OpenLDAP 服务端安装与配置

最新推荐文章于 2024-08-23 11:11:31 发布
最新推荐文章于 2024-08-23 11:11:31 发布
阅读量1k 收藏
点赞数
分类专栏: Linux案例

一、OpenLDAP 安装方式

    在UNIX 发行操作系统环境下安装OpenLDAP 软件一般有两种方式:一种是通过源码编译安装,另一种则是通过光盘自带的rpm 软件包进行安装。下面会分别介绍这两种安装方式,我还是建议使用rpm 安装,因为方便快捷。安装OpenLDAP服务器需要提供守护进程和传统的OpenLDAP 管理配置工具,主要是slapd 和ldap-utils 套件。

    我的安装环境是CentOS 6.7 64位操作系统,安装前环境准备请看博文环境准备

1、以软件包形式安装

1
2
3
4
5
6
7
8
9
10
11
12
# yum安装
yum  install  openldap openldap-* -y
 
# 初始化配置文件
cp  /usr/share/openldap-servers/slapd .conf.obsolete  /etc/openldap/slapd .conf
 
# 初始化数据库配置文件
cp  /usr/share/openldap-servers/DB_CONFIG .example  /var/lib/ldap/DB_CONFIG
 
# 修改权限
chown  -R ldap.ldap  /etc/openldap  
chown  -R ldap.ldap  /var/lib/ldap

    默认OpenLDAP 服务所使用的端口为389,此端口采用明文传输数据,数据信息得不到保障。所以可以通过配置CA 及结合TLS/SASL 实现数据加密传输,所使用端口为636,后面我再介绍实现过程。

2、通过源码编译安装

    由于编译安装OpenLDAP 需要数据库支持,因此OpenLDAP 软件后端数据库可采用BerkeleyDBBDB、Oracle、MySQL、MariaDB、GDBM 等数据库软件实现数据的存储。默认OpenLDAP 采用Berkeley DB 数据库作为后端存储引擎,而且OpenLDAP 对Berkey DB 的版本有一定要求,以OpenLDAP 2.4 软件版本为例,需要Berkeley DB 4.4 版本以上,所以在编译OpenLDAP 源码包时需要先下载Brekeley DB 源码包,并进行编译安装即可。

    Berkeley DB 是由美国Sleepycat Software 公司开发的开源数据库系统,具有高性能、嵌入式数据库编程库,可存取任意类型的键(key)/值(value)对,一键可以存储多个值,且支持在线并发量大的数据查询请求。

    非常抱歉,这部分安装设置比较复杂,我就不在这里展示了,如果谁想知道可以给我留言,谢谢。

二、OpenLDAP 配置

    我使用的系统是CentOS 6系列的,和CentOS 5系列的OpenLDAP有不小的区别,旧版本的OpenLDAP配置文件是slapd.conf,而新版本(我测试的新版本是2.4.40)的OpenLDAP服务运行时并不会读取该配置文件,而是从slapd.d目录(一般与slapd.conf在同一目录下)中读取相关信息,我们需要把该目录下的数据删掉,然后利用我们在slapd.conf里配置的信息重新生成配置数据。这也可能是你启动服务后运行ldap相关命令却出现“ldap_bind: Invalid credentials (49)”错误的主要原因。具体怎么重新生成配置数据请看具体的实验过程。

1、slapd.conf配置文件参数

    以下是我的配置文件,#的内容是我添加的解释,大家可以根据实际情况修改成自己的域名,如果大家不了解其中的dn,cn,dc代表什么,请查看我的博文理论知识

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
[root@mldap ~] # egrep -v "#|^$" /etc/openldap/slapd.conf
 
# include 行代表当前OpenLDAP 服务包含的schema 文件    
include          /etc/openldap/schema/corba .schema
include          /etc/openldap/schema/core .schema
include          /etc/openldap/schema/cosine .schema
include          /etc/openldap/schema/duaconf .schema
include          /etc/openldap/schema/dyngroup .schema
include          /etc/openldap/schema/inetorgperson .schema
include          /etc/openldap/schema/java .schema
include          /etc/openldap/schema/misc .schema
include          /etc/openldap/schema/nis .schema
include          /etc/openldap/schema/openldap .schema
include          /etc/openldap/schema/ppolicy .schema
include          /etc/openldap/schema/collective .schema
include          /etc/openldap/schema/sudo .schema
include          /etc/openldap/schema/openssh-lpk-openldap .schema
 
# OpenLDAP 服务允许连接的客户端版本。
allow bind_v2
 
# OpenLDAP 进程启动时,pid 文件存放路径。
pidfile          /var/run/openldap/slapd .pid
 
# OpenLDAP 参数文件存放的路径。
argsfile         /var/run/openldap/slapd .args
 
# 传输加密的配置信息
TLSCACertificatePath  /etc/openldap/certs
TLSCertificateFile  "\"OpenLDAP Server\""
TLSCertificateKeyFile  /etc/openldap/certs/password
 
database config
access to *
         by dn.exact= "gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"  manage
         by * none
database monitor
access to *
         by dn.exact= "gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"  read
         by dn.exact= "cn=admin,dc=wzlinux,dc=com"  read
         by * none
         
# 指定OpenLDAP 数据库类型。
database        bdb
 
# 指定OpenLDAP 服务域名(DN)
suffix           "dc=wzlinux,dc=com"
checkpoint      1024 15
 
# 指定OpenLDAP 服务管理员信息。
rootdn           "cn=admin,dc=wzlinux,dc=com"
 
# 指定OpenLDAP 服务管理员密码,使用slappasswd -s your_password来获取加密密码
rootpw          {SSHA}hjqcrGsPL6H58QAS0QHBvihVS7x2HHKG
 
# 指定OpenLDAP 数据库文件的存放目录。
directory        /var/lib/ldap
 
# 创建OpenLDAP 索引。
index objectClass                        eq ,pres
index ou,cn,mail,surname,givenname       eq ,pres,sub
index uidNumber,gidNumber,loginShell     eq ,pres
index uid,memberUid                      eq ,pres,sub
index nisMapName,nisMapEntry             eq ,pres,sub

2、启动服务并查询

1
service slapd start

    查询LDAP的目录条目,首先我们介绍一下ldapsearch命令,具体可以使用man帮助手册查看。

  • -b:指定查找的节点

  • -D:指定查找的DN

  • -x:使用简单认证

  • -W:查询是输入密码,或者使用-w password

  • -h:OpenLDAP的主机地址,可以使用IP或者域名

  • -H:使用LDAP服务器的URI地址进行操作

1
2
3
[root@mldap ~] # ldapsearch -x -D "cn=admin,dc=wzlinux,dc=com" -H ldap://192.168.2.10 -W
Enter LDAP Password:                     #就是我们在slapd.conf加密的密码
ldap_bind: Invalid credentials (49)

    我们看到出现了错误,这个问题并不是因为密码错误,是因为新版的LDAP去读取数据库(slapd.d),并没有按照我们的配置文件(slapd.conf)读取,所以我们要删掉数据库配置文件,然后通过slapd.conf文件生成,每次修改配置文件都要如此操作。

1
2
3
4
rm  -rf  /etc/openldap/slapd .d/*
slaptest -f  /etc/openldap/slapd .conf -F /etc/openldap/slapd .d
chown  -R ldap:ldap  /etc/openldap/slapd .d
service slapd restart

    然后再进行查询,看看结果返回是否正常,我们可以看到No such object,因为我们什么数据也没有添加,所以查询的结果为零,到此我们的配置都是正常的。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[root@mldap ~] # ldapsearch -x -D "cn=admin,dc=wzlinux,dc=com" -h 192.168.2.10 -W
Enter LDAP Password: 
# extended LDIF
#
# LDAPv3
# base <> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
 
# search result
search: 2
result: 32 No such object
 
# numResponses: 1

3、为ldap server添加数据

    为ldap添加用户数据,有四种方法,分别如下,我们选择第四种方法进行试验。

  • 1)可以直接修改slapd.d目录下面的数据文件,好处是不用重启服务,直接生效;

  • 2)安装开源工具migrationtools来生成ldfi文件,并通过ldapadd来添加;

  • 3)安装ldap 客户端,这种方法最为简单;

  • 4)直接编辑ldfi文件,然后通过ldapadd添加。

    首先我们手动编辑base.ldif文件,直接复制好像会因为格式有问题。每个条目之间有个空格,直接复制过去会有点问题,需要你把每个条目之间空行的第一个空位删除一下。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[root@mldap ~] # vim base.ldif 
dn:  dc =wzlinux, dc =com
objectClass: organization
objectClass: dcObject
dc : wzlinux
o: wzlinux
 
dn: ou=people, dc =wzlinux, dc =com
objectClass:  top
objectClass: organizationalUnit
ou: people
 
dn: ou=group, dc =wzlinux, dc =com
objectClass:  top
objectClass: organizationalUnit
ou: group

    通过ldapadd导入数据,通过man可以看到,他的大部分参数和ldapsearch差不多,我们这里就直接使用了。

1
2
3
4
5
6
7
[root@mldap ~] # ldapadd -x -D "cn=admin,dc=wzlinux,dc=com" -w 123456a -h 192.168.2.10 -f base.ldif 
 
adding new entry  "dc=wzlinux,dc=com"
 
adding new entry  "ou=people,dc=wzlinux,dc=com"
 
adding new entry  "ou=group,dc=wzlinux,dc=com"

    通过反馈的结果,我们已经看到添加成功了,我们在另外一台安装了客户端的机器上面进行查询一下,可以看到我们查询到的结果和我们的base.ldif是一样的。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[root@test01 ~] # ldapsearch -x -D "cn=admin,dc=wzlinux,dc=com" -w 123456a -h 192.168.2.10 -b "dc=wzlinux,dc=com" -LLL
dn:  dc =wzlinux, dc =com
objectClass: organization
objectClass: dcObject
dc : wzlinux
o: wzlinux
 
dn: ou=people, dc =wzlinux, dc =com
objectClass:  top
objectClass: organizationalUnit
ou: people
 
dn: ou=group, dc =wzlinux, dc =com
objectClass:  top
objectClass: organizationalUnit
ou: group

   然后我们通过user.ldif和group.ldif增加一个用户和一个组。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
[root@mldap ~] # cat user.ldif group.ldif 
dn: uid=test1,ou=people, dc =wzlinux, dc =com
objectClass: posixAccount
objectClass:  top
objectClass: inetOrgPerson
objectClass: shadowAccount
gidNumber: 0
givenName: test1
sn: test1
uid: test1
homeDirectory:  /home/test1
loginShell:  /bin/bash
shadowFlag: 0
shadowMin: 0
shadowMax: 99999
shadowWarning: 0
shadowInactive: 99999
shadowLastChange: 12011
shadowExpire: 99999
cn: test1
uidNumber: 24422
userPassword:: e1NIQX10RVNzQm1FL3lOWTNsYjZhMEw2dlZRRVpOcXc9
 
dn: cn=DBA,ou=group, dc =wzlinux, dc =com
objectClass: posixGroup
objectClass:  top
cn: DBA
memberUid: test1
gidNumber: 10673

   看完那就添加用户和组呗。

1
2
3
4
5
[root@mldap ~] # ldapadd -x -D "cn=admin,dc=wzlinux,dc=com" -w 123456a -h 192.168.2.10 -f group.ldif 
adding new entry  "cn=DBA,ou=group,dc=wzlinux,dc=com"
 
[root@mldap ~] # ldapadd -x -D "cn=admin,dc=wzlinux,dc=com" -w 123456a -h 192.168.2.10 -f user.ldif 
adding new entry  "uid=test1,ou=people,dc=wzlinux,dc=com"

    然后通过下面的命令查看自己是否添加成功。

1
ldapsearch -x -D  "cn=admin,dc=wzlinux,dc=com"  -w 123456a -h 192.168.2.10 -b  "dc=wzlinux,dc=com"  -LLL

    可能每次查询都写这么多,或许感觉比较麻烦,我们可以在客户端的配置文件里面添加两行数据,客户端的配置文件是/etc/openldap/ldap.conf。

1
2
BASE    dc =wzlinux, dc =com
URI    ldap: //ldap .wzlinux.com      #提前设置好hosts文件

4、通过slapd.conf 定义用户策略控制

    默认情况下,不允许OpenLDAP 用户自身修改密码,仅管理员具有修改权限。为了提高个人账号的安全性,需要让用户自身可以修改并更新密码信息,不需要管理员干涉。具体步骤如下。

1)定义访问控制策略。

    编辑slapd.conf 配置文件,定位access 行,添加如下内容。

1
2
3
4
5
access to attrs=shadowLastChange,userPassword  
     by self write              #只允许自身修改  
     by * auth  
access to *  
     by *  read                  #允许授权用户查看信息

2)重新生成数据库文件并重启服务。

1
2
3
4
rm  -rf  /etc/openldap/slapd .d/*  
slaptest -f  /etc/openldap/slapd .conf -F  /etc/openldap/slapd .d/  
chown  -R ldap.ldap  /etc/openldap/  
service slapd restart

5、日志的配置

    在配置文件/etc/openldap/slapd.conf中添加如下内容,记得重新生成数据库文件。

1
2
3
loglevel 256
cachesize 1000
checkpoint 2048 10

    在/etc/rsyslog.conf中添加如下内容,然后重启rsyslog服务。

1
local4.*           /var/log/slapd .log

6、OpenLDAP 日志切割配置

    通过logrotate 实现对OpenLDAP 日志的切割,预防日志过大不便于排错以及性能分析。下面通过定制脚本实现当日志大于10MB 时,进行切割,便于排错。脚本如下。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
#!/bin/bash  
########### 通过logrotate 实现对OpenLDAP 日志进行切割 ##################  
FILE=  /var/log/slapd .log  
if  [ ! -f $FILE ]; then  
/bin/touch  $FILE &&  /bin/chmod  666 $FILE &&  /usr/bin/chattr  +a $FILE &>  /dev/null  
cat  /etc/logrotate .d /ldap  <<  "EOF"  
/var/log/slapd .log {  
    prerotate  
          /usr/bin/chattr  -a  /var/log/slapd/slapd .log  
    endscript  
    compress  
    delaycompress  
    notifempty  
    rotate 100  
    size 10M  
    postrotate  
           /usr/bin/chattr  +a  /var/log/slapd/slapd .log  
    endscript  
}  
EOF  
    service rsyslog restart && chkconfig rsyslog on  
else  
    echo  "slapd log is exsit"  
fi






转载至http://blog.51cto.com/wzlinux/1835595

victoruu
关注
专栏目录
linux下openldap版本查询,Ubuntu下OpenLDAP的安装及配置
weixin_42528090的博客
05-03 1072
前言LDAP(Lightweight Directory Access Protocol)是基于X.500标准的轻量级目录访问协议,在Unix操作系统里面,和NIS,DNS一样,属于名称服务(Naming Service)。本文描述了如何在Ubuntu操作系统上面,搭建LDAP服务。第一步:修改hostname注:在 Debain 里安装 OpenLDAP 时,Debian 会提示给 LDAP 的...
openldap服务端安装配置
snailbchen的博客
05-19 174
基础环境准备 安装openldap服务端 初始化openldap配置 启动OpenLDAP 重新生成配置文件信息 规划OpenLDAP目录树组织架构 使用GUI客户端登录查看 openldap配置日志 通过migrationtools实现用户及用户组的添加 OpenLDAP控制策略 原文地址:https://www.cnblogs.com/cishi/p/9127544.html ...
Ubuntu22.04下安装LDAP
dl_11的博客
08-23 1591
在Ubuntu22.04的时候可以使用apt的方式来安装,在安装LDAP的web 服务器的时候可以考虑选择 LDAP 帐户管理器 (LAM)。因为 PHPLDAPadmin 安装时需要 php 的环境依赖,相对来说安装麻烦。此外在 PHPLDAPadmin 中创建组织和用户时与平常的语法有很大不同,对新手来说不友好。
openldap slapd.conf参数
weixin_30341745的博客
08-17 462
已安装系统的/etc/openldap/slapd.conf中包含 LDAP 服务器的完整配置文件。在此简述了其中的各个项并说明了必要的调整。以符号 (#) 为前缀的项处于非活动状态。必须取消这个注释字符才能激活这些项。slapd.conf 中的全局指令1.用于加载schema模式的 Include 指令include /etc/openldap/schema/cor...
编译并安装 OpenLDAP
★ 分享、传播、open source
02-14 3458
http://www.ibm.com/developerworks/cn/education/linux/l-lpic3302/section2.html 编译并安装 OpenLDAP 本节讨论 Senior Level Linux Professional(LPIC-3)考试 301 的 302.1 主题的内容。这个主题的权值为 3。 在本节中,学习如何: 从源代码编译和配置 OpenL
linux下openldap的编译安装
jingzi0418的专栏
08-24 366
http://blog.chinaunix.net/xmlrpc.php?r=blog/article&uid=26168435&id=5746284
Centos7 安装配置OpenLdap服务端及phpadmin
12-13
本文将详细介绍如何在CentOS 7上安装并配置OpenLDAP服务端以及OpenLDAP管理工具,包括CA认证配置和PHPLdapadmin的安装与配置。 #### 二、安装与配置OpenLDAP服务端 1. **配置YUM源** 首先需要确保系统可以从可靠...
openldap 服务端配置
10-28
一个良好的LDAP配置手册会详细指导管理员如何安装和配置LDAP服务,如何设置权限和安全性措施,以及如何管理用户和组数据等。网络管理员应熟悉如何操作这些配置文件,如何使用LDIF文件导入和导出数据,以及如何根据...
如何在CentOS 7.3上配置OpenLDAP服务端,实现自动创建用户家目录并使用Phpldapadmin进行管理?
最新发布
10-27
在CentOS 7.3上配置OpenLDAP服务端以实现自动创建用户家目录并使用Phpldapadmin进行管理,是一个涉及多个步骤的项目。首先,确保你已经安装了OpenLDAP服务器和Phpldapadmin,可以通过`yum install -y openldap ...
tds系统无法连接服务器,OpenLDAP - TDS - 无法联系LDAP服务器(-1)
weixin_34533343的博客
08-07 2098
我想尝试通过ldapsearch连接到TDS服务器。首先,我已经下载了“OpenLDAP的”,但现在用命令:OpenLDAP - TDS - 无法联系LDAP服务器(-1)ldapsearch -H ldaps://myhostadress:636我总是得到以下错误:ldap_sasl_interactive_bind_s: Can't contact LDAP servadditional in...
OpenLDAP安装与配置
BeingLucky的博客
04-15 1488
先前从没听说过ldap,毕业设计选了个统一身份认证的题目,然后就一脸蒙蔽了,各种查资料,都没啥靠谱的。后来看到烂泥的openldap配置与安装一文亲测可行。感谢作者注意的地方:1.ldif文件由严格的格式,冒号后面有空格原文目前公司内部有多个系统,而每个系统都有自己的一套用户认证。每次新进或离职一位同事,我们这边OPS运维组的小伙伴们,都要在每个系统上去添加用户,搞得小伙伴们很不爽。为了让OPS运...
openLdap2.4.44的安装部署
m0_37635053的博客
04-18 1103
openldap的安装卸载集群权限等百科全书
使用ldap命令来安装配置Openldap
zheyuan_xing的博客
06-14 927
安装OpenLDAP 有两种方式安装ldap,一个是源码编译安装,另一种就是直接使用yum仓库安装 yum install openldap openldap-servers openldap-clients 配置OpenLDAP Server 拷贝配置文件 cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB...
ldap php bind,密码包含&符号时,php ldap_bind失败
weixin_35775988的博客
03-10 875
我的这个函数在我的活动目录下进行身份验证,它的工作正常,除了包含像这样的特殊字符的一些密码:Xefeéà和放大器;”总是返回’无效凭据’我在互联网上看过几个帖子,但似乎都没有正确地逃过这些帖子.我正在使用PHP版本5.3.8-ZS(Zend服务器)这是我的类构造函数中的设置:ldap_set_option($this->_link, LDAP_OPT_PROTOCOL_VERSION, 3)...
openldap 认证
老康学Linux
08-07 2897
OpenLDAP是轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)的自由和开源的实现,在其OpenLDAP许可证下发行,并已经被包含在众多流行的Linux发行版中。
linux7 openldap,Centos 7系统 openldap 服务安装配置
weixin_28871821的博客
05-16 189
标签:1. 安装软件,centos7.3 安装完,版本为:slapd 2.4.44yuminstall-yopenldapopenldap-clientsopenldap-serversmigrationtools2. 编辑配置文件vim/etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldif更改两行:olcSuf...
一个ldap身份认证的具体例子
ssl vpn ------adito (ssl explorer) (openvpn als)&amp;amp;&amp;amp;网络安全
01-10 4797
先建立一个创建起始结点所用的ldif文件 #vi init.ldif 输入以下内容(可以根据自己的需要修改)dn: dc=mydomain,dc=org  #定义根结点objectClass: topobjectClass: domainobjectClass: organizationdc: mydomaino: mydomain.orgdescr
OpenLDAP学习笔记
坚强的石头
06-11 2166
LDAP协议         目录是一组具有类似属性、以一定逻辑和层次组合的信息。常见的例子是通讯簿,由以字母顺序排列的名字、地址和电话号码组成。 目录服务是一种在分布式环境中发现目标的方法。目录具有两个主要组成部分:   第一部分是数据库,数据库是分布式的,且拥有一个描述数据的规划。 第二部分则是访问和处理数据的各种协议。       目录服务其实也是一种数据库系统,只...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值