1.LDAP服务器端配置
2.LDAP客户端配置
3.LDAP服务器复制
4.LDAP服务器安全通信
一LDAP服务器端配置管理
1. LDAP服务器软件包安装
CentOS系统中要实现openLDAP的功能必须要安装openldap,openldap-servers,openldap-c
Lients三个软件包。CentOS安装光盘中提供LDAP服务器的RPM安装包版本为2.3.27。其中openldap包已经默认安装,用来提供LDAP服务的基本文件目录。Openldap-servers提供
服务端功能,openldap-clients提供客户端的搜索工具,这两个包必须手动安装。
#rpm –ivh openldap-servers-2.3.27-8.e15-1.3.i386.rpm
#rpm –ivh openldap-clients-2.3.27-8.e15-1.3.i386.rpm
2. 创建复制BDB数据库配置文件
LDAP服务器默认采用BDB(伯克利)数据库作为后台,CentOS中已经默认安装(如没有也可以RPM或者tar包安装).需要先将/etc/openldap/目录下的DB-CONFIG.example文件复
制到/var/lib/ldap/目录下并更名为DB-CONFIG并更改权限为ldap所有。
#cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
#chown ldap:ldap /var/lib/ldap/DB_CONFIG
3服务器文件配置.
LDAP服务器的主配置文件为/etc/openldap/slapd.conf,包含了复制功能。
(1) 找到
suffix “dc=my-domain,dc=com”
rootdn “cn=Manager,dc=my-domain,dc=com” 两行。
根据实际情况修改为
suffix “dc=boy,dc=com” 设定域名后缀
rootdn “cn=Manager,dc=boy,dc=com ” 超级管理员
(2)哈希密码 : rootpw是管理员的密码,但是明文密码存放有很大的安全隐患,可以用哈希散列的方式存储提高安全度。
#slappasswd –h {SSHA} > 1.txt
将哈希后产生的散列值添加进slapd.conf文件
rootpw {SSHA} 散列值
(3)手动添加日志功能
LDAP服务器需要手动添加日志功能。/etc/openldap/slapd.conf中末行添加“loglevel 296 ”。这是一个比较详细的日志级别。/etc/syslog.conf中添加“local4.* /var/log/ldap.log ”
确定LDAP服务器的日志位置。
(4)配置slapd.conf文件使客户端以MD5方式改变密码
sample security restrictions 下添加
password—hash {MD5}
(5)重启日志服务
#service syslog restart
(6)开启LDAP服务。
LDAP服务器的配置文件是slapd.conf,但是启动服务文件名/etc/init.d/ldap,所以启动命令
为:
# service ldap restart
#/etc/init.d/ldap restart
查看服务器进程:
#ps aux | grep ldap
查看端口:
#netstat –an | grep 389
如果启动正常应该有“389”端口信息。普通LDAP服务开放389端口。查看日志文件/var/log/ldap.log(系统随系统日志服务重启时自动创建)应该有启动信息。
设置系统在3,5级别启动时自动开启服务
#chkconfig —level 3 5 ldap on
4 迁移用户数据到目录服务数据库
LDAP服务器用户帐户数据的移植最简单的方法是使用PADL软件公司
(http://www.padl.org)提供的开源移植工具,既一系列用perl编程语言写的脚本文件可以胜任这个工作。这些脚本文件在/usr/share/openldap/migration目录中(也是由openldap-serversRPM包安装生成)。
#cd /usr/share/openldap/migration/
<1>修改migrate_common.ph 脚本。
$DEFAULT_MAIL_DOMAIN=“padl.com”;-à “boy.com”
$DEFAULT_BASE=“dc=padl,dc=com”à “dc=boy,dc=com”
这样就建立了LDAP 目录数据库的基准辨别名(BDN)
<2>使用迁移脚本migrate_base.pl为目录创建基本的数据结构
# ./migrate_base.pl> ~/base.ldif #cd /root/下
可以查看到base.ldif文件已经创建了LDAP形式的基本数据的结构化和层次化。
将base.ldif 文件的内容以LDAP服务命令行的形式导入数据库
#ldapadd –x –D“cn=Manager,dc=boy,dc=com” –W –f base.ldif
会要求输入先前创建超级管理员的密码。导入后再用命令查用一下。
#ldapsearch –x –H ldap://服务器地址 –b ‘dc=boy,dc=com’
可以用此命令查询到数据库中已用了基本的层次结构
<3>使用迁移脚本migrate_passwd.pl 和migrate_group.pl将文件
/etc/passwd 和/etc/group中的用户和组信息转化为LDIF(LDAP数
椐交换格式文件)结构形式。
cd /usr/share/openldap/migration/目录下
#./migrate_passwd.pl