《Linux/UNIX OpenLDAP实战指南》——2.4 OpenLDAP配置

本节书摘来自异步社区《Linux/UNIX OpenLDAP实战指南》一书中的第2章,第2.4节,作者:郭大勇著,更多章节内容可以访问云栖社区“异步社区”公众号查看

2.4 OpenLDAP配置

在OpenLDAP 2.4版本中,配置OpenLDAP的方法有两种:一种通过修改配置文件实现配置,另一种通过修改数据库的形式完成配置。

通过配置数据库完成各种配置,属于动态配置且不需要重新启动slapd进程服务。此配置数据库(cn=config)包含一个基于文本的集合LDIF文件(位于 /etc/openldap/slapd.d目录下)。当前仍然可以使用传统的配置文件(slapd.conf)方式进行配置,通过配置文件来实现slapd的配置方式。slapd.conf可以通过编辑器进行配置,但cn=config不建议直接编辑修改,而是采用ldap命令进行修改。

本书中两种配置方式均有介绍,旨在让读者了解两种方法的本质区别。

2.4.1 OpenLDAP相关信息
配置文件路径包括以下几个。

/etc/openldap/slapd.conf(OpenLDAP主配置文件,记录根域名称、管理员名称、密码、日志、权限等相关信息)。
/var/lib/ldap/*(OpenLDAP数据文件存储位置,可以根据需求进行调整。但为了保证数据的安全,作者建议放到存储设备上或独立的分区上)。
/etc/openldap/slapd.d/*
/usr/share/openldap-servers/slapd.conf.obsolete(模板配置文件)。
/usr/share/openldap-servers/DB_CONFIG.example(模板数据库配置文件schema路径)。
/etc/openldap/schema/*(OpenLDAP schema规范存放位置)
OpenLDAP监听的端口有以下两个。

默认监听端口:389(明文数据传输)。
加密监听端口:636(密文数据传输)。
2.4.2 slapd.conf配置文件
OpenLDAP主配置文件为/etc/openldap/slapd.conf。此文件默认不存在,需要复制安装OpenLDAP软件包安装所产生的配置文件模板并重命名它为slapd.conf文件,这同样可以通过修改数据库文件实现配置。

1.获取openldap-servers软件包生成的文件
要获取openldap-servers软件包生成的文件,命令如下。

[root@mldap01 ~]# rpm -ql openldap-servers | egrep -i '(slapd\.conf\.*|DB_CONFIG.example)'
/etc/openldap/slapd.conf
/etc/openldap/slapd.conf.bak
/usr/share/man/man5/slapd.conf.5.gz
/usr/share/openldap-servers/DB_CONFIG.example  
/usr/share/openldap-servers/slapd.conf.obsolete
[root@mldap01 ~]#

2.软件包所产生文件的用途
/usr/share/openldap-servers/slapd.conf.obsolete为OpenLDAP配置文件模板。
/usr/share/openldap-servers/DB_CONFIG.example为OpenLDAP数据库配置文件模板。
要配置OpenLDAP服务端,需要将如上配置文件模板复制到/etc/openldap/目录下并命名为slapd. conf,同时将数据库配置文件模板复制到/var/lib/ldap/目录中并将其命名为DB_CONFIG,且/var/lib/ldap/目录权限所有主(owner),所属组(group)必须为ldap用户可读写,否则会在加载slapd进程时显示权限警告。

3.slapd.conf配置文件参数
/etc/openldap/slapd.conf为OpenLDAP主配置文件,以#号开头的为注释说明。

include         /etc/openldap/schema/corba.schema
include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/duaconf.schema
include         /etc/openldap/schema/dyngroup.schema

include行代表当前OpenLDAP服务包含的schema文件。schema是整个OpenLDAP目录树的标准规范,标识数据和类型的关系。例如,要使OpenLDAP服务端支持Samba服务用户验证,此时就需要包含Samba对应的schema文件(samba.schema),关于schema,第1章已经介绍,在此不做过多的解释。

OpenLDAP服务允许连接的客户端版本。
allow bind_v2
OpenLDAP进程启动时,pid文件存放路径。
pidfile         /var/run/openldap/slapd.pid
OpenLDAP参数文件存放的路径。
argsfile        /var/run/openldap/slapd.args
OpenLDAP指定需要加载额外的模块。
moduleload ppolicy.la
OpenLDAP模块文件存放的路径。
modulepath /usr/lib/openldap      //32bit的模块文件路径
modulepath /usr/lib64/openldap     //64bit的模块文件路径

OpenLDAP通过加密传输所加载的配置文件时默认OpenLDAP服务器采用明文传输数据。
在网络上传输极其不安全,所以需通过如下配置将数据加密传输,前提是需要第三方合法的证书机构颁发的数字证书(关于证书的构建及颁发,第8章详细介绍如何通过自建证书实现数据加密传输)。

TLSCACertificatePath /etc/openldap/certs
TLSCertificateFile "\"OpenLDAP Server\""
TLSCertificateKeyFile /etc/openldap/certs/password

指定OpenLDAP数据库类型。
OpenLDAP服务后端存储数据库引擎支持的数据库类型有MySQL、DB2、Oracle等关系数据库,默认为bdb数据库。

database bdb
指定OpenLDAP服务域名(DN)。
指定要搜索或查询OpenLDAP目录树的后缀名称等同于AD域名。

suffix "dc=example,dc=com"
指定OpenLDAP服务管理员信息。
OpenLDAP服务管理员对目录树进行管理,如插入、更新、修改及删除等管理操作,要求系统管理员具有root身份权限,此管理员用户名可以自我修改。

rootdn "cn=Manager,dc=example,dc=com"
指定OpenLDAP服务管理员密码。
要配置管理员密码,密码可以通过明文添加,也可以通过slappasswd -s gdy@123!来获取加密字符串,然后将加密字符串粘贴在roopw后面,实现密文添加。属性与值之间通常使用三个Tab键进行分开。配置文件要求非常严格,后面不能有任何空格或者制表符。

# rootpw                secret
root  gdy@123!     #明文添加,不建议使用
rootpw   {SSHA}dXWdy83Gn8eg5oD2yUECQzgDnr8LrDqW  #密文添加,建议使用

通过修改cn=config来实现管理员的修改以及密码的修改。

# cat << EOF | ldapadd -Y EXTERNAL -H ldapi:///
dn: olcDatabase={0}config,cn=config
changetype: modify
delete: olcRootDN

dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootDN
olcRootDN: cn=Admin,cn=config

dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}tDTQMzxQZjv+W2QRnt0Os2KHNp/lbqEQ
EOF
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"

modifying entry "olcDatabase={0}config,cn=config"

modifying entry "olcDatabase={0}config,cn=config"

此时管理员由“cn=Manager,dc=gdy, dc=com”修改为“cn=Admin,dc=gdy,dc=com”。密码由原来的“gdy@123!”修改为“redhat@123!”。

指定OpenLDAP数据库文件的存放目录。
指定一个目录用于存放OpenLDAP目录树所有数据,如用户及组信息、sudo规则、密码策略等数据。

directory /var/lib/ldap
创建OpenLDAP索引。
通过创建索引(index),提高读写效率,这类似于关系数据库中索引的概念。

index objectClass                       eq,pres
index ou,cn,mail,surname,givenname      eq,pres,sub
index uidNumber,gidNumber,loginShell    eq,pres

你可能感兴趣的:(《Linux/UNIX OpenLDAP实战指南》——2.4 OpenLDAP配置)