什么是LDAP
什么是LDAP?
要想知道一个概念,最简单的办法就是wikipedia,当然也可以百科。
LDAP全称是轻型目录访问协议(Lightweight Directory Access Protocol)是一个开放的,中立的,工业标准的应用协议,通过IP协议提供访问控制和维护分布式信息的目录信息。
简单理解起来就是LADP包含一个数据库存储了树状结构组织数据,和一套协议,第三方可通过这套协议进行数据的查询与搜索的功能。
它用的协议基于X.500标准的轻量级目录访问协议,是一种开放Internet标准,LADP协议是跨平台的Internt协议,
总结来说LDAP是由目录数据库和一套访问协议组成的系统。
为什么用LDAP
要知道为什么,我们就需要了解LDAP能解决什么问题?
众所周知,当一个公司规模之后,会有无数的系统进行工作,如果每一个系统都需要注册自己的用户名,每一个系统的用户名与密码可能都不一样。对个人来说就是一件折腾的事情,从公司的IT安全角度来说更是麻烦。
所以需要统一认证,单点登录。
LDAP就是最适合在单点登录中使用的系统了。
因为LDAP是一个开放的,中立的,工业标准的应用协议,它支持跨平台,数据配置简单且功能单一,稳定性高且查询性能好,使用它做认证服务可降低重复开发和对接的成本。
LDAP 的基本数据模型
LDAP 的基本数据模型就是一种树状的组织数据,但就是这些名称有点叫人哭笑不得。要了解LDAP,至少要了解以下概念。
LDAP的数据是树状结构, 所有条目(或者对象)都定义在树结构中。
条目下的树状结构称为目录信息树(DIT)。
一个完整的条目有唯一可识别的名称,我们叫之为区别名(DN)。
在DN的子节点下的一个单独节点或者路径,我们称之为RDU。
通常一个条目(或者对象)在存储在这两种类型对象中
容器(container):这种对象本身可以包含其他对象。 例如:root(目录树的根元素,它实际上并不存在),c(国家/地区),ou(组织单位)和dc(域)。 容器(container)与与文件系统中的目录相当。
(叶子节点)leaf:这种对象位于节点的末端,不能再包含其它对象。 例如person,InetOrgPerson,groupofNames。
每一个对象有包含一些属性,属性的值决定了该对象必须遵循的一些规则。
最后还需要记住LDAP里的简称
- o:organization(组织-公司)
- ou:organization unit(组织单元-部门)
- c:countryName(国家)
- dc:domainComponent(域名)
- sn:suer name(真实名称)
- cn:common name(常用名称)
例子:
例如上图的babs条目中:
DN:uid=babs,ou=people,dc=example,dc=com
相对于ou=people,dc=example,dc=com 节点的RDN:uid=babs ObjectClass:Person
本文只提一些关键的LDAP概念,更详细更具体请自己学习官方文档。
搭建LDAP服务器
使用的环境:OpenLDAP 2.4, Centos7.6
第一步 更新环境
运行: yum update
第二步 安装 OpenLdap
安装OPenLDAP与相关安装包
yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel
安装完之后,可以直接启动服务并且将服务设置为自启动状态。运行如下命令
systemctl start slapd
systemctl enable slapd
启动完之后可以查验slapd服务是否正在运行
netstat -antup | grep -i 389
可看到如下图
第三步 创建LDAP的根密码
此密码用于整个安装过程,是LADP的管理员根密码,使用slappasswd 命令生成密码
输入slappasswd后提示输入密码与确认密码,系统会输出一串SSHA加密后的字符串,请Copy出来保存在记事本中。
我设置的密码是Ricman,加密后出来的字符串是
{SSHA}KUYZ4irDCPN8seoOg1zNNVzh70jVr1c8
第四步 配置LDAP服务
这是整个过程中最难的地方,目前整个网络上能搜索到的,几乎都是过时配置方式,Ricman也是踩着坑爬出来的,希望此文能给在今后的日子,能帮助道友们少走弯路。
要怎么修改配置,OPenLdap 2.4不再推荐直接使用配置文件方式,并且极容易出错,修改的所有过程,均使用ldapmodify完成
我们可以先看一下目前配置都有哪些文件,执行命令
cd /etc/openldap/slapd.d/cn=config
ls
输出如下图,可能些人的结果不一样,但是几乎差不多,注意文件的名称,一会修改配置的时候,会使用到。
当然,你可以使用cat 来查看文件内容,可以看到原始的内容。
我们要修改的字段有:
olcSuffix – 用于保存域信息,需要更新为自己的域
olcRootDN – 根的DN(唯一识别名),根的区别名,它用于根管理员在此节点下做所有的管理
olcRootPW – LDAP 管理员的根密码,用刚刚第三步创建出来的密码设置到这里
我们在任意目录下创建 db.ldif文件。Ricman的经验最好不要在/etc/openldap/slapd.d/cn=config目录下创建,因为这目录保存着原始的配置文件,当使用slaptest -u 测试配置时会报错。我偷懒,直接在根目录下创建,运行cd ~便可切换到根目录(在根目录下创建文件是不好行为,为方便说明安装过程,就暂时使用)
修改db文件
这db文件不是数据库文件,只是ldap中配置文件中一个,可能是mdb,也可能是各种*db,Ricman安装的是hdb。
运行 vi db.ldif
在此文件中编辑的内容如下
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=ricman,dc=localhost
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=ricman,dc=localhost
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}KUYZ4irDCPN8seoOg1zNNVzh70jVr1c8
请注意上面内容中的olcSuffix, olcRootDN, olcRootPW这三个字段,是需要修改成自己的内容的。
特别需要注意是的olcRootPW字段,因为这个字段在刚刚查看olcDatabase={2}hdb.ldif中是不存在的,所以使用add,表示增加,如果字段已经存在,使用replace,表示进行替换内容
完成编辑后,使用ldapmodify让修改的内容生效。
ldapmodify命令可在运行环境中直接修改配置文件并且不需要重启就生效的命令,具体请看ldapmodify官方使用文档。
在db.ldif目录下运行命令
ldapmodify -Y EXTERNAL -H ldapi:/// -f db.ldif
输出如下图,一定要注意在有三个modifying entry才全部更新成功。
修改monitor文件
与修改db文件相似。在刚刚的db.ldif目录下运行命令
vi monitor.ldif
在此文件中输入以下内容
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external, cn=auth" read by dn.base="cn=Manager,dc=max,dc=localhost" read by * none
请自己修改db.base中的内容,这个等号后面的内容是上面db.ldif中的olcRootDN是一致的。
保存文件后同样使用ldapmodify让其生效。
ldapmodify -Y EXTERNAL -H ldapi:/// -f monitor.ldif
输出如下图
同样,要出现modifying entry才成功。如上图中Ricman在编辑文件时多写了一行,所以出错了。请注意检查自己编辑的monitor文件。
创建ldap 基础库
这里创建的是一个基础库,用于保存数据。安装ldap后会有一个example配置,需要我们复制一份配置文件并赋予它所有权限
运行以下命令
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown ldap:ldap /var/lib/ldap/*
完成配置后,我们就可以向数据库中增加schemas,需要增加的有:cosine , nis,inetorgperson
schemas是什么鬼,schemas就是数据库表的定义文件,相当于关系数据库中的表定义。当然稍有区别。具体可以参考文档说明understanding-ldap-schema
执行ldapadd命令增加,命令如下
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
以上三条命令是一条一条执行,每一条输出如下图
完成以后,就可以创建base.ldif,在库中增加自己管理域下的内容,运行命令
vi base.ldif
在文件中输入以下内容
dn: dc=ricman,dc=localhost
dc: ricman
objectClass: top
objectClass: domain
dn: cn=Manager ,dc=ricman,dc=localhost
objectClass: organizationalRole
cn: Manager
description: LDAP Manager
dn: ou=People,dc=ricman,dc=localhost
objectClass: organizationalUnit
ou: People
dn: ou=Group,dc=ricman,dc=localhost
objectClass: organizationalUnit
ou: Group
同样的,需要修改为你自己的域
运行命令将此数据保存到库中去
ldapadd -x -W -D "cn=Manager,dc=ricman,dc=localhost" -f base.ldif
此命令会提示输入ldap的密码,输入的密码同上面第三步创建的密码一致,我这里输入:ricman
输出如下图
至此,完成基本的配置
管理Ldap
在网上下载Ldap Admin,我使用的是window7系统,直接使用Ldap admin来管理个人觉得还是很爽的。
连接之前,我们需要设置一下服务器的防火墙,允许ldap例外。
运行命令
firewall-cmd --permanent --add-service=ldap
firewall-cmd --reload
接下来,可以使用ldap admin进行管理了。点击 connect->new connect
然后设置好 Host,Base以及用户名与密码
用户名要使用管理员,本例子中是 cn=Manager ,dc=ricman,dc=localhost
密码为上面第三步创建的密码,本方使用的密码为ricman
点击测试连接,成功后直接点击连接即可进入管理界面,如下图
就可以使用工具创建自己所需要的用户,组织
卸载 Ldap
如果需要卸载 ,需要先停止服务,然后yum remove
systemctl stop slapd
yum remove ompat-openldap openldap-clients openldap-servers
当然,别忘记了DB_CONFIG以及配置文件,也要将其删除
rm -rf /var/lib/ldap/*
rm -rf /etc/openldap/slapd.d/*
至此全文结束。如有转载,请标明转载来源,谢谢