《Linux/UNIX OpenLDAP实战指南》——2.4　OpenLDAP配置

本节书摘来自异步社区《Linux/UNIX OpenLDAP实战指南》一书中的第2章，第2.4节，作者：郭大勇著，更多章节内容可以访问云栖社区“异步社区”公众号查看

2.4　OpenLDAP配置

在OpenLDAP 2.4版本中，配置OpenLDAP的方法有两种：一种通过修改配置文件实现配置，另一种通过修改数据库的形式完成配置。

通过配置数据库完成各种配置，属于动态配置且不需要重新启动slapd进程服务。此配置数据库（cn=config）包含一个基于文本的集合LDIF文件（位于 /etc/openldap/slapd.d目录下）。当前仍然可以使用传统的配置文件（slapd.conf）方式进行配置，通过配置文件来实现slapd的配置方式。slapd.conf可以通过编辑器进行配置，但cn=config不建议直接编辑修改，而是采用ldap命令进行修改。

本书中两种配置方式均有介绍，旨在让读者了解两种方法的本质区别。

2.4.1　OpenLDAP相关信息
配置文件路径包括以下几个。

/etc/openldap/slapd.conf（OpenLDAP主配置文件，记录根域名称、管理员名称、密码、日志、权限等相关信息）。
/var/lib/ldap/*（OpenLDAP数据文件存储位置，可以根据需求进行调整。但为了保证数据的安全，作者建议放到存储设备上或独立的分区上）。
/etc/openldap/slapd.d/*
/usr/share/openldap-servers/slapd.conf.obsolete（模板配置文件）。
/usr/share/openldap-servers/DB_CONFIG.example（模板数据库配置文件schema路径）。
/etc/openldap/schema/*（OpenLDAP schema规范存放位置）
OpenLDAP监听的端口有以下两个。

默认监听端口：389（明文数据传输）。
加密监听端口：636（密文数据传输）。
2.4.2　slapd.conf配置文件
OpenLDAP主配置文件为/etc/openldap/slapd.conf。此文件默认不存在，需要复制安装OpenLDAP软件包安装所产生的配置文件模板并重命名它为slapd.conf文件，这同样可以通过修改数据库文件实现配置。

1．获取openldap-servers软件包生成的文件
要获取openldap-servers软件包生成的文件，命令如下。

[root@mldap01 ~]# rpm -ql openldap-servers | egrep -i '(slapd\.conf\.*|DB_CONFIG.example)'
/etc/openldap/slapd.conf
/etc/openldap/slapd.conf.bak
/usr/share/man/man5/slapd.conf.5.gz
/usr/share/openldap-servers/DB_CONFIG.example  
/usr/share/openldap-servers/slapd.conf.obsolete
[root@mldap01 ~]#

2．软件包所产生文件的用途
/usr/share/openldap-servers/slapd.conf.obsolete为OpenLDAP配置文件模板。
/usr/share/openldap-servers/DB_CONFIG.example为OpenLDAP数据库配置文件模板。
要配置OpenLDAP服务端，需要将如上配置文件模板复制到/etc/openldap/目录下并命名为slapd. conf，同时将数据库配置文件模板复制到/var/lib/ldap/目录中并将其命名为DB_CONFIG，且/var/lib/ldap/目录权限所有主（owner），所属组（group）必须为ldap用户可读写，否则会在加载slapd进程时显示权限警告。

3．slapd.conf配置文件参数
/etc/openldap/slapd.conf为OpenLDAP主配置文件，以#号开头的为注释说明。

include         /etc/openldap/schema/corba.schema
include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/duaconf.schema
include         /etc/openldap/schema/dyngroup.schema

include行代表当前OpenLDAP服务包含的schema文件。schema是整个OpenLDAP目录树的标准规范，标识数据和类型的关系。例如，要使OpenLDAP服务端支持Samba服务用户验证，此时就需要包含Samba对应的schema文件（samba.schema），关于schema，第1章已经介绍，在此不做过多的解释。

OpenLDAP服务允许连接的客户端版本。
allow bind_v2
OpenLDAP进程启动时，pid文件存放路径。
pidfile         /var/run/openldap/slapd.pid
OpenLDAP参数文件存放的路径。
argsfile        /var/run/openldap/slapd.args
OpenLDAP指定需要加载额外的模块。
moduleload ppolicy.la
OpenLDAP模块文件存放的路径。
modulepath /usr/lib/openldap      //32bit的模块文件路径
modulepath /usr/lib64/openldap     //64bit的模块文件路径

OpenLDAP通过加密传输所加载的配置文件时默认OpenLDAP服务器采用明文传输数据。
在网络上传输极其不安全，所以需通过如下配置将数据加密传输，前提是需要第三方合法的证书机构颁发的数字证书（关于证书的构建及颁发，第8章详细介绍如何通过自建证书实现数据加密传输）。

TLSCACertificatePath /etc/openldap/certs
TLSCertificateFile "\"OpenLDAP Server\""
TLSCertificateKeyFile /etc/openldap/certs/password

指定OpenLDAP数据库类型。
OpenLDAP服务后端存储数据库引擎支持的数据库类型有MySQL、DB2、Oracle等关系数据库，默认为bdb数据库。

database bdb
指定OpenLDAP服务域名（DN）。
指定要搜索或查询OpenLDAP目录树的后缀名称等同于AD域名。

suffix "dc=example,dc=com"
指定OpenLDAP服务管理员信息。
OpenLDAP服务管理员对目录树进行管理，如插入、更新、修改及删除等管理操作，要求系统管理员具有root身份权限，此管理员用户名可以自我修改。

rootdn "cn=Manager,dc=example,dc=com"
指定OpenLDAP服务管理员密码。
要配置管理员密码，密码可以通过明文添加，也可以通过slappasswd -s gdy@123！来获取加密字符串，然后将加密字符串粘贴在roopw后面，实现密文添加。属性与值之间通常使用三个Tab键进行分开。配置文件要求非常严格，后面不能有任何空格或者制表符。

# rootpw                secret
root  gdy@123！     #明文添加，不建议使用
rootpw   {SSHA}dXWdy83Gn8eg5oD2yUECQzgDnr8LrDqW  #密文添加，建议使用

通过修改cn=config来实现管理员的修改以及密码的修改。

# cat << EOF | ldapadd -Y EXTERNAL -H ldapi:///
dn: olcDatabase={0}config,cn=config
changetype: modify
delete: olcRootDN

dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootDN
olcRootDN: cn=Admin,cn=config

dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}tDTQMzxQZjv+W2QRnt0Os2KHNp/lbqEQ
EOF
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"

modifying entry "olcDatabase={0}config,cn=config"

modifying entry "olcDatabase={0}config,cn=config"

此时管理员由“cn=Manager,dc=gdy, dc=com”修改为“cn=Admin,dc=gdy,dc=com”。密码由原来的“gdy@123！”修改为“redhat@123！”。

指定OpenLDAP数据库文件的存放目录。
指定一个目录用于存放OpenLDAP目录树所有数据，如用户及组信息、sudo规则、密码策略等数据。

directory /var/lib/ldap
创建OpenLDAP索引。
通过创建索引（index），提高读写效率，这类似于关系数据库中索引的概念。

index objectClass                       eq,pres
index ou,cn,mail,surname,givenname      eq,pres,sub
index uidNumber,gidNumber,loginShell    eq,pres