OpenLDAP的安装
本文中相关操作系统及依赖包的版本如下:
- centos-release-7-4.1708.el7.centos.x86_64
- gcc-4.8.5-16.el7_4.1.x86_64
- openldap-clients-2.4.44-5.el7.x86_64
- openldap-servers-2.4.44-5.el7.x86_64
安装OpenLDAP启动服务
第一步,需要切换到 root 账号来安装 OpenLDAP 相关程序包,并启动服务:
[xinhua@localhost ~]$ su -
[root@localhost ~]# yum install -y openldap-servers openldap-clients
[root@localhost ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@localhost ~]# chown ldap. /var/lib/ldap/DB_CONFIG
[root@localhost ~]# systemctl enable slapd
[root@localhost ~]# systemctl start slapd
复制代码
配置管理员密码
第二步,我们使用 slappasswd 命令来生成一个密码,并使用 LDIF(LDAP 数据交换格式)文件将其导入到 LDAP 中来配置管理员密码:
[root@localhost ~]# slappasswd
New password:
Re-enter new password:
{SSHA}KS/bFZ8KTmO56khHjJvM97l7zivH1MwG
[root@localhost ~]# vim chrootpw.ldif
# specify the password generated above for "olcRootPW" section
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}KS/bFZ8KTmO56khHjJvM97l7zivH1MwG
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"
名词解释
- 上面内容中dn即distingush name
- olc即Online Configuration,表示写入LDAP后不需要重启即可生效
- changetype: modify表示修改一个entry,changetype的值可以是add,delete, modify等。
- add: olcRootPW表示对这个entry新增了一个olcRootPW的属性
- olcRootPW: {SSHA}lQLBaMp1TfneyzfhAytmhKeJ6gpEBTcd指定了属性值
报错
重新执行
ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
导入Schema
第三步,我们需要向 LDAP 中导入一些基本的 Schema。这些 Schema 文件位于 /etc/openldap/schema/ 目录中,定义了我们以后创建的条目可以使用哪些属性:
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=cosine,cn=schema,cn=config"
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=nis,cn=schema,cn=config"
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=inetorgperson,cn=schema,cn=config"
复制代码
温馨提示
配置根节点
第四步,我们需要配置 LDAP 的顶级域(以 dc=xinhua,dc=org 为例)及其管理域,并且这是用户的acl。
具体的acl控制后面会专门讲解
[root@localhost ~]# slappasswd
New password:
Re-enter new password:
{SSHA}z/rsbmAjVtLlWeUB0xS5itLPI0VA1akD
[root@localhost ~]# vim chdomain.ldif
# replace to your own domain name for "dc=***,dc=***" section
# specify the password generated above for "olcRootPW" section
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
read by dn.base="cn=Manager,dc=xinhua,dc=org" read by * none
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=xinhua,dc=org
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=xinhua,dc=org
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}z/rsbmAjVtLlWeUB0xS5itLPI0VA1akD
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
dn="cn=Manager,dc=xinhua,dc=org" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=Manager,dc=xinhua,dc=org" write by * read
[root@localhost ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
复制代码
名词解释
- 根节点管理员密码与 OpenLDAP 管理员密码不是同一回事!一个 LDAP 数据库可以包含多个目录树。
- olcAccess即access,该key用于指定目录的ACL即谁有什么权限可以存取什
- olcRootDN设定管理员root用户的distingush name
- 注意替换上面文件内容中cn为具体的域信息
- olcRootPW用上面新生成的密码替换
报错
添加基本目录
第五步,在上述基础上,我们来创建一个叫做 Xinhua News Agency 的组织,并在其下创建一个 Manager 的组织角色(该角色内的用户具有管理整个 LDAP 的权限)和 People 和 Group 两个组织单元:
创建组织
[root@localhost ~]# vim basedomain.ldif
# replace to your own domain name for "dc=***,dc=***" section
dn: dc=xinhua,dc=org
objectClass: top
objectClass: dcObject
objectclass: organization
o: Xinhua News Agency
dc: xinhua
dn: cn=Manager,dc=xinhua,dc=org
objectClass: organizationalRole
cn: Manager
dn: ou=People,dc=xinhua,dc=org
objectClass: organizationalUnit
ou: People
dn: ou=Group,dc=xinhua,dc=org
objectClass: organizationalUnit
ou: Group
[root@localhost ~]# ldapadd -x -D cn=Manager,dc=xinhua,dc=org -W -f basedomain.ldif
Enter LDAP Password: # directory manager's password
adding new entry "dc=xinhua,dc=org"
adding new entry "cn=Manager,dc=xinhua,dc=org"
adding new entry "ou=People,dc=xinhua,dc=org"
adding new entry "ou=Group,dc=xinhua,dc=org"
复制代码
通过以上的所有步骤,我们就设置好了一个 LDAP 目录树:其中基准 dn dc=xinhua,dc=org 是该树的根节点,其下有一个管理域 cn=Manager,dc=xinhua,dc=org 和两个组织单元 ou=People,dc=xinhua,dc=org 及 ou=Group,dc=xinhua,dc=org。
创建用户
接下来,我们来创建一个叫作 Ada Catherine 的员工并将其分配到 Secretary 组来验证上述配置是否生效。
[root@localhost ~]# slappasswd
New password:
Re-enter new password:
{SSHA}HTGqAd4p6fOOIVHm7VZYUSorWGfnrqAA
[root@localhost ~]# vim ldapuser.ldif
# create new
# replace to your own domain name for "dc=***,dc=***" section
dn: uid=ada,ou=People,dc=xinhua,dc=org
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: ada
cn: Ada Catherine
sn: Catherine
userPassword: {SSHA}HTGqAd4p6fOOIVHm7VZYUSorWGfnrqAA
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/ada
dn: cn=Secretary,ou=Group,dc=xinhua,dc=org
objectClass: posixGroup
cn: Secretary
gidNumber: 1000
memberUid: ada
[root@localhost ~]# ldapadd -x -D cn=Manager,dc=xinhua,dc=org -W -f ldapuser.ldif
Enter LDAP Password:
adding new entry "uid=ada,ou=People,dc=xinhua,dc=org"
adding new entry "cn=Secretary,ou=Group,dc=xinhua,dc=org"
复制代码
我们也可以使用 ldapsearch 命令来查看 LDAP 目录服务中的所有条目信息:
[root@localhost ~]# ldapsearch -x -b "dc=xinhua,dc=org" -H ldap://127.0.0.1
# extended LDIF
#
# LDAPv3
# base <dc=xinhua,dc=org> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# xinhua.org
dn: dc=xinhua,dc=org
objectClass: top
objectClass: dcObject
objectClass: organization
o: Xinhua News Agency
dc: xinhua
...
复制代码
如果要删除一个条目,可以按下面的命令操作:
[root@localhost ~]# ldapdelete -x -W -D 'cn=Manager,dc=xinhua,dc=org' "uid=ada,ou=People,dc=xinhua,dc=org"
复制代码
温馨提示
- 注意替换上面文件内容中dn为具体的域信息
- 理解dn,cn,dc
- DC即Domain Component,LDAP目录类似文件系统目录dc=sj,dc=com相当于/com/sj
- CN即Common Name,CN有可能代表一个用户名,例如cn=Manager,dc=sj,dc=com表示在/com/sj域下的管理员用户Manager
- OU即Organizational Unit,例如ou=People,dc=sj,dc=com表示在/com/sj域下的一个组织单元People
安装phpLDAPadmin
通过 LDIF 文件可以在终端上管理起整个 LDAP,但是我们都喜欢图形化界面。phpLDAPadmin 正是一个可以通过浏览器来管理 LDAP 服务的 Web 工具。
在安装 phpLDAPadmin 之前,要确保服务器上已经启动了 Apache httpd 服务及 PHP 2。准备就绪后,我们按下面的操作来安装和配置 phpLDAPadmin:
[root@localhost ~]# yum -y install epel-release
[root@localhost ~]# yum --enablerepo=epel -y install phpldapadmin
[root@localhost ~]# vim /etc/phpldapadmin/config.php
# line 397: uncomment, line 398: comment out
$servers->setValue('login','attr','dn');
// $servers->setValue('login','attr','uid');
[root@localhost ~]# vim /etc/httpd/conf.d/phpldapadmin.conf
Alias /phpldapadmin /usr/share/phpldapadmin/htdocs
Alias /ldapadmin /usr/share/phpldapadmin/htdocs
<Directory /usr/share/phpldapadmin/htdocs>
<IfModule mod_authz_core.c>
# Apache 2.4
Require local
# line 12: add access permission ip range
Require ip 10.0.0.0/24
[root@localhost ~]# systemctl restart httpd
复制代码
安装成功的话,在浏览器中访问
http://192.168.67.128/phpldapadmin/便会进入 phpLDAPadmin 管理页面:
按上面的方式进行登录后,就可以查看、新建、编辑和删除 dc=xinhua,dc=org 域下的所有条目了。
