OpenLDAP 是 LDAP 协议的一个开源实现。LDAP 服务器本质上是一个为只读访问而优化的非关系型数据库。它主要用做地址簿查询(如 email 客户端)或对各种服务访问做后台认证以及用户数据权限管控。(例如,访问 Samba 时,LDAP 可以起到域控制器的作用;或者 Linux 系统认证 时代替 /etc/passwd 的作用。)
一、安装,环境:CentOS release 6.6 (Final)
使用yum安装:yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools
| 软件包 | 软件包说明 |
| openldap | 服务端和客户端必须用的库文件 |
| openldap-clients | 在LDAP服务端使用,用户增删改查的命令行环境 |
| openldap-servers | 用于启动服务和配置,包括单独的LDAP后台守护进程 |
| openldap-servers-sql | 支持SQL模块 |
| compat-openldap | openldap兼容性库环境 |
查看安装情况:rpm -qa | grep openldap
安装成功后会产生两类命令行:客户端命令、服务端命令;ldap开始的命令都是客户端命令,slapd开始的命令都是openldap服务器命令
注意: 以 ldap 开头的命令(如: ldapsearch)是客户端工具,以 slap 开头的命令(如: slapcat slapcat)是服务端工具。
查看OpenLDAP版本,使用如下命令:slapd -VV
安装完会创建用户ldap和用户组ldap,这个用户是不能登录的/sbin/nologin。所以有关操作需要到root用户下执行,使用命令sudo su切换到root用户下
二、配置OpenLDAP
注意:从OpenLDAP2.4.23版本开始所有配置数据都保存在/etc/openldap/slapd.d/中,建议不再使用slapd.conf作为配置文件。
设置OpenLDAP的管理员密码,下图加密后的字段保存下,等会我们在配置文件中会使用到。
slappasswd -s 123456
修改olcDatabase={2}hdb.ldif文件:
修改olcDatabase={2}hdb.ldif文件,对于该文件增加一行 olcRootPW: {SSHA}MFjmDOKFAVigfQ2Iok+GuVFUEZtE69ym,然后修改域信息:
olcSuffix: dc=test,dc=com
olcRootDN: cn=root,dc=test,dc=com
注意:其中cn=root中的root表示OpenLDAP管理员的用户名,而olcRootPW表示OpenLDAP管理员加密后的密码,明文密码是test。
实际修改如下:进入root账号进行修改
vim /etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif
olcSuffix: dc=test,dc=com
olcRootDN: cn=root,dc=test,dc=com
olcRootPW: {SSHA}MFjmDOKFAVigfQ2Iok+GuVFUEZtE69ym
修改olcDatabase={1}monitor.ldif文件
修改olcDatabase={1}monitor.ldif文件,如下:
vim /etc/openldap/slapd.d/cn=config/olcDatabase={1}monitor.ldif
olcAccess: {0}to * by dn.base=”gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth” read by dn.base=”cn=root,dc=test,dc=com” read by * none
注意:该修改中的dn.base是修改OpenLDAP的管理员的相关信息的。
验证OpenLDAP的基本配置,使用如下命令,有些错误,可以不用管,因为提示信息config file testing succeeded表示基本配置是OK的
slaptest -u
配置OpenLDAP数据库
OpenLDAP默认使用的数据库是BerkeleyDB,现在来开始配置OpenLDAP数据库,使用如下命令:
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown ldap:ldap -R /var/lib/ldap
chmod 700 -R /var/lib/ldap
注意:/var/lib/ldap/就是BerkeleyDB数据库默认存储的路径。
其他配置:
复制配置文件模板,到系统配置目录下: cp -a /usr/share/openldap-servers/sldap.conf.obsolete /etc/openldap/slapd.conf
删除旧的动态配置文件 rm -rf /etc/openldap/sladp.d/*
复制数据库配置文件模板,到系统配置目录下 cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
修改数据库配置文件所在目录属主 chown -R ldap.ldap /var/lib/ldap
生成加密密钥
虚拟机console执行命令:slappasswd
提示New password:输入test
提示Re-enter new password,输入test
将生成的内容:{SSHA}SdorCU0SF/bBERBdPtkSVdWv94Hc826r,复制保存下来
修改主配置文件,修改内容如下:
有关openldap的配置详解,参见博客《LDAP-openldap配置文件详解.md》
database config access to * by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage by * none database monitor access to * by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.exact="cn=root,dc=test,dc=com" read by * none database bdb suffix "dc=test,dc=com" checkpoint 1024 15 rootdn "cn=root,dc=test,dc=com" rootpw {SSHA}SdorCU0SF/bBERBdPtkSVdWv94Hc826r
修改相关目录属性
虚拟机console执行命令:chown -R ldap.ldap /etc/openldap;chown -R ldap.ldap /var/lib/ldap
删除旧的动态配置文件
虚拟机console执行命令:rm -rf /etc/openldap/slapd.d/*
启动服务并设置开机启动
虚拟机console执行命令:service slapd start && chkconfilg slapd on ,此时若有报错可忽略。
查看是否启动服务:service slapd status;netstat -tupln|grep slapd
动态配置文件
openldap的动态配置文件位于/etc/openldap/slapd.d/下,每次修改了主配置文件/etc/openldap/slapd.conf之后,都需要重新生成动态配置文件,即:
删除动态配置文件:rm -rf /etc/openldap/slapd.d/*
重新生成动态配置文件:slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
修改动态配置目录属性:chown -R ldap.ldap /etc/openldap/slapd.d/
修改配置文件/etc/openldap/ldap.conf
修改内容如下:
BASE dc=test,dc=com URI ldap://ip # 大网ip方便远程访问 TLS_CACERTDIR /etc/openldap/certs
三、启动服务:service slapd start | stop | status | restart
如图可见,对于错误信息并不影响启动
检查启动情况:默认端口是389
使用命令:ldapsearch -x -LLL查看服务启动情况,如图所示,说明OK
OpenLDAP默认使用的数据库是BerkeleyDB,yum安装的时候,自动完成了数据库的安装
四、在ldap服务器里添加用户和用户组等
首先手动编辑或使用工具migrationtools生成LDIF格式文件,注意文件格式,每个冒号后面都有一个空格,每行结尾不能有空格,多组信息直接使用行分割
firstelement.ldif:
dn: cn=root,dc=test,dc=com cn: user1 sn: user1 objectclass: person
dn: cn=root,dc=test,dc=com
cn: Manager
sn: Manager
objectclass: person
ldapadd -D "cn=root,dc=test,dc=com" -W -f ~/firstelement.ldif如图,因为已经成功添加过,所以报已经存在的错误
通过如下命令把ldif文件里的内容导入ldap服务器中
ldapadd -x -D "cn=root,dc=test,dc=com' -c -W -f firstelement.ldif ldapadd -x -D "cn=root,dc=test,dc=com" -c -W -f passwd.ldif
提示输入密码时,输入test,回车
openldap默认使用的是BerkeleyDB数据库,yum安装的时候貌似已经自带安装,所以无需再安装
五、使用客户端工具使用ldap服务:mac下使用ldap admin tool,免费版和收费版都会经常无故的死掉,杀死重启就好。而且发现这个工具在添加用户和用户组等的时候,会经常执行失败,这时候只能使用命令行导入ldif的方式添加用户等。
ldapv3协议比较稳定,中文支持也比较好。但是不知道为什么,每次重启ldap admin tool后,又恢复到了ldapv2,搞得我每次都要设置一次
密码:test
参考:
1、https://www.ilanni.com/?p=13775
2、https://www.cnblogs.com/liwanliangblog/p/9193916.html
3、https://wiki.archlinux.org/index.php/OpenLDAP_(%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87)
4、http://www.brennan.id.au/20-Shared_Address_Book_LDAP.html
5、http://xstarcd.github.io/wiki/sysadmin/OpenLDAPconfig.html
6、https://czmmiao.iteye.com/blog/1561703