生产环境下OpenLDAP常见运维管理操作

准备工作

VMware17Pro：https://download3.vmware.com/software/WKST-1750-WIN/VMware-workstation-full-17.5.0-22583795.exe

Ubuntu22.04.3：https://releases.ubuntu.com/22.04.3/ubuntu-22.04.3-desktop-amd64.iso

设置root密码：sudo passwd root

启用vmware tools：sudo apt install open-vm-tools-desktop

安装标版vim：sudo apt install vim

拍摄快照（不知道要失败多少次，做好心理准备）

1.服务端节点安装配置

(建议先安装LAM管理工具，这样出现问题可以多一条排错通道)

安装LDAP包

（1）设置hostname（vim /etc/hosts）

 127.0.0.1 ldap.test.com Ubuntu01

（2）安装服务端所需包

apt install slapd ldap-utils

（3）修改配置文件内容（vim /etc/ldap/ldap.conf）       

BASE dc=ldap,dc=test,dc=com
URI ldap://ldap.test.com
# TLS certificates (needed for GnuTLS)
TLS_CACERT /etc/ssl/certs/ca-certificates.crt
TLS_REQCERT demand

（3）设置slapd

dpkg-reconfigure slapd

当提示设置DNS domain name（设置DNS域名）时，输入： ldap.test..com 当提示Organization name（设置组织名）时，输入：：test

（4）测试服务端认证是否成功 ldapwhoami -x -D cn=admin,dc=ldap,dc=test,dc=com -W 在输入密码后显示dn:cn=admin,dc=ldap,dc=test,dc=com，则表示成功 ldapwhoami –x 输出anonymous，则表示成功

用户信息的增删改查

（1）创建用户信息ldif文件
（vim /etc/ldap/slapd.d/add_content.ldif ）
• People节点（存储用户）
• Groups节点（存储用户组）
• ldap用户组
• liming用户

dn: uid=liming,ou=People,dc=ldap,dc=test,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: liming
sn: Li
givenName: Ming
cn: liming
displayName: 李明
uidNumber: 1001
gidNumber: 500
userPassword: {CRYPT}x
gecos: liming
mail: [email protected]
loginShell: /bin/bash
homeDirectory: /home/liming

（2）执行命令添加用户组、用户等等
ldapadd -x -D cn=admin,dc=ldap,dc=test,dc=com -W -f add_content.ldif
（3）设置用户liming的密码
ldappasswd -x -D cn=admin,dc=ldap,dc=test,dc=com -W -S 
uid=liming,ou=People,dc=ldap,dc=test,dc=com
（4）利用ldapsearch命令查看上述信息
ldapsearch -x -LLL -b dc=ldap,dc=test,dc=com uid=liming cn gidNumber uidNumber
（5）使用ldapmodify修改信息（vim /etc/ldap/slapd.d/mod_content.ldif）
（6）执行命令修改信息
ldapmodify -x -D cn=admin,dc=ldap,dc=test,dc=com
-W -f mod_content.ldif
 

dn: cn=ldap,ou=Groups,dc=ldap,dc=test,dc=com
changetype: modify
replace: description
description: this is a ldap

dn: uid=liming,ou=People,dc=ldap,dc=test,dc=com
changetype: modify
replace: displayName
displayName: liming
-
replace: mail
mail: [email protected]

 修改root DN密码

（1）获取新密码的哈希值
slappasswd   -x   密码
（2）生成修改root DN密码的文件（vim /etc/ldap/slapd.d/changerootpw.ldif）

dn: olcDatabase={1}mdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: 生成的密码哈希字符串

（3）执行命令修改信息
ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f changerootpw.ldif
（4）判断密码是否修改
ldapwhoami -x -D cn=admin,dc=ldap,dc=test,dc=com –w 密码

访问控制

• 访问控制变更（新增只读账户readonly）
为了安全，采用客户端通过只读账户获取服务端LDAP用户信息进行认证，为此在LDAP服务端设置所需要的LDAP账户readonly。
（1）生成ldif文件（vim /etc/ldap/slapd.d/add_readonly.ldif）

dn: cn=readonly,dc=ldap,dc=test,dc=com
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: readonly
description: for sssd, readonly user
userPassword: {CRYPT}x

（2）执行命令提交修改
ldapadd -x -D cn=admin,dc=ldap,dc=test,dc=com -W -f add_readonly.ldif
（3）设置readonly用户密码
ldappasswd -x -D cn=admin,dc=ldap,dc=test,dc=com -W -S cn=readonly,dc=ldap,dc=test,dc=com

（4）设置readonly ACL只读权限（vim /etc/ldap/slapd.d/readonly-user_access.ldif）

dn: olcDatabase={1}mdb,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange
by dn="cn=admin,dc=ldap,dc=test,dc=com" write
by dn="cn=readonly,dc=ldap,dc=test,dc=com" read
by self write
by anonymous auth
by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to *
by dn="cn=admin,dc=ldap,dc=test,dc=com" write
by dn="cn=readonly,dc=ldap,dc=test,dc=com" read
by self write
by anonymous auth
by * none

（5）执行命令提交修改
ldapmodify -Y EXTERNAL -H ldapi:/// -D cn=admin,dc=ldap,dc=test,dc=com -W -f readonlyuser_access.ldif
（6）验证操作：
ldapsearch -x -LLL -b dc=ldap,dc=test,dc=com uid=liming gidNumber uidNumber
ldapsearch -x -LLL -D cn=readonly,dc=ldap,dc=test,dc=com -w 密码 -b dc=ldap,dc=test,dc=com 
uid=liming gidNumber uidNumber

启用TLS认证

（1）安装所需包
apt install gnutls-bin ssl-cert

（2）生成CA（ Certificate Authority ）的私钥
certtool --generate-privkey --bits 4096 --outfile /etc/ssl/private/mycakey.pem
（3）在 /etc/ssl/下创建ca.info文件，定义CA的模板文件（vim /etc/ssl/ca.info）：

cn = test ldap
ca
cert_signing_key
expiration_days = 3650

• 生成TLS加密证书
（4）生成自签名 CA 证书存为文件/usr/local/share/ca-certificates/mycacert.crt
certtool --generate-self-signed \
--load-privkey /etc/ssl/private/mycakey.pem \
--template /etc/ssl/ca.info \
--outfile /usr/local/share/ca-certificates/mycacert.crt
（5）执行update-ca-certificates将新的CA认证加入可信任的CA列表中
update-ca-certificates
（6）生成服务端的私钥文件
certtool --generate-privkey --bits 2048 --outfile /etc/ldap/Ubuntu01_slapd_key.pem
• 生成TLS加密证书
（7）在/etc/ssl/下创建服务端认证证书的模板（vim /etc/ssl/Ubuntu01.info）

organization = test ldap
cn = ldap.test.com
tls_www_server
encryption_key
signing_key
expiration_days = 3650

（8）生成服务端认证证书
certtool --generate-certificate \
--load-privkey /etc/ldap/Ubuntu01_slapd_key.pem \
--load-ca-certificate /etc/ssl/certs/mycacert.pem \
--load-ca-privkey /etc/ssl/private/mycakey.pem \
--template /etc/ssl/Ubuntu01.info \
--outfile /etc/ldap/Ubuntu01_slapd_cert.pem

（9）创建证书相关信息ldif文件（vim /etc/ldap/slapd.d/certinfo.ldif）

dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/mycacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ldap/Ubuntu01_slapd_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ldap/Ubuntu01_slapd_key.pem

（10）将上述信息加入LDAP配置
ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/ldap/slapd.d/certinfo.ldif
（11）测试是否成功启用TLS
ldapwhoami -x -ZZ -H ldap://ldap.test.com
如输出如下，则表示正常：
anonymous

如何设置密码策略

ppolicy + pqchecker

ppolicy配置及使用

• 加载ppolicy模块
（1）生成配置文件（vim /etc/ldap/slapd.d/policy_module.ldif），并执行命令

dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: ppolicy

ldapmodify -Y EXTERNAL -H ldapi:/// -f policy_module.ldif
（2）验证模块是否成功加载
ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=module{0},cn=config

• 创建OpenLDAP密码策略覆盖（Password Policy Overlay）DN
在openLDAP配置中添加密码策略覆盖层，设置使用特定的DN作为默认密码策略，然后将密码策略覆
盖添加到LDAP数据库后端。
（3）查看数据库
ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config olcDatabase | grep mdb
（4）将ppolicy覆盖DN以及配置选项添加到mdb数据库中，即在mdb数据库中启用密码策略覆盖层，并设置
默认的密码策略条目DN
vim /etc/ldap/slapd.d/pwpolicyoverlay.ldif

dn: olcOverlay=ppolicy,olcDatabase={1}mdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcPPolicyConfig
olcOverlay: ppolicy
olcPPolicyDefault: cn=default,ou=Policies,dc=ldap,dc=test,dc=com

• 创建OpenLDAP密码策略覆盖（Password Policy Overlay）DN
在openLDAP配置中添加密码策略覆盖层，设置使用特定的DN作为默认密码策略，然后将密码策略覆
盖添加到LDAP数据库后端。
（5）添加密码策略覆盖层
ldapadd -Y EXTERNAL -H ldapi:/// -f pwpolicyoverlay.ldif
（6）查看密码策略
ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b olcDatabase={1}mdb,cn=config

• 应用密码策略的方法
• 方法1：创建默认密码策略
• 方法2：对每个条目设置密码策略
• 方法3：设置多个密码策略，选择不同的策略应用于条目

• 方法1：创建默认密码策略

（1）创建用于存储默认密码策略的LDAP OU容器
vim /etc/ldap/slapd.d/PoliciesOU.ldif

dn: ou=Policies,dc=ldap,dc=test,dc=com
objectClass: top
objectClass: organizationalUnit
ou: Policies

ldapadd -x -D cn=admin,dc=ldap,dc=test,dc=com -W -f PoliciesOU.ldif

（2）创建OpenLDAP默认密码策略（vim /etc/ldap/slapd.d/defaultPolicy.ldif）

dn: cn=default,ou=Policies,dc=ldap,dc=test,dc=com
objectClass: organizationalRole
objectClass: pwdPolicy
cn: default
pwdAttribute: userPassword
pwdInHistory: 5
pwdCheckQuality: 2
pwdMinLength: 10
pwdMaxFailure: 3
pwdLockout: TRUE
pwdLockoutDuration: 600
pwdReset: TRUE
pwdMustChange: TRUE
pwdAllowUserChange: TRUE
pwdSafeModify: FALSE

ldapadd -x -D cn=admin,dc=ldap,dc=test,dc=com -W -f /etc/ldap/slapd.d/defaultPolicy.ldif
（3）测试
注意：rootDN（通常是LDAP管理员）被授予对整个 LDAP 目录的完全访问权限，包括绕过密码策略的能力。
密码策略对该修改密码操作不生效：
ldappasswd -x -ZZ -D cn=admin,dc=ldap,dc=test,dc=com -w root@123 
uid=liming,ou=People,dc=ldap,dc=test,dc=com -s 012345
正确测试方法：
ssh liming@Ubuntu02
passwd
tyhdxk436（9位）
tyhdxk436j（10位，成功）

• 方法2：对每个条目设置密码策略

（1）设置策略（ vim mod-liming.ldif）

dn: uid=liming,ou=People,dc=ldap,dc=test,dc=com
changetype: modify
add: objectClass
objectClass: pwdPolicy
-
add: pwdAttribute
pwdAttribute: userPassword
-
add: pwdMinLength
pwdMinLength: 13
-
add: pwdCheckQuality
pwdCheckQuality: 2
-
add: pwdPolicySubentry
pwdPolicySubentry: uid=liming,ou=People,dc=ldap,dc=test,dc=com

ldapmodify -x -D cn=admin,dc=ldap,dc=test,dc=com -W -f mod-liming.ldif

• 方法3：设置多个策略

（1）设置策略（ vim pwexample.ldif）

dn: cn=example1,ou=Policies,dc=ldap,dc=test,dc=com
cn: example1
objectClass: organizationalRole
objectClass: pwdPolicy
pwdAttribute: userPassword
pwdMinLength: 9
pwdCheckQuality: 2
dn: cn=example2,ou=Policies,dc=ldap,dc=test,dc=com
cn: example2
objectClass: organizationalRole
objectClass: pwdPolicy
pwdAttribute: userPassword
pwdMinLength: 11
pwdCheckQuality: 2

ldapadd -x -D cn=admin,dc=ldap,dc=test,dc=com -W -f /etc/ldap/slapd.d/pwexample.ldif
（2）添加用户（ vim zhangsan.ldif）

dn: uid=zhangsan,ou=People,dc=ldap,dc=test,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: zhangsan
sn: Zhang
givenName: San
cn: zhangsan
displayName: zhangsan
uidNumber: 1002
gidNumber: 500
userPassword: 123456
gecos: zhangsan
mail: [email protected]
loginShell: /bin/bash
homeDirectory: /home/zhangsan

ldapadd -x -D cn=admin,dc=ldap,dc=test,dc=com -W -f zhangsan.ldif
（3）应用策略（ vim applypw.ldif）

dn: uid=liming,ou=People,dc=ldap,dc=test,dc=com
changetype: modify
replace: pwdPolicySubentry
pwdPolicySubentry: cn=example1,ou=Policies,dc=ldap,dc=test,dc=com
dn: uid=zhangsan,ou=People,dc=ldap,dc=test,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=example2,ou=Policies,dc=ldap,dc=test,dc=com

ldapmodify -x -D cn=admin,dc=ldap,dc=test,dc=com -W -f applypw.ldif
（4）查看策略信息
ldapsearch -x -LLL -D cn=readonly,dc=ldap,dc=test,dc=com -w 123456 -b dc=ldap,dc=test,dc=com 
uid=* pwdPolicySubentry

（5）测试
ssh liming@Ubuntu02
passwd
67cguxt8（8位）
67cguxt8x（9位，成功）
注意：尽管uid=liming有自己的策略属性，但pwdPolicySubentry引用的条目是强制执行的。

pqchecker的安装及使用

• pqchecker的安装
（1）下载安装包
wget https://www.meddeb.net/pub/pqchecker/deb/8/pqchecker_2.0.0_amd64.deb
（2）安装pqchecker
dpkg -i pqchecker_2.0.0_amd64.deb
（3）配置文件
配置文件： /etc/ldap/pqchecker/pqparams.dat
作用：用于设置密码复杂度规则
数据格式： 0|UULLDDSS@)..
说明：
# 第1个字符：修改密码广播标志。1表示广播，0表示不广播
# 第2个字符：分隔符
#从第 3 个字符到第 10 个字符：U：大写，L：小写，D：数字，S：特殊字符。
# 从第 11 个字符开始：禁止字符列表
举例： 01010201（编辑配置文件： 1个大写字母，1个小写字母，2个数字，1个特殊字符）
（4）添加pwdcheckmodule属性pqchecker
vim addExample2.ldif

dn: cn=example2,ou=Policies,dc=ldap,dc=test,dc=com
changetype: modify
add: objectclass
objectclass: pwdPolicyChecker
-
add: pwdcheckmodule
pwdcheckmodule: pqchecker.so

ldapmodify -x -D cn=admin,dc=ldap,dc=test,dc=com -W -f addExample2.ldif
（5）测试（zhangsan）
ssh zhangsan@Ubuntu02
passwd
qwewe233wert
qwewe233wertA
qwewe233wertA@（成功）

（6）为了方便，可以给default设置密码复杂度检查插件
vim addDefaultpw.ldif

dn: cn=default,ou=Policies,dc=ldap,dc=test,dc=com
changetype: modify
add: objectclass
objectclass: pwdPolicyChecker
-
add: pwdcheckmodule
pwdcheckmodule: pqchecker.so

ldapmodify -x -D cn=admin,dc=ldap,dc=test,dc=com -W -f addDefaultpw.ldif
 

安装LAM管理工具

（1）安装apache2
• 安装包：apt install apache2 -y
• 设置开机自启动：systemctl enable apache2
• 启动apache2：systemctl restart apache2
（2）在主节点安装LAM
• 安装包：apt install ldap-account-manager
• 修改配置文件（/var/lib/ldap-account-manager/config/lam.conf ）：

Admins: cn=admin,dc=ldap,dc=test,dc=com
tools: treeViewSuffix: dc=ldap,dc=test,dc=com
defaultLanguage: zh_CN.utf8
types: suffix_user: ou=People,dc=ldap,dc=test,dc=com
types: suffix_group: ou=Groups,dc=ldap,dc=test,dc=com

• 重启apache2：systemctl restart apache2
（3）Web访问地址
http://192.168.0.3/lam/
编辑通用设置：LDAP用户密码复杂度等，对应配置文件 /etc/ldap-account-manager/config.cfg等
编辑服务器设置：服务器本身设置，访问LDAP服务等设置，对应配置文件/var/lib/ldap-accountmanager/config/lam.conf 等
配置导入导出：导入导出配置文件

2.客户端节点配置

SSSD安装配置

（1）修改hosts文件（vim /etc/hosts）
192.168.0.3 ldap.test.com Ubuntu01
（2）安装所需要的包
apt install sssd libpam-sss libnss-sss sssd-tools
（3）设置SSSD的配置文件
（vim /etc/sssd/sssd.conf）
（4）复制服务端证书
scp 192.168.0.3:/usr/local/share/cacertificates/mycacert.crt /usr/local/share/cacertificates/mycacert.crt
（5）将新的CA认证加入可信任的CA列表中
 

update-ca-certificates
[sssd]
services = nss, pam, autofs
config_file_version = 2
domains = default
[nss]
[pam]
offline_credentials_expiration = 60
[domain/default]
ldap_id_use_start_tls = True
cache_credentials = True
ldap_search_base = dc=ldap,dc=test,dc=com
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
#access_provider = ldap
ldap_uri = ldap://ldap.test.com
ldap_default_bind_dn = cn=readonly,dc=ldap,dc=test,dc=com
ldap_default_authtok_type = password
ldap_default_authtok = 123456
ldap_tls_reqcert = demand
ldap_tls_cacert = /etc/ssl/certs/mycacert.pem
ldap_tls_cacertdir = /etc/ssl/certs
ldap_search_timeout = 50
ldap_network_timeout = 60
ldap_access_order = filter