- 服务器环境
1)centos7.4 - 安装
[root@test1] ~$ yum install openldap openldap-servers openldap-clients compat-openldap
#可以通过rpm -ql ,来查看每个安装包都有哪些文件
openldap: #OpenLDAP配置文件、库和文档
openldap-servers: #服务器进程及相关命令、迁移脚本和相关文件
openldap-clients: #客户端进程及相关命令,用来访问和修改 OpenLDAP 目录
compat-openldap: #与主从配置相关
#安装过程中会自动创建ldap用户和ldap组
#复制数据库模板
[root@test1] ~$ cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@test1] ~$ chown ldap. /var/lib/ldap/DB_CONFIG
[root@test1] ~$ systemctl enable slapd
[root@test1] ~$ systemctl start slapd
[root@test1] /etc/openldap/slapd.d/cn=config$ netstat -tunlp |grep slapd
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 62756/slapd
tcp6 0 0 :::389 :::* LISTEN 62756/slapd
#ldap服务端进程为slapd,端口389,默认情况下数据为明文传输,添加ssl配置后为密文数据传输,端口636
2、使用 slappasswd 命令生成管理员(admin)密码,编写 LDIF(一种LDAP 专用的数据交换格式)文件并通过ldapadd命令将管理员密码导入到 LDAP配置文件中
[root@ldap ~]# slappasswd
New password:
Re-enter new password:
{SSHA}v10q0I0l0B7tVyxXnfizQYKM8vUYj+9k
[root@ldap ~]# vim chrootpw.ldif
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}v10q0I0l0B7tVyxXnfizQYKM8vUYj+9k
[root@ldap ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"
3.我们需要向 LDAP 中导入一些基本的 Schema。这些 Schema 文件位于 /etc/openldap/schema/ 目录中,schema控制着条目拥有哪些对象类和属性
[root@ldap ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=cosine,cn=schema,cn=config"
[root@ldap ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=nis,cn=schema,cn=config"
[root@ldap ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=inetorgperson,cn=schema,cn=config"
4、配置 LDAP 的根域(以 dc=baidu,dc=com 为例)及其管理域:
# 编辑
[root@test1] ~$ vim chdomain.ldif
#用你自己的域名代替"dc=***,dc=***"语句块 以及密码替换
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
read by dn.base="cn=admin,dc=baidu,dc=com" read by * none
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=baidu,dc=com
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=baidu,dc=com
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}BXTlwAUMwVSgqHr0WlIEud3iu9ddjvQE
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
dn="cn=admin,dc=baidu,dc=com" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=badiu,dc=com" write by * read
导入
[root@ldap ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
5、在上述基础上,我们来创建一个叫做 baidu company 的组织,并在其下创建一个 admin 的组织角色(该角色内的用户具有管理整个 LDAP 的权限)和 People 和 Group 两个组织单元:
[root@ldap ~]# vim basedomain.ldif
dn: dc=baidu,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: Baidu Company
dc: baidu
dn: cn=admin,dc=baidu,dc=com
objectClass: organizationalRole
cn: admin
dn: ou=People,dc=baidu,dc=com
objectClass: organizationalUnit
ou: People
dn: ou=Group,dc=baidu,dc=com
objectClass: organizationalRole
cn: Group
导入
[root@test1] ~$ ldapadd -x -D cn=admin,dc=baidu,dc=com -W -f basedomain.ldif
Enter LDAP Password: #输入上面设置的管理员密码(明文)
adding new entry "dc=baidu,dc=com"
adding new entry "cn=admin,dc=baidu,dc=com"
adding new entry "ou=People,dc=baidu,dc=com"
adding new entry "ou=Group,dc=baidu,dc=com"
通过以上的所有步骤,我们就设置好了一个 LDAP 目录树:其中基准 dc=baidu,dc=com 是该树的根节点,其下有一个管理域 cn=admin,dc=baidu,dc=com 和两个组织单元 ou=People,dc=baidu,dc=com 及 ou=Group,dc=baidu,dc=com。
至此ldap服务器端已配置完成
- 实验
接下来,我们来创建一个叫作tom 的员工并将其分配到 SRE 组来验证上述配置是否生效。
[root@test1] ~$ vim ldapuser.ldif
dn: uid=tom,ou=People,dc=baidu,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: tom
cn: tom
sn: tom
userPassword: {SSHA}i62EIL9tklQjQJvO8PrxEyGVidSUL8Fq
uidNumber: 1100
gidNumber: 1100
homeDirectory: /home/tom
dn: cn=SRE,ou=Group,dc=baidu,dc=com
objectClass: posixGroup
cn: SRE
gidNumber: 1100
memberUid: SRE
导入
[root@test1] ~$ ldapadd -x -D cn=admin,dc=baidu,dc=com -W -f ldapuser.ldif
Enter LDAP Password:
adding new entry "uid=tom,ou=People,dc=baidu,dc=com"
adding new entry "cn=SRE,ou=Group,dc=baidu,dc=com"
我们也可以使用 ldapsearch 命令来查看 LDAP 目录服务中的所有条目信息:
ldapsearch -x -b "dc=baidu,dc=com" -H ldap://127.0.0.1
删除条目
ldapdelete -x -W -D 'cn=admin,dc=baidu,dc=com' "uid=tom,ou=People,dc=baidu,dc=com"