ldap测试工具 linux,OpenLDAP在LINUX下的安装说明

OpenLDAP在LINUX下的安装说明                              张彦星

安装环境：

redhat9.0

安装所需软件(都是以源码的方式存在的)

openldap-2.1.29    hrrp://

Derkeley DB 4.2.52

安装步骤：

(确认是用root用户登录)

1、由于openldap需要Berkeley DB来存放数据，所以先安装Berkeley DB 4.2.52。

解压

#tar -zxvf  db-4.2.52.NC.tar.gz

解压完成后，会生成一个db-4.2.52.NC的目录，进入该目录下的build_unix目录，执行命令进行配置安装。

#../dist/configure  --prefix=/usr/local/BerkeleyDB (将Derkeley DB安装到/usr/local/DerkeleyDB目录下)。

#make

#make install

安装完成活，要把/usr/local/BerkeleyDB/lib的库路径加到/etc/ld.so.conf文件内，添加完成后执行一次ldconfig，使配置文件生效。

2、安装openLDAP

解压

#tar -zxvf openldap-2.1.29.tgz

解压后生成一个openldap-2.1.29目录，进入该目录执行以下命令进行配置安装。

#env CPPFLAGS="-I/usr/local/gdbm-1.8.3/include" LDFLAGS="-L/usr/local/gdbm-1.8.3/lib"

./configure --prefix=/usr/local/topldap --enable-ldbm  --enable-bdb=no

(注意以上的配置语句，要配置资料库的include和lib路径，否则在配置到资料库、相关内容时会提示Berkeley DB版本不兼容，

并中段配置。如果没有--enbale-ldbm＝选项，在make test时会提示ldbm找不到)

#make depend

#make

#make test

在make test 的时候如果没有出现错误，就可以安装了，如果有什么错误，去看看以上内容，有没有全部都作。

开始安装

#make install

安装完成之后，在／usr/local/目录下将会出现openldap文件夹。

3、现在相关的软件已经安装完成了，现在可以进行配置了。

配置文件在软件的安装目录的etc/openldap下，主要的是slapd.comf和ldap.conf。在进行配置之前最好先将要配置的文件备份一份。

先配置slapd.conf文件。

在配置文件中添加:

include /usr/local/openldap/ete/openldap/schema/core.schema

include /usr/local/openldap/ete/openldap/schema/corba.schema

include /usr/local/openldap/ete/openldap/schema/cosine.schema

include /usr/local/openldap/ete/openldap/schema/inetorgperson.schema

include /usr/local/openldap/ete/openldap/schema/misc.schema

include /usr/local/openldap/ete/openldap/schema/openldap.schema

include /usr/local/openldap/ete/openldap/schema/nis.schema

include /usr/local/openldap/ete/openldap/schema/java.schema

(包含文件按一定顺序，因为文件里面的属性存在附属关系，如果顺序不对服务会出现问题)

在argsfile    /usr/local/openldap/var/slapd.args下面添加

loglevel 1

增加了日志功能，需修改syslog配置文件，在文件中增加一项：local4.* /var/log/ldap.log

日志的级别如下:

Debugging Levels Level Description

-1 enable all debugging

0 no debugging

1 trace function calls

2 debug packet handling

4 heavy trace debugging

8 connection management

16 print out packets sent and received

32 search filter processing

64 configuration file processing

128 access control list processing

256 stats log connections/operations/results

512 stats log entries sent

1024 print communication with shell backends

2048 print entry parsing debugging

默认的情况下是256

将文件中的

suffix        "dc=my-domain,dc=com"

rootdn        "cn=Manager,dc=my-domain,dc=com"

修改成自己的目录根，指定自己根的管理员。

rootdw 是管理员的密码，默认密码是secret，这里可以使用MD5加密。

现在已经能成功的启动服务了。但是没有对目录访问的权限进行设定：

access to attr=userPassword

by self write

by  anonymous auth

指的是：userPassword只能自己修改，有效验证用户查询，如果加上

by dn="cn=root,dc=it,dc=com"

那样cn=root,dc=it,dc=com也可以更改其他人的userPassword.

access to *

by self write

by self read

指的是所有的信息都可以自己查询，自己修改。

access to dn=".*,dc=it,dc=com"

by self write

by * read

允许用户访问所有没有被控制访问限制的信息。

具体详细用法请查看。

到现在openldap已经配置完成了，进入安装目录的libexec下，执行

#./sladp (注意是sladp,不是sldap)

如果没有提示什么出错信息，直接返回shell状态，就说明服务器正常启动了，

你可以查询日志或用ps -aux查看。或用以下命令查询服务器。

执行下面的命令来查看一下服务是不是正常启动了启动。

＃ldapsearch -x -b "dc=it,dc=com"(你在配置文件中定义的自己的根目录)，如果反悔一些信息那就

是启动正常。

用下面的、命令、来查看一下389端口是不是已经被监听了

＃netstat -an | grep 389

如果没有提示什么错误，但是服务也没有启动，就可以用

#./sladp -d 256

可以看到提示的什么信息，一般都是配置文件错误，根据错误信息好好查看一下配置文件。

一定要注意配置文件中的空格，该有的一定要有，有的时候看到整个配置文件没有什么错误，

可就事启动不了，有可能是有的地方前面没有加上空格。

配置ldap.conf文件。该文档相当简单，其实不和配置也能正常操作。

只要将BASE dc=it,dc=com 设置成为自己的目录起点

4、现在服务器已经正常运作了，可以录入信息了。信息的录入方法有三种，一种是手工录入，一种是.ldif文件格式录入，一种是脚本

自动录入。我们先从最基础的手工录入开始介绍，了解录入信息的格式。明白了手工录入的格式，其它两种方式都很容易明白。

信息录入用到ldapadd这个程序，他存在于安装目录下的bin中，具体用法如下：

第一步要建立DN：

＃ldapadd -x -D  'cn=root,dc=it,dc=com' -W   (-x 表示简单验证，-D表示指定目录，-W表示弹出密码输入提示)

Enter LDAP Password              (提示输入管理员密码，在sladp.conf中已经配置的那个密码)

dn: dc=it,dc=com

objectClass: dcObject

objectClass: organization

dc:it

o:Corportion

description:d Corporation

(注意：每行后面一定不要有空格)

第二步是建立接点：

＃ldapadd -x -D 'cn=root,dc=it,dc=com' -W

dn:uid=zyx2,dc=it,dc=com

objectClass:person

objectClass:organizationalPerson

objectClass:inetOrgPerson

uid:zyx2

cn:zyx2

sn:zyx2

mail:zyx@zyx.com

userPassword:zyx

telephoneNumber:13913991399

homePhone:01087788888.

输入完所有的信息后，安Ctrl＋d结束存盘。如果出现错误信息，请查一下对象类和属性的对应关系有没有输入错误。

这里面最容易出错的地方是对象类和属性的对应关系出错，对象类和属性是在schema文档中定义的。它们之间的关系是这样的，

对象类中有些属性是必选的，有些属性是可选的。录入信息的属性必须在对象类中有定义才能用。

比如：inetOrgPerson模式包括以下信息：

departmentNumber

employeeType

givenName

audio

businessCategory

carLicense

displayName

emlpyeeNumber

homePhone

homePostalAddress

manager

photo

roomNumber

等等，详见inetorgperson.schema。

schema是openldap中的关键，一定要好好查看安装目录下的/etc/schema中的文件。掌握schema的格式和常用属性所对应的类。

介绍完了手工录入的方法，现在介绍第二种方法，用.ldif文件格式录入。用文字编辑工具写好.ldif文件。

下面是一个完成的test.ldif文件。

dn: dc=it,dc=com

dc: it

description: d Corporation

objectClass: dcObject

objectClass: organization

o: Corporation

dn: uid=zyx, dc=it,dc=com

telephoneNumber: 13810246737

mail: starxing@starxing.com

userPassword:: sssssssss

uid: zyx

objectClass: person

objectClass: organizationalPerson

objectClass: inetOrgPerson

homePhone: 12345678901

sn: zyx

cn: zyx

dn: ou=people, dc=it,dc=com

userPassword:: c3Rhcnhpbmc=

ou: people

description: User Info

objectClass: top

objectClass: organizationalUnit

dn: uid=1,ou=people, dc=it,dc=com

telephoneNumber: 13800000414

userPassword:: sssssssss

uid: 1

jpegPhoto:: MTIzNDU2Nzg5MA==

objectClass: top

objectClass: person

objectClass: organizationalPerson

objectClass: inetOrgPerson

sn: hhh

cn: hhh

dn: cn=root, dc=it,dc=com

mail: root@root.com

userPassword:: secret

objectClass: top

objectClass: person

objectClass: organizationalPerson

objectClass: inetOrgPerson

sn: root

cn: root

dn: uid=3,ou=people, dc=it,dc=com

telephoneNumber: 13810241111

mail: ddd@dd.com

userPassword:: sssssssss

uid: 3

objectClass: person

objectClass: organizationalPerson

objectClass: inetOrgPerson

sn: sss

cn: sss

dn: uid=qq, dc=it,dc=com

telephoneNumber: 65498732102

mail: qq@qq.com

userPassword::sssssssss

uid: qq

objectClass: person

objectClass: organizationalPerson

objectClass: inetOrgPerson

sn: qq

cn: qq

dn: uid=zyx,ou=people, dc=it,dc=com

telephoneNumber: 13810246737

mail: starxing@starxing.com

userPassword:: sssssssss

uid: zyx

objectClass: person

objectClass: organizationalPerson

objectClass: inetOrgPerson

homePhone: 12345678901

sn: 张彦星

cn: zyx

dn: ou=managers, dc=it,dc=com

userPassword:: sssssssss

ou: managers

description: mangers Info

objectClass: top

objectClass: organizationalUnit

dn: cn=starxing,ou=managers, dc=it,dc=com

mail: zyx1220@yahoo.com.cn

userPassword:: sssssssss

description: mananger for people

objectClass: person

objectClass: organizationalPerson

objectClass: top

objectClass: inetOrgPerson

sn: staring

cn: starxing

dn: ou=people,ou=managers, dc=it,dc=com

userPassword:: sssssssss

ou: people

objectClass: top

objectClass: organizationalUnit

description: User Info

dn: uid=1,ou=people,ou=managers, dc=it,dc=com

telephoneNumber: 13800000414

uid: 1

userPassword:: sssssssss

objectClass: top

objectClass: person

objectClass: organizationalPerson

objectClass: inetOrgPerson

jpegPhoto:: MTIzNDU2Nzg5MA==

sn: hhh

cn: hhh

dn: uid=3,ou=people,ou=managers, dc=it,dc=com

telephoneNumber: 13810241111

mail: ddd@dd.com

uid: 3

userPassword:: sssssssss

objectClass: person

objectClass: organizationalPerson

objectClass: inetOrgPerson

sn: ssssss

cn: ssssss

dn: uid=zyx,ou=people,ou=managers, dc=it,dc=com

telephoneNumber: 13810246737

mail: starxing@starxing.com

uid: zyx

userPassword:: sssssssss

objectClass: person

objectClass: organizationalPerson

objectClass: inetOrgPerson

homePhone: 12345678901

sn: zyx

cn: zyx

再次提醒一下，每行的最后不要有空格，并且不能存在同一个DN的记录，执行以下命令将test.ldif文件中的内容加载到

openldap中。

#ldapadd -x -D "cn=root,dc=it,dc=com" -W -f /root/test.ldif   (-f 表示用文件录入信息， /root/test.ldif指的是文件的存在地方)

第三种是用脚本录入方式，需要自己编写脚本。也可以使用现有的工具，比如：phpldapadmin。

下面介绍一下openldap的常用命令。

1 ldapsearch

查询本人记录

ldapsearch -x -D 'cn=root,dc=it,dc=com' -W -b 'uid=zyx,dc=it,dc=com'

查询一个ou记录(包含成员记录)

ldapsearch -x -D 'cn=root,dc=it,dc=com' -W -b 'ou=people,dc=it,dc=com'

2 ldapdelete

#ldapdelete -x -D 'cn=root,dc=it,dc=com' -W 'uid=zyx,dc=it,dc=com'

这样就可以删除'uid=zyx,dc=it,dc=com'记录了，应该注意一点，如果o或ou中有成员是不能删除的。

3 ldappasswd

#ldappasswd -x -D 'cm=root,dc=it,dc=com' -W 'uid=zyx,dc=it,dc=com' -S

New password:

Re-enter new password:

Enter LDAP Password:

就可以更改密码了，如果原来记录中没有密码，将会自动生成一个userPassword。

4  ldapmodify

#ldapmodify -x -D "cn=root,dc=it,dc=com" -W -f modify.ldif

将modify.ldif中的记录更新原有的记录。

启用sasl验证

前提是你在系统中安装了sasl认证库，并在编译openldap时支持它，默认就支持了。到下载。

安装好之后，需要在sasl中建立相应的帐号，用以下命令可完成。

# saslpasswd2 -c test

接着配置slapd.conf文件，加入以下内容。

sasl-regexp

uid=(.*),cn=.*,cn=auth

uid=$1,dc=it,dc=com

ok,重启服务器使配置文件生效。这个配置是最大权限的配置，如果要细化请查阅相关文档。

用以下命令测试。

# ldapsearch -U qq -b 'uid=qq,dc=it,dc=com' -D 'dc=it,dc=com' -Y DIGEST-MD5 采用digest-md5验证

提示密码，输入saslpasswd2的密码。

参考网站

http:///doc/admin22/

阅读(9701) | 评论(0) | 转发(1) |