ECS Linux搭建OpenLDAP服务
2021/5/11 7:29:04
本文主要是介绍ECS Linux搭建OpenLDAP服务,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
背景
想搭建一个LDAP的服务,作为测试用。于是在阿里云上买了台测试机。搭建。
参考了这位大神的文章《OpenLDAP(2.4.3x)服务器搭建及配置说明》,基本上按照他的步骤做了搭建,我针对自己遇到的问题做了一下备注。
如果只是为了看一下ldap怎么用,完全不用这么麻烦。
下载Apache Directory Studio,直接在里面可以开启ApacheDS服务,就可以做基础的了解了。
正文
1 安装
1.1 准备编译环境和依赖包(ECS第1、2个,安装第3个openssl)
# apt-get install build-essential # apt-get install libssl-dev # ECS需要安装这个 yum -y install openssl-devel
下载openldap-2.4.31.tgz和db-5.1.29.NC.tar.gz并解压:(注意目录的路径,如果省事,最好一致)
db是数据库,openldap是上层服务
cd /usr/local/src wget ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/openldap-2.4.31.tgz wget http://download.oracle.com/berkeley-db/db-5.1.29.NC.tar.gz tar -zxf openldap-2.4.31.tgz tar -zxf db-5.1.29.NC.tar.gz cd db-5.1.29.NC/build_unix/ ../dist/configure --prefix=/usr/local/berkeleydb-5.1 make && make install
建议人工指定–prefix,默认会安装到/usr/local/BerkeleyDB.5.1。
1.2 安装openldap
设置一些环境变量,修改/etc/profile或/etc/bash.bashrc:(注意安装路径,根据实际需求修改)
环境变量
export BERKELEYDB_HOME="/usr/local/berkeleydb-5.1" export CPPFLAGS="-I$BERKELEYDB_HOME/include" export LDFLAGS="-L$BERKELEYDB_HOME/lib" export LD_LIBRARY_PATH="$BERKELEYDB_HOME/lib" export LDAP_HOME="/usr/local/openldap-2.4" export PATH="$PATH:$BERKELEYDB_HOME/bin:$LDAP_HOME/bin:$LDAP_HOME/sbin:$LDAP_HOME/libexec"
编译安装
./configure --prefix=/usr/local/openldap-2.4 make depend make make install
如果遇到问题,请检查第一步的依赖是否已经安装,查看openldap解压目录下的README看到REQUIRED SOFTWARE。
2 配制
2.1 基本配置
/usr/local/openldap-2.4目录结构:
bin/ --客户端工具如ldapadd、ldapsearch etc/ --包含主配置文件slapd.conf、schema、DB_CONFIG等 include/ lib/ libexec/ --服务端启动工具slapd sbin/ --服务端工具如slappasswd share/ var/ --bdb数据、log存放目录
2.1.1 配置root密码
这个很重要,设置好之后再启动,如果没有改,那默认密码是secret
下面这个是采用了SSHA加密的方式,避免密码放入配制文件被人发现
# slappasswd New password: Re-enter new password: {SSHA}phAvkua+5B7UNyIAuoTMgOgxF8kxekIk
2.2 修改后的slapd.conf
include /usr/local/openldap-2.4.31/etc/openldap/schema/core.schema include /usr/local/openldap-2.4.31/etc/openldap/schema/cosine.schema include /usr/local/openldap-2.4.31/etc/openldap/schema/inetorgperson.schema pidfile /usr/local/openldap-2.4.31/var/run/slapd.pid argsfile /usr/local/openldap-2.4.31/var/run/slapd.args loglevel 256 logfile /usr/local/openldap-2.4.31/var/slapd.log database bdb # 自定义start 这里根据实际场景来定义 suffix "dc=mydomain,dc=net" rootdn "cn=root,dc=mydomain,dc=net" # 数据库管理员 rootpw {SSHA}UK4eGUq3ujR1EYrOL2MRzMBJmo7qGyY3 # 管理员密码。这个是上面生成的 # 自定义END directory /usr/local/openldap-2.4.31/var/openldap-data index objectClass eq
2.3 服务操作
1)启动服务
/usr/local/openldap-2.4.31/libexec/slapd
2)启动服务
# 第一种方式(启动多个端口),ldaps,需要配制TLS加密传输 ./libexec/slapd -h 'ldap://0.0.0.0:389/ ldaps://0.0.0.0:636/ ldapi:///' # 第二种方式(带有证书的) ./libexec/slapd -h 'ldaps://0.0.0.0:636/'
3)提供其他几种方式
# 停止服务 systemctl stop slapd # 重启服务 systemctl restart slapd ps aux | grep slapd | grep -v grep netstat -tunlp | grep :389 # 如果停止服务,还需要运行 killall slapd /usr/local/openldap-2.4.31/libexec/slapd
2.4 导入测试数据
touch一个文件test.ldif
dn: dc=mydomain,dc=net objectClass: dcObject objectClass: organization dc: mydomain o: mydomain.Inc dn: cn=root,dc=mydomain,dc=net objectClass: organizationalRole cn: root dn: ou=itsection,dc=mydomain,dc=net ou: itsection objectClass: organizationalUnit dn: cn=sean,ou=itsection,dc=mydomain,dc=net ou: itsection cn: sean sn: zhouxiao objectClass: inetOrgPerson objectClass: organizationalPerson
插入数据
查看(匿名) # ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts 添加(读入密码) # ldapadd -x -D "cn=root,dc=mydomain,dc=net" -W -f test.ldif 验证 # ldapsearch -x -b 'dc=mydomain,dc=net' '(objectClass=*)'
遇到的问题
1 密码改了不生效
这个版本找不到sldap.d的文件,需要命令改,参考《Openldap修改管理员密码》
- 1)输入ldapsearch
ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config olcRootDN=cn=自定义xxx,dc=自定义xxx,dc=自定义xxx dn olcRootDN olcRootPW #以下是返回值 SASL /EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 dn: olcDatabase={2}bdb,cn=config # 这里是要下一步要用的 olcRootDN: cn=自定义xxx, dc =自定义xxx, dc =自定义xxx olcRootPW: {SSHA}密码串
可以看到,这里返回的dn是olcDatabase={2}bdb,cn=config,密码等信息也都一并返回。这里有用的是dn和密码的加密方式,比如这里是SSHA,dn是后面修改的Entry DN,而知道密码的加密方式就可以使用该加密方式生成新密码。
- 2)使用slappasswd生成密码
[root@wiki ~] # slappasswd -h {SSHA} New password: Re-enter new password: {SSHA}新密码串
- 3) 使用ldapmodify修改条目
ldapmodify -Y EXTERNAL -H ldapi: /// SASL /EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 # 以下是交互模式 dn: olcDatabase={2}bdb,cn=config #这是第1步获取的管理员dn replace: olcRootPW olcRootPW: {SSHA}这里是上面slappasswd生成的密码
连续两次回车就好了。出现:
modifying entry "olcDatabase={2}bdb,cn=config"
密码就修改好了。
Apache Direcotry Studio直接开启LDAP服务
1 下载apache Directoryt Studio
- 最新地址(要求jdk11以上,当前时间:2021.5)
- 其他版本
2 安装
3 启动apahce
4 新建client链接
在这里就看到有一个connection
4 启动client链接
点击右键“open connection"
之后就开启了ldap试用的道路了~~
这篇关于ECS Linux搭建OpenLDAP服务的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-06-0600-macOS和Linux安装和管理多个Python版本
- 2024-03-30[译]漫画SELinux概念
- 2024-03-29linux 移动文件
- 2024-03-28linux .so file
- 2024-03-28Linux 磁盘管理
- 2024-03-28Linux学习笔记(十三)磁盘管理(一):磁盘分区
- 2024-03-26linux 创建 文件
- 2024-03-25使用SecureCRT对Linux vim进行颜色设置
- 2024-03-202019-2020-12 20199317 《Linux内核原理与分析》 第十二周作业
- 2024-03-20Linux运维的第二周总结