一、OpenLDAP简介
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
在安装OpenLDAP之前,我们首先来介绍下LDAP。 LDAP是一款轻量级目录访问协议(Lightweight Directory Access Protocol,简称LDAP),属于开源集中账号管理架构的实现,且支持众多系统版本,被广大互联网公司所采用。 LDAP提供并实现目录服务的信息服务,目录服务是一种特殊的数据库系统,对于数据的读取、浏览、搜索有很好的效果。目录服务一般用来包含基于属性的描述性信息并支持精细复杂的过滤功能,但OpenLDAP目录服务不支持通用数据库的大量更新操作所需要的复杂的事务管理或回滚策略等。 LDAP具有两个标准,分别是X.500和LDAP。OpenLDAP是基于X.500标准的,而且去除了X.500复杂的功能并且可以根据自我需求定制额外扩展功能,但与X.500也有不同之处,例如OpenLDAP支持TCP/IP协议等,目前TCP/IP是Internet上访问互联网的协议。 OpenLDAP可以直接运行在更简单和更通用的TCP/IP或其他可靠的传输协议层上,避免了在OSI会话层和表示层的开销,使连接的建立和包的处理更简单、更快,对于互联网和企业网应用更理想。 OpenLDAP目录中的信息是以树状的层次结构来存储数据(这很类同于DNS),最顶层即根部称作“基准DN”,形如“dc=mydomain,dc=org”或者“o=mydomain.org”,前一种方式更为灵活也是Windows AD中使用的方式。在根目录的下面有很多的文件和目录,为了把这些大量的数据从逻辑上分开,OpenLDAP像其它的目录服务协议一样使用OU(Organization Unit,组织单元),可以用来表示公司内部机构,如部门等,也可以用来表示设备、人员等。同时OU还可以有子OU,用来表示更为细致的分类。 OpenLDAP中每一条记录都有一个唯一的区别于其它记录的名字DN(Distinguished Name),其处在“叶子”位置的部分称作RDN(用户条目的相对标识名)。如dn:cn=tom,ou=animals,dc=ilanni,dc=com中cn即为RDN,而RDN在一个OU中必须是唯一的。 OpenLDAP默认以Berkeley DB作为后端数据库,BerkeleyDB数据库主要以散列的数据类型进行数据存储,如以键值对的方式进行存储。 BerkeleyDB是一类特殊的面向查询进行优化、面向读取进行优化的数据库,主要用于搜索、浏览、更新查询操作,一般对于一次写入数据、多次查询和搜索有很好的效果。BerkeleyDB不支持事务型数据库(MySQL、MariDB、Oracle等)所支持的高并发的吞吐量以及复杂的事务操作。 PS:本次实验是基于centos7,OpenLDAP使用2.4.44版本 |
二、初始化环境
初始化环境,如下:
|
1 |
sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config && setenforce 0&& systemctl disable firewalld.service && systemctl stop firewalld.service |
如果可以,最好重启 shutdown -r now
三、安装OpenLDAP
使用如下命令安装OpenLDAP:
|
1 |
yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools |
查看OpenLDAP版本,使用如下命令:
|
1 |
slapd -VV |
四、配置OpenLDAP
|
1 2 |
OpenLDAP配置比较复杂牵涉到的内容比较多,接下来我们一步一步对其相关的配置进行介绍。 注意:从OpenLDAP2.4.23版本开始所有配置数据都保存在/etc/openldap/slapd.d/中,建议不再使用slapd.conf作为配置文件。 |
4.1 配置OpenLDAP管理员密码
设置OpenLDAP的管理员密码:
|
1 |
slappasswd -s helloadmin |
|
1 2 3 4 |
[root@localhost ~]# slappasswd -s helloadmin {SSHA}9VFLHJhXCFtIJeWzqDDOQvcD9HYeIgEg #密码明文为:helloadmin |
|
1 |
上图加密后的字段保存,等会我们在配置文件中会使用到。 |
4.2 修改olcDatabase={2}hdb.ldif文件
|
1 2 3 4 5 6 7 |
修改olcDatabase={2}hdb.ldif文件,对于该文件增加一行 olcRootPW: {SSHA}OYyb90ARhaTvL9mZpD7aCRn/ipqvtStf,然后修改域信息: olcSuffix: dc=poke_domain,dc=com olcRootDN: cn=admin,dc=poke_domain,dc=com 注意:其中cn=admin中的admin表示OpenLDAP管理员的用户名,而olcRootPW表示OpenLDAP管理员的密码,这里写入4.1节中保存的密文。 |
实际修改如下:
|
1 |
vim /etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif |
|
1 2 3 |
olcSuffix: dc=poke_domain,dc=com olcRootDN: cn=admin,dc=poke_domain,dc=com olcRootPW: {SSHA}9VFLHJhXCFtIJeWzqDDOQvcD9HYeIgEg |
4.3 修改olcDatabase={1}monitor.ldif文件
修改olcDatabase={1}monitor.ldif文件,如下:
|
1 |
vim /etc/openldap/slapd.d/cn=config/olcDatabase={1}monitor.ldif |
|
1 2 3 |
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,n=external,cn=auth" read by dn.base="cn=admin,dc=poke_domain,dc=com" read by * none 注意:该修改中的dn.base是修改OpenLDAP的管理员的相关信息的。 |
验证OpenLDAP的基本配置,使用如下命令:
|
1 |
slaptest -u |
通过上图,我们可以很明显的看出OpenLDAP的基本配置是没有问题。
启动OpenLDAP服务,使用如下命令:
|
1 2 3 4 5 6 7 8 9 |
rm -rf /var/lib/ldap rm -rf /var/run/openldap mkdir -p /var/lib/ldap && chown -R ldap.ldap /var/lib/ldap && chmod 700 /var/lib/ldap mkdir -p /var/run/openldap && chown -R ldap.ldap /var/run/openldap && chmod 755 /var/run/openldap 注意:以上4步避免权限问题导致服务启动失败,只在第一次启动时执行 |
启动
|
1 2 3 4 5 |
systemctl enable slapd systemctl start slapd systemctl status slapd |
OpenLDAP默认监听的端口是389,下面我们来验证389端口状态,如下:
|
1 |
netstat -antup | grep 389 |
通过上图,我们可以很明显的看出389端口确实是正在监听状态。
4.4 配置OpenLDAP数据库
|
1 2 3 4 5 6 7 8 9 |
OpenLDAP默认使用的数据库是BerkeleyDB,现在来开始配置OpenLDAP数据库,使用如下命令: cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG chown ldap:ldap -R /var/lib/ldap chmod 700 -R /var/lib/ldap ll /var/lib/ldap/ |
|
1 |
注意:/var/lib/ldap/就是BerkeleyDB数据库默认存储的路径。 |
4.5 导入基本Schema
导入基本Schema,使用如下命令:
|
1 2 3 4 5 |
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif |
4.6 修改migrate_common.ph文件
migrate_common.ph文件主要是用于生成ldif文件使用,修改migrate_common.ph文件,如下:
|
1 2 3 4 5 6 7 8 9 |
vim /usr/share/migrationtools/migrate_common.ph # 71行 $DEFAULT_MAIL_DOMAIN = “poke_domain.com”; $DEFAULT_BASE = “dc=poke_domain,dc=com”; $EXTENDED_SCHEMA = 1; |
到此OpenLDAP的配置就已经全部完毕,下面我们来开始添加用户到OpenLDAP中。
五、添加用户及用户组
默认情况下OpenLDAP是没有普通用户的,但是有一个管理员用户。管理用户就是前面我们刚刚配置的admin。
现在我们把系统中的用户,添加到OpenLDAP中。为了进行区分,我们现在新加两个用户ldapuser1和ldapuser2,和两个用户组ldapgroup1和ldapgroup2,如下:
|
1 2 3 4 5 |
添加用户组,使用如下命令: groupadd ldapgroup1 groupadd ldapgroup2 |
|
1 2 3 4 5 6 7 8 9 |
添加用户并设置密码,使用如下命令: useradd -g ldapgroup1 ldapuser1 useradd -g ldapgroup2 ldapuser2 echo '123456' | passwd --stdin ldapuser1 echo '123456' | passwd --stdin ldapuser2 |
把刚刚添加的用户和用户组提取出来,这包括该用户的密码和其他相关属性,如下:
|
1 2 3 4 5 |
grep -E "ldap[^:]" /etc/passwd > /root/users grep -E "ldap[^:]" /etc/group > /root/groups cat users groups |
根据上述生成的用户和用户组属性,使用migrate_passwd.pl文件生成要添加用户和用户组的ldif,如下:
|
1 2 3 4 5 6 7 |
/usr/share/migrationtools/migrate_passwd.pl /root/users > /root/users.ldif /usr/share/migrationtools/migrate_group.pl /root/groups > /root/groups.ldif cat users.ldif cat groups.ldif |
六、导入用户及用户组到OpenLDAP数据库
配置openldap基础的数据库,如下:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
cat > /root/base.ldif << EOF dn: dc=poke_domain,dc=com o: poke_domain com dc: poke_domain objectClass: top objectClass: dcObject objectclass: organization dn: cn=admin,dc=poke_domain,dc=com cn: admin objectClass: organizationalRole description: Directory Manager dn: ou=People,dc=poke_domain,dc=com ou: People objectClass: top objectClass: organizationalUnit dn: ou=Group,dc=poke_domain,dc=com ou: Group objectClass: top objectClass: organizationalUnit EOF |
导入基础数据库,使用如下命令:
|
1 |
ldapadd -x -w "helloadmin" -D "cn=admin,dc=poke_domain,dc=com" -f /root/base.ldif |
导入用户和用户组到数据库,使用如下命令:
|
1 2 |
ldapadd -x -w "helloadmin" -D "cn=admin,dc=poke_domain,dc=com" -f /root/users.ldif ldapadd -x -w "helloadmin" -D "cn=admin,dc=poke_domain,dc=com" -f /root/groups.ldif |
查看BerkeleyDB数据库文件,使用如下命令:
|
1 |
ls -l /var/lib/ldap/ |
|
1 |
可以很明显的看到此时BerkeleyDB数据库文件中多了cn.bdb、sn.bdb、ou.bdb等数据库文件 |
七、查询OpenLDAP的相关信息
用户和用户组全部导入完毕后,我们就可以查询OpenLDAP的相关信息。
查询OpenLDAP全部信息,使用如下命令:
|
1 |
ldapsearch -x -b "dc=poke_domain,dc=com" -H ldap://127.0.0.1 |
查询添加的OpenLDAP用户信息,使用如下命令:
|
1 |
ldapsearch -LLL -x -D 'cn=admin,dc=poke_domain,dc=com' -w "helloadmin" -b 'dc=poke_domain,dc=com' 'uid=ldapuser1' |
查询添加的OpenLDAP用户组信息,使用如下命令:
|
1 |
ldapsearch -LLL -x -D 'cn=admin,dc=poke_domain,dc=com' -w "helloadmin" -b 'dc=poke_domain,dc=com' 'cn=ldapgroup2' |
八、把OpenLDAP用户加入到用户组
虽然我们已经把用户和用户组信息,导入到OpenLDAP数据库中了。但实际上目前OpenLDAP用户和用户组之间是没有任何关联的。
如果我们要把OpenLDAP数据库中的用户和用户组关联起来的话,我们还需要做另外单独的配置。
现在我们要把ldapuser1用户加入到ldapgroup1用户组,需要新建添加用户到用户组的ldif文件,如下:
|
1 2 3 4 5 6 |
cat > add_user_to_groups.ldif << "EOF" dn: cn=ldapgroup1,ou=Group,dc=poke_domain,dc=com changetype: modify add: memberuid memberuid: ldapuser1 EOF |
执行如下命令:
|
1 |
ldapadd -x -w "helloadmin" -D "cn=admin,dc=poke_domain,dc=com" -f /root/add_user_to_groups.ldif |
查询添加的OpenLDAP用户组信息,如下:
|
1 |
ldapsearch -LLL -x -D 'cn=admin,dc=poke_domain,dc=com' -w "helloadmin" -b 'dc=poke_domain,dc=com' 'cn=ldapgroup1' |
|
1 |
通过上图,我们可以很明显的看出ldapuser1用户已经加入到ldapgroup1用户组了。 |
九、权限设置,指定用户密码只能由本人和管理员能更改
默认情况下OpenLDAP的所有用户都能查看其他用户的密码,这是不合常理的。用户的密码属性只能由本人或者管理员才能操作。
修改olcDatabase={-1}frontend.ldif文件,如下:
|
1 |
vim /etc/openldap/slapd.d/cn=config/olcDatabase={-1}frontend.ldif |
添加以下两行:
|
1 2 |
olcAccess: {0}to attrs=userPassword by self write by anonymous auth by users none olcAccess: {1}to * by * read |
|
1 |
systemctl restart slapd |
十、开启OpenLDAP日志访问功能
默认情况下OpenLDAP是没有启用日志记录功能的,但是在实际使用过程中,我们为了定位问题需要使用到OpenLDAP日志
新建日志配置ldif文件,如下:
|
1 2 3 4 5 6 |
cat > /root/loglevel.ldif << "EOF" dn: cn=config changetype: modify replace: olcLogLevel olcLogLevel: stats EOF |
导入到OpenLDAP中,并重启OpenLDAP服务,如下:
|
1 |
ldapmodify -Y EXTERNAL -H ldapi:/// -f /root/loglevel.ldif |
|
1 |
systemctl restart slapd |
修改rsyslog配置文件,并重启rsyslog服务,如下
|
1 2 3 |
cat >> /etc/rsyslog.conf << "EOF" local4.* /var/log/slapd.log EOF |
|
1 |
systemctl restart rsyslog |
查看OpenLDAP日志,如下:
|
1 |
tail -f /var/log/slapd.log |
十一、使用Apache Directory Studio工具查看
在大多数情况下,我们对OpenLDAP的操作都是在Windows下进行的。而在Windows下连接OpenLDAP的客户端工具,我推荐的是Apache Directory Studio。
Apache Directory Studio的安装很简单,到官网下载即可。
|
1 |
https://dlcdn.apache.org/directory/studio/2.0.0.v20210717-M17/ApacheDirectoryStudio-2.0.0.v20210717-M17-win32.win32.x86_64.exe |
下面我这边截图一张,简单介绍下,如下:
|
1 |
新建连接:LDAP -> NEW Connection |
|
1 2 3 4 |
Hostname填写OpenLDAP的主机地址 Port填写OpenLDAP的监听端口 Connection timeout :连接超时时间 check Network Parameter 检测连接... |
|
1 2 3 4 5 |
base填写的OpenLDAP的DN Bind DN or user部分中的Username填写的是管理员:cn=admin,dc=poke_domain,dc=com Bind password填写的是管理员的密码: helloadmin 注意:Bind DN or user部分不像,我们平时使用的系统一样填写一个用户名,在此我们要填写完整的RDN。 |
(完)
- 本文固定链接: https://www.yoyoask.com/?p=9840
- 转载请注明: shooter 于 SHOOTER 发表
