1. OpenLDAP介绍
OpenLDAP是最常用的目录服务之一,它是一个由开源社区及志愿者开发和管理的一个开源项目,提供了目录服务的所有功能,包括目录搜索、身份认证、安全通道、过滤器等等。大多数的
Linux发行版里面都带有 OpenLDAP的安装包。OpenLDAP服务默认使用非加密的
TCP/IP协议来接收服务的请求,并将查询结果传回到客户端。由于大多数目录服务都是用于系统的安全认证部分比如:用户登录和身份验证,所以它也支持使用基于 SSL/TLS的加密协议来保证数据传送的保密性和完整性。
2. 环境介绍
OEL6.6 桌面 本地yun源
3. 前期准备
3.1 #vi /etc/hosts
3.2 #vi /etc/sysconfig/network
3.3 #vi /etc/selinux/config,将SELINUX改为disabled
3.4 重启计算机:#reboot
4. 安装OpenLDAP及配置
4.1 yum安装openldap
#yum install -y openldap openldap-servers openldap-clients openldap-devel compat-openldap
4.2 配置日志
#mkdir /var/log/slapd
#chmod -R 755 /var/log/slapd/
#chown -R ldap:ldap /var/log/slapd/
#sed -i "/local4.*/d" /etc/rsyslog.conf
cat >> /etc/rsyslog.conf << EOF
local4.* /var/log/slapd/slapd.log
EOF
#service rsyslog restart
4.3 创建管理员密码
[[email protected] ~]# slappasswd
New password:
Re-enter new password:
{SSHA}79OLYlS+U14dhEJt/9uoKGyRWXXnPZRr
#cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf
#mv /etc/openldap/slapd.d{,.bak}
#vim /etc/openldap/slapd.conf
修改suffix 和rootdn,rootpw
114 database bdb
115 suffix "dc=takshine,dc=com"
116 checkpoint 1024 15
117 rootdn "cn=Manager,dc=takshine,dc=com"
118 # Cleartext passwords, especially for the rootdn, should
119 # be avoided. See slappasswd(8) and slapd.conf(5) for details.
120 # Use of strong authentication encouraged.
121 # rootpw secret
122 # rootpw {crypt}ijFYNcSNctBYg
123 rootpw {SSHA}79OLYlS+U14dhEJt/9uoKGyRWXXnPZRr(4.3生成的密码)
测试配置文件是否修改成
[[email protected] openldap]# slaptest -u -f slapd.conf (
/etc/openldap/目录下执行此命令)
config file testing succeede
4.5 设置日志级别
#cat >> /etc/openldap/slapd.conf<<EOF
loglevel 296
cachesize 1000
EOF
4.6 创建数据库文件(从模版复制)生成DB_CONFIG
#cd /var/lib/ldap/
#cp /usr/share/openldap-servers/DB_CONFIG.example ./DB_CONFIG
#chown -R ldap:ldap DB_CONFIG
启动ldap服务,自动创建数据库文件
chkconfig slapd on
/etc/init.d/slapd start
服务启动后,可以看到生成了几个数据库文件
[[email protected] ldap]# ll
-rw-r--r-- 1 ldap ldap 2048 Jul 26 18:46 alock-rw------- 1 ldap ldap 8192 Jul 26 19:46 cn.bdb-rw------- 1 ldap ldap 24576 Jul 26 18:46 __db.001-rw------- 1 ldap ldap 9101312 Jul 26
20:01 __db.002-rw------- 1 ldap ldap 335552512 Jul 26 19:46 __db.003-rw------- 1 ldap ldap 2359296 Jul 26 19:46 __db.004-rw------- 1 ldap ldap 753664 Jul 26 19:37 __db.005-rw------- 1 ldap ldap 32768 Jul 26 19:46 __db.006-rw-r--r-- 1 ldap ldap
845 Jul 26 00:57 DB_CONFIG-rw------- 1 ldap ldap 8192 Jul 26 19:46 dn2id.bdb-rw------- 1 ldap ldap 8192 Jul 26 19:46 gidNumber.bdb-rw------- 1 ldap ldap 8192 Jul 26 02:13 givenName.bdb-rw------- 1 ldap ldap 32768 Jul 26 19:46 id2entry.bdb-rw-------
1 ldap ldap 10485760 Jul 26 19:46 log.0000000001-rw------- 1 ldap ldap 8192 Jul 26 19:46 loginShell.bdb-rw------- 1 ldap ldap 8192 Jul 26 19:46 objectClass.bdb-rw------- 1 ldap ldap 8192 Jul 26 01:28 ou.bdb-rw------- 1 ldap ldap 8192 Jul
26 19:46 sn.bdb-rw------- 1 ldap ldap 8192 Jul 26 19:46 uid.bdb-rw------- 1 ldap ldap 8192 Jul 26 19:46 uidNumber.bdb
4.7 检查搜索域
-x 信息排序
-b 指定搜索范围起点
[[email protected] openldap]# ldapsearch -x -b "dc=takshine,dc=com"
# extended LDIF
#
# LDAPv3
# base < base <dc=openldap,dc=takshine,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# search result
search: 2
result: 32 No such object
# numResponses: 1
4.8 数据录入
a) 创建ldif文件,并加入用户数据
#touch base.ldif
#vi base.ldif
添加以下内容(首行为空,冒号后有一个空格,其他地方无空格,结尾无空行)
dn: dc=takshine, dc=com
objectClass: organization
objectClass: dcObject
dc: takshine
o: takshine
dn: ou=People, dc=takshine, dc=com
objectClass: organizationalUnit
ou: People
dn: ou=Group, dc=takshine, dc=com
objectClass: organizationalUnit
ou: Group
dn: uid=SADMIN,ou=People,dc=takshine,dc=com
cn: SADMIN
givenname: SADMIN
o: People
objectclass: inetOrgPerson
objectclass: top
sn: SADMIN
uid: SADMIN
userpassword: Password1b) 导入用户到ldap数据库
[[email protected]]# /etc/init.d/slapd restart
停止 slapd:[确定]
正在启动 slapd:[确定]
[[email protected]]# ldapadd -D "cn=Manager,dc=takshine,dc=com" -W -x -f /opt/base.ldif
Enter LDAP Password:
adding new entry "dc=takshine,dc=com"
adding new entry "ou=People,dc=openldap,dc=takshine,dc=com"
adding new entry "ou=Group,dc=openldap,dc=takshine,dc=com"
如果出现错误:
ldap_bind: Invalid credentials (49)
就表示你要么给出了错误的”cn=”条目,要么给出了错误的密码
Enter LDAP Password:(输入你刚才设置的密码),正确之后会显示:
c) 查看用户是否导入成功
[[email protected]]# ldapsearch -x -b "dc=takshine,dc=com"
# extended LDIF
# LDAPv3
# base <dc=openldap,dc=takshine,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
# openldap.takshine.com
dn: dc=openldap,dc=takshine,dc=com
dc: openldap
objectClass: top
objectClass: domain
# People, openldap.takshine.com
。。。。省略
search: 2
result: 0 Success
# numResponses: 10
# numEntries: 9
5. 为LDAP配置Web接口
a) 安装lamp环境
# yum install -y httpd php php-ldap php-gd
# rpm -qa httpd php php-ldap php-gd
php-5.3.3-38.el6.x86_64
httpd-2.2.15-39.0.1.el6.x86_64
php-ldap-5.3.3-38.el6.x86_64
php-gd-5.3.3-38.el6.x86_64
b) 安装ldap-account-manager管理软件
https://www.ldap-account-manager.org/lamcms/releases?page=3
将ldap-account-manager-4.5.tar.gz安装包上传到/var/www/html目录
# cd /var/www/html/
[[email protected] html]# tar zxf ldap-account-manager-4.5.tar.gz
[[email protected] html]# mv ldap-account-manager-4.5 ldap
[[email protected] html]# cd ldap/config
[[email protected] config]# cp config.cfg_sample config.cfg
[[email protected] config]# cp lam.conf_sample lam.conf
[[email protected] config]# sed -i 's#dc=my-domain#dc=takshine#g' lam.conf
# chown -R apache.apache /var/www/html/ldap
c) 访问http://172.17.19.36/ldap/templates/login.php
使用刚才配置的Manager 和密码登陆即可
如果登录不成功,可先重启下php(/etc/init.d/httpd restart)
d) 创建用户前需要创建新组
e) 查看通过web界面添加的lulu用户是否生效
# ldapsearch -x -b "dc=takshine,dc=com"