OpenLDAP 服务器安装与配置

32123

一、OpenLDAP 安装方式
    在UNIX 发行操作系统环境下安装OpenLDAP 软件一般有两种方式：一种是通过源码编译安装，另一种则是通过光盘自带的rpm 软件包进行安装。下面会分别介绍这两种安装方式，我还是建议使用rpm 安装，因为方便快捷。安装OpenLDAP服务器需要提供守护进程和传统的OpenLDAP 管理配置工具，主要是slapd 和ldap-utils 套件。
    我的安装环境是CentOS 6.7 64位操作系统，新装机器的其他配置请查看我的置顶博文。
1、以软件包形式安装

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

#yum安装 yum install openldap openldap-* -y #初始化配置文件 cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG #修改权限 chown –R ldap.ldap /etc/openldap   chown –R ldap.ldap /var/lib/ldap #启动ldap service slapd start #查看监听的端口 netstat -tlnp | grep -i :389

    默认OpenLDAP 服务所使用的端口为389，此端口采用明文传输数据，数据信息得不到保障。所以可以通过配置CA 及结合TLS/SASL 实现数据加密传输，所使用端口为636，后面我再介绍实现过程。
2、通过源码编译安装
    由于编译安装OpenLDAP 需要数据库支持，因此OpenLDAP 软件后端数据库可采用BerkeleyDBBDB、Oracle、MySQL、MariaDB、GDBM 等数据库软件实现数据的存储。默认OpenLDAP 采用Berkeley DB 数据库作为后端存储引擎，而且OpenLDAP 对Berkey DB 的版本有一定要求，以OpenLDAP 2.4 软件版本为例，需要Berkeley DB 4.4 版本以上，所以在编译OpenLDAP 源码包时需要先下载Brekeley DB 源码包，并进行编译安装即可。
    Berkeley DB 是由美国Sleepycat Software 公司开发的开源数据库系统，具有高性能、嵌入式数据库编程库，可存取任意类型的键（key）/值（value）对，一键可以存储多个值，且支持在线并发量大的数据查询请求。
    非常抱歉，这部分安装设置比较复杂，我就不在这里展示了，如果谁想知道可以给我留言，谢谢。
二、OpenLDAP 配置
    在OpenLDAP 2.4 版本中，配置OpenLDAP 的方法有两种：一种通过修改配置文件实现配置，另一种通过修改数据库的形式完成配置。
    通过配置数据库完成各种配置，属于动态配置且不需要重新启动slapd 进程服务。此配置数据库（cn=config）包含一个基于文本的集合LDIF 文件（位于 /etc/openldap/slapd.d 目录下）。当前仍然可以使用传统的配置文件（slapd.conf）方式进行配置，通过配置文件来实现slapd 的配置方式。slapd.conf 可以通过编辑器进行配置，但cn=config 不建议直接编辑修改，而是采用ldap 命令进行修改。
    OpenLDAP 主配置文件为/etc/openldap/slapd.conf。此文件默认不存在，需要复制安装OpenLDAP软件包安装所产生的配置文件模板并重命名它为slapd.conf 文件，这同样可以通过修改数据库文件实现配置。
    /usr/share/openldap-servers/slapd.conf.obsolete 为OpenLDAP 配置文件模板。
    /usr/share/openldap-servers/DB_CONFIG.example 为OpenLDAP 数据库配置文件模板。
    要配置OpenLDAP 服务端，需要将如上配置文件模板复制到/etc/openldap/目录下并命名为slapd.conf，同时将数据库配置文件模板复制到/var/lib/ldap/目录中并将其命名为DB_CONFIG，且/var/lib/ldap/目录权限所有主（owner），所属组（group）必须为ldap 用户可读写，否则会在加载slapd进程时显示权限警告。
1、slapd.conf配置文件参数
    以下是我的配置文件，#的内容是我添加的解释。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64

[iyunv@test ~]# egrep -v "#|^$" /etc/openldap/slapd.conf #include 行代表当前OpenLDAP 服务包含的schema 文件    include         /etc/openldap/schema/corba.schema include         /etc/openldap/schema/core.schema include         /etc/openldap/schema/cosine.schema include         /etc/openldap/schema/duaconf.schema include         /etc/openldap/schema/dyngroup.schema include         /etc/openldap/schema/inetorgperson.schema include         /etc/openldap/schema/java.schema include         /etc/openldap/schema/misc.schema include         /etc/openldap/schema/nis.schema include         /etc/openldap/schema/openldap.schema include         /etc/openldap/schema/ppolicy.schema include         /etc/openldap/schema/collective.schema include         /etc/openldap/schema/sudo.schema include         /etc/openldap/schema/openssh-lpk-openldap.schema #OpenLDAP 服务允许连接的客户端版本。 allow bind_v2 #OpenLDAP 进程启动时，pid 文件存放路径。 pidfile         /var/run/openldap/slapd.pid #OpenLDAP 参数文件存放的路径。 argsfile        /var/run/openldap/slapd.args #传输加密的配置信息 TLSCACertificatePath /etc/openldap/certs TLSCertificateFile "\"OpenLDAP Server\"" TLSCertificateKeyFile /etc/openldap/certs/password database config access to *         by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage         by * none database monitor access to *         by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read         by dn.exact="cn=root,dc=wzlinux,dc=com" read         by * none #指定OpenLDAP 数据库类型。 database        bdb #指定OpenLDAP 服务域名（DN） suffix          "dc=wzlinux,dc=com" checkpoint      1024 15 #指定OpenLDAP 服务管理员信息。 rootdn          "cn=root,dc=wzlinux,dc=com" #指定OpenLDAP 服务管理员密码。 rootpw          {SSHA}hjqcrGsPL6H58QAS0QHBvihVS7x2HHKG #指定OpenLDAP 数据库文件的存放目录。 directory       /var/lib/ldap #创建OpenLDAP 索引。 index objectClass                       eq,pres index ou,cn,mail,surname,givenname      eq,pres,sub index uidNumber,gidNumber,loginShell    eq,pres index uid,memberUid                     eq,pres,sub index nisMapName,nisMapEntry            eq,pres,sub