Ubuntu系統(tǒng)下OpenLDAP的安裝及配置

前言
LDAP(Lightweight Directory Access Protocol)是基于X.500標(biāo)準(zhǔn)的輕量級(jí)目錄訪問協(xié)議，在Unix操作系統(tǒng)里面，和NIS,DNS一樣，屬于名稱服務(wù)(Naming Service)。本文描述了如何在Ubuntu操作系統(tǒng)上面，搭建LDAP服務(wù)。

第一步：修改hostname

127.0.0.1       localhost
127.0.1.1       ldap.ldapdomain.com alternative
192.168.5.180   ldap.ldapdomain.com

注：在 Debain 里安裝 OpenLDAP 時(shí)，Debian 會(huì)提示給 LDAP 的 admin 用戶設(shè)置一個(gè)密碼，然后就自動(dòng)地創(chuàng)建了一個(gè)默認(rèn)的數(shù)據(jù)庫，這個(gè)默認(rèn)的數(shù)據(jù)庫使用了一個(gè)默認(rèn)的 base DN，默認(rèn)情況下，Debian 會(huì)使用本機(jī)的域名來作為 base DN，比如如果我的域名是 ldapdomain.com，那么 Debian 就會(huì)使用 dc=ldapdomain,dc=com 作為我的默認(rèn) base DN

第二步：安裝，配置軟件

sudo apt-get install -y slapd ldap-utils

注：

slapd: openldap服務(wù)端程序組件

          slapd: 守護(hù)進(jìn)程

          slapdn

          slapadd

          slapcat: 導(dǎo)出ldap數(shù)據(jù)庫文件為.ldif格式

          ......

          ......

ldap-utils: openldap命令行工具集(ldapsearch, ldapmodify, ldapadd,......)

配置/etc/ldap/ldap.conf, 添加BASE 和 URI. 這里的BASE為dc=ldapdomain,dc=com  URI為ldap://192.168.5.180:389

BASE     dc=ldapdomain,dc=com
URI     ldap://192.168.5.180:389

通過如下命令，對slapd進(jìn)行再配置(如果默認(rèn)配置可以滿足需求，則跳過這一步)

dpkg-reconfigure slapd

注：reconfigure的內(nèi)容，包括baseDN，admin管理員密碼，后端數(shù)據(jù)庫選擇(HDB,BDB)，是否刪除舊的數(shù)據(jù)庫，是否允許LDAPv2協(xié)議

安裝php的ldap管理端軟件：

apt-get install -y phpldapadmin

  修改相應(yīng)的配置文件/etc/phpldapadmin/config.php，做如下修改：

  (1) $servers->setValue('server'. 'host', '127.0.0.1')#修改為某個(gè)內(nèi)網(wǎng)可訪問的IP地址

  (2) $servers->setValue('server'. 'base', array('dc=example,dc=com')) #修改為baseDN，這里修改為dc=ldapdomain,dc=com

  (3) $servers->setValue('login', 'bind_id', 'cn=admin,dc=example,dc=com')#修改為baseDN下的admin, cn=admin,dc=ldapdomain,dc=com

  (4) $config->custom->appearance['hide_template_warning'] = false #false修改為true

防火墻放行Apache2:

ufw allow "Apache"
ufw allow "Apache Full"
ufw allow "Apache Secure"

之后，重啟服務(wù):

/etc/init.d/apache2 restart

通過curl http://<IP-Address>/phpldapadmin 測試頁面是否能夠訪問，如果成功之后，通過瀏覽器訪問的效果如下：

第三步：LDAP防火墻ufw配置

添加tcp端口389(ldap通信端口)， 以及tcp端口636(ldaps通信端口)，這里的server端的IP地址為192.168.5.180:

ufw allow proto tcp from any to 192.168.5.180 port 389
ufw allow proto tcp from any to 192.168.5.180 port 636

第四步：配置檢查，添加數(shù)據(jù)

LDAP的配置是由cn=config的樹形解構(gòu)組成，可以通過ldapseach查到該樹形結(jié)構(gòu)存在哪些dn:

通過sasl的external認(rèn)證方式進(jìn)行查詢：
ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn:

注：

-Q : sasl認(rèn)證model(相對于-x簡單認(rèn)證)

-LLL: 以ldif格式展示結(jié)果; 忽略注釋; 忽略版本

-Y EXTERNAL: 用sasl的external認(rèn)證方法

-H ldapi:/// : 連接localhost

-b cn=config dn:  查詢所有cn=config分支的dn

通過簡單認(rèn)證，查詢ldap的baseDN中的內(nèi)容:
ldapsearch -x -LLL -H ldap:/// -b dc=ldapdomain, dc=com
ldapsearch -x -LLL -H ldap:/// -b dc=ldapdomain, dc=com dn:     #only return dn object
ldapsearch -x -LLL -h 192.168.5.180 -p 389 -b dc=ldapdomain ,dc=com
ldapsearch -x -LLL -h 192.168.5.180 -p 389 -b dc=ldapdomain ,dc=com dn:     #only return dn object
ldapsearch -x -LLL -h 192.168.5.180 -p 389 -b dc=ldapdomain,dc=com objectClass=*     #匹配objectClass

創(chuàng)建新的結(jié)構(gòu)，保存為ldif文件，并將其添加到數(shù)據(jù)庫中:

vi structure.ldif

內(nèi)容如下：

dn: ou=people,dc=ldapdomain,dc=com
objectClass: organizationalUnit
ou: people

dn: ou=group,dc=ldapdomain,dc=com
objectClass: organizationalUnit
ou: group

注：在structure.ldif中，添加了兩個(gè)條目，都屬于organizationalUnit對象，一個(gè)的屬性為people，另一個(gè)屬性為group

利用ldapadd命令將ldif導(dǎo)入到數(shù)據(jù)庫中:

ldapadd -x -D cn=admin,dc=ldapsearch,dc=com -W -f structure.ldif

注：

-D cn=admin,dc=ldapsearch,dc=com: 由于要往數(shù)據(jù)庫中寫內(nèi)容，所以需要用admin用戶的權(quán)限進(jìn)行操作

-W: 在命令行中提示輸入admin用戶的密碼

-f: 需要導(dǎo)入的ldif文件的路徑

導(dǎo)入完畢之后，通過命令可以看到ldap數(shù)據(jù)庫中已經(jīng)存在了相應(yīng)的內(nèi)容：

root@alternative:~# ldapsearch -x -LLL -h 192.168.5.180 -p 389 -b dc=ldapdomain,dc=com objectClass=*
dn: dc=ldapdomain,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: ldapdomain.com
dc: ldapdomain
dn: cn=admin,dc=ldapdomain,dc=com
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
dn: ou=people,dc=ldapdomain,dc=com
objectClass: organizationalUnit
ou: people
dn: ou=group,dc=ldapdomain,dc=com
objectClass: organizationalUnit
ou: group

下一篇將介紹更詳細(xì)的openldap的配置管理和用戶管理