13、LDAP 系统配置与数据填充全解析

LDAP 系统配置与数据填充全解析

1. LDAP 安全模型规划

在规划 LDAP 安全模型时，首先要考虑 LDAP 客户端与 LDAP 服务器通信时应使用的身份。例如，需要决定是否采用强认证来保护用户密码在网络中的传输，以及是否需要对 LDAP 客户端和服务器之间的会话进行加密，以保护传输的 LDAP 数据。

配置文件中的credentialLevel和authenticationMethod属性用于此目的。credentialLevel有三种可能的凭证级别：匿名、代理和代理匿名。

需要注意的是，如果启用了pam_ldap账户管理，所有用户登录系统时都必须提供密码，使用rsh、rlogin或ssh等工具进行的非密码登录将失败。

规划安全模型时，主要决策如下：
- LDAP 客户端将使用何种凭证级别和认证方法？
- 是否使用 TLS？
- 是否需要与 NIS 或 NIS+ 向后兼容？即客户端使用pam_unix还是pam_ldap？
- 服务器的passwordStorageScheme属性设置是什么？
- 如何设置访问控制信息（ACI）？

2. LDAP 客户端配置文件和默认属性值规划

通过前面的规划步骤（网络模型、DIT 和安全模