======AAA======
  * A come Autorizzare
  * A come Autenticare
  * A come Accounting

La centralizzazione di servizi AAA permette di rendere efficiente l'amministrazione di un laboratorio di informatica

www.ldapadmin.org

====OpenLDAP====
*OpenLDAP* è una implementazione libera del servizio di *autenticazione* di tipo LDAP

[[https://wiki.debian.org/LDAP/OpenLDAPSetup]]
[[https://www.debian.org/doc/manuals/debian-handbook/sect.ldap-directory.ro.html]]

Se vuoi usare virt-manager (KVM/quemu) ecco come importare un file .ova
[[https://wiki.hackzine.org/sysadmin/kvm-import-ova.html]]

Se il server ha la tastiera in lingua inglese: 
  dpkg-reconfigure keyboard-configuration
  service ... restart

https://help.ubuntu.com/lts/serverguide/openldap-server.html

;;Dentro la /home/admin ci sono due file add_content.ldif add_user.ldif (dove si legge la password dell'utente in chiaro);;

Utenti:
  - root è l'utente linux amministratore del sistema operativo (sudoer)
  - openldapd è l'utente linux che esegue il demone e deve leggere il certificato
  - admin è l'utente registrato nel database dati come amministratore dn: cn=admin,dc=esempio,dc=com
  - admin è l'utente che amministra il database di config. di //openladp//

Debian consente anche l'uso della versione LDAPv2 (**deprecato**)

=====configurazione=====

[[https://openldap.org/doc/admin24/slapdconf2.html]]

Cartella /etc/ldap viene aggiunta una riga sul file ldap.conf

  TLS_CACERT /etc/ssl/certs/ca-certificates.crt

Mentre Debian Wiki suggerisce di scrivere

  TLSCACertificateFile    /etc/ssl/certs/server-intermediate.pem

DEBOLEZZA DEBIAN 

  * [[https://www.debian.org/security/key-rollover]] 
  * [[https://www.debian.org/security/key-rollover/#openssl]] 

da cui si capisce che ogni applicazione (openssh, openssl, openvpn) salva le proprie chiavi e i propri certificati in cartelle diverse.

Sono arrivato al punto in cui, debian wiki dice che l'utente openldap non ha i privilegi per accedere alla cartella della chiave privata (it can't read the key file)

---
====Configurazione dinamica====
A volte detta runtime configuration (RTC) system, altre volte detta metodo //cn=config//

Si creano dei file .[[educare:LDIF]] nella cartella slapd.d  (dove c'è un file di nome  //cn=config.ldif//)

  * non si deve riavviare il servizio openLDAP
  * si può configurare con un comando <code> ldap {add|modify} file.ldif</code>
  * non editare direattamente i file .LDIF 
  * le opzioni del file .ldif hanno stesso nome di sdapd.conf aggiungendo il prefisso //olc//
  * ci sono due diversi alberi DIT: uno per i dati e uno per la configurazione del servizio
    * l'amministratore del primo potrebbe avere dn: cn=admin,dc=esempio,dc=com
    * l'amministratore del secondo deve essere identificato esternamente

Aumentare il ritmo delle indicizzazioni permette di migliorare le prestazioni

---

Ci sono due semplici comandi per scrivere dati in un file LDIF. 

  * ldifwrite
  * ldapsearch

//ldifwrite// si usa solo su OID "application data", non sullo schema, nemmeno su attributi operazionali e valori.

http://plansoft.org/wp-content/uploads/knowledge/bazadanych/ldap_sample_plsql_code.pdf

---

http://www.openldap.org/doc/admin24/slapdconf2.html

---

per aggiungere crittografia ssh tunnel oppure ssl tunnel?
https://en.wikipedia.org/wiki/Stunnel