centos redhat 6+ openldap 初级介绍

最新推荐文章于 2022-07-13 19:55:24 发布
最新推荐文章于 2022-07-13 19:55:24 发布
阅读量156 收藏
点赞数
文章标签: ldap 数据库 运维
原文链接:https://my.oschina.net/HankCN/blog/145617
版权

搜索很长时间始终发现博文与我的centos6.3里的openldap文件目录不同。敢肯定是版本问题。

于是参考了rhel官方文档,在这汉化列出。

1.ldap的安装

基本的ldap服务

Package Description
openldap openldap服务端和客户端必须用的库文件。
openldap-clients 在ldap服务上使用的用于查看和修改目录的命令行的package。
openldap-servers 用于启动服务和设置. 包含单独的ldap后台守护程序。
openldap-servers-sql 支持sql模块
compat-openldap openldap兼容性库

下面是常用的ldap服务

Package Description
nss-pam-ldapd 允许用户执行ldap查询的服务,nslcd  
mod_authz_ldap
mod_authz_ldap模块,ldap的apche授权模块。 该模块使用短形式的主题和客户端SSL证书来确定用户的可分辨名称LDAP目录内的发行人的专有名称。 目录条目的属性的授权用户,确定用户和组权限的资产根据资产,并否认使用过期密码的用户访问。需要注意的是mod_ssl的模块时,需要使用的mod_authz_ldap模块。

使用yum install package来安装你需要的包 

yum install package
例如: 
~]#yum install openldap openldap-clients openldap-servers

2.openldap的工具

openldap服务端命工具

Command Description
slapacl 允许你检查 访问属性列表
slapadd 允许你从LDIF文件添加条目在 LDAP 目录.
slapauth 允许你检查验证和授权权限的ID表
slapcat 允许你把 LDAP 目录的默认格式 保存到 LDIF 文件。
slapdn 允许你检查变别名(NDs)的正确语法。
slapindex 允许你基于当前内容重新索引slapd目录。会更改配置文件。
slappasswd 允许您创建的ldapmodify实用程序,或者在slapd的配置文件加密的用户要使用的密码。
slapschema 允许你检查遵守相应模式的数据库。
slaptest 允许您检查LDAP服务器的配置。

使用以上工具时,注意停止服务 

~]# service slapd stop
Stopping slapd:                                            [  OK  ]

确保文件有正确的使用者 

~]#chown -R ldap:ldap /var/lib/ldap

openldap客户端工具

Command Description
ldapadd 允许您将从一个文件中,或从标准输入条目添加到LDAP目录中。这是一个符号链接 的ldapmodify-A
ldapcompare 可以让你比较给定的属性与LDAP目录条目。
ldapdelete 允许您从LDAP目录中删除条目。
ldapexop 允许您进行扩展LDAP操作。
ldapmodify 允许您修改LDAP目录中的项目,无论是从一个文件中,或从标准输入。
ldapmodrdn 允许您修改LDAP目录条目的RDN值。
ldappasswd 让您的LDAP用户来设置或更改密码。
ldapsearch 允许你搜索LDAP目录条目。
ldapurl 可让您撰写或LDAP URL的分解。
ldapwhoami 允许您在 LDAP服务上执行WHOAMI的操作。

 Mozilla Thunderbird, Evolution, or Ekiga ldap 图形客户端上,只有只读权限,而不具有操作目录的权限。

默认的情况下,存储在OpenLDAP配置的/etc/openldap目录,下边的表为这个目录的重要文件。

Path Description
/etc/openldap/ldap.conf OpenLDAP客户端应用程序的配置文件。这包括LDAPADD的,ldapsearch的演变等。
/etc/openldap/slapd.d/ 此目录包含slapd 的配置文件。
新的服务已经不再读取/etc/openldap/slapd.conf,你可以通过以下命令转换成新的配置文件 
~]#slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/
不要直接编辑/etc/openldap/slapd.d/中的文件,这将有可能导致服务无法启动。


3.更改全局配置

LDAP全局配置选项文件:/etc/openldap/slapd.d/cn=config.ldif 

以下是常用选项

可用的olcAllows选项

选项 描述
bind_v2 接受LDAP2绑定请求。
bind_anon_cred 当分辨名称(DN)是空的允许匿名绑定时。
bind_anon_dn 当可分辨名称(DN)是不是空的,允许匿名绑定时,。
update_anon 启用匿名更新操作的处理。
proxy_authz_anon 启用匿名代理授权控制。
使用olcAllows指令

例如 

olcAllows: bind_v2 update_anon

olcConnMaxPending
olcConnMaxPending指令允许您指定挂起的请求,匿名会话的最大数量。它采用以下形式: 

olcConnMaxPending: number
默认选项为100。

例如: 

olcConnMaxPending: 100

olcConnMaxPendingAuth
olcConnMaxPendingAuth指令允许您指定挂起的请求,认证会话的最大数量。它采用以下形式: 

olcConnMaxPendingAuth: number

例如 

olcConnMaxPendingAuth: 1000

olcDisallows
olcDisallows指令允许你指定哪个功能停用。它采用以下形式:
采用空额分隔

可用的olcDisallows选项

Option Description
bind_anon 禁止匿名绑定
bind_simple 禁止简单绑定认证机制
tls_2_anon 当收到STARTTLS 命令禁止匿名会话
tls_authc 禁止在验证时使用STARTTLS命令
例如 

olcDisallows:bind_anon
olcIdleTimeout

olcIdleTimeout指令允许您指定关闭空闲连接之前等待多少秒。它采用以下形式: 


olcIdleTimeout: number
此选项默认被禁用(即设置为0)。

例如 

olcIdleTimeout:180

olcLogFile
olcLogFile指令允许你指定一个文件,在其中写入日志消息。它采用以下形式: 

olcLogFile:FILE_NAME

默认情况下,日志消息写入标准错误。

例如 

olcLogFile: /var/log/slapd.log
olcReferral
olcReferral选项允许你不处理这个URL的服务请求

例如 

olcReferral: ldap://root.openldap.org
olcWriteTimeout

允许你指定等待多少秒去关闭一个为解决的写请求连接

例如 

olcWriteTimeout: 180
4.更改数据库特定配置


默认情况下,OpenLDAP服务器使用Berkeley DB(BDB)数据库作为后端。此数据库的配置存储在/etc/openldap/slapd.d/cn=config/olcDatabase={1}bdb.ldif文件。下面的指令中常用的数据库特定的配置:

olcReadOnly

该选项允许你使用只读模式的数据库 

olcReadOnly: boolean
允许TRUE(默认只读模式),或者FALSE(默认可更改数据库)。默认为FALSE

例如 

olcReadOnly: TRUE
olcRootDN选项让指定的用户在LDAP目录无访问控制和无命令设置。 
olcRootDN: distinguished_name
它接受专有名称 Distinguished Name  (DN ),默认cn=Manager,dn=my-domain,dc=com.


例如 

olcRootDN: cn=root,dn=example,dn=com
olcRootPW 


olcRootPW: password
允许纯文本字符串,hash。生成一个hash,然后: 


~]$slappaswdNew password: 
Re-enter new password: 
{SSHA}WczWsyPEnMchFf1GRTweq2q7XJcvmSxD
例如 
olcRootPW: {SSHA}WczWsyPEnMchFf1GRTweq2q7XJcvmSxD
olcSuffix

该指令允许您指定域的提供信息 

olcSuffix: domain_name
它接受一个完全限定的域名 fully qualified domain name  (FQDN),默认:dc=my-domain,dc=com.

例如 

olcSuffix: dc=example,dc=com
5.扩展模式

从OPENLADP2.3开始,/etc/openldap/slapd.d/目录包含原本位于/etc/openldap/schema/。它可以扩展模式使用OpenLDAP支持额外的属性类型和对象类使用默认模式文件作为指导。参考http://www.openldap.org/doc/admin/schema.html

6.启动LDAP服务 

~]#service slapd start

Starting slapd: [ OK ]

如果你希望服务在启动时自动启动,使用以下命令: 

~]#chkconfig slapd on

重启服务 

~]#service slapd restart                                                            Stopping slapd:                                            [  OK  ]
Starting slapd:                                            [  OK  ]
查看状态     
~]#service slapd status                                                             slapd (pid  3672) is running...

配置系统以验证使用OpenLDAP

为了将系统配置为使用OpenLDAP验证,确保LDAP服务器和客户机上安装相应的软件包。 


~]# yum install openldap openldap-clients nss-pam-ldapd






转载于:https://my.oschina.net/HankCN/blog/145617

chuyanwen8507
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Redhat6下构建LDAP服务
weixin_34311757的博客
05-10 102
下周RHCE考试,由于有几道题涉及LDAP服务,中心有现成LDAP服务器,但家练习的话就悲剧了,所以和LDAP斗争了几天,参考了中心老师和网上的文档配置方法和思路,最终测试完毕。 现归纳成文档,有兴趣的朋友可以作为参考,如有遗漏,还请回复指出。实验环境:REDHAT6.3LDAP server:172.24.30.20LDAP clent: 172.24.30....
CentOS (RedHat) 6.2 使用 OpenLDAP
frylion的专栏
11-13 2077
由于工作需要,最近简单研究了一下RedHat(CentOS)上的OpenLDAP,发现6.2的配置和以前的版本,特别是5.*的很不一样。 简介 Linux 发行版中提供的 OpenLDAP 软件按照一个客户机/服务器模型实现了轻量级目录访问协议(LDAP)。LDAP 的设计目的是提供一种有效的方法来查找和管理信息。OpenLDAP 软件和包提供了创建目录信息树(一个主要进行读操作的数据
scala中:::的用法_主题304:用法
cuxiong8996的博客
07-08 626
在你开始前 了解这些教程可以教给您什么以及如何从中获得最大收益。 关于本系列 Linux Professional Institute (LPI)在三个级别对Linux®系统管理员进行认证: 初级 (也称为“认证级别1”), 高级 (也称为“认证级别2”)和高级 (也称为“认证级别3”) ”)。 要获得认证1级,您必须通过考试101和102。要达到认证2级,您必须通过考试201和2...
openldap 匿名访问
友人A的博客
01-14 3066
一、openldap默认允许匿名访问 1、使用LDAP Admin客户端测试匿名用户测试 2、匿名用户能登录,有查看组织架构的权限。从安全的角度考虑,这种情况是不被允许的 二、openldap禁止匿名访问 1、在openldap服务端,编辑.ldif配置文件 [root@xph ~]# vi disable_Anonymous.ldif dn: cn=config changetype: modify add: olcDisallows olcDisallows: bind_a
LDAP容器化部署,配置主机管理策略,
mr_xyang的博客
09-15 952
LDAP是轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)。简单理解可以把LDAP看作是一个树形结构的数据库,通常LDAP用于实现账号的统一管理。 推荐客户端使用开发工具:LdapAdmin、Apache Directory studio ldap名词解释 关键字 全称 含义 dc Domain Component 域名的部分,其格式是将完整的域名分成几部分,如域名为example.com变成dc=example,dc
centos7.3 +openldap+phpldapadmin+ssh
02-27
本篇文章将详细讲解如何在 CentOS 7.3 系统上部署并集成 OpenLDAP(一个开源的 LDAP 服务器实现)、Phpldapadmin(一个基于 Web 的 LDAP 管理工具)以及 SSH 服务,并实现用户登录时自动创建家目录的功能。...
详解samba + OPENldap 搭建文件共享服务器问题
09-29
主要介绍了samba + OPENldap 搭建文件共享服务器,这里我使用的是 samba(文件共享服务) v4.9.1 + OPENldap(后端数据库软件) v2.4.44 + smbldap-tools(后端数据库管理软件) v0.9.11 + CentOS7。 需要的朋友可以参考下
centos6.4+openldap
06-15
环境:centos6.4 openldap 2.4.23 实践: 1.openldap安装配置 2.客户端配置 3.sudo的支持 4.漫游用户主目录配置 5.用户更改密码 6.安全加密 7.主从复制 8.权限控制
CentOS 7 环境下 OpenLDAP 的安装与配置
11-02
centos环境 openldap环境搭建与配置
redhat7.9 + yum.repos.d
最新发布
11-03
总的来说,`redhat7.9 + yum.repos.d` 和相关的`.repo`文件是RHEL 7.9系统管理和维护的重要组成部分。正确配置这些仓库可以帮助用户更高效地管理他们的系统,获取最新的安全更新,以及安装所需的软件包。
openldap2.4.45 mdb 写入性能提升配置
hknaruto的专栏
12-22 2882
编译安装openldap [yeqiang@localhost openldap-2.4.45]$ ./configure [yeqiang@localhost openldap-2.4.45]$ make depend [yeqiang@localhost openldap-2.4.45]$ make [yeqiang@localhost openldap-2.4.45]$ sudo make
openldap 认证
老康学Linux
08-07 2864
OpenLDAP是轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)的自由和开源的实现,在其OpenLDAP许可证下发行,并已经被包含在众多流行的Linux发行版中。
Openldap服务器日志及权限配置
weixin_30564901的博客
11-12 585
一、openldap的日志产生及文件大小控制1.1 ldap日志1.1.1 日志配置Create the file logging.ldif with the following contents: dn: cn=configchangetype: modifyreplace: olcLogLevelolcLogLevel: stats Implement the change:su...
ldap 禁止匿名登录(5)
weixin_34228617的博客
10-18 699
[root@zabbix1 ~]# cat disable_anon.ldif dn: cn=config changetype: modify add: olcDisallows olcDisallows: bind_anon dn: cn=config changetype: modify add: olcRequires olcRequires: authc ...
LDAP NULL bind导致登录绕过漏洞分析和修复方案(LDAP、域控)
墨痕诉清风的博客
07-13 1077
LDAP轻型目录访问协议是一个开放的,中立的,工业标准的应用协议,通过IP协议提供访问控制和维护分布式信息的目录信息。有优异的读性能,但写性能差。LDAP作为开放的Internet标准,支持跨平台,在业界中得到广泛认可和使用,只需要通过简单的配置就可以实现与服务器的认证交互,可以很便捷的实现LDAP统一认证服务,如我们日常使用的sso。LDAP bind绑定可以理解为一个登陆认证的过程,通常,在根据LDAP进行身份验证时,判断是否登陆成功会采取以下三种方法之一:或者称为Anonymous bind,不同于匿
取消OpenLDAP的匿名访问
叱咤少帅的博客
06-18 2558
LDAP
OpenLDAP 2.4.46 的安装
weixin_34356555的博客
07-18 1153
官方网址:http://www.openldap.org/RPM 包下载地址:https://rpmfind.net/linux/centos/7.5.1804/os/x86_64/Packages/openldap-servers-2.4.44-13.el7.x86_64.rpm源码包下载地址:http://www.openldap.org/software/dow...
LDAP权限配置
热门推荐
niu870781892的专栏
06-19 1万+
简介:  您是否曾经设法与某个使用不同数据格式的人共享您的联系人列表,或者设法将您的地址簿迁移到另一个应用程序?如果是这样的话,您知道这是件令人头痛的事。导入和导出方案(如果它们确实存在)通常很笨拙而且使用起来不能令人满意,即使只使用一次也是如此,更不用说经常使用了。欢迎使用轻量级目录访问协议(Lightweight Directory Access Protocol)。本教程向您演示了如何创建一
LDAP 的安装配置(centos
02-24 181
Centos6系统中LDAP配置 服务器: 安装 yum install openldap openldap-servers openldap-clients 安装后,把模板文件拷贝到配置文件目录并改名 cp /usr/share/openldap-servers/sla...
CentOS6/7下OpenLDAP服务器详细搭建指南
本文详细介绍了如何在CentOS 6.5或7上配置和管理OpenLDAP服务器,包括安全传输层协议(TLS)的配置、主备服务器设置以及权限控制。 一、采用CN=CONFIG搭建服务器 1.1 软件安装:首先需要安装OpenLDAP服务器软件包,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值