OpenLDAP的DNS发现

最新推荐文章于 2024-04-20 20:25:56 发布
最新推荐文章于 2024-04-20 20:25:56 发布
阅读量2.2k 收藏
点赞数
分类专栏: 安全 文章标签: OpenLDAP dns HA 负载均衡
原文:DNS discovery for OpenLDAP

http://www.rjsystems.nl/en/2100-dns-discovery-openldap.php

介绍

正如Kerberos客户端的管理,当面对大量的LDAP客户端的时候,简化管理的一种可能的方法是维护预定的一组DNS主机别名(CNAME记录)来引用一个网络上的OpenLDAP的数据库服务器。但是,这种方法的灵活性受到限制,和Kerberos存在同样的问题,值得庆幸的是OpenLDAP还支持DNS发现。

1. DNS SRV RR

像Kerberos,OpenLDAP通过使用SRV资源记录来支持DNS发现。例如,如果在网络中有两个LDAP服务器可用,klas1和klas2,使用某些LDAP工具程序基于DNS来发现他们,添加一对条目到example.com的区域文件(zone file),例如以下面的BIND9格式:
_ldap._tcp.example.com.    IN    SRV    10 0 389 klas1.example.com.
_ldap._tcp.example.com.    IN    SRV    20 0 389 klas2.example.com.
这种类型的记录组成如下:

  •     以下划线开头后跟服务名称。参见/etc/services中的协议名称的列表。
  •     下划线后跟协议名称,在这个案例中只使用TCP。
  •     其次是后跟点符的匹配LDAP域组件(没有前置的下划线)的DNS名称。
  •     IN(Internet)数据类指标。
  •     SRV(服务)资源记录类型指标。
  •     范围0-65535内的优先级值,较低的值有更高的优先级。
  •     范围0-65535内的权重值。使用相同的优先级值标识服务的简单负载均衡。采用概率算法优先考虑主机具有较高的权重值。值0禁用它。
  •     服务在其上侦听的TCP端口号。
  •     目标:提供该服务的主机的FQDN(没有别名!),后跟一个点符。

由于点符的遗漏会造成BIND9在每个带有区域域名的条目处结束,此格式能够获得下列如上所述相同的确切结果:
_ldap._tcp        IN    SRV    10 0 389 klas1
_ldap._tcp        IN    SRV    20 0 389 klas2
一旦配置了正确的SRV条目,检查它们是否可用:
~$ host -t SRV _ldap._tcp
_ldap._tcp.example.com has SRV record 10 0 389 klas1.example.com.
_ldap._tcp.example.com has SRV record 20 0 389 klas2.example.com.
~$ _

2. 客户端的解决方法

通常方式使用DNS发现,并不是所有工具程序都能非常好地支持。相比Kerberos或AFS来说OpenLDAP更明显,因为一旦URI的选项从/etc/ldap/ldap.conf,/etc/libnss-ldap.conf中和/etc/pam_ldap.conf中省略,用户仍可能需要能够登录?哪个是最重要的问题?但使用ldap-utils软件包提供的标准的LDAP工具程序,都抱怨没有可用的LDAP服务器可以连接。他们仍希望发现在/etc/ldap/ldap.conf中列出的一个或多个服务器。

幸运的是,有一个解决方法,所有的LDAP工具程序接受一个-H选项后跟一个LDAP URI来指定要使用的LDAP服务器。可以用命令测试LDAP DNS发现,例如用ldapsearch命令,使用一种特殊的URI:
~$ ldapsearch -H ldap:///dc%3Dexample%2Cdc%3Dcom uid=ccolumbus
使用上面的带逗号和等号(根据RFC-2396进行转义)字符串"dc=example,dc=com"作为LDAP URI。当然,每次使用该LDAP工具都包括这个选项会非常麻烦,要避免这种情况只要把下面的行添加到/etc/profile文件:
alias ldapadd='ldapadd -H ldap:///dc%3Dexample%2Cdc%3Dcom'
alias ldapcompare='ldapcompare -H ldap:///dc%3Dexample%2Cdc%3Dcom'
alias ldapdelete='ldapdelete -H ldap:///dc%3Dexample%2Cdc%3Dcom'
alias ldapmodify='ldapmodify -H ldap:///dc%3Dexample%2Cdc%3Dcom'
alias ldapmodrdn='ldapmodrdn -H ldap:///dc%3Dexample%2Cdc%3Dcom'
alias ldappasswd='ldappasswd -H ldap:///dc%3Dexample%2Cdc%3Dcom'
alias ldapsearch='ldapsearch -H ldap:///dc%3Dexample%2Cdc%3Dcom'
alias ldapwhoami='ldapwhoami -H ldap:///dc%3Dexample%2Cdc%3Dcom'

3. 另请参阅

4. 延伸阅读

  • Berners-Lee T, Fielding R, Irvine UC, Masinter L. 1998. RFC2396 − Uniform Resource Identifiers (URI): Generic Syntax.HTML at theInternet FAQ Archives.
  • Eastlake D, Panitz A. 1999. RFC2606 − Reserved Top Level DNS Names. The Internet Society.HTML at theInternet FAQ Archives.
  • Gulbrandsen A, Vixie P, Esibov L. 2000. RFC2782 − A DNS RR for specifying the location of services (DNS SRV). The Internet Society.HTML at theInternet FAQ Archives.

5.   参考

  • Aitchison R. 2005. Pro DNS and Bind. Apress. ISBN 1-59059-494-0. 571 pp. See pages 464-465.
  • Liu C, Albitz P. 2006. DNS and BIND. Fifth Edition. O'Reilly & Associates, Inc. ISBN-13 978-0-596-10057-5. 616 pp.
  • OpenLDAP Project. 2009. OpenLDAP Software 2.4 Administrator's Guide. HTML at OpenLDAP.

wilbertzhou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PDC OpenLDAP
08-30
PDC Samba DNS OpenLDAP
Mastering OpenLDAP_ Configuring, Securing and Integrating Directory Services - Matt Butcher
08-12
非常优秀的opendlap书籍,从入门到深入。 This practical introduction to OpenLDAP for Application Developers emphasizes how to get things done, going into Lightweight Directory Access Protocol (LDAP) theory only to answer practical questions. It demystifies OpenLDAP, providing a solid understanding of how to use its directory and covering building directory services, integrating directory services, and developing directory-enabled PHP or Python applications. Readers need only basic Linux system administration experience, not LDAP experience. Open-source OpenLDAP directory server is included in all major Linux distributions; many open-source and proprietary applications can use OpenLDAP's services. Client applications use LDAP to connect to OpenLDAP, search the directory, and (if authorized) modify and manipulate records. Most often used to provide network-based authentication services for users, LDAP servers have many other uses: address book, DNS database, organizational tool, even network object store for applications.  
LDAP & Implementation
weixin_30826761的博客
04-07 66
LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。 中...
LDAP服务器的概念和原理简单介绍
dc3120的专栏
03-29 253
LDAP服务器的概念和原理简单介绍 https://www.cnblogs.com/yjd_hycf_space/p/7994597.html
浅谈LDAP协议
qq_38413862的博客
04-08 948
LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。 LDAP目录以树状...
LDAP介绍及使用
热门推荐
椰汁菠萝
03-29 2万+
一、LDAP介绍 目录服务(Directory Service) 目录是专门为搜索和浏览而设计的专用数据库,支持基本的查找和更新功能。 提供目录服务的方式有很多。不同的方法允许将不同类型的信息存储在目录中,对如何引用,查询和更新该信息,如何防止未经授权的访问等提出不同的要求(这些由LDAP定义)。一些目录服务是本地的,提供本地服务;一些目录服务是全球性的,向更广泛的环境(例如,整个Internet)提供服务。全局服务通常是分布式的,这意味着它们包含的数据分布在许多机器上,所有这些机器协作以提供目录服务。通常
LDAP总结
m0_56921622的博客
08-11 430
LDAP的基本知识 Ldap是一个轻量级访问目录 具有很强大的查询(读)的功能,适合进行大量数据的检索 写方面就慢的多,适合读不适合写 问题 如果数据库选BDB一直启动不了的话,卸载重新安装,选MDB slapd -d 1 -f run文件夹下的run.cmd Win+R->services.msc->OpenLDAP Service设为手动 配置OpenLDAP 找到安装路径,找到slapd.conf文件 将dc修改未任意值 suffix "dc=micmiu,dc=com" r
OpenLDAP 介绍及安装部署实战
cc20100608的专栏
04-25 2330
ldap 介绍测试环境安装 LDAP 服务端设置 LDAP 的 root 密码配置 LDAP 服务端创建 LDAP 证书设置 LDAP 数据库创建 LDAP 用户添加防火墙规则开启 LDAP 日志配置 LDAP 客户端验证 LDAP 登录附录使用 Docker 部署 OpenLDAPOpenLDAP 是由 OpenLDAP 项目开发的轻量级目录访问协议的开源实现。LDAP 是一种互联网协议,电子邮件和其他程序用于从服务器查找联系人信息。它在 OpenLDAP 公共许可证下发布;
windows10加入域时总是出现The query was for the SRV record for _ldap._tcp.dc._msdcs.yourdomain 错误
include_heqile的博客
10-15 874
文章目录解决办法解决的思路 解决办法 win+r 输入cmd 运行ncpa.cpl 右键网卡属性 禁用IPv6 解决的思路 我的域是blue.com 工作站执行ping blue.com可以通,ping baidu.com不通,但是nslookup baidu.com可以正常解析,且nslookup _ldap._tcp.dc._msdcs.blue.com解析出来一个外网IP,遂使用wireshark进行抓包,过滤DNS协议,执行nslookup baidu.com,在数据包中找到该dns请求数据包,
LDAP 介绍(一)
weixin_30460489的博客
10-13 137
如果你在计算机行业工作,那么对LDAP可能早有耳闻了。想深入地了解LDAP吗?那么可以好好地读一下这篇文章。这篇介绍性的文章是一系列介绍如何在企业中设计、实现和集成LDAP环境的文章的头一篇。主要是先让你熟悉一下LDAP的基本概念,那些比较困难的细节问题将放到以后讨论。在这篇文章中我们将要介绍: 什么是LDAP?什么时候该用LDAP存储数据? 现在LDAP技术不仅发展得很快而且也是激动人心的。...
RedHatLinux培训视频服务器篇
07-23
教程名称:Red Hat Linux 培训视频服务器篇课程目录:【】RedhatLinux--corosync openais pacemaker【】RedhatLinux--DHCP服务器配置【】RedhatLinux--DNS服务器配置【】RedhatLinux--heartbeat【】RedhatLinux--...
fusiondirectory:FusionDirectory核心程序
02-05
产品特点用户,组,邮件,sudo,ssh,系统,服务管理,dhcp,dns 复杂角色管理: ACL仅由FusionDirectory使用,并且不会干扰使用目录服务器的其他应用程序。 ACL允许对谁可以在FusionDirectory中执行的操作进行精细...
ansible-role-adjoin:Active Directory加入多个域
05-01
确保正确设置域的DNS记录 具有足够权限来创建计算机对象的用户帐户 Linux方面: 对您的客户端系统的管理访问 与客户端上的AD域控制器同步时钟 配置步骤 该角色将配置以下程序,为系统进行AD身份验证做准备: 的...
linux负载均衡 和 系统负载分析笔记
u010936265的博客
04-19 814
linux负载均衡,系统负载,cpu使用率
深入探讨负载均衡的原理及算法
weixin_39108752的博客
04-20 727
在现代分布式系统中,负载均衡扮演着至关重要的角色。随着用户数量和流量的不断增长,单个服务器已经无法承担巨大的负载。因此,需要将负载分散到多个服务器上,以确保系统的高可用性、可扩展性和响应能力。负载均衡不仅可以提高系统的整体性能,还能够实现故障转移和灾难恢复,从而提高系统的可靠性。本文将深入探讨负载均衡的原理和常用算法,帮助大家更好地理解和应用这一关键技术。
MySQL主从复制实现高可用性和负载均衡
w708955424的博客
04-17 896
这种复制是异步的,从服务器不需要一直连接着主服务器,数据的复制操作是独立的,并且可以在不同的机器上并行执行。MySQL主从复制是一种强大而灵活的技术,它可以帮助我们实现高可用性和负载均衡,提升数据库系统的稳定性和性能。在如今的大数据时代,数据库的稳定性和性能成为了企业关注的重点,而MySQL主从复制正是解决这两个问题的重要工具。3. 读负载均衡:通过将读请求分散到多个从服务器上,我们可以减轻主服务器的负载压力,提高系统的整体性能。这种切换过程可以是自动的,也可以是手动的,取决于我们的具体需求和配置。
go服务k8s容器化之grpc负载均衡
gdut17的博客
04-16 363
1.grpc基于HTTP/2实现,HTTP2是长连接的,io多路复用,即在一条tcp连接上可以发起多个rpc请求, 请求通过流id 也就是streamID划分。 2.k8s是L4层负载均衡,也就是TCP那层,支持tcp的流量转发,如果是grpc服务部署在k8s,且通过k8s clusterIP访问 就会出现负载不均衡的情况; 3.istio-服务网络,支持7层代理,可以解决grpc服务容器化后负载不均的问题,实现L7的负载均衡
负载均衡原理及算法
m0_47192788的博客
04-18 394
负载均衡是一种将工作负载分布到多个计算资源(例如服务器、网络链接或其他资源)上的方法,以确保这些资源被充分利用,提高系统的性能、可靠性和可用性。最简单的负载均衡算法之一,按顺序将请求分配给可用的服务器,确保每个服务器获得大致相同数 量的请求。根据客户端的IP地址将请求分配给特定的服务器,以确保相同IP地址的客户端始终被分配到同一台服务器。缺点:无法考虑服务器的实际负载情况,可能导致某些服务器过载,而其他服务器负载较低。将服务器分配给不同的权重值,根据权重值分配请求,权重值越高的服务器获得的请求越多。
nginx反向代理及负载均衡
最新发布
Fish_1112的博客
04-20 467
nginx反向代理及负载均衡
OpenLDAP安装
09-10
要安装OpenLDAP,您可以按照以下步骤进行操作: 1. 检查操作系统支持:确保您的操作系统支持OpenLDAPOpenLDAP可在多个操作系统上运行,包括Linux、Windows和macOS。 2. 安装OpenLDAP软件包:根据您的操作系统,选择适合的OpenLDAP软件包。在Linux上,您可以使用包管理器(如apt、yum或dnf)来安装OpenLDAP软件包。在Windows上,您可以从OpenLDAP官方网站下载适用于Windows的安装程序。 3. 配置slapd.conf文件:这是OpenLDAP的主要配置文件。您需要根据您的需求进行编辑,包括设置域、访问控制和其他参数。 4. 启动OpenLDAP服务:启动OpenLDAP服务以使其运行。在Linux上,您可以使用命令`sudo service slapd start`或`sudo systemctl start slapd`来启动服务。在Windows上,您可以通过服务管理器启动OpenLDAP服务。 5. 测试OpenLDAP安装:使用LDAP客户端工具(如ldapsearch)测试OpenLDAP安装是否成功。例如,在命令行中输入`ldapsearch -x -b "dc=example,dc=com" -H ldap://localhost`,其中"dc=example,dc=com"是您配置的根域。 请注意,OpenLDAP的安装和配置过程可能因操作系统和版本而有所不同。建议参考操作系统相关的文档或OpenLDAP官方文档以获取更详细的安装指南和配置说明。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值