本示例是在CentOS系统下进行安装OpenLDAP使用2.4.44版本 参考博客:https://www.ilanni.com/?p=13775 初始化环境 如果是首次安装LDAP,则不需要初始化环境,直接跳过此步骤,命令如下: ntpdate -u ntp.api.bz && sed -i ‘/SELINUX/s/enforcing/disabled/’ /etc/selinux/config && setenforce 0&& systemctl disable firewalld.service && systemctl stop firewalld.service && shutdown -r now 安装OpenLDAP 使用如下命令安装OpenLDAP: yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools 结果如下图:
显示Complete!,表示使用yum源安装成功 查看OpenLDAP版本,使用如下命令: slapd -VV 配置OpenLDAP 1.配置OpenLDAP管理员密码 设置OpenLDAP的管理员密码: slappasswd -s 123456 上述加密后的字段保存下,等会我们在配置文件中会使用到 2. 修改olcDatabase={2}hdb.ldif文件 vim /etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif olcSuffix: dc=icerno,dc=com olcRootDN: cn=root,dc=icerno,dc=com olcRootPW: {SSHA}XEH2Iq/T9MxEw/MftL7A4cDetddaOyQI 修改如下图:
其中cn=root中的root表示OpenLDAP管理员的用户名,而olcRootPW表示OpenLDAP管理员的密码。 3. 修改olcDatabase={1}monitor.ldif文件 vim /etc/openldap/slapd.d/cn=config/olcDatabase={1}monitor.ldif olcAccess: {0}to * by dn.base=”gidNumber=0+uidNumber=0,cn=peercred,cn=extern al,cn=auth” read by dn.base=”cn=root,dc=icerno,dc=com” read by * none 注意:该修改中的dn.base是修改OpenLDAP的管理员的相关信息的。 4.验证OpenLDAP的基本配置,使用如下命令: slaptest -u 5.启动OpenLDAP服务,使用如下命令: systemctl enable slapd systemctl start slapd systemctl status slapd 由上图可知,ldap启动成功。 6. 配置OpenLDAP数据库 OpenLDAP默认使用的数据库是BerkeleyDB,现在来开始配置OpenLDAP数据库,使用如下命令: cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG chown ldap:ldap -R /var/lib/ldap chmod 700 -R /var/lib/ldap ll /var/lib/ldap/ 注意:/var/lib/ldap/就是BerkeleyDB数据库默认存储的路径 7. 导入基本Schema ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif 8.修改migrate_common.ph文件 migrate_common.ph文件主要是用于生成ldif文件使用,修改migrate_common.ph文件,如下: vim /usr/share/migrationtools/migrate_common.ph +71 $DEFAULT_MAIL_DOMAIN = “icerno.com”; $DEFAULT_BASE = “dc=icerno,dc=com”; $EXTENDED_SCHEMA = 1; 到此OpenLDAP的配置就已经全部完毕。 导入用户到OpenLDAP数据库 配置openldap基础的数据库,如下: 命令: cat > /root/base.ldif << EOF 文本输入: dn: dc=icerno,dc=com o: icerno com dc: icerno objectClass: top objectClass: dcObject objectclass: organization
dn: cn=root,dc= icerno,dc=com cn: root objectClass: organizationalRole description: Directory Manager
dn: ou=People,dc= icerno,dc=com ou: People objectClass: top objectClass: organizationalUnit
dn: ou=Group,dc= icerno,dc=com ou: Group objectClass: top objectClass: organizationalUnit 命令: EOF 如下图: 至此/root/base.ldif文档编辑完成
导入基础数据库,使用如下命令: ldapadd -x -w “123456” -D “cn=root,dc=icerno,dc=com” -f /root/base.ldif 显示上图数据,表示ldap基础数据已经导入成功 查看BerkeleyDB数据库文件,使用如下命令: ll /var/lib/ldap/ 可以很明显的看到此时BerkeleyDB数据库文件中多了cn.bdb、sn.bdb、ou.bdb等数据库文件。 查询OpenLDAP的相关信息 用户和用户组全部导入完毕后,我们就可以查询OpenLDAP的相关信息。 查询OpenLDAP全部信息,使用如下命令: ldapsearch -x -b “dc=icerno,dc=com” -H ldap://127.0.0.1 使用ldapadmin工具查看 在大多数情况下,我们对OpenLDAP的操作都是在Windows下进行的。而在Windows下连接OpenLDAP的客户端工具,我使用最多的是ldapadmin。 连接完成如下图: 由上图可知,ldap安装完成 可以使用ldapadmin来添加用户和用户组 在ou=people下添加用户
具体添加如下: 用户组添加在ou=Group中:
具体信息如下: 至此,用户用户组已经添加完成
