OOpenLDAP的配置是有点难，但你也可以在实际部署中规避这些困难。

OpenLDAP的首席架构师Howard Chu表示，那些在OpenLDAP配置中叫苦不迭的人们 的问题根源可能在轻量目录访问协议（LDAP）上。

“这是一个应用范围非常广的协议，广泛到让人们不知道从哪里下手，”Chu说。他建议IT专业人员们亲自安装一下LDAP来协助理解、研究和体验。

我们向OpenLDAP用户们咨询一些关于配置和部署该协议的常见问题。

您是否可以给IT专业人员们一些提示？怎样简单地规避关于加密、证书等配置问题？

 安全套接字层 （SSL）配置任务工程浩大，务必当心。加州大学圣地亚哥分校(UCSD)Jacobs工程学院研究系统管理员Ian Kaufman建议，应该首先在没有SSL证书的情况下配置SSL，以确认一切环境正常。他表示，某些操作系统上的证书管理操作很麻烦，特别是 Solaris 。

Kaufman表示：“我们希望一切都易于部署和管理，还要具备非常好的扩展和定制余地。”UCSD在他们的三个Oracle Solaris 10服务器上运行OpenLDAP。

Kaufman还告诫不要 身份验证模块 ，这甚至比搭建OpenLDAP更具挑战性。“确保本地UNIX/Linux使用passwd命令完成了Kerberos密码刷新并加载pam_listfile，”Kaufman说，该文件是用户对机器的访问权限索引，避免在LDAP自身嵌入这些操作将让你更轻松。

Zimbra公司 服务器架构师Quanah Gibson-Mount表示，只要使用开源的OpenSSL维护OpenLDAP信息传输安全性，系统管理员们在配置加密或设置证书时就不会遇到问题。

 “Red Hat和Debian[Linux发行版]还在使用有底层缺陷的SSL来负责OpenLDAP组件的数据传输，所以很多场合我们都应该尽量避免使用这些代码。”他说，“我们已经看到这个问题对OpenLDAP用户的负面影响非常明显。”

为了获得最佳的兼容性，请只使用OpenLDAP支持的命令。Gibson-Mount指出，开源LDAP是Zimbra的协同套件软件的重要组件。开源LDAP支持Ubuntu、Red Hat Enterprise Linux和SUSE Linux Enterprise Server环境，但他建议不要在Red Hat平台使用OpenLDAP。

当前选择的配置选项是否有可能在未来导致问题，即使这些选项在当时是合理的？

UCSD最初选定Kerberos网络认证这种过于复杂的协议，这也是该大学后来选择将MIT Kerberos迁移到Ubuntu 12.04 LTS的原因，Kaufman表示。在原来的系统上，UCSD无法使用实现Web应用程序LDAP认证所需的一些Apache插件。Kaufman说，UCSD很轻松地就重新搭建了不包含Kerberos的LDAP基础架构，但还不够完美。

“没有Kerberos同时也带来了一个缺陷，我们将无法综合运用 NFSv4 [网络文件系统版本4]。”系统切换并非一帆风顺，也需要创新的能力。“不过说真的，我会说这是一次推进——促进在Kerberos的复杂性和NFSv4用户的利益之间作出抉择。”

来自Microsoft Active Directory体系的管理员们总习惯性地担心遇到“不可逆的管理操作，只有完全重装操作系统才能修复，”Chu说，这种担心让他们不敢迈向OpenLDAP。如果你能在将LDAP部署到生产环境之前，先在独立的开发环境内进行测试验证，那么这些错漏问题都不会产生实际的后果。“在测试环境下出现问题可以随时推倒重来。”一旦在开发环境中作出的更改达到你的要求，就可以将这些修改应用到生产环境。

是否有让与OpenLDAP的管理更轻松地支持工具或实用程序？

在实际的目录管理中，会使用命令行将让你倍感轻松。一个shell脚本或其他脚本语言可以帮系统管理员们完成复杂的管理任务，Chu表示。Gibson-Mount建议利用基于Perl的编辑器来实现Net::LDAP和Net::LDAPapi模块相关的任务自动化。

在管理和OpenLDAP中修改数据时，Apache Directory Studio会派上用场，Kaufman表示。Apache Directory Studio在UCSD的具备多个组织单位并且集成Kerberos的定制安装中表现良好。Chu表示，通常许多OpenLDAP的管理工具都有图形用户界面——Apache Directory Studio却不一样——他们偏向于简单的任务。