基于centos 6.8系统:
1. 安装openldap
yum install -y openldap openldap-servers openldap-clients openldap-devel compat-openldap
2. 安装Berkeley DB
yum install -y db4 db4-utils
openldap使用Berkeley DB存储数据。
3. 安装nginx, php (php要安装5.4的版本,否则会有不兼容情况)
这里php还需要安装对ldap支持的模块:参考这篇文章:centos安装php-ldap扩展,总结 https://blog.csdn.net/gpxxgpxx/article/details/60135356
这个用ansible自动安装
nginx的配置文件:
server {
listen 8099;
server_name ldap.anmav.cn;
location / {
root /home/data/html/phpldapadmin;
index index.php index.html index.htm;
}
#error_page 500 502 503 504 /50x.html;
#location = /50x.html {
# root /home/www//html;
#}
# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
location ~ .php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /home/data/html/phpldapadmin/$fastcgi_script_name;
include fastcgi_params;
}
error_log logs/phpldapadmin_error.log;
access_log logs/phpldapadmin_access.log main;
}
4. 下载phpldapadmin
cd /home/workspace
wget http://sourceforge.net/projects/phpldapadmin/files/phpldapadmin-php5/1.2.3/phpldapadmin-1.2.3.zip/download
unzip phpldapadmin-1.2.3.zip
cp -R phpldapadmin-1.2.3 /var/www/html/phpldapadmin
cd /home/data/html/phpldapadmin/config
cp config.php.example config.php
5. 配置openldap
安装完openldap后我们看到在/etc/openldap目录下有certs、schema、slapd.d三个目录和ldap.conf一个文件。
1)certs目录用于存放TLS认证的CA证书等。
2)(该目录用于旧的配置方法,已废弃)schema目录下有.schema文件和.ldif文件。
3)slapd.d目录是openldap2.4.x的配置目录。/etc/openldap/slapd.d/cn=config存放数据库的配置文件,/etc/openldap/slapd.d/cn=config/cn=schema存放.ldif文件。 注意: /etc/openldap/slapd.d/cn=config.ldif会被/etc/openldap/slapd.d/cn=config/*里面的配置文件覆盖掉
4)ldap.conf是openldap client的配置文件。
5.1首先生成管理员密码:
slappasswd
输完两遍密码后会生成一个加密散列字符串,保存下来。
如:
[root@gitlab openldap]# slappasswd
New password:
Re-enter new password:
{SSHA}kk20rdNChGiPTP+Xoh4bdKZKrS+46sYM
5.2 编辑数据库配置文件,设置域名:
vim /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}bdb.ldif
设置目录树后缀(域名),作用是定义根的名字。
找到:
olcSuffix: dc=my-domain,dc=com
修改dc:
olcSuffix: dc=ldap,dc=anmav,dc=cn
设置管理员DN。
PS:LDAP管理员cn默认为Manager,可以改成自己需要的名字。
找到:
olcRootDN: cn=Manager,dc=my-domain,dc=com
修改dc:
olcRootDN: cn=anmavadmin,dc=ldap,dc=anmav,dc=cn
设置管理员密码。在olcDatabase={2}bdb.ldif最后添加:
olcRootPW: {SSHA}kk20rdNChGiPTP+Xoh4bdKZKrS+46sYM
5.3 指定监控权限:
vim /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{1\}monitor.ldif
找到:
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=exter
nal,cn=auth" read by dn.base="cn=manager,dc=my-domain,dc=com" read by * n
one
修改为:
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=exter
nal,cn=auth" read by dn.base="cn=anmavadmin,dc=ldap,dc=anmav,dc=cn" read by * n
one
5.4 设置Database Cache:
设置Database Cache:
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
设置权限:
chown -R ldap:ldap /var/lib/ldap/
测试配置文件是否有错:
slaptest -u
提示:
config file testing succeeded
测试通过。
启动slapd服务:
service slapd start
#上面的ldif文件是推荐通过ldapmodify的方式修改的
修改方式可以参照这篇文章 https://www.server-world.info/en/note?os=CentOS_7&p=openldap&f=1
6. 配置phpldapadmin
vim /home/data/html/phpldapadmin/config/config.php
找到"Define your LDAP servers in this section"区块。
将:
$servers->setValue('server','host','127.0.0.1');
$servers->setValue('server','port',389);
前的注释去掉。
将:
$servers->setValue('server','base',array(''));
修改为:
$servers->setValue('server','base',array('dc=ldap,dc=anmav,dc=cn'));
在array中输入设置的olcSuffix。
将:
$servers->setValue('login','auth_type','session');
前的注释去掉。
chown www. -R /home/data/html/phpldapadmin
浏览器访问:http://ldap.anamv.cn:8099/
使用RootDN和RootPW登陆:
用户名:cn=anmavadmin,dc=ldap,dc=anmav,dc=cn
密码: 自己设置的密码
此时左侧目录树会显示:This base cannot be created with PLA.
添加根节点:
vim base.ldif
dn: dc=ldap,dc=anmav,dc=cn
o: anmav
objectclass: dcObject
objectclass: organization
添加到ldap数据库:
ldapadd -f base.ldif -x -D cn=anmavadmin,dc=ldap,dc=anmav,dc=cn -W
#-f 指定文件,相当于mysql的.sql类文件
#-x 简单用户认证
#-D 绑定的dn
#-W 提示输入绑定dn的密码
输入密码后会提示:
adding new entry "dc=ldap,dc=anmav,dc=cn"
在浏览器里刷新一下条目就会显示出根节点。
7. 剩下来就可以登录phpldapadmin进行条目的添加了
也可以使用openldap的LAM工具进行管理
#注意事项:
#如果ldap里面没有对应的objectClass,可以进行导入,centos 7下yum安装可能需要手动导入,centos6下,在vim /etc/openldap/slapd.d/cn\=config.ldif里面配置了olcConfigFile: /usr/share/openldap-servers/slapd.conf.obsolete, 而slapd.conf.obsolete里面include这些ldif了,那么系统会自动导入进去的
cd /etc/openldap/schema/
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f cosine.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f nis.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f collective.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f corba.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f core.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f duaconf.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f dyngroup.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f inetorgperson.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f java.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f misc.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f openldap.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f pmi.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f ppolicy.ldif
#参考文档:
LDAP服务原理详解(原创) http://czmmiao.iteye.com/blog/1561597
CentOS Linux安装OpenLDAP服务器 http://www.live-in.org/archives/1731.html (安装过程也是根据这篇文章做的)
Centos7 Ldap统一认证部署 http://blog.chinaunix.net/uid-21926461-id-5676013.html
概念:
olc : on-line configuration 在线配置
objectClass:表示使用什么对象类,这个对象类可以自定义的,比如说inetOrgPerson,olcDatabaseConfig等
olcAccess: acl访问控制列表
openldap相关缩写:
dn - distinguished name(区别名,主键)
o - organization(组织-公司)
ou - organization unit(组织单元-部门)
c - countryName(国家)
dc - domainComponent(域名)
sn - sure name(真实名称)
cn - common name(常用名称)
openldap组件:
slapd:主LDAP服务器
slurpd:负责与复制LDAP服务器保持同步的服务器
对网络上的目录进行操作的客户机程序。下面这两个程序是一对儿:
ldapadd:打开一个到LDAP服务器的连接,绑定、修改或增加条目
ldapsearch:打开一个到LDAP服务器的连接,绑定并使用指定的参数进行搜索
对本地系统上的数据库进行操作的几个程序:
slapadd:将以LDAP目录交换格式(LDIF)指定的条目添加到LDAP数据库中
slapcat:打开LDAP数据库,并将对应的条目输出为LDIF格式.
相关命令:
slapd -V 查看版本
slappasswd 生产加密密码
slaptest -u 测试ldap配置文件是否有错
ldapadd man ldapadd 或者ldapadd -h 增加ldap条目
例子: ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
ldapadd -f base.ldif -x -D "cn=anmavadmin,dc=ldap,dc=anmav,dc=cn" -W
ldapmodify 修改ldap条目
例子: ldapmodify -Y EXTERNAL -H ldapi:/// -f xxx.ldif
ldapmodify -f changebase.ldif -D "cn=admin,dc=ldap,dc=myjason,dc=org" -W
ldapdelete 删除ldap条目
例子: ldapdelete -x -D "cn=admin,dc=netsafe,dc=qa,dc=net" -W "uid=seabird,ou=People,dc=netsafe,dc=qa,dc=net"
或者: vim delete.ldif
内容为:
dn: dc=ldap,dc=myjason,dc=org
changetype: delete
然后执行:
ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f delete.ldif
ldapsearch 搜索ldap条目
例子: ldapsearch -x -b 'dc=ldap,dc=anmav,dc=cn'
ldapsearch -LLL -W -x -H ldap://192.168.3.21 -D "cn=anmavadmin,dc=ldap,dc=anmav,dc=cn" -b "dc=dev,dc=com" "(uid=*)"
slapcat 查看ldap数据库条目,输出为ldif格式
例子: slapcat -b "dc=ldap,dc=anmav,dc=cn"
8、 自定义一个添加一个schema(添加自定义项)
需要给ldap用户添加mobile和sex这个属性,但是发现暂时上面只有mobile,没有sex。所以要么自定义一个schema,然后用继承,要么在现有的里面添加
1)、新建自定义schema
cd /etc/openldap/schema
vi localperson.schema
attributetype ( 2.16.840.1.113730.3.1.930
NAME 'userType'
DESC 'normalperson,doctor,citizen'
EQUALITY caseIgnoreMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15
SINGLE-VALUE )
attributetype ( 2.16.840.1.113730.3.1.931
NAME 'idType'
DESC 'person id cardtype'
EQUALITY caseIgnoreMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
attributetype ( 2.16.840.1.113730.3.1.932
NAME 'idNumber'
DESC 'person id cardnumber'
EQUALITY caseIgnoreMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
attributetype (2.16.840.1.113730.3.1.933
NAME 'age'
DESC 'person age'
EQUALITY caseIgnoreMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
attributetype ( 2.16.840.1.113730.3.1.934
NAME 'sex'
DESC 'person id cardnumber'
EQUALITY caseIgnoreMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
attributetype ( 2.16.840.1.113730.3.1.935
NAME 'userRole'
DESC 'user role '
EQUALITY caseIgnoreMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
attributetype ( 2.16.840.1.113730.3.1.936
NAME 'firstLogin'
DESC 'whether firstlogin flag '
EQUALITY caseIgnoreMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
attributetype ( 2.16.840.1.113730.3.1.937
NAME 'securityQuestion'
DESC 'SecurityQuestion'
EQUALITY caseIgnoreMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
attributetype ( 2.16.840.1.113730.3.1.938
NAME 'securityAnswer'
DESC 'SecurityAnswer'
EQUALITY caseIgnoreMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
# inetOrgPerson
# The inetOrgPerson represents people who are associatedwith an
# organization in some way. It is a structural class and is derived
objectclass ( 111111.3.2.8
NAME 'localPerson'
DESC 'Local py Person attributes'
SUP person
STRUCTURAL
MAY ( uid $ userType $ idType $ idNumber $ age $ sex $ title $ postalAddress $ postalCode $ displayName $ mail $ mobile $ userRole$firstLogin $ securityQuestion $ securityAnswer ) )
vim /etc/openldap/slapd.conf
加入include /etc/openldap/schema/localperson.schema
在include /etc/openldap/schema/inetorgperson.schema前面
还需要修改/etc/openldap/schema/inetorgperson.schema,让其继承localperson的objectclass
vim /etc/openldap/schema/inetorgperson.schema
修改
objectclass ( 2.16.840.1.113730.3.2.2
NAME 'inetOrgPerson'
DESC 'RFC2798: Internet Organizational Person'
SUP organizationalPerson
STRUCTURAL
MAY (
audio $ businessCategory $ carLicense $ departmentNumber $
displayName $ employeeNumber $ employeeType $ givenName $
homePhone $ homePostalAddress $ initials $ jpegPhoto $
labeledURI $ mail $ manager $ mobile $ o $ pager $
photo $ roomNumber $ secretary $ uid $ userCertificate $
x500uniqueIdentifier $ preferredLanguage $
userSMIMECertificate $ userPKCS12 )
)
改成
objectclass ( 2.16.840.1.113730.3.2.2
NAME 'inetOrgPerson'
DESC 'RFC2798: Internet Organizational Person'
SUP ( organizationalPerson $ localPerson )
STRUCTURAL
MAY (
audio $ businessCategory $ carLicense $ departmentNumber $
displayName $ employeeNumber $ employeeType $ givenName $
homePhone $ homePostalAddress $ initials $ jpegPhoto $
labeledURI $ mail $ manager $ mobile $ o $ pager $
photo $ roomNumber $ secretary $ uid $ userCertificate $
x500uniqueIdentifier $ preferredLanguage $
userSMIMECertificate $ userPKCS12 )
)
然后用slaptest -u,测试是否有问题
如果没有问题再重启service slapd restart
但是这里面发现其实是有问题的,有可能会抱找不到localPerson这个objectClass,这个具体原因有待去查明
所以这里我使用了第二种方法,直接修改inetOrgPerson,这个objecclass,添加一个sex属性
2)、 添加sex属性
vim /etc/openldap/schema/inetorgperson.schema
添加
attributetype ( 2.16.840.1.113730.3.1.934
NAME 'sex'
DESC 'person sex'
EQUALITY caseIgnoreMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
说明:
1、 SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 这个数字对应这个Directory String类型,详细可参照http://ldap.anmav.cn:8099/htdocs/cmd.php?cmd=schema&server_id=1&view=objectclasses&viewvalue=inetOrgPerson 选择“语法规则”
2、 2.16.840.1.113730.3.1.934这个是个OID,是每个属性唯一的id号,不能重复
再修改
objectclass ( 2.16.840.1.113730.3.2.2
NAME 'inetOrgPerson'
DESC 'RFC2798: Internet Organizational Person'
SUP organizationalPerson
STRUCTURAL
MAY (
audio $ businessCategory $ carLicense $ departmentNumber $
displayName $ employeeNumber $ employeeType $ givenName $
homePhone $ homePostalAddress $ initials $ jpegPhoto $
labeledURI $ mail $ manager $ mobile $ o $ pager $
photo $ roomNumber $ secretary $ uid $ userCertificate $
x500uniqueIdentifier $ preferredLanguage $
userSMIMECertificate $ userPKCS12 )
)
添加个sex
objectclass ( 2.16.840.1.113730.3.2.2
NAME 'inetOrgPerson'
DESC 'RFC2798: Internet Organizational Person'
SUP organizationalPerson
STRUCTURAL
MAY (
audio $ businessCategory $ carLicense $ departmentNumber $
displayName $ sex $ employeeNumber $ employeeType $ givenName $
homePhone $ homePostalAddress $ initials $ jpegPhoto $
labeledURI $ mail $ manager $ mobile $ o $ pager $
photo $ roomNumber $ secretary $ uid $ userCertificate $
x500uniqueIdentifier $ preferredLanguage $
userSMIMECertificate $ userPKCS12 )
)
然后vim /etc/openldap/slapd.conf
#include /etc/openldap/schema/localperson.schema
再用slaptest -u,测试是否有问题, 再重启service slapd restart
说明:
1、 SUP是继承的意思,表示inetOrgPerson继承了organizationalPerson的所有属性