CentOS下LDAP服务配置指南

 

1.LDAP服务器端配置

2.LDAP客户端配置

3.LDAP服务器复制

4.LDAP服务器安全通信

一LDAP服务器端配置管理

1.     LDAP服务器软件包安装

CentOS系统中要实现openLDAP的功能必须要安装openldap,openldap-servers,openldap-c

Lients三个软件包。CentOS安装光盘中提供LDAP服务器的RPM安装包版本为2.3.27。其中openldap包已经默认安装，用来提供LDAP服务的基本文件目录。Openldap-servers提供

服务端功能，openldap-clients提供客户端的搜索工具，这两个包必须手动安装。

#rpm –ivh openldap-servers-2.3.27-8.e15-1.3.i386.rpm

#rpm –ivh openldap-clients-2.3.27-8.e15-1.3.i386.rpm

2.     创建复制BDB数据库配置文件

LDAP服务器默认采用BDB（伯克利）数据库作为后台，CentOS中已经默认安装(如没有也可以RPM或者tar包安装).需要先将/etc/openldap/目录下的DB-CONFIG.example文件复

制到/var/lib/ldap/目录下并更名为DB-CONFIG并更改权限为ldap所有。

#cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

#chown ldap:ldap /var/lib/ldap/DB_CONFIG

3服务器文件配置.

   LDAP服务器的主配置文件为/etc/openldap/slapd.conf,包含了复制功能。

(1)    找到  

      suffix “dc=my-domain,dc=com”

      rootdn “cn=Manager,dc=my-domain,dc=com” 两行。

根据实际情况修改为

      suffix  “dc=boy,dc=com”   设定域名后缀

      rootdn  “cn=Manager,dc=boy,dc=com ” 超级管理员

（2）哈希密码 : rootpw是管理员的密码，但是明文密码存放有很大的安全隐患，可以用哈希散列的方式存储提高安全度。

#slappasswd –h {SSHA} > 1.txt

将哈希后产生的散列值添加进slapd.conf文件

rootpw    {SSHA}   散列值

(3)手动添加日志功能

LDAP服务器需要手动添加日志功能。/etc/openldap/slapd.conf中末行添加“loglevel 296 ”。这是一个比较详细的日志级别。/etc/syslog.conf中添加“local4.*  /var/log/ldap.log ”

确定LDAP服务器的日志位置。

(4)配置slapd.conf文件使客户端以MD5方式改变密码

sample  security  restrictions 下添加

password—hash  {MD5}

(5)重启日志服务

#service  syslog  restart

(6)开启LDAP服务。

   LDAP服务器的配置文件是slapd.conf,但是启动服务文件名/etc/init.d/ldap,所以启动命令

为：

# service ldap restart

#/etc/init.d/ldap restart

查看服务器进程：

#ps aux | grep ldap

查看端口：

#netstat –an | grep 389

如果启动正常应该有“389”端口信息。普通LDAP服务开放389端口。查看日志文件/var/log/ldap.log(系统随系统日志服务重启时自动创建)应该有启动信息。

设置系统在3，5级别启动时自动开启服务

#chkconfig —level 3 5 ldap on

 

4 迁移用户数据到目录服务数据库

 

   LDAP服务器用户帐户数据的移植最简单的方法是使用PADL软件公司

（http://www.padl.org）提供的开源移植工具，既一系列用perl编程语言写的脚本文件可以胜任这个工作。这些脚本文件在/usr/share/openldap/migration目录中(也是由openldap-serversRPM包安装生成)。

#cd /usr/share/openldap/migration/

<1>修改migrate_common.ph 脚本。

  $DEFAULT_MAIL_DOMAIN=“padl.com”;-à “boy.com”

   $DEFAULT_BASE=“dc=padl,dc=com”à “dc=boy,dc=com”

这样就建立了LDAP 目录数据库的基准辨别名(BDN)

<2>使用迁移脚本migrate_base.pl为目录创建基本的数据结构

# ./migrate_base.pl> ~/base.ldif  #cd /root/下

可以查看到base.ldif文件已经创建了LDAP形式的基本数据的结构化和层次化。

将base.ldif 文件的内容以LDAP服务命令行的形式导入数据库

#ldapadd –x –D“cn=Manager,dc=boy,dc=com” –W –f base.ldif

会要求输入先前创建超级管理员的密码。导入后再用命令查用一下。

#ldapsearch –x –H ldap://服务器地址 –b ‘dc=boy,dc=com’

可以用此命令查询到数据库中已用了基本的层次结构

<3>使用迁移脚本migrate_passwd.pl 和migrate_group.pl将文件

/etc/passwd 和/etc/group中的用户和组信息转化为LDIF(LDAP数

椐交换格式文件）结构形式。

cd /usr/share/openldap/migration/目录下

#./migrate_passwd.pl