ECS Linux搭建OpenLDAP服务

2021/5/11 7:29:04

编程Tag: linux ecs local dc OpenLDAP usr cn 2.4

本文主要是介绍ECS Linux搭建OpenLDAP服务,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

背景

想搭建一个LDAP的服务,作为测试用。于是在阿里云上买了台测试机。搭建。
参考了这位大神的文章《OpenLDAP(2.4.3x)服务器搭建及配置说明》,基本上按照他的步骤做了搭建,我针对自己遇到的问题做了一下备注。
如果只是为了看一下ldap怎么用,完全不用这么麻烦。
下载Apache Directory Studio,直接在里面可以开启ApacheDS服务,就可以做基础的了解了。

正文

1 安装

1.1 准备编译环境和依赖包(ECS第1、2个,安装第3个openssl)

# apt-get install build-essential
# apt-get install libssl-dev
# ECS需要安装这个
yum -y install openssl-devel

下载openldap-2.4.31.tgz和db-5.1.29.NC.tar.gz并解压:(注意目录的路径,如果省事,最好一致)

db是数据库,openldap是上层服务

 cd /usr/local/src
 wget ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/openldap-2.4.31.tgz
 wget http://download.oracle.com/berkeley-db/db-5.1.29.NC.tar.gz
 tar -zxf openldap-2.4.31.tgz
 tar -zxf db-5.1.29.NC.tar.gz

 cd db-5.1.29.NC/build_unix/
 ../dist/configure --prefix=/usr/local/berkeleydb-5.1
 
 make && make install

建议人工指定–prefix,默认会安装到/usr/local/BerkeleyDB.5.1。

1.2 安装openldap

设置一些环境变量,修改/etc/profile或/etc/bash.bashrc:(注意安装路径,根据实际需求修改)

环境变量

export BERKELEYDB_HOME="/usr/local/berkeleydb-5.1"
export CPPFLAGS="-I$BERKELEYDB_HOME/include"
export LDFLAGS="-L$BERKELEYDB_HOME/lib"
export LD_LIBRARY_PATH="$BERKELEYDB_HOME/lib"

export LDAP_HOME="/usr/local/openldap-2.4"
export PATH="$PATH:$BERKELEYDB_HOME/bin:$LDAP_HOME/bin:$LDAP_HOME/sbin:$LDAP_HOME/libexec"

编译安装

./configure --prefix=/usr/local/openldap-2.4
make depend
make
make install

如果遇到问题,请检查第一步的依赖是否已经安装,查看openldap解压目录下的README看到REQUIRED SOFTWARE。

2 配制

2.1 基本配置

/usr/local/openldap-2.4目录结构:

  bin/      --客户端工具如ldapadd、ldapsearch
  etc/      --包含主配置文件slapd.conf、schema、DB_CONFIG等
  include/
  lib/
  libexec/  --服务端启动工具slapd
  sbin/     --服务端工具如slappasswd
  share/
  var/      --bdb数据、log存放目录

2.1.1 配置root密码

这个很重要,设置好之后再启动,如果没有改,那默认密码是secret

下面这个是采用了SSHA加密的方式,避免密码放入配制文件被人发现

# slappasswd 
New password: 
Re-enter new password: 
{SSHA}phAvkua+5B7UNyIAuoTMgOgxF8kxekIk

2.2 修改后的slapd.conf

include     /usr/local/openldap-2.4.31/etc/openldap/schema/core.schema
include     /usr/local/openldap-2.4.31/etc/openldap/schema/cosine.schema
include     /usr/local/openldap-2.4.31/etc/openldap/schema/inetorgperson.schema

pidfile     /usr/local/openldap-2.4.31/var/run/slapd.pid
argsfile    /usr/local/openldap-2.4.31/var/run/slapd.args

loglevel 256
logfile  /usr/local/openldap-2.4.31/var/slapd.log 

database    bdb
# 自定义start 这里根据实际场景来定义
suffix      "dc=mydomain,dc=net"
rootdn      "cn=root,dc=mydomain,dc=net"   # 数据库管理员
rootpw      {SSHA}UK4eGUq3ujR1EYrOL2MRzMBJmo7qGyY3   # 管理员密码。这个是上面生成的
# 自定义END
directory   /usr/local/openldap-2.4.31/var/openldap-data
index   objectClass eq

2.3 服务操作

1)启动服务

/usr/local/openldap-2.4.31/libexec/slapd

2)启动服务

# 第一种方式(启动多个端口),ldaps,需要配制TLS加密传输
 ./libexec/slapd -h 'ldap://0.0.0.0:389/ ldaps://0.0.0.0:636/ ldapi:///'

# 第二种方式(带有证书的)
./libexec/slapd -h 'ldaps://0.0.0.0:636/'

3)提供其他几种方式

# 停止服务
systemctl stop slapd

# 重启服务
systemctl restart slapd
ps aux | grep slapd | grep -v grep
netstat -tunlp | grep :389

# 如果停止服务,还需要运行
killall slapd

/usr/local/openldap-2.4.31/libexec/slapd

2.4 导入测试数据

touch一个文件test.ldif

dn: dc=mydomain,dc=net
objectClass: dcObject
objectClass: organization
dc: mydomain
o: mydomain.Inc

dn: cn=root,dc=mydomain,dc=net
objectClass: organizationalRole
cn: root

dn: ou=itsection,dc=mydomain,dc=net
ou: itsection
objectClass: organizationalUnit

dn: cn=sean,ou=itsection,dc=mydomain,dc=net
ou: itsection
cn: sean
sn: zhouxiao
objectClass: inetOrgPerson
objectClass: organizationalPerson

插入数据

查看(匿名)
# ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts

添加(读入密码)
# ldapadd -x -D "cn=root,dc=mydomain,dc=net" -W -f test.ldif

验证
# ldapsearch -x -b 'dc=mydomain,dc=net' '(objectClass=*)'

遇到的问题

1 密码改了不生效

这个版本找不到sldap.d的文件,需要命令改,参考《Openldap修改管理员密码》

  • 1)输入ldapsearch
ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b  cn=config olcRootDN=cn=自定义xxx,dc=自定义xxx,dc=自定义xxx dn olcRootDN olcRootPW

#以下是返回值
SASL /EXTERNAL  authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn: olcDatabase={2}bdb,cn=config  # 这里是要下一步要用的
olcRootDN: cn=自定义xxx, dc =自定义xxx, dc =自定义xxx
olcRootPW: {SSHA}密码串

可以看到,这里返回的dn是olcDatabase={2}bdb,cn=config,密码等信息也都一并返回。这里有用的是dn和密码的加密方式,比如这里是SSHA,dn是后面修改的Entry DN,而知道密码的加密方式就可以使用该加密方式生成新密码。

  • 2)使用slappasswd生成密码
[root@wiki ~] # slappasswd -h {SSHA}
New password: 
Re-enter new password: 
{SSHA}新密码串
  • 3) 使用ldapmodify修改条目
ldapmodify -Y EXTERNAL -H ldapi: ///
SASL /EXTERNAL  authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0

#  以下是交互模式
dn: olcDatabase={2}bdb,cn=config  #这是第1步获取的管理员dn
replace: olcRootPW
olcRootPW: {SSHA}这里是上面slappasswd生成的密码

连续两次回车就好了。出现:

modifying entry  "olcDatabase={2}bdb,cn=config"

密码就修改好了。

Apache Direcotry Studio直接开启LDAP服务

1 下载apache Directoryt Studio

  • 最新地址(要求jdk11以上,当前时间:2021.5)
  • 其他版本

2 安装

3 启动apahce

在这里插入图片描述

4 新建client链接

在这里插入图片描述
在这里就看到有一个connection
在这里插入图片描述

4 启动client链接

点击右键“open connection"

之后就开启了ldap试用的道路了~~



这篇关于ECS Linux搭建OpenLDAP服务的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!


相关编程文章

更多>
本站官方QQ
官方QQ:
23002807

沪ICP备2023033072号-1

     

扫一扫关注最新编程教程