一、OpenLDAP 安裝方式

發(fā)展壯大離不開廣大客戶長(zhǎng)期以來的信賴與支持，我們將始終秉承“誠信為本、服務(wù)至上”的服務(wù)理念，堅(jiān)持“二合一”的優(yōu)良服務(wù)模式，真誠服務(wù)每家企業(yè)，認(rèn)真做好每個(gè)細(xì)節(jié)，不斷完善自我，成就企業(yè)，實(shí)現(xiàn)共贏。行業(yè)涉及成都砂巖浮雕等，在重慶網(wǎng)站建設(shè)公司、成都全網(wǎng)營銷、WAP手機(jī)網(wǎng)站、VI設(shè)計(jì)、軟件開發(fā)等項(xiàng)目上具有豐富的設(shè)計(jì)經(jīng)驗(yàn)。

  在UNIX 發(fā)行操作系統(tǒng)環(huán)境下安裝OpenLDAP 軟件一般有兩種方式：一種是通過源碼編譯安裝，另一種則是通過光盤自帶的rpm 軟件包進(jìn)行安裝。下面會(huì)分別介紹這兩種安裝方式，我還是建議使用rpm 安裝，因?yàn)榉奖憧旖?。安裝OpenLDAP服務(wù)器需要提供守護(hù)進(jìn)程和傳統(tǒng)的OpenLDAP 管理配置工具，主要是slapd 和ldap-utils 套件。

  我的安裝環(huán)境是CentOS 6.7 64位操作系統(tǒng)，安裝前環(huán)境準(zhǔn)備請(qǐng)看博文環(huán)境準(zhǔn)備。

1、以軟件包形式安裝

# yum安裝 yum install openldap openldap-* -y # 初始化配置文件 cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf # 初始化數(shù)據(jù)庫配置文件 cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG # 修改權(quán)限 chown -R ldap.ldap /etc/openldap   chown -R ldap.ldap /var/lib/ldap

  默認(rèn)OpenLDAP 服務(wù)所使用的端口為389，此端口采用明文傳輸數(shù)據(jù)，數(shù)據(jù)信息得不到保障。所以可以通過配置CA 及結(jié)合TLS/SASL 實(shí)現(xiàn)數(shù)據(jù)加密傳輸，所使用端口為636，后面我再介紹實(shí)現(xiàn)過程。

2、通過源碼編譯安裝

  由于編譯安裝OpenLDAP 需要數(shù)據(jù)庫支持，因此OpenLDAP 軟件后端數(shù)據(jù)庫可采用BerkeleyDBBDB、Oracle、MySQL、MariaDB、GDBM 等數(shù)據(jù)庫軟件實(shí)現(xiàn)數(shù)據(jù)的存儲(chǔ)。默認(rèn)OpenLDAP 采用Berkeley DB 數(shù)據(jù)庫作為后端存儲(chǔ)引擎，而且OpenLDAP 對(duì)Berkey DB 的版本有一定要求，以O(shè)penLDAP 2.4 軟件版本為例，需要Berkeley DB 4.4 版本以上，所以在編譯OpenLDAP 源碼包時(shí)需要先下載Brekeley DB 源碼包，并進(jìn)行編譯安裝即可。

  Berkeley DB 是由美國Sleepycat Software 公司開發(fā)的開源數(shù)據(jù)庫系統(tǒng)，具有高性能、嵌入式數(shù)據(jù)庫編程庫，可存取任意類型的鍵（key）/值（value）對(duì)，一鍵可以存儲(chǔ)多個(gè)值，且支持在線并發(fā)量大的數(shù)據(jù)查詢請(qǐng)求。

  非常抱歉，這部分安裝設(shè)置比較復(fù)雜，我就不在這里展示了，如果誰想知道可以給我留言，謝謝。

二、OpenLDAP 配置

  我使用的系統(tǒng)是CentOS 6系列的，和CentOS 5系列的OpenLDAP有不小的區(qū)別，舊版本的OpenLDAP配置文件是slapd.conf，而新版本（我測(cè)試的新版本是2.4.40）的OpenLDAP服務(wù)運(yùn)行時(shí)并不會(huì)讀取該配置文件，而是從slapd.d目錄（一般與slapd.conf在同一目錄下）中讀取相關(guān)信息，我們需要把該目錄下的數(shù)據(jù)刪掉，然后利用我們?cè)趕lapd.conf里配置的信息重新生成配置數(shù)據(jù)。這也可能是你啟動(dòng)服務(wù)后運(yùn)行l(wèi)dap相關(guān)命令卻出現(xiàn)“l(fā)dap_bind: Invalid credentials (49)”錯(cuò)誤的主要原因。具體怎么重新生成配置數(shù)據(jù)請(qǐng)看具體的實(shí)驗(yàn)過程。

1、slapd.conf配置文件參數(shù)

以下是我的配置文件，#的內(nèi)容是我添加的解釋，大家可以根據(jù)實(shí)際情況修改成自己的域名，如果大家不了解其中的dn，cn，dc代表什么，請(qǐng)查看我的博文理論知識(shí)。

[root@mldap ~]# egrep -v "#|^$" /etc/openldap/slapd.conf # include 行代表當(dāng)前OpenLDAP 服務(wù)包含的schema 文件     include         /etc/openldap/schema/corba.schema include         /etc/openldap/schema/core.schema include         /etc/openldap/schema/cosine.schema include         /etc/openldap/schema/duaconf.schema include         /etc/openldap/schema/dyngroup.schema include         /etc/openldap/schema/inetorgperson.schema include         /etc/openldap/schema/java.schema include         /etc/openldap/schema/misc.schema include         /etc/openldap/schema/nis.schema include         /etc/openldap/schema/openldap.schema include         /etc/openldap/schema/ppolicy.schema include         /etc/openldap/schema/collective.schema include         /etc/openldap/schema/sudo.schema include         /etc/openldap/schema/openssh-lpk-openldap.schema # OpenLDAP 服務(wù)允許連接的客戶端版本。 allow bind_v2 # OpenLDAP 進(jìn)程啟動(dòng)時(shí)，pid 文件存放路徑。 pidfile         /var/run/openldap/slapd.pid # OpenLDAP 參數(shù)文件存放的路徑。 argsfile        /var/run/openldap/slapd.args # 傳輸加密的配置信息 TLSCACertificatePath /etc/openldap/certs TLSCertificateFile "\"OpenLDAP Server\"" TLSCertificateKeyFile /etc/openldap/certs/password database config access to *         by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage         by * none database monitor access to *         by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read         by dn.exact="cn=admin,dc=wzlinux,dc=com" read         by * none          # 指定OpenLDAP 數(shù)據(jù)庫類型。 database        bdb # 指定OpenLDAP 服務(wù)域名（DN） suffix          "dc=wzlinux,dc=com" checkpoint      1024 15 # 指定OpenLDAP 服務(wù)管理員信息。 rootdn          "cn=admin,dc=wzlinux,dc=com" # 指定OpenLDAP 服務(wù)管理員密碼，使用slappasswd -s your_password來獲取加密密碼 rootpw          {SSHA}hjqcrGsPL6H58QAS0QHBvihVS7x2HHKG # 指定OpenLDAP 數(shù)據(jù)庫文件的存放目錄。 directory       /var/lib/ldap # 創(chuàng)建OpenLDAP 索引。 index objectClass                       eq,pres index ou,cn,mail,surname,givenname      eq,pres,sub index uidNumber,gidNumber,loginShell    eq,pres index uid,memberUid                     eq,pres,sub index nisMapName,nisMapEntry            eq,pres,sub

2、啟動(dòng)服務(wù)并查詢

service slapd start

  查詢LDAP的目錄條目，首先我們介紹一下ldapsearch命令，具體可以使用man幫助手冊(cè)查看。

• -b：指定查找的節(jié)點(diǎn)

• -D：指定查找的DN

• -x：使用簡(jiǎn)單認(rèn)證

• -W：查詢是輸入密碼，或者使用-w password

• -h：OpenLDAP的主機(jī)地址，可以使用IP或者域名

• -H：使用LDAP服務(wù)器的URI地址進(jìn)行操作

[root@mldap ~]# ldapsearch -x -D "cn=admin,dc=wzlinux,dc=com" -H ldap://192.168.2.10 -W Enter LDAP Password:                    #就是我們?cè)趕lapd.conf加密的密碼 ldap_bind: Invalid credentials (49)

  我們看到出現(xiàn)了錯(cuò)誤，這個(gè)問題并不是因?yàn)槊艽a錯(cuò)誤，是因?yàn)樾掳娴腖DAP去讀取數(shù)據(jù)庫(slapd.d)，并沒有按照我們的配置文件(slapd.conf)讀取，所以我們要?jiǎng)h掉數(shù)據(jù)庫配置文件，然后通過slapd.conf文件生成，每次修改配置文件都要如此操作。

rm -rf /etc/openldap/slapd.d/* slaptest -f /etc/openldap/slapd.conf -F/etc/openldap/slapd.d chown -R ldap:ldap /etc/openldap/slapd.d service slapd restart

  然后再進(jìn)行查詢，看看結(jié)果返回是否正常，我們可以看到No such object，因?yàn)槲覀兪裁磾?shù)據(jù)也沒有添加，所以查詢的結(jié)果為零，到此我們的配置都是正常的。

[root@mldap ~]# ldapsearch -x -D "cn=admin,dc=wzlinux,dc=com" -h 192.168.2.10 -W Enter LDAP Password:  # extended LDIF # # LDAPv3 # base <> (default) with scope subtree # filter: (objectclass=*) # requesting: ALL # # search result search: 2 result: 32 No such object # numResponses: 1

3、為ldap server添加數(shù)據(jù)

  為ldap添加用戶數(shù)據(jù)，有四種方法，分別如下，我們選擇第四種方法進(jìn)行試驗(yàn)。

• 1）可以直接修改slapd.d目錄下面的數(shù)據(jù)文件，好處是不用重啟服務(wù)，直接生效；

• 2）安裝開源工具migrationtools來生成ldfi文件，并通過ldapadd來添加；

• 3）安裝ldap 客戶端，這種方法最為簡(jiǎn)單；

• 4）直接編輯ldfi文件，然后通過ldapadd添加。

  首先我們手動(dòng)編輯base.ldif文件，直接復(fù)制好像會(huì)因?yàn)楦袷接袉栴}。每個(gè)條目之間有個(gè)空格，直接復(fù)制過去會(huì)有點(diǎn)問題，需要你把每個(gè)條目之間空行的第一個(gè)空位刪除一下。

[root@mldap ~]# vim base.ldif  dn: dc=wzlinux,dc=com objectClass: organization objectClass: dcObject dc: wzlinux o: wzlinux dn: ou=people,dc=wzlinux,dc=com objectClass: top objectClass: organizationalUnit ou: people dn: ou=group,dc=wzlinux,dc=com objectClass: top objectClass: organizationalUnit ou: group

  通過ldapadd導(dǎo)入數(shù)據(jù)，通過man可以看到，他的大部分參數(shù)和ldapsearch差不多，我們這里就直接使用了。

[root@mldap ~]# ldapadd -x -D "cn=admin,dc=wzlinux,dc=com" -w 123456a -h 192.168.2.10 -f base.ldif  adding new entry "dc=wzlinux,dc=com" adding new entry "ou=people,dc=wzlinux,dc=com" adding new entry "ou=group,dc=wzlinux,dc=com"

  通過反饋的結(jié)果，我們已經(jīng)看到添加成功了，我們?cè)诹硗庖慌_(tái)安裝了客戶端的機(jī)器上面進(jìn)行查詢一下，可以看到我們查詢到的結(jié)果和我們的base.ldif是一樣的。

[root@test01 ~]# ldapsearch -x -D "cn=admin,dc=wzlinux,dc=com" -w 123456a -h 192.168.2.10 -b "dc=wzlinux,dc=com" -LLL dn: dc=wzlinux,dc=com objectClass: organization objectClass: dcObject dc: wzlinux o: wzlinux dn: ou=people,dc=wzlinux,dc=com objectClass: top objectClass: organizationalUnit ou: people dn: ou=group,dc=wzlinux,dc=com objectClass: top objectClass: organizationalUnit ou: group

  然后我們通過user.ldif和group.ldif增加一個(gè)用戶和一個(gè)組。

[root@mldap ~]# cat user.ldif group.ldif  dn: uid=test1,ou=people,dc=wzlinux,dc=com objectClass: posixAccount objectClass: top objectClass: inetOrgPerson objectClass: shadowAccount gidNumber: 0 givenName: test1 sn: test1 uid: test1 homeDirectory: /home/test1 loginShell: /bin/bash shadowFlag: 0 shadowMin: 0 shadowMax: 99999 shadowWarning: 0 shadowInactive: 99999 shadowLastChange: 12011 shadowExpire: 99999 cn: test1 uidNumber: 24422 userPassword:: e1NIQX10RVNzQm1FL3lOWTNsYjZhMEw2dlZRRVpOcXc9 dn: cn=DBA,ou=group,dc=wzlinux,dc=com objectClass: posixGroup objectClass: top cn: DBA memberUid: test1 gidNumber: 10673

  看完那就添加用戶和組唄。

[root@mldap ~]# ldapadd -x -D "cn=admin,dc=wzlinux,dc=com" -w 123456a -h 192.168.2.10 -f group.ldif  adding new entry "cn=DBA,ou=group,dc=wzlinux,dc=com" [root@mldap ~]# ldapadd -x -D "cn=admin,dc=wzlinux,dc=com" -w 123456a -h 192.168.2.10 -f user.ldif  adding new entry "uid=test1,ou=people,dc=wzlinux,dc=com"

  然后通過下面的命令查看自己是否添加成功。

ldapsearch -x -D "cn=admin,dc=wzlinux,dc=com" -w 123456a -h 192.168.2.10 -b "dc=wzlinux,dc=com" -LLL

  可能每次查詢都寫這么多，或許感覺比較麻煩，我們可以在客戶端的配置文件里面添加兩行數(shù)據(jù)，客戶端的配置文件是/etc/openldap/ldap.conf。

BASE   dc=wzlinux,dc=com URI    ldap://ldap.wzlinux.com     #提前設(shè)置好hosts文件

4、通過slapd.conf 定義用戶策略控制

  默認(rèn)情況下，不允許OpenLDAP 用戶自身修改密碼，僅管理員具有修改權(quán)限。為了提高個(gè)人賬號(hào)的安全性，需要讓用戶自身可以修改并更新密碼信息，不需要管理員干涉。具體步驟如下。

1）定義訪問控制策略。

  編輯slapd.conf 配置文件，定位access 行，添加如下內(nèi)容。

access to attrs=shadowLastChange,userPassword       by self write             #只允許自身修改       by * auth   access to *       by * read                 #允許授權(quán)用戶查看信息

2）重新生成數(shù)據(jù)庫文件并重啟服務(wù)。

rm -rf /etc/openldap/slapd.d/*   slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/   chown -R ldap.ldap /etc/openldap/   service slapd restart

5、日志的配置

  在配置文件/etc/openldap/slapd.conf中添加如下內(nèi)容，記得重新生成數(shù)據(jù)庫文件。

loglevel 256 cachesize 1000 checkpoint 2048 10

  在/etc/rsyslog.conf中添加如下內(nèi)容，然后重啟rsyslog服務(wù)。

local4.*          /var/log/slapd.log

6、OpenLDAP 日志切割配置

  通過logrotate 實(shí)現(xiàn)對(duì)OpenLDAP 日志的切割，預(yù)防日志過大不便于排錯(cuò)以及性能分析。下面通過定制腳本實(shí)現(xiàn)當(dāng)日志大于10MB 時(shí)，進(jìn)行切割，便于排錯(cuò)。腳本如下。

#!/bin/bash   ########### 通過logrotate 實(shí)現(xiàn)對(duì)OpenLDAP 日志進(jìn)行切割 ##################   FILE= /var/log/slapd.log   if [ ! -f $FILE ];then   /bin/touch $FILE && /bin/chmod 666 $FILE && /usr/bin/chattr +a $FILE &> /dev/null   cat > /etc/logrotate.d/ldap << "EOF"   /var/log/slapd.log {      prerotate            /usr/bin/chattr -a /var/log/slapd/slapd.log      endscript      compress      delaycompress      notifempty      rotate 100      size 10M      postrotate             /usr/bin/chattr +a /var/log/slapd/slapd.log      endscript   }   EOF      service rsyslog restart && chkconfig rsyslog on   else      echo "slapd log is exsit"   fi

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站名稱：OpenLDAP服務(wù)端安裝與配置-創(chuàng)新互聯(lián)
標(biāo)題鏈接：http://weahome.cn/article/eehji.html