配置openldap_OpenLdap 的安装配置

最新推荐文章于 2024-05-22 14:02:31 发布
最新推荐文章于 2024-05-22 14:02:31 发布
阅读量317 收藏
点赞数
文章标签: 配置openldap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35719236/article/details/112069757
版权

10aa877fa43ed47002dcdd1553b9e67c.png

LDAP 全称轻量级目录访问协议(英文:Lightweight Directory Access Protocol),是一个运行在 TCP/IP 上的目录访问协议。

目录是一个特殊的数据库,它的数据经常被查询,但是不经常更新。其专门针对读取、浏览和搜索操作进行了特定的优化。

目录一般用来包含描述性的,基于属性的信息并支持精细复杂的过滤能力。比如 DNS 协议便是一种最被广泛使用的目录服务。

第一步

切换到 root 账号来安装 OpenLDAP 相关程序包,并启动服务

$ yum install -y openldap-servers openldap-clients
$ cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
$ chown ldap. /var/lib/ldap/DB_CONFIG
$ systemctl enable slapd
$ systemctl start slapd

第二步

我们使用 slappasswd 命令来生成一个密码,并使用 LDIF(LDAP 数据交换格式)文件将其导入到 LDAP 中来配置管理员密码:

$ slappasswd

New password:
Re-enter new password:
{SSHA}ZQnsvYcVp5XoXHq538FZCUkAljubXTlp

$ vim chrootpw.ldif

# specify the password generated above for "olcRootPW" section
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}ZQnsvYcVp5XoXHq538FZCUkAljubXTlp

$ ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif

第三步

我们需要向 LDAP 中导入一些基本的 Schema。这些 Schema 文件位于 /etc/openldap/schema/ 目录中,定义了我们以后创建的条目可以使用哪些属性:

$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/core.ldif
$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
由于我们要对接 RADIUS, 所以我们需要把RADIUS的属性文件加入进去, 可以从我们的网站直接下载这个文件 
$ curl https://estatic.toughstruct.net/radius.ldif > /etc/openldap/schema/radius.ldif
$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/radius.ldif

第四步

我们需要配置 LDAP 的顶级域(以 dc=toughstruct,dc=com 为例)及其管理域:

$ slappasswd
New password:
Re-enter new password:
{SSHA}ZQnsvYcVp5XoXHq538FZCUkAljubXTlp

$ vim chdomain.ldif
# replace to your own domain name for "dc=***,dc=***" section
# specify the password generated above for "olcRootPW" section
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
  read by dn.base="cn=admin,dc=toughstruct,dc=com" read by * none

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=toughstruct,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=toughstruct,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}ZQnsvYcVp5XoXHq538FZCUkAljubXTlp

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
  dn="cn=admin,dc=toughstruct,dc=com" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=toughstruct,dc=com" write by * read

$ ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif

第五步

在上述基础上,我们来创建一个组织,并在其下创建一个 Manager 的组织角色(该角色内的用户具有管理整个 LDAP 的权限)和 People 和 Group 两个组织单元:

$ vim basedomain.ldif

# replace to your own domain name for "dc=***,dc=***" section
dn: dc=toughstruct,dc=com
objectClass: top
objectClass: dcObject
objectclass: organization
o: TOUGHSTRUCT.COM
dc: toughstruct

dn: cn=admin,dc=toughstruct,dc=com
objectClass: organizationalRole
cn: Manager

dn: ou=people,dc=toughstruct,dc=com
objectClass: organizationalUnit
ou: people

dn: ou=group,dc=toughstruct,dc=com
objectClass: organizationalUnit
ou: group

$ ldapadd -x -D cn=admin,dc=toughstruct,dc=com -W -f basedomain.ldif

通过以上的所有步骤,我们就设置好了一个 LDAP 目录树:其中基准 dn dc=toughstruct,dc=com 是该树的根节点,

其下有一个管理域 cn=admin,dc=toughstruct,dc=com 和两个组织单元 ou=people,dc=toughstruct,dc=com 及 ou=group,dc=toughstruct,dc=com。

接下来,我们来创建一个员工并将其分配到 Develop 组来验证上述配置是否生效。

$ slappasswd
New password:
Re-enter new password:
{SSHA}BCxXdhHMsLP25F43RSoFL3XBZ9altoqO

$ vim ldapuser.ldif

# create new
# replace to your own domain name for "dc=***,dc=***" section

dn: uid=wjt,ou=people,dc=toughstruct,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: radiusprofile
uid: wjt
cn: Wang Juntao
sn: Juntao
userPassword: {SSHA}BCxXdhHMsLP25F43RSoFL3XBZ9altoqO
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/wjt
radiusReplyItem: UpRate=10000
radiusReplyItem: DownRate=1000
radiusReplyItem: ActiveNum=1


dn: cn=Develop,ou=group,dc=toughstruct,dc=com
objectClass: posixGroup
cn: Develop
gidNumber: 1000
memberUid: wjt


$ ldapadd -x -D cn=admin,dc=toughstruct,dc=com -W -f ldapuser.ldif
注意,这里我们加入了三个自定义的属性信息 radiusReplyItem, 这是 ToughRADIUS 支持的属性格式 radiusReplyItem= 用在认证成功后的授权下发
完整的属性列表 
radiusReplyItem: UpRate=10000   // 上行速率  kbps
radiusReplyItem: DownRate=1000  // 下行速率  kbps
radiusReplyItem: ActiveNum=1    // 同时在线数
radiusReplyItem: Status=enabled // 用户状态 enabled | disabled
radiusReplyItem: MfaSecret=xxxxx // OTP 动态密码秘钥
radiusReplyItem: MfaStatus=disabled // OTP 动态认证是否启用 enabled|disabled
radiusReplyItem: Domain=xxx // 特定设备支持,域属性
radiusReplyItem: AddrPool=xxx // 地址池, 此属性将被下发至设备,由 NAS 设备根据地址池分配 IP
radiusReplyItem: IpAddr=x.x..  // IP地址,设置此属性后会下发静态IP, 优先级高于地址池
radiusReplyItem: LimitPolicy=xxx  // 特定设备(爱立信)支持的限速策略
radiusReplyItem: UpLimitPolicy=xxx // 特定设备(思科)支持的上行限速策略
radiusReplyItem: DownLimitPolicy=xxx  // 特定设备(思科)支持的下行限速策略
radiusReplyItem: ExpireTime=2020-12-30  // 用户有效期, 如果为空或格式错误, 系统默认给用户一天的时长
属性的定义有很大的灵活性, 并不限于以上属性, 如果需要实现 MAC 认证, 我们可以加上属性 
radiusCallingStationId: xx:xx:xx:xx:xx:xx

可以通过 ldapsearch 来搜索条目

$ ldapsearch -x -b "dc=toughstruct,dc=com" -H ldap://127.0.0.1 

# extended LDIF
#
# LDAPv3
# base <dc=toughstruct,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# toughstruct.com
dn: dc=toughstruct,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: TOUGHSTRUCT.COM
dc: toughstruct

# admin, toughstruct.com
dn: cn=admin,dc=toughstruct,dc=com
objectClass: organizationalRole
cn: Manager
cn: admin

# people, toughstruct.com
dn: ou=people,dc=toughstruct,dc=com
objectClass: organizationalUnit
ou: people

# group, toughstruct.com
dn: ou=group,dc=toughstruct,dc=com
objectClass: organizationalUnit
ou: group

# wjt, people, toughstruct.com
dn: uid=wjt,ou=people,dc=toughstruct,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: radiusprofile
uid: wjt
cn: Wang Juntao
sn: Juntao
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/wjt
radiusReplyItem: UpRate=10000
radiusReplyItem: DownRate=1000
radiusReplyItem: ActiveNum=1

# Develop, group, toughstruct.com
dn: cn=Develop,ou=group,dc=toughstruct,dc=com
objectClass: posixGroup
cn: Develop
gidNumber: 1000
memberUid: wjt

第三方 Ldap 管理工具

Apache Directory Studio

f1874d1a71174a76eb40269f6d40c677.png
高中数学肖博老师
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LDAP配置安装
ytraister的博客
05-12 3746
LDAP配置安装
OpenLDAP部署目录服务
weixin_34362790的博客
08-02 645
文档信息 目 的:搭建一套完整的OpenLDAP系统,实现账号的统一管理。 1:OpenLDAP服务端的搭建 2:PhpLDAPAdmin的搭建 3:OpenLDAP的打开日志信息 ...
Mac上安装OpenLDAP服务器详细教程(Homebrew安装和自带的ldap)
最新发布
亦碎流年的博客
05-22 1017
在macOS上安装LDAP服务器,最常用的选择是OpenLDAP。:以下命令和过程适用于基于Homebrew的安装方式,如果您使用的是Mac with Apple Silicon (M1, M2等),请注意路径可能略有不同(通常为而非/usr/local。
OpenLDAP安装部署(一)
CCH2024的专栏
12-12 2742
OpenLDAP安装部署。
OpenLDAP基本概念、部署讲解以及和zabbix的对接实验(基于OpenEuler和CentOS-Stream 9)
muxia_jhy的博客
10-20 2654
LDAP,即轻型目录访问协议,该协议所定义的是一种树状的数据结构,该数据结构用于存储用户信息和组织架构等,我们所熟知OpenLDAP和Windows AD域等产品都是基于LDAP协议开发而来。而针对于OpenLDAP和Windows AD域等产品,有种说法是将他们定义为树状的数据库,虽然该说法并不是错误的,但要强调的是,OpenLDAP/Windows AD域与MySQL等数据库具有本质上的区别,前者不使用SQL,而使用LDIF,且读性能很优,写性能较差。
OpenLDAP的安装与部署
weixin_49645881的博客
09-13 324
OpenLDAP是一个开源的实现LDAP协议的软件套件,它包括slapd(服务器端守护进程)、ldapsearch(命令行客户端工具)、ldapadd(命令行客户端工具)和一组C语言API等。OpenLDAP实现了LDAP协议,可以提供目录服务,是企业、组织和个人管理大量用户和设备信息的理想平台。它支持多种操作系统,包括Linux、Unix、Windows等,实现了跨平台的LDAP管理。OpenLDAP还支持SSL/TLS加密协议、SASL身份认证等安全机制,保证了LDAP通信的安全性。
ldap.rar_nifi连接openldap_openldap
09-20
总之,这个压缩包的内容涵盖了使用Apache NiFi连接并操作OpenLDAP服务器的关键技术,包括理解LDAP协议、配置NiFi处理器、进行安全连接以及编写自定义代码来增强功能。在实际应用中,这些技能对于构建安全、高效的...
openldap_hook:OpenLDAP的钩子覆盖-开源
05-08
配置openldap_hook的步骤大致如下: 1. 安装OpenLDAP和openldap_hook-1.0.0-beta软件包。 2. 编辑`slapd.conf`配置文件,启用overlay并配置钩子。比如: ```conf overlay openldap_hook openldap_hook组织单位=...
OpenLdap-install-and-config.rar_openldap_openldap-2.2.29
09-24
4. **配置OpenLDAP** - ** slapd.conf配置**:`slapd.conf`是OpenLDAP的主要配置文件,定义了服务器的行为、数据库设置、访问控制等。 - **数据目录创建**:为LDAP服务器创建数据存储目录,并设置权限。 - **初始...
CentOS 7 环境下 OpenLDAP 的安装配置
11-02
centos环境 openldap环境搭建与配置
OpenLDAP yum安装配置
05-04
下面将详细介绍如何使用YUM在CentOS8上安装配置OpenLDAP2.4。 **1. 安装前准备** 在开始安装之前,确保系统是最新的,执行以下命令更新系统: ``` sudo yum update -y ``` **2. 安装依赖** OpenLDAP需要一些依赖包...
openldap安装配置使用教程
qq_23191379的博客
06-03 1801
文章目录一、初始化环境二、安装OpenLDAP三、配置openldap3.1 配置OpenLDAP管理员密码3.2 修改olcDatabase={2}hdb.ldif文件3.3 修改olcDatabase={1}monitor.ldif文件3.4 验证OpenLDAP的基本配置及启动openldap3.5 配置_OpenLDAP数据库4.7 修改migrate_common.ph文件4.8 配置openldap基础数据四、开启OpenLDAP日志访问功能五、使用phpldapadmin工具管理OpenLDA
Centos7.8 安装 openldap+phpldapadmin 最详细步骤
zhaowei198311的博客
07-14 5610
本文借助很多网上知识 做一个汇总,很多openldap安装都是0几年的安装方式,下面给大家演示我一步步安装的详细过程,CentOS系统安装就不做演示了,直接开肝 1.
ToughRADIUS 安装配置指导(视频教程)
weixin_34075268的博客
04-27 459
转载于:https://blog.51cto.com/jamiesun/1768403
toughradius 配置mysql_CentOS7部署ToughRadius
weixin_36158842的博客
01-19 351
一、服务器配置建议测试型:CPU核心1,内存1G,磁盘8G,网络带宽1M入门型:用户数1000左右,CPU核心 1-2,内存2G以上,磁盘100G,网络带宽 10M初级型:用户数5000以上,CPU核心 2-4, 内存4G以上,磁盘200G,网络带宽20M中级型:用户数10000以上,CPU核心 4-8, 内存8G以上,磁盘300G,网络带宽30M高级型:用户数50000以上,CPU核心 8-16...
toughradius 配置mysql_ToughRADIUS 安装进阶篇
weixin_39614675的博客
01-21 321
在进阶篇里,我们将会提供本地化的安装参考,但相比起快速指南,进阶篇需要更强的专业知识和动手能力,为了节约您宝贵的时间,我们并不鼓励所有人都来尝试。在安装成功之前,你可能会遇到关于 linux,git,python,mysql等一些列问题,如果你对这些都不熟悉,那么你只会遇到越来越多的问题,尽管这些问题在具备相关专业知识的人眼前不值一提。如果你觉得linux,git,python,mysql 这些都...
toughradius管理控制台默认端口
weixin_34319999的博客
04-28 269
toughradius管理控制台默认端口:1816 转载于:https://blog.51cto.com/eth10/2108910
osixia/openLdap如何设置用户权限,如何给普通用户增加读写权限。
qq_40331154的博客
07-08 1308
osixia/openLdap如何设置用户权限,如何给普通用户增加读写权限。
CentOS7.8安装配置OpenLDAP
iteen的博客
08-09 1107
openldap2.4.23以后的版本,所有配置都保存在/etc/openldap/slapd.d/cn=config 目录下,后缀为ldif。在执行下面的命令前,你可以先查看原本的olcDatabase={0}config文件,里面是没有olcRootPW这个项的,执行命令后,你再看就会新增了olcRootPW项,而且内容是我们文件中指定的值加密后的字符串。需要修改或增加配置时,需要先写一个ldif后缀的配置文件,然后通过命令将写的配置更新到slapd.d目录的配置文件中去。...
centos安装配置openldap-servers
05-14
安装配置 OpenLDAP 服务器(OpenLDAP-servers)需要以下步骤: **Step 1:安装OpenLDAP** 使用 yum 命令安装 OpenLDAP: ``` sudo yum install openldap-servers ``` **Step 2:配置 OpenLDAP** 在配置 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值