slapd.conf配置文件
2019-04-03OpenLDAP主配置文件为/etc/openldap/slapd.conf
1、rpm -ql openldap-servers | egrep -i '(slapd\.conf\.*|DB_CONFIG.example)'
/usr/share/openldap-servers/slapd.conf.obsolete为OpenLDAP配置文件模板。
/usr/share/openldap-servers/DB_CONFIG.example为OpenLDAP数据库配置文件模板。
要配置OpenLDAP服务端,需要将如上配置文件模板复制到/etc/openldap/目录下并命名为slapd. conf,同时将数据库配置文件模板复制到/var/lib/ldap/目录中并将其命名为DB_CONFIG,且/var/lib/ldap/目录权限所有主(owner),所属组(group)必须为ldap用户可读写,否则会在加载slapd进程时显示权限警告。
2、slapd.conf配置文件参数
/etc/openldap/slapd.conf为OpenLDAP主配置文件,以#号开头的为注释说明。
此文件默认不存在,需要复制安装OpenLDAP软件包安装所产生的配置文件模板并重命名它为slapd.conf文件,这同样可以通过修改数据库文件实现配置。
include /etc/openldap/schema/corba.schema
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/duaconf.schema
include /etc/openldap/schema/dyngroup.schema
include行代表当前OpenLDAP服务包含的schema文件。schema是整个OpenLDAP目录树的标准规范,标识数据和类型的关系。例如,要使OpenLDAP服务端支持Samba服务用户验证,此时就需要包含Samba对应的schema文件(samba.schema)
3、OpenLDAP服务允许连接的客户端版本。
allow bind_v2
OpenLDAP进程启动时,pid文件存放路径。
pidfile /var/run/openldap/slapd.pid
OpenLDAP参数文件存放的路径。
argsfile /var/run/openldap/slapd.args
OpenLDAP指定需要加载额外的模块。
moduleload ppolicy.la
OpenLDAP模块文件存放的路径。
modulepath /usr/lib/openldap //32bit的模块文件路径
modulepath /usr/lib64/openldap //64bit的模块文件路径
4、OpenLDAP通过加密传输所加载的配置文件时默认OpenLDAP服务器采用明文传输数据。
在网络上传输极其不安全,所以需通过如下配置将数据加密传输,前提是需要第三方合法的证书机构颁发的数字证书(关于证书的构建及颁发,第8章详细介绍如何通过自建证书实现数据加密传输)。
TLSCACertificatePath /etc/openldap/certs
TLSCertificateFile "\"OpenLDAP Server\""
TLSCertificateKeyFile /etc/openldap/certs/password
指定OpenLDAP数据库类型。
OpenLDAP服务后端存储数据库引擎支持的数据库类型有MySQL、DB2、Oracle等关系数据库,默认为bdb数据库。
database bdb
指定OpenLDAP服务域名(DN)。
指定要搜索或查询OpenLDAP目录树的后缀名称等同于AD域名。
suffix "dc=example,dc=com"
指定OpenLDAP服务管理员信息。
OpenLDAP服务管理员对目录树进行管理,如插入、更新、修改及删除等管理操作,要求系统管理员具有root身份权限,此管理员用户名可以自我修改。
rootdn "cn=Manager,dc=example,dc=com"
指定OpenLDAP服务管理员密码。
要配置管理员密码,密码可以通过明文添加,也可以通过slappasswd -s gdy@123!来获取加密字符串,然后将加密字符串粘贴在roopw后面,实现密文添加。属性与值之间通常使用三个Tab键进行分开。配置文件要求非常严格,后面不能有任何空格或者制表符。
5、修改管理员密码
通过修改cn=config来实现管理员的修改以及密码的修改。
cat << EOF | ldapadd -Y EXTERNAL -H ldapi:///
此时管理员由“cn=Manager,dc=gdy, dc=com”修改为“cn=Admin,dc=gdy,dc=com”。密码由原来的“gdy@123!”修改为“redhat@123!”。
6、指定OpenLDAP数据库文件的存放目录。
指定一个目录用于存放OpenLDAP目录树所有数据,如用户及组信息、sudo规则、密码策略等数据。
directory /var/lib/ldap
创建OpenLDAP索引。
通过创建索引(index),提高读写效率,这类似于关系数据库中索引的概念。
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres