
    rootpw        {SSHA}Lr7P++EoH6GpIS4GZ36vkV4R422RuW7R

    这是一个永久设置，很适合用在小型的简单的网络上。更好的解决方案就是创建一个LDAP记录，该记录定义了LDAP管理员，还为LDAP管理员使用 slapd.conf中的ACLs (access control lists)定义了访问权限。尽量少将安全敏感的信息存储在目录中.如果非存不可.一定要编辑ACL严格的控制访问权限如userPassword等.多 数情况下目录服务还要主要是给其他的服务提供数据存储.这样的话应该让每个服务器绑定到不通的DN,同时在ACL中赋予他们较高的权限.而不能让所有的服 务都使用rootdn来绑定。