一、OpenLDAP 安装方式
在UNIX 发行操作系统环境下安装OpenLDAP 软件一般有两种方式:一种是通过源码编译安装,另一种则是通过光盘自带的rpm 软件包进行安装。下面会分别介绍这两种安装方式,我还是建议使用rpm 安装,因为方便快捷。安装OpenLDAP服务器需要提供守护进程和传统的OpenLDAP 管理配置工具,主要是slapd 和ldap-utils 套件。
我的安装环境是CentOS 6.7 64位操作系统,安装前环境准备请看博文环境准备。
1、以软件包形式安装
1
2
3
4
5
6
7
8
9
10
11
12
|
# yum安装
yum
install
openldap openldap-* -y
# 初始化配置文件
cp
/usr/share/openldap-servers/slapd
.conf.obsolete
/etc/openldap/slapd
.conf
# 初始化数据库配置文件
cp
/usr/share/openldap-servers/DB_CONFIG
.example
/var/lib/ldap/DB_CONFIG
# 修改权限
chown
-R ldap.ldap
/etc/openldap
chown
-R ldap.ldap
/var/lib/ldap
|
默认OpenLDAP 服务所使用的端口为389,此端口采用明文传输数据,数据信息得不到保障。所以可以通过配置CA 及结合TLS/SASL 实现数据加密传输,所使用端口为636,后面我再介绍实现过程。
2、通过源码编译安装
由于编译安装OpenLDAP 需要数据库支持,因此OpenLDAP 软件后端数据库可采用BerkeleyDBBDB、Oracle、MySQL、MariaDB、GDBM 等数据库软件实现数据的存储。默认OpenLDAP 采用Berkeley DB 数据库作为后端存储引擎,而且OpenLDAP 对Berkey DB 的版本有一定要求,以OpenLDAP 2.4 软件版本为例,需要Berkeley DB 4.4 版本以上,所以在编译OpenLDAP 源码包时需要先下载Brekeley DB 源码包,并进行编译安装即可。
Berkeley DB 是由美国Sleepycat Software 公司开发的开源数据库系统,具有高性能、嵌入式数据库编程库,可存取任意类型的键(key)/值(value)对,一键可以存储多个值,且支持在线并发量大的数据查询请求。
非常抱歉,这部分安装设置比较复杂,我就不在这里展示了,如果谁想知道可以给我留言,谢谢。
二、OpenLDAP 配置
我使用的系统是CentOS 6系列的,和CentOS 5系列的OpenLDAP有不小的区别,旧版本的OpenLDAP配置文件是slapd.conf,而新版本(我测试的新版本是2.4.40)的OpenLDAP服务运行时并不会读取该配置文件,而是从slapd.d目录(一般与slapd.conf在同一目录下)中读取相关信息,我们需要把该目录下的数据删掉,然后利用我们在slapd.conf里配置的信息重新生成配置数据。这也可能是你启动服务后运行ldap相关命令却出现“ldap_bind: Invalid credentials (49)”错误的主要原因。具体怎么重新生成配置数据请看具体的实验过程。
1、slapd.conf配置文件参数
以下是我的配置文件,#的内容是我添加的解释,大家可以根据实际情况修改成自己的域名,如果大家不了解其中的dn,cn,dc代表什么,请查看我的博文理论知识。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
|
[root@mldap ~]
# egrep -v "#|^$" /etc/openldap/slapd.conf
# include 行代表当前OpenLDAP 服务包含的schema 文件
include
/etc/openldap/schema/corba
.schema
include
/etc/openldap/schema/core
.schema
include
/etc/openldap/schema/cosine
.schema
include
/etc/openldap/schema/duaconf
.schema
include
/etc/openldap/schema/dyngroup
.schema
include
/etc/openldap/schema/inetorgperson
.schema
include
/etc/openldap/schema/java
.schema
include
/etc/openldap/schema/misc
.schema
include
/etc/openldap/schema/nis
.schema
include
/etc/openldap/schema/openldap
.schema
include
/etc/openldap/schema/ppolicy
.schema
include
/etc/openldap/schema/collective
.schema
include
/etc/openldap/schema/sudo
.schema
include
/etc/openldap/schema/openssh-lpk-openldap
.schema
# OpenLDAP 服务允许连接的客户端版本。
allow bind_v2
# OpenLDAP 进程启动时,pid 文件存放路径。
pidfile
/var/run/openldap/slapd
.pid
# OpenLDAP 参数文件存放的路径。
argsfile
/var/run/openldap/slapd
.args
# 传输加密的配置信息
TLSCACertificatePath
/etc/openldap/certs
TLSCertificateFile
"\"OpenLDAP Server\""
TLSCertificateKeyFile
/etc/openldap/certs/password
database config
access to *
by dn.exact=
"gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
manage
by * none
database monitor
access to *
by dn.exact=
"gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
read
by dn.exact=
"cn=admin,dc=wzlinux,dc=com"
read
by * none
# 指定OpenLDAP 数据库类型。
database bdb
# 指定OpenLDAP 服务域名(DN)
suffix
"dc=wzlinux,dc=com"
checkpoint 1024 15
# 指定OpenLDAP 服务管理员信息。
rootdn
"cn=admin,dc=wzlinux,dc=com"
# 指定OpenLDAP 服务管理员密码,使用slappasswd -s your_password来获取加密密码
rootpw {SSHA}hjqcrGsPL6H58QAS0QHBvihVS7x2HHKG
# 指定OpenLDAP 数据库文件的存放目录。
directory
/var/lib/ldap
# 创建OpenLDAP 索引。
index objectClass
eq
,pres
index ou,cn,mail,surname,givenname
eq
,pres,sub
index uidNumber,gidNumber,loginShell
eq
,pres
index uid,memberUid
eq
,pres,sub
index nisMapName,nisMapEntry
eq
,pres,sub
|
2、启动服务并查询
1
|
service slapd start
|
查询LDAP的目录条目,首先我们介绍一下ldapsearch命令,具体可以使用man帮助手册查看。
-
-b:指定查找的节点
-
-D:指定查找的DN
-
-x:使用简单认证
-
-W:查询是输入密码,或者使用-w password
-
-h:OpenLDAP的主机地址,可以使用IP或者域名
-
-H:使用LDAP服务器的URI地址进行操作
1
2
3
|
[root@mldap ~]
# ldapsearch -x -D "cn=admin,dc=wzlinux,dc=com" -H ldap://192.168.2.10 -W
Enter LDAP Password:
#就是我们在slapd.conf加密的密码
ldap_bind: Invalid credentials (49)
|
我们看到出现了错误,这个问题并不是因为密码错误,是因为新版的LDAP去读取数据库(slapd.d),并没有按照我们的配置文件(slapd.conf)读取,所以我们要删掉数据库配置文件,然后通过slapd.conf文件生成,每次修改配置文件都要如此操作。
1
2
3
4
|
rm
-rf
/etc/openldap/slapd
.d/*
slaptest -f
/etc/openldap/slapd
.conf -F
/etc/openldap/slapd
.d
chown
-R ldap:ldap
/etc/openldap/slapd
.d
service slapd restart
|
然后再进行查询,看看结果返回是否正常,我们可以看到No such object,因为我们什么数据也没有添加,所以查询的结果为零,到此我们的配置都是正常的。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
[root@mldap ~]
# ldapsearch -x -D "cn=admin,dc=wzlinux,dc=com" -h 192.168.2.10 -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <> (default) with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# search result
search: 2
result: 32 No such object
# numResponses: 1
|
3、为ldap server添加数据
为ldap添加用户数据,有四种方法,分别如下,我们选择第四种方法进行试验。
-
1)可以直接修改slapd.d目录下面的数据文件,好处是不用重启服务,直接生效;
-
2)安装开源工具migrationtools来生成ldfi文件,并通过ldapadd来添加;
-
3)安装ldap 客户端,这种方法最为简单;
-
4)直接编辑ldfi文件,然后通过ldapadd添加。
首先我们手动编辑base.ldif文件,直接复制好像会因为格式有问题。每个条目之间有个空格,直接复制过去会有点问题,需要你把每个条目之间空行的第一个空位删除一下。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
[root@mldap ~]
# vim base.ldif
dn:
dc
=wzlinux,
dc
=com
objectClass: organization
objectClass: dcObject
dc
: wzlinux
o: wzlinux
dn: ou=people,
dc
=wzlinux,
dc
=com
objectClass:
top
objectClass: organizationalUnit
ou: people
dn: ou=group,
dc
=wzlinux,
dc
=com
objectClass:
top
objectClass: organizationalUnit
ou: group
|
通过ldapadd导入数据,通过man可以看到,他的大部分参数和ldapsearch差不多,我们这里就直接使用了。
1
2
3
4
5
6
7
|
[root@mldap ~]
# ldapadd -x -D "cn=admin,dc=wzlinux,dc=com" -w 123456a -h 192.168.2.10 -f base.ldif
adding new entry
"dc=wzlinux,dc=com"
adding new entry
"ou=people,dc=wzlinux,dc=com"
adding new entry
"ou=group,dc=wzlinux,dc=com"
|
通过反馈的结果,我们已经看到添加成功了,我们在另外一台安装了客户端的机器上面进行查询一下,可以看到我们查询到的结果和我们的base.ldif是一样的。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
|
[root@test01 ~]
# ldapsearch -x -D "cn=admin,dc=wzlinux,dc=com" -w 123456a -h 192.168.2.10 -b "dc=wzlinux,dc=com" -LLL
dn:
dc
=wzlinux,
dc
=com
objectClass: organization
objectClass: dcObject
dc
: wzlinux
o: wzlinux
dn: ou=people,
dc
=wzlinux,
dc
=com
objectClass:
top
objectClass: organizationalUnit
ou: people
dn: ou=group,
dc
=wzlinux,
dc
=com
objectClass:
top
objectClass: organizationalUnit
ou: group
|
然后我们通过user.ldif和group.ldif增加一个用户和一个组。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
|
[root@mldap ~]
# cat user.ldif group.ldif
dn: uid=test1,ou=people,
dc
=wzlinux,
dc
=com
objectClass: posixAccount
objectClass:
top
objectClass: inetOrgPerson
objectClass: shadowAccount
gidNumber: 0
givenName: test1
sn: test1
uid: test1
homeDirectory:
/home/test1
loginShell:
/bin/bash
shadowFlag: 0
shadowMin: 0
shadowMax: 99999
shadowWarning: 0
shadowInactive: 99999
shadowLastChange: 12011
shadowExpire: 99999
cn: test1
uidNumber: 24422
userPassword:: e1NIQX10RVNzQm1FL3lOWTNsYjZhMEw2dlZRRVpOcXc9
dn: cn=DBA,ou=group,
dc
=wzlinux,
dc
=com
objectClass: posixGroup
objectClass:
top
cn: DBA
memberUid: test1
gidNumber: 10673
|
看完那就添加用户和组呗。
1
2
3
4
5
|
[root@mldap ~]
# ldapadd -x -D "cn=admin,dc=wzlinux,dc=com" -w 123456a -h 192.168.2.10 -f group.ldif
adding new entry
"cn=DBA,ou=group,dc=wzlinux,dc=com"
[root@mldap ~]
# ldapadd -x -D "cn=admin,dc=wzlinux,dc=com" -w 123456a -h 192.168.2.10 -f user.ldif
adding new entry
"uid=test1,ou=people,dc=wzlinux,dc=com"
|
然后通过下面的命令查看自己是否添加成功。
1
|
ldapsearch -x -D
"cn=admin,dc=wzlinux,dc=com"
-w 123456a -h 192.168.2.10 -b
"dc=wzlinux,dc=com"
-LLL
|
可能每次查询都写这么多,或许感觉比较麻烦,我们可以在客户端的配置文件里面添加两行数据,客户端的配置文件是/etc/openldap/ldap.conf。
1
2
|
BASE
dc
=wzlinux,
dc
=com
URI ldap:
//ldap
.wzlinux.com
#提前设置好hosts文件
|
4、通过slapd.conf 定义用户策略控制
默认情况下,不允许OpenLDAP 用户自身修改密码,仅管理员具有修改权限。为了提高个人账号的安全性,需要让用户自身可以修改并更新密码信息,不需要管理员干涉。具体步骤如下。
1)定义访问控制策略。
编辑slapd.conf 配置文件,定位access 行,添加如下内容。
1
2
3
4
5
|
access to attrs=shadowLastChange,userPassword
by self write
#只允许自身修改
by * auth
access to *
by *
read
#允许授权用户查看信息
|
2)重新生成数据库文件并重启服务。
1
2
3
4
|
rm
-rf
/etc/openldap/slapd
.d/*
slaptest -f
/etc/openldap/slapd
.conf -F
/etc/openldap/slapd
.d/
chown
-R ldap.ldap
/etc/openldap/
service slapd restart
|
5、日志的配置
在配置文件/etc/openldap/slapd.conf中添加如下内容,记得重新生成数据库文件。
1
2
3
|
loglevel 256
cachesize 1000
checkpoint 2048 10
|
在/etc/rsyslog.conf中添加如下内容,然后重启rsyslog服务。
1
|
local4.*
/var/log/slapd
.log
|
6、OpenLDAP 日志切割配置
通过logrotate 实现对OpenLDAP 日志的切割,预防日志过大不便于排错以及性能分析。下面通过定制脚本实现当日志大于10MB 时,进行切割,便于排错。脚本如下。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
|
#!/bin/bash
########### 通过logrotate 实现对OpenLDAP 日志进行切割 ##################
FILE=
/var/log/slapd
.log
if
[ ! -f $FILE ];
then
/bin/touch
$FILE &&
/bin/chmod
666 $FILE &&
/usr/bin/chattr
+a $FILE &>
/dev/null
cat
>
/etc/logrotate
.d
/ldap
<<
"EOF"
/var/log/slapd
.log {
prerotate
/usr/bin/chattr
-a
/var/log/slapd/slapd
.log
endscript
compress
delaycompress
notifempty
rotate 100
size 10M
postrotate
/usr/bin/chattr
+a
/var/log/slapd/slapd
.log
endscript
}
EOF
service rsyslog restart && chkconfig rsyslog on
else
echo
"slapd log is exsit"
fi
|
本文转自 wzlinux 51CTO博客,原文链接:http://blog.51cto.com/wzlinux/1835595,如需转载请自行联系原作者