本教程为了让大家快速体验,故不做深入讲解,详细内容请留意后续进阶教程
介绍
OpenDJ是一个目录服务器,它实现了各种轻量级目录访问协议和相关标准,包括完全符合LDAPv3,但也支持目录服务标记语言(DSMLv2)。OpenDJ 用Java编写,提供多主复制,访问控制和许多扩展。
OpenDJ最初是OpenDS的一个分支,它是一个LDAP / DSML服务器,起源于2005年,由Neil A. Wilson创建的Sun Microsystems内部项目,后来发展成为由Oracle公司维护的开源项目。继甲骨文收购Sun之后,OpenDJ是ForgeRock开发的主干。
OpenDJ与Forgerock Directory Service
很多人会有疑惑,Forgerock官网上并没有OpenDJ,只有Forgerock Directory Service。OpenDJ的前身是Oracle OpenDS,后来负责OpenDS的核心成员离开,去到ForgeRock公司,发布了OpenDJ开源项目,自2016年11月起,ForgeRock关闭了OpenDJ源代码,将OpenDJ重命名为Forgerock Dirctory Service,并开始在商业许可下分发。
目录服务
目录是一个为查询、浏览和搜索而优化的专业分布式数据库,它呈树状结构组织数据,就好象Linux/Unix系统中的文件目录一样。目录数据库和关系数据库不同,它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据。所以目录天生是用来查询的,就好象它的名字一样。
目录服务是由目录数据库和一套访问协议组成的系统。类似以下的信息适合储存在目录中:
- 企业员工信息,如姓名、电话、邮箱等;
- 公用证书和安全密钥;
- 公司的物理设备信息,如服务器,它的IP地址、存放位置、厂商、购买时间等;
- LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,LDAP是从X.500目录访问协议的基础上发展过来的,目前的版本是v3.0。与LDAP一样提供类似的目录服务软件还有ApacheDS、Active Directory、Red Hat Directory Service 、Forgerock Directory Service。
LDAP的特点
- LDAP的结构用树来表示,而不是用表格。正因为这样,就不能用SQL语句了
- LDAP提供了静态数据的快速查询方式
- Client/server模型,Server 用于存储数据,Client提供操作目录信息树的工具
- 这些工具可以将数据库的内容以文本格式(LDAP 数据交换格式,LDIF)呈现在您的面前
- LDAP是一种开放Internet标准,LDAP协议是跨平台的Interent协议
- 目录是一个为查询、浏览和搜索而优化的数据库,它成树状结构组织数据,类似文件目录一样
- 目录数据库和关系数据库不同,它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据,天生适合多读少写的场景。
LDAP基本概念
[外链图片转存失败(img-njBS53ml-1563724999423)(http://www.evanshare.com/upload/2019/7/条目-cc4047a9abd4436ab1ba0e01ba5decda.png)]
-
目录树:在一个目录服务系统中,整个目录信息集可以表示为一个目录信息树,树中的每个节点是一个条目。
-
条目:每个条目就是一条记录,每个条目有自己的唯一可区别的名称(DN)。
-
对象类:与某个实体类型对应的一组属性,对象类是可以继承的,这样父类的必须属性也会被继承下来。
-
属性:描述条目的某个方面的信息,一个属性由一个属性类型和一个或多个属性值组成,属性有必须属性和非必须属性。
准备工作
- 环境:JDK1.8+
- 操作系统:Centos7(本教程操作系统)
- 内存:1G+
- 存储空间:10G+
- 下载地址:https://backstage.forgerock.com/downloads/browse/ds/latest(选Directory Services,需要翻墙才能下载)
- 了解:LDAP基本知识
- 版本:Forgerock Directory Service6.5
安装
解压
输入如下命令解压安装包
unzip DS-eval-6.5.2.zip

解压后如下所示:

执行安装脚本
本教程的安装目录为/usr/local/tools/opendj,执行setup命令进行安装
./setup directory-server --rootUserDn "cn=Directory Manager" --rootUserPassword password --monitorUserPassword password --hostname localhost --ldapPort 1389 --httpPort 8080 --adminConnectorPort 4444 --baseDn dc=example,dc=com --sampleData 10000 --acceptLicense
查看安装状态
进入opendj/bin,执行status命令
./status
--bindDn "cn=Directory Manager"
--bindPassword password
--hostname localhost
--port 4444
--usePkcs12TrustStore /usr/local/tools/opendj/config/keystore
--trustStorePasswordFile /usr/local/tools/opendj/config/keystore.pin
验证
使用LDAP操作目录
搜索LDAP目录
这里使用项目自带的sample数据,假设您知道用户的全名,Abagail Abadines,并且Abagail的条目位于基本DN dc = example,dc = com之下。 您想查找Abagail的电子邮件和办公地点
./ldapsearch --hostname localhost --port 1389 --baseDn dc=example,dc=com "(cn=Abagail Abadines)" cn mail street l
修改LDAP目录条目
想进行修改操作,必须先在LDAP做身份验证。这里模拟Abagail用户想修改他的个人描述为Hellow World
./ldapmodify --hostname localhost --port 1389 --bindDn uid=user.6,ou=People,dc=example,dc=com --bindPassword password <<EOF
dn: uid=user.6,ou=People,dc=example,dc=com
changetype: modify
replace: description
description: Hello World
EOF
新增一个LDAP目录条目
已经授权的用户,可以进行修改、新增、删除操作。这里新增一个用户ID为newuser的用户
./ldapmodify --hostname localhost --port 1389 --bindDn "cn=Directory Manager" --bindPassword password <<EOF
dn: uid=newuser,ou=People,dc=example,dc=com
uid: newuser
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: top
cn: Evan Liang
sn: User
ou: People
mail: evanliang@example.com
userPassword: changeme
EOF
删除一个LDAP目录条目
删除上面创建的用户ID为newuser的用户,指定唯一索引dn: uid=user.6,ou=People,dc=example,dc=com
./ldapdelete --hostname localhost --port 1389 --bindDn "cn=Directory Manager" --bindPassword password uid=newuser,ou=People,dc=example,dc=com
[外链图片转存失败(img-DBkzMTRV-1563724999433)(http://www.evanshare.com/upload/2019/7/8-dd872a5bf8d341a4ba0ef42da6b69199.png)]
使用Rest API操作目录
创建资源
在设置时配置HTTP端口时,您启用了DS服务器以响应HTTP请求。 但是,您必须进一步更改服务器配置以启用对目录数据的HTTP访问。
由于默认的REST到LDAP映射文件是用于处理示例数据的示例,因此无法保证可以使用您的数据。 因此,默认情况下不启用访问目录数据的API。
这里启动API访问Sample数据
./dsconfig set-http-endpoint-prop --hostname localhost --port 4444 --bindDN "cn=Directory Manager" --bindPassword password --endpoint-name /api --set enabled:true --usePkcs12TrustStore /usr/local/tools/opendj/config/keystore --trustStorePasswordFile /usr/local/tools/opendj/config/keystore.pin --no-prompt
进行修改操作,需要进行授权,这里授权Abagail (user.6) 用户去修改目录数据
./ldapmodify --hostname localhost --port 1389 --bindDn "cn=Directory Manager" --bindPassword password <<EOF
dn: dc=example,dc=com
changetype: modify
add: aci
aci: (target="ldap:///dc=example,dc=com") (targetattr = "*")
(version 3.0;acl "Abagail can update entries"; allow(all)
userdn = "ldap:///uid=user.6,ou=People,dc=example,dc=com";)
EOF
使用API去创建一个用户
curl --request POST --user user.6:password --header "Content-Type: application/json" --data '{
"_id": "newuser",
"_schema":"frapi:opendj:rest2ldap:user:1.0",
"contactInformation": {
"telephoneNumber": "+1 408 555 1212",
"emailAddress": "newuser@example.com"
},
"name": {
"givenName": "New",
"familyName": "User"
},
"displayName": ["New User"],
"manager": {
"_id": "user.6",
"displayName": "Abagail Abadines"
}
}' http://localhost:8080/api/users?_prettyPrint=true
读取资源
通过API去读取刚才创建的用户ID为newuser用户
curl --request GET --user user.6:password --header "Content-Type: application/json" http://localhost:8080/api/users/newuser?_prettyPrint=true
更新资源
更新用户ID为newuser的用户信息
curl --request PUT --user user.6:password --header "Content-Type: application/json" --header "If-Match: *" --data '{
"_id": "newuser",
"_schema":"frapi:opendj:rest2ldap:user:1.0",
"contactInformation": {
"telephoneNumber": "+1 234 567 8910",
"emailAddress": "updated.user@example.com"
},
"name": {
"givenName": "Updated",
"familyName": "User"
},
"displayName": ["Updated User"],
"manager": {
"_id" : "user.6",
"displayName" : "Abagail Abadines"
}
}' http://localhost:8080/api/users/newuser?_prettyPrint=true
删除资源
通过指定用户IDnewuser删除用户数据
curl --request DELETE --user user.6:password --header "Content-Type: application/json" http://localhost:8080/api/users/newuser?_prettyPrint=true
参考
官方文档:
- https://backstage.forgerock.com/docs/ds/6.5/reference/index.html
- https://backstage.forgerock.com/docs/ds/6.5/dev-guide/
- https://backstage.forgerock.com/docs/ds/6.5/install-guide
- https://backstage.forgerock.com/docs/opendj/3.5/server-dev-guide/
- https://backstage.forgerock.com/docs/ds/6.5/getting-started
- https://www.cnblogs.com/wilburxu/p/9174353.html
- https://www.cnblogs.com/yjd_hycf_space/p/7994597.html