![10aa877fa43ed47002dcdd1553b9e67c.png](https://img-blog.csdnimg.cn/img_convert/10aa877fa43ed47002dcdd1553b9e67c.png)
LDAP 全称轻量级目录访问协议(英文:Lightweight Directory Access Protocol),是一个运行在 TCP/IP 上的目录访问协议。
目录是一个特殊的数据库,它的数据经常被查询,但是不经常更新。其专门针对读取、浏览和搜索操作进行了特定的优化。
目录一般用来包含描述性的,基于属性的信息并支持精细复杂的过滤能力。比如 DNS 协议便是一种最被广泛使用的目录服务。
第一步
切换到 root 账号来安装 OpenLDAP 相关程序包,并启动服务
$ yum install -y openldap-servers openldap-clients
$ cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
$ chown ldap. /var/lib/ldap/DB_CONFIG
$ systemctl enable slapd
$ systemctl start slapd
第二步
我们使用 slappasswd 命令来生成一个密码,并使用 LDIF(LDAP 数据交换格式)文件将其导入到 LDAP 中来配置管理员密码:
$ slappasswd
New password:
Re-enter new password:
{SSHA}ZQnsvYcVp5XoXHq538FZCUkAljubXTlp
$ vim chrootpw.ldif
# specify the password generated above for "olcRootPW" section
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}ZQnsvYcVp5XoXHq538FZCUkAljubXTlp
$ ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
第三步
我们需要向 LDAP 中导入一些基本的 Schema。这些 Schema 文件位于 /etc/openldap/schema/ 目录中,定义了我们以后创建的条目可以使用哪些属性:
$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/core.ldif
$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
由于我们要对接 RADIUS, 所以我们需要把RADIUS的属性文件加入进去, 可以从我们的网站直接下载这个文件
$ curl https://estatic.toughstruct.net/radius.ldif > /etc/openldap/schema/radius.ldif
$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/radius.ldif
第四步
我们需要配置 LDAP 的顶级域(以 dc=toughstruct,dc=com 为例)及其管理域:
$ slappasswd
New password:
Re-enter new password:
{SSHA}ZQnsvYcVp5XoXHq538FZCUkAljubXTlp
$ vim chdomain.ldif
# replace to your own domain name for "dc=***,dc=***" section
# specify the password generated above for "olcRootPW" section
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
read by dn.base="cn=admin,dc=toughstruct,dc=com" read by * none
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=toughstruct,dc=com
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=toughstruct,dc=com
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}ZQnsvYcVp5XoXHq538FZCUkAljubXTlp
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
dn="cn=admin,dc=toughstruct,dc=com" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=toughstruct,dc=com" write by * read
$ ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif
第五步
在上述基础上,我们来创建一个组织,并在其下创建一个 Manager 的组织角色(该角色内的用户具有管理整个 LDAP 的权限)和 People 和 Group 两个组织单元:
$ vim basedomain.ldif
# replace to your own domain name for "dc=***,dc=***" section
dn: dc=toughstruct,dc=com
objectClass: top
objectClass: dcObject
objectclass: organization
o: TOUGHSTRUCT.COM
dc: toughstruct
dn: cn=admin,dc=toughstruct,dc=com
objectClass: organizationalRole
cn: Manager
dn: ou=people,dc=toughstruct,dc=com
objectClass: organizationalUnit
ou: people
dn: ou=group,dc=toughstruct,dc=com
objectClass: organizationalUnit
ou: group
$ ldapadd -x -D cn=admin,dc=toughstruct,dc=com -W -f basedomain.ldif
通过以上的所有步骤,我们就设置好了一个 LDAP 目录树:其中基准 dn dc=toughstruct,dc=com 是该树的根节点,
其下有一个管理域 cn=admin,dc=toughstruct,dc=com 和两个组织单元 ou=people,dc=toughstruct,dc=com 及 ou=group,dc=toughstruct,dc=com。
接下来,我们来创建一个员工并将其分配到 Develop 组来验证上述配置是否生效。
$ slappasswd
New password:
Re-enter new password:
{SSHA}BCxXdhHMsLP25F43RSoFL3XBZ9altoqO
$ vim ldapuser.ldif
# create new
# replace to your own domain name for "dc=***,dc=***" section
dn: uid=wjt,ou=people,dc=toughstruct,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: radiusprofile
uid: wjt
cn: Wang Juntao
sn: Juntao
userPassword: {SSHA}BCxXdhHMsLP25F43RSoFL3XBZ9altoqO
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/wjt
radiusReplyItem: UpRate=10000
radiusReplyItem: DownRate=1000
radiusReplyItem: ActiveNum=1
dn: cn=Develop,ou=group,dc=toughstruct,dc=com
objectClass: posixGroup
cn: Develop
gidNumber: 1000
memberUid: wjt
$ ldapadd -x -D cn=admin,dc=toughstruct,dc=com -W -f ldapuser.ldif
注意,这里我们加入了三个自定义的属性信息 radiusReplyItem, 这是 ToughRADIUS 支持的属性格式 radiusReplyItem= 用在认证成功后的授权下发
完整的属性列表
radiusReplyItem: UpRate=10000 // 上行速率 kbps
radiusReplyItem: DownRate=1000 // 下行速率 kbps
radiusReplyItem: ActiveNum=1 // 同时在线数
radiusReplyItem: Status=enabled // 用户状态 enabled | disabled
radiusReplyItem: MfaSecret=xxxxx // OTP 动态密码秘钥
radiusReplyItem: MfaStatus=disabled // OTP 动态认证是否启用 enabled|disabled
radiusReplyItem: Domain=xxx // 特定设备支持,域属性
radiusReplyItem: AddrPool=xxx // 地址池, 此属性将被下发至设备,由 NAS 设备根据地址池分配 IP
radiusReplyItem: IpAddr=x.x.. // IP地址,设置此属性后会下发静态IP, 优先级高于地址池
radiusReplyItem: LimitPolicy=xxx // 特定设备(爱立信)支持的限速策略
radiusReplyItem: UpLimitPolicy=xxx // 特定设备(思科)支持的上行限速策略
radiusReplyItem: DownLimitPolicy=xxx // 特定设备(思科)支持的下行限速策略
radiusReplyItem: ExpireTime=2020-12-30 // 用户有效期, 如果为空或格式错误, 系统默认给用户一天的时长
属性的定义有很大的灵活性, 并不限于以上属性, 如果需要实现 MAC 认证, 我们可以加上属性
radiusCallingStationId: xx:xx:xx:xx:xx:xx
可以通过 ldapsearch 来搜索条目
$ ldapsearch -x -b "dc=toughstruct,dc=com" -H ldap://127.0.0.1
# extended LDIF
#
# LDAPv3
# base <dc=toughstruct,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# toughstruct.com
dn: dc=toughstruct,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: TOUGHSTRUCT.COM
dc: toughstruct
# admin, toughstruct.com
dn: cn=admin,dc=toughstruct,dc=com
objectClass: organizationalRole
cn: Manager
cn: admin
# people, toughstruct.com
dn: ou=people,dc=toughstruct,dc=com
objectClass: organizationalUnit
ou: people
# group, toughstruct.com
dn: ou=group,dc=toughstruct,dc=com
objectClass: organizationalUnit
ou: group
# wjt, people, toughstruct.com
dn: uid=wjt,ou=people,dc=toughstruct,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: radiusprofile
uid: wjt
cn: Wang Juntao
sn: Juntao
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/wjt
radiusReplyItem: UpRate=10000
radiusReplyItem: DownRate=1000
radiusReplyItem: ActiveNum=1
# Develop, group, toughstruct.com
dn: cn=Develop,ou=group,dc=toughstruct,dc=com
objectClass: posixGroup
cn: Develop
gidNumber: 1000
memberUid: wjt
第三方 Ldap 管理工具
Apache Directory Studio
![f1874d1a71174a76eb40269f6d40c677.png](https://img-blog.csdnimg.cn/img_convert/f1874d1a71174a76eb40269f6d40c677.png)