openldap-server安装和配置

2019-04-11

openldap-server支持windows/linux/unix/可以通过源码编译安装或者yum安装rpm包。

1、主要目录
配置文件路径包括以下几个。

/etc/openldap/slapd.conf(OpenLDAP主配置文件,记录根域名称、管理员名称、密码、日志、权限等相关信息)。
/var/lib/ldap/*(OpenLDAP数据文件存储位置,可以根据需求进行调整。但为了保证数据的安全,作者建议放到存储设备上或独立的分区上)。
/etc/openldap/slapd.d/*
/usr/share/openldap-servers/slapd.conf.obsolete(模板配置文件)。
/usr/share/openldap-servers/DB_CONFIG.example(模板数据库配置文件schema路径)。
/etc/openldap/schema/*(OpenLDAP schema规范存放位置)
OpenLDAP监听的端口有以下两个。

默认监听端口:389(明文数据传输)。
加密监听端口:636(密文数据传输)。
bdb数据库:/var/lib/ldap/DB_CONFIG
conf : /etc/openldap/slapd.d
启动脚本:/etc/init.d/slapd或者/usr/lib/libexec/system/slapd.service
配置文件:/etc/openldap/slapd.conf
schema路径:/etc/openldap/schema

2、yum安装
yum -y install openldap-servers openldap openldap-clients
安装脚本ldap_ins.sh
#!/bin/sh
echo "install ldap rpm"
yum install -y openldap-servers openldap-clients
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown ldap. /var/lib/ldap/DB_CONFIG
systemctl start slapd
systemctl enable slapd

rpm -qa|grep ldap
openldap-servers-2.4.44-21.el7_6.x86_64
openldap-2.4.44-21.el7_6.x86_64
openldap-clients-2.4.44-21.el7_6.x86_64
3、tar包下载
http://www.openldap.org/software/download/
wget ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/openldap-2.4.47.tgz
tar zxf openldap-2.4.47.tgz
cd openldap-2.4.47
./configure --enable-wrappers \
CPPFLAGS="-I/usr/local/include" \
LDFLAGS="-L/usr/local/lib -Wl,-rpath,/usr/local/lib"
make depend
make
make test
make install

4、初始化openLDAP配置
配置openLDAP方法有两种
一种通过修改配置文件/etc/openldap/sldap.conf,
一种通过修改数据库的形式完成,动态配置不需要重启sldap进程服务。 /etc/openldap/slapd.d
a) 通过修改配置文件,用ldapadd/ldapmodify等命令
# generate encrypted password
[root@dlp ~]# slappasswd
密码blueldap
{SSHA}hWDD3qoC0JlgXWs3KDCaWAXgVj01h/Is
修改/etc/openldap/slapd.conf里面的
# database definitions
database bdb
suffix "dc=wallcopper,dc=com"
checkpoint 1024 15
rootdn "cn=Manager,dc=wallcopper,dc=com"
rootpw {SSHA}hWDD3qoC0JlgXWs3KDCaWAXgVj01h/Is
directory /var/lib/ldap

重新生成配置文件,重启slapd
修改/etc/openldap/slapd.conf

include /etc/openldap/schema/sudo.schema
include /etc/openldap/schema/openssh-lpk-openldap.schema

# rm -rf /etc/openldap/slapd.d/*
# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
# chown -R ldap:ldap /etc/openldap/slapd.d/*
# service slapd restart

b 通过修改数据库,LDIF文件(暂时忽略)

vi chrootpw.ldif
# specify the password generated above for "olcRootPW" section
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxx

ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
导入基本模式

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

在ldap的DB中设置域名
# generate directory manager's password
[root@dlp ~]# slappasswd
{SSHA}if8Axi06X7gqbefDxXwTrRTQQRIVjutr
blueldap
vi chdomain.ldif
ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif

vi basedomain.ldif
ldapadd -x -D cn=Manager,dc=blue,dc=com -W -f basedomain.ldif
ldapadd -x -D cn=Manager,dc=srv,dc=world -W -f basedomain.ldif

添加用户
vi ldapuser.ldif
ldapadd -x -D cn=Manager,dc=blue,dc=com -W -f ldapuser.ldif

添加本机的用户和群组到ldap目录

sh ldapuser.sh
ldapadd -x -D cn=Manager,dc=wall,dc=com -W -f ldapuser.ldif

5、增加管理用户,用phpldapadmin或者ldapadmin访问就可以增加Group/Users/People/Sudoers等

6、启动修改ip和port
slapd -h "ldap://172.16.1.2:489/ ldapi:///"

分类:Linux | 标签: |

相关日志

评论被关闭!