轻型目录访问协议(英文:Lightweight Directory Access Protocol,缩写:LDAP)是一个开放的,中立的,工业标准的应用协议,通过IP协议提供访问控制和维护分布式信息的目录信息。

OpenLDAP是轻型目录访问协议(Lightweight Directory Access ProtocolLDAP)的自由和开源的实现,在其OpenLDAP许可证下发行,并已经被包含在众多流行的Linux发行版中。

LDAP协议的好处就是你公司的所有员工在所有这些工具里共享同一套用户名和密码,来人的时候新增一个用户就能自动访问所有系统,走人的时候一键删除就取消了他对所有系统的访问权限,这就是LDAP。

参考:https://www.ilanni.com/?p=13775

安装openldap

yum -y install openldap openldap-servers openldap-clients  openldap-devel compat-openldap migrationtools  openldap-servers-sql

migrationtools 实现OpenLDAP 用户及用户组的添加,migrationtools 开源工具通过查找/etc/passwd、/etc/shadow、/etc/groups 生成LDIF 文件,并通过ldapadd 命令更新数据库数据,完成用户添加

其中compat-openldap这个包与主从有很大的关系

查看版本

slapd -VV

[root@test ~]# slapd -VV

@(#) $OpenLDAP: slapd 2.4.44 (May 16 2018 09:55:53) $

[email protected]:/builddir/build/BUILD/openldap-2.4.44/openldap-2.4.44/servers/slapd

配置openldap

注意:从OpenLDAP2.4.23版本开始所有配置数据都保存在/etc/openldap/slapd.d/中,不再使用slapd.conf作为配置文件。

设置openldap的管理员密码:

[root@test slapd.d]# slappasswd -s admin@123

{SSHA}ptUSB1Mt+E4EvtscPolhiwLIICTLg1yN

上述加密后的字段保存下,等会我们在配置文件中会使用到。

修改olcDatabase={2}hdb.ldif文件

cd /etc/openldap/slapd.d/cn=config/

vim olcDatabase\=\{2\}hdb.ldif

修改域信息

olcSuffix: dc=jinni,dc=com

olcRootDN: cn=root,dc=jinni,dc=com

olcRootPW: {SSHA}ptUSB1Mt+E4EvtscPolhiwLIICTLg1yN

注意:冒号后面一定加空格,其中cn=root中的root表示OpenLDAP管理员的用户名,而olcRootPW表示OpenLDAP管理员的密码。

LDAP是一种通讯协议,如同HTTP是一种协议一样的!

LDAP连接服务器的连接字串格式为:ldap://servername/DN

其中DN有三个属性,分别是CN,OU,DC 

CN, OU, DC 都是 LDAP 连接服务器的端字符串中的区别名称(DN, distinguished   name)

CN:Common Name 为用户名或服务器名,最长可以到80个字符,可以为中文;

DCDomain Component   DC类似于dns中的每个元素,例如h3c.com,“.”符号分开的两个单词可以看成两个DC

DNDistinguished Name   类似于DNSDNDNS的区别是:组成DN的每个值都有一个属性类型,例如:H3c.com是一个dns,那么用dn表示为:dc=h3c,dc=com 级别越高越靠后。H3ccom的属性都是DC

DN可以表示为ldap的某个目录,也可以表示成目录中的某个对象,这个对象可以是用户等。 

ldapadd 

修改olcDatabase={1}monitor.ldif文件

vim olcDatabase\=\{1\}monitor.ldif

注意:该修改中的dn.base是修改OpenLDAP的管理员的相关信息的。

验证OpenLDAP的基本配置,使用如下命令:

slaptest -u

通过上图,我们可以很明显的看出OpenLDAP的基本配置是没有问题。

启动OpenLDAP服务

systemctl enable slapd

systemctl start slapd

配置ldap数据库

OpenLDAP默认以Berkeley DB作为后端数据库,BerkeleyDB数据库主要以散列的数据类型进行数据存储,如以键值对的方式进行存储。

BerkeleyDB是一类特殊的面向查询进行优化、面向读取进行优化的数据库,主要用于搜索、浏览、更新查询操作,一般对于一次写入数据、多次查询和搜索有很好的效果。BerkeleyDB不支持事务型数据库(MySQL、MariDB、Oracle等)所支持的高并发的吞吐量以及复杂的事务操作。

现在来开始配置OpenLDAP数据库,使用如下命令:

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

chown ldap:ldap -R /var/lib/ldap

chmod 700 -R /var/lib/ldap

注意:/var/lib/ldap/就是BerkeleyDB数据库默认存储的路径。

导入基本Schema

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

修改migrate_common.ph文件

migrate_common.ph文件主要是用于生成ldif文件使用,修改migrate_common.ph文件,如下:

vim /usr/share/migrationtools/migrate_common.ph +71

$DEFAULT_MAIL_DOMAIN = “jinni.com”;

$DEFAULT_BASE = “dc=jinni,dc=com”;

$EXTENDED_SCHEMA = 1;        #开启扩展模式

到此OpenLDAP的配置就已经全部完毕,下面我们来开始添加用户到OpenLDAP中。

添加用户及用户组

默认情况下OpenLDAP是没有普通用户的,但是有一个管理员用户。管理用户就是前面我们刚刚配置的root。

现在我们把系统中的用户,添加到OpenLDAP中。为了进行区分,我们现在新加两个用户ldapuser1和ldapuser2,和两个用户组ldapgroup1和ldapgroup2,如下:

添加用户组,使用如下命令:

groupadd ldapgroup1

groupadd ldapgroup2

添加用户并设置密码,使用如下命令:

useradd -g ldapgroup1 ldapuser1

useradd -g ldapgroup2 ldapuser2

echo ‘123456’ | passwd –stdin ldapuser1

echo ‘123456’ | passwd –stdin ldapuser2

把刚刚添加的用户和用户组提取出来,这包括该用户的密码和其他相关属性,如下:

grep “:10[0-9][0-9]” /etc/passwd > /root/users

grep “:10[0-9][0-9]” /etc/group > /root/groups

根据上述生成的用户和用户组属性,使用migrate_passwd.pl文件生成要添加用户和用户组的ldif,如下:

/usr/share/migrationtools/migrate_passwd.pl /root/users > /root/users.ldif

/usr/share/migrationtools/migrate_group.pl /root/groups > /root/groups.ldif

注意:后续如果要新加用户到OpenLDAP中的话,我们可以直接修改users.ldif文件即可。

导入用户及用户组到OpenLDAP数据库

配置openldap基础的数据库,如下:

cat > base.ldif << EOF

dn: dc=jinni,dc=com

o: jinni com

dc: jinni

objectClass: top

objectClass: dcObject

objectclass: organization

dn: cn=root,dc=jinni,dc=com

cn: root

objectClass: organizationalRole

description: Directory Manager

dn: ou=People,dc=jinni,dc=com

ou: People

objectClass: top

objectClass: organizationalUnit

dn: ou=Group,dc=jinni,dc=com

ou: Group

objectClass: top

objectClass: organizationalUnit

EOF


导入基础数据库,使用如下命令:

ldapadd -x -w "admin@123" -D "cn=root,dc=jinni,dc=com" -f /root/base.ldif


此密码是之前创建的root管理员密码,如果密码错误,会报错:

文件格式错误,会报错:ldap_add: Protocol error (2)

    additional info: no attributes provided

解决:删除 base.ldif里面空行,同时,dn前留一空行。

导入用户到数据库,使用如下命令:

ldapadd -x -w “admin@123” -D “cn=root,dc=jinni,dc=com” -f /root/users.ldif


导入用户组到数据库,使用如下命令:

dapadd -x -w “admin@123” -D “cn=root,dc=jinni,dc=com” -f /root/groups.ldif

查看BerkeleyDB数据库文件,使用如下命令:

ll /var/lib/ldap/

此时BerkeleyDB数据库文件中多了cn.bdb、sn.bdb、ou.bdb等数据库文件

查询OpenLDAP的相关信息

用户和用户组全部导入完毕后,我们就可以查询OpenLDAP的相关信息。

查询OpenLDAP全部信息,使用如下命令:

ldapsearch -x -b “dc=jinni,dc=com” -H ldap://127.0.0.1

查询添加的OpenLDAP用户信息,使用如下命令:

ldapsearch -LLL -x -D ‘cn=root,dc=jinni,dc=com’ -w “admin@123” -b ‘dc=jinni,dc=com’ ‘uid=ldapuser1’

查询添加的OpenLDAP用户组信息,使用如下命令:

ldapsearch -LLL -x -D ‘cn=root,dc=jinni,dc=com’ -w “admin@123” -b ‘dc=jinni,dc=com’ ‘cn=ldapgroup1’

OpenLDAP用户加入到用户组

尽管我们已经把用户和用户组信息,导入到OpenLDAP数据库中了。但实际上目前OpenLDAP用户和用户组之间是没有任何关联的。

如果我们要把OpenLDAP数据库中的用户和用户组关联起来的话,我们还需要做另外单独的配置。

现在我们要把ldapuser1用户加入到ldapgroup1用户组,需要新建添加用户到用户组的ldif文件,如下:

cat > add_user_to_groups.ldif <<  EOF

dn: cn=ldapgroup1,ou=Group,dc=jinni,dc=com

changetype: modify

add: memberuid

memberuid: ldapuser1

EOF

执行如下命令:

ldapadd -x -w “admin@123” -D “cn=root,dc=jinni,dc=com” -f /root/add_user_to_groups.ldif

查询添加的OpenLDAP用户组信息,如下:

ldapsearch -LLL -x -D ‘cn=root,dc=jinni,dc=com’ -w “admin@123” -b ‘dc=jinni,dc=com’ ‘cn=ldapgroup1’

我们可以很明显的看出ldapuser1用户已经加入到ldapgroup1用户组了。

开启OpenLDAP日志访问功能

默认情况下OpenLDAP是没有启用日志记录功能的,但是在实际使用过程中,我们为了定位问题需要使用到OpenLDAP日志。

新建日志配置ldif文件,如下:

cat > /root/loglevel.ldif << “EOF”

dn: cn=config

changetype: modify

replace: olcLogLevel

olcLogLevel: stats

EOF

导入到OpenLDAP中,并重启OpenLDAP服务,如下:

ldapmodify -Y EXTERNAL -H ldapi:/// -f /root/loglevel.ldif

systemctl restart slapd

修改rsyslog配置文件,并重启rsyslog服务,如下:

cat >> /etc/rsyslog.conf << “EOF”

local4.* /var/log/slapd.log

EOF

systemctl restart rsyslog

查看OpenLDAP日志,如下:

tail -f /var/log/slapd.log

修改OpenLDAP默认监听端口

在前面的文章中,我们已经介绍了OpenLDAP默认监听的端口是389.如果我们现在要修改OpenLDAP监听端口的话,我们可以修改/etc/sysconfig/slapd文件。例如我们现在把OpenLDAP监听的端口修改为4567,可以进行如下操作:

vim /etc/sysconfig/slapd

SLAPD_URLS=”ldapi://0.0.0.0:4567/ldap://0.0.0.0:4567/”

重启OpenLDAP服务,如下:

systemctl restart slapd.service

netstat -tunlp

到此完结!


-x   进行简单认证

-D   用来绑定服务器的DN

-h   目录服务的地址

-w   绑定DN的密码(ldap管理员密码)

-f    使用ldif文件进行条目添加的文件

-Y    指定用于身份验证的SASL机制。如果没有指定,程序将选择服务器知道的最佳机制

-H   指定引用ldap服务器的URI;只允许协议/主机/端口字段;一个用空格或逗号分隔的URI列表。

例子 

ldapadd -x -D "cn=root,dc=starxing,dc=com" -w secret -f /root/test.ldif 

ldapadd -x -D "cn=root,dc=starxing,dc=com" -w secret (这样写就是在命令行添加条目)

ldapsearch 

-x    进行简单认证

-D   用来绑定服务器的DN

-w   绑定DN的密码

-b   指定要查询的根节点

-H   指定要查询的服务器

-LLL  禁用打印无关信息

ldapsearch -x -D "cn=root,dc=starxing,dc=com" -w secret -b "dc=starxing,dc=com" 

使用简单认证,用 "cn=root,dc=starxing,dc=com" 进行绑定,

要查询的根是 "dc=starxing,dc=com"。这样会把绑定的用户能访问"dc=starxing,dc=com"下的

所有数据显示出来。

ldapsearch -x -W -D "cn=administrator,cn=users,dc=osdn,dc=zzti,dc=edu,dc=cn" -b "cn=administrator,cn=users,dc=osdn,dc=zzti,dc=edu,dc=cn" -h troy.osdn.zzti.edu.cn 

ldapsearch -b "dc=canon-is,dc=jp" -H ldaps://192.168.0.92:636 

ldapdelete 

ldapdelete -x -D "cn=Manager,dc=test,dc=com" -w secret "uid=test1,ou=People,dc=test,dc=com" 

ldapdelete -x -D 'cn=root,dc=it,dc=com' -w secert 'uid=zyx,dc=it,dc=com' 

这样就可以删除'uid=zyx,dc=it,dc=com'记录了,应该注意一点,如果o或ou中有成员是不能删除的。

ldappasswd 

-x   进行简单认证

-D   用来绑定服务器的DN

-w   绑定DN的密码

-S   提示的输入密码

-s pass 把密码设置为pass

-a pass 设置old passwd为pass

-A   提示的设置old passwd

-H   是指要绑定的服务器

-I   使用sasl会话方式

#ldappasswd -x -D 'cm=root,dc=it,dc=com' -w secret 'uid=zyx,dc=it,dc=com' -S

New password:

Re-enter new password: 

就可以更改密码了,如果原来记录中没有密码,将会自动生成一个userPassword

创建ldap账号

https://blog.51cto.com/ljl2013/1359441