• 文章列表
  • 版权声明
  • 联系我们
  • 登录
王耍耍
  • 首页
  • 建站经验
  • 云服务器
  • WordPress
  • 技术教程
  • 网站运维
  • 实用工具
没有结果
查看所有结果
  • 首页
  • 建站经验
  • 云服务器
  • WordPress
  • 技术教程
  • 网站运维
  • 实用工具
没有结果
查看所有结果
王耍耍
没有结果
查看所有结果

王耍耍 > 网站运维 > CentOS 7 环境下 OpenLDAP 的安装与配置

CentOS 7 环境下 OpenLDAP 的安装与配置

2019年8月1日 - 更新 2020年12月23日
0
2
分享
163
VIEWS
Facebook Twitterweibo
  • 热点优惠: 搬瓦工CN2主机   |    腾讯云每日秒杀   |    阿里云代金券   |    Vultr 注册送$100

一、LDAP 基础教程

LDAP 全称轻量级目录访问协议(英文:Lightweight Directory Access Protocol),是一个运行在 TCP/IP 上的目录访问协议。目录是一个特殊的数据库,它的数据经常被查询,但是不经常更新。其专门针对读取、浏览和搜索操作进行了特定的优化。目录一般用来包含描述性的,基于属性的信息并支持精细复杂的过滤能力。比如 DNS 协议便是一种最被广泛使用的目录服务。

LDAP 中的信息按照目录信息树结构组织,树中的一个节点称之为条目(Entry),条目包含了该节点的属性及属性值。条目都可以通过识别名 dn 来全局的唯一确定,可以类比于关系型数据库中的主键。比如 dn 为 uid=ada,ou=people,dc=xinhua,dc=io 的条目表示在组织中一个名字叫做 Ada Catherine 的员工,其中 uid=ada 也被称作相对区别名 rdn。

一个条目的属性通过 LDAP 元数据模型(Scheme)中的对象类(objectClass)所定义,下面的表格列举了对象类 inetOrgPerson(Internet Organizational Person)中的一些必填属性和可选属性。

属性名是否必填描述
cn是该条目被人所熟知的通用名(Common Name)
sn是该条目的姓氏
o否该条目所属的组织名(Organization Name)
mobile否该条目的手机号码
description否该条目的描述信息

下面是一个典型的 LDAP 目录树结构,其中每个节点表示一个条目。在下一节中,我们将按照这个结构来配置一个简单的 LDAP 服务。

CentOS 7 环境下 OpenLDAP 的安装与配置 1

二、OpenLDAP 的安装和配置

本文中相关操作系统及依赖包的版本如下:

  • centos-release-7-4.1708.el7.centos.x86_64
  • openldap-clients-2.4.44-5.el7.x86_64:包含客户端程序,用来访问和修改 OpenLDAP 目录
  • openldap-servers-2.4.44-5.el7.x86_64:包含主 LDAP 服务器 slapd 和同步服务器 slurpd 服务器、迁移脚本和相关文件

第一步,需要切换到 root 账号来安装 OpenLDAP 相关程序包,并启动服务:

$ yum install -y openldap-servers openldap-clients
$ cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
$ chown ldap. /var/lib/ldap/DB_CONFIG
$ systemctl enable slapd
$ systemctl start slapd

第二步,我们使用 slappasswd 命令来生成一个密码,并使用 LDIF(LDAP 数据交换格式)文件将其导入到 LDAP 中来配置管理员密码:

$ slappasswd
New password:
Re-enter new password:
{SSHA}KS/bFZ8KTmO56khHjJvM97l7zivH1MwG
# 配置系统密码
$ vim chrootpw.ldif
# specify the password generated above for "olcRootPW" section
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}KS/bFZ8KTmO56khHjJvM97l7zivH1MwG
#导入信息配置信息
$ ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif

第三步,我们需要向 LDAP 中导入一些基本的 Schema。这些 Schema 文件位于 /etc/openldap/schema/ 目录中,定义了我们以后创建的条目可以使用哪些属性:

$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/core.ldif
$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

第四步,我们需要配置 LDAP 的顶级域(以 dc=xinhua,dc=io 为例)及其管理域:

$ slappasswd
New password:
Re-enter new password:
{SSHA}z/rsbmAjVtLlWeUB0xS5itLPI0VA1akD
#编辑顶级域配置信息
$ vim chdomain.ldif
# replace to your own domain name for "dc=***,dc=***" section
# specify the password generated above for "olcRootPW" section
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
  read by dn.base="cn=admin,dc=xinhua,dc=io" read by * none

dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=xinhua,dc=io

dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=xinhua,dc=io

dn: olcDatabase={2}mdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}z/rsbmAjVtLlWeUB0xS5itLPI0VA1akD

dn: olcDatabase={2}mdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
  dn="cn=admin,dc=xinhua,dc=io" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=xinhua,dc=io" write by * read

$ ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif

第五步,在上述基础上,我们来创建一个叫做 Xinhua News Agency 的组织,并在其下创建一个 Manager 的组织角色(该角色内的用户具有管理整个 LDAP 的权限)和 People 和 Group 两个组织单元:

$ vim basedomain.ldif
# replace to your own domain name for "dc=***,dc=***" section
dn: dc=xinhua,dc=io
objectClass: top
objectClass: dcObject
objectclass: organization
o: XINHUA.IO
dc: xinhua

dn: cn=admin,dc=xinhua,dc=io
objectClass: organizationalRole
cn: Manager

dn: ou=people,dc=xinhua,dc=io
objectClass: organizationalUnit
ou: people

dn: ou=group,dc=xinhua,dc=io
objectClass: organizationalUnit
ou: group
#导入顶级域配置信息
$ ldapadd -x -D cn=admin,dc=xinhua,dc=io -W -f basedomain.ldif

通过以上的所有步骤,我们就设置好了一个 LDAP 目录树:其中基准 dn dc=xinhua,dc=io 是该树的根节点,其下有一个管理域 cn=admin,dc=xinhua,dc=io 和两个组织单元 ou=people,dc=xinhua,dc=io 及 ou=group,dc=xinhua,dc=io。

接下来,我们来创建一个叫作 Ada Catherine 的员工并将其分配到 Secretary 组来验证上述配置是否生效。

$ slappasswd
New password:
Re-enter new password:
{SSHA}HTGqAd4p6fOOIVHm7VZYUSorWGfnrqAA
#编辑用户信息
$ vim ldapuser.ldif
# create new
# replace to your own domain name for "dc=***,dc=***" section
dn: uid=ada,ou=people,dc=xinhua,dc=io
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: ada
cn: Ada Catherine
sn: Catherine
userPassword: {SSHA}HTGqAd4p6fOOIVHm7VZYUSorWGfnrqAA
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/ada

dn: cn=Secretary,ou=group,dc=xinhua,dc=io
objectClass: posixGroup
cn: Secretary
gidNumber: 1000
memberUid: ada
#导入用户配置信息
# ldapadd -x -D cn=admin,dc=xinhua,dc=io -W -f ldapuser.ldif
Enter LDAP Password:
adding new entry "uid=ada,ou=People,dc=xinhua,dc=org"
adding new entry "cn=Secretary,ou=Group,dc=xinhua,dc=org"

我们也可以使用 ldapsearch 命令来查看 LDAP 目录服务中的所有条目信息:

$ ldapsearch -x -b "dc=xinhua,dc=io" -H ldap://127.0.0.1
# extended LDIF
#
# LDAPv3
# base <dc=xinhua,dc=io> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# xinhua.org
dn: dc=xinhua,dc=io
objectClass: top
objectClass: dcObject
objectClass: organization
o: Xinhua News Agency
dc: xinhua
...

如果要删除一个条目,可以按下面的命令操作:

$ ldapdelete -x -W -D 'cn=admin,dc=xinhua,dc=io' "uid=ada,ou=People,dc=xinhua,dc=io"

三、使用 phpLDAPadmin 来管理 LDAP 服务

通过 LDIF 文件可以在终端上管理起整个 LDAP,但是我们都喜欢图形化界面。phpLDAPadmin 正是一个可以通过浏览器来管理 LDAP 服务的 Web 工具。

在安装 phpLDAPadmin 之前,要确保服务器上已经启动了 Apache httpd 服务及 PHP 2。准备就绪后,我们按下面的操作来安装和配置 phpLDAPadmin:

$ yum -y install epel-release
$ yum --enablerepo=epel -y install phpldapadmin

$ vim /etc/phpldapadmin/config.php
# line 397: uncomment, line 398: comment out
$servers->setValue('login','attr','dn');
// $servers->setValue('login','attr','uid');

$ vim /etc/httpd/conf.d/phpldapadmin.conf

Alias /phpldapadmin /usr/share/phpldapadmin/htdocs
Alias /ldapadmin /usr/share/phpldapadmin/htdocs
<Directory /usr/share/phpldapadmin/htdocs>
  <IfModule mod_authz_core.c>
    # Apache 2.4
    Require local
    # line 12: add access permission ip range
    Require ip 10.0.0.0/24

$ systemctl restart httpd

安装成功的话,在浏览器中访问 http://localhost:8000/phpldapadmin/ 便会进入 phpLDAPadmin 管理页面:

缺少图像

按上面的方式进行登录后,就可以查看、新建、编辑和删除 dc=xinhua,dc=io 域下的所有条目了。

四、使用 Docker 安装 OpenLDAP 和 phpLDAPadmin

随着容器化技术和 Docker 的快速发展,打包和部署应用程序变得更加简单和灵活。OpenLDAP 和 phpLDAPadmin 也有自己的 Docker 镜像,使用下面的命令,可以快速的安装 OpenLDAP 和 phpLDAPadmin 环境:

$ docker run --name ldap_core -p 389:389 -p 636:636 --env LDAP_ORGANISATION="XINHUA.IO" --env LDAP_DOMAIN="xinhua.io" --env LDAP_ADMIN_PASSWORD="Passw0rd" --detach osixia/openldap

$ docker run --name ldap_web -p 80:80 -p 443:443 --link ldap_core:ldap_core --env PHPLDAPADMIN_LDAP_HOSTS=ldap_core --detach osixia/phpldapadmin

五、参考资料

  • Configure LDAP Server in CentOS 7
  • Install phpLDAPadmin to operate LDAP Server in CentOS 7
  1. 每一个 LDAP 条目的区别名 dn 都是由两个部分组成的:相对区别名 rdn 以及该条目在 LDAP 目录中的位置。 

转载于:饮冰先生

标签: Centos7LDAPOpenLDAP
分享1Tweet1发生
上一篇

在CentOS7上安装和使用ClickHouse

下一篇

Centos7 修改yum源为阿里源

Yang. Wang

Yang. Wang

从2012年开始接触建站,对Web服务器、VPS、域名等略懂。现主要工作为运维工程师,但愿自己分享的经验或心得能帮助到别人。

相关内容

华硕笔记本 – 怎么进入bios程序设置?
网站运维

华硕笔记本 – 怎么进入bios程序设置?

2020年8月29日 - 更新 2020年12月23日
102
为什么重启电脑会解决很多问题?
网站运维

为什么重启电脑会解决很多问题?

2020年8月27日 - 更新 2020年12月23日
106
MDT自动部署rules参数明细
网站运维

MDT自动部署rules参数明细

2020年7月1日 - 更新 2020年12月23日
221
国内镜像源下载速度评测 阿里源、清华源、华为源对比
网站运维

国内镜像源下载速度评测 阿里源、清华源、华为源对比

2020年2月6日 - 更新 2021年1月23日
656
Centos7下部署Zabbix监控系统
网站运维

Centos7下部署Zabbix监控系统

2019年8月13日 - 更新 2020年12月23日
167
Centos7 修改yum源为阿里源
网站运维

Centos7 修改yum源为阿里源

2019年8月6日 - 更新 2020年12月23日
121

发表评论 取消回复

邮箱地址不会被公开。 必填项已用*标注

阿里云服务器爆款特惠好用不贵

安全、稳定、高效,阿里云服务器专享特惠,站长倾力推荐

立即抢购>
ADS
ADVERTISEMENT
  • 热门
  • 评论
  • 最新
Windows Server 2016服务器配置网卡链路聚合(NIC Teaming)

Windows Server 2016服务器配置网卡链路聚合(NIC Teaming)

2019年6月15日 - 更新 2020年12月23日
【WiFi标准介绍】802.11ax,802.11ad,802.11ac和802.11n详解

【WiFi标准介绍】802.11ax,802.11ad,802.11ac和802.11n详解

2019年12月2日 - 更新 2020年12月23日
Windows Server 2016总是自动关机

Windows Server 2016总是自动关机

2019年6月3日 - 更新 2020年12月23日
PowerPoint(PPT)里面不能复制粘贴怎么办

PowerPoint(PPT)里面不能复制粘贴怎么办

2018年7月3日 - 更新 2020年12月23日
POP3和IMAP之间的区别

POP3和IMAP之间的区别

7
【解决】WordPress升级/插件/模板安装需要输入FTP信息

WordPress静态文件分离方案

6
Windows Server 2016服务器配置网卡链路聚合(NIC Teaming)

Windows Server 2016服务器配置网卡链路聚合(NIC Teaming)

6
Windows10扁平化壁纸推荐,清新又有淡淡的科技感

Windows10扁平化壁纸推荐,清新又有淡淡的科技感

6
腾讯云2021年新春采购节 1核2G仅需95元/年

腾讯云2021年新春采购节 1核2G仅需95元/年

2021年3月3日
2021年阿里云采购季 2核2G仅86元/年

2021年阿里云采购季 2核2G仅86元/年

2021年3月3日
WordPress 5.7中的那些新功能 赶快了解下吧

WordPress 5.7中的那些新功能 赶快了解下吧

2021年2月24日
WordPress如何修改上传文件的大小限制

WordPress如何修改上传文件的大小限制

2021年2月4日
ADVERTISEMENT
  • 关于我们
  • 联系我们
  • 隐私政策
  • 版权声明

Copyright © 2017 - 2020 王耍耍 , All rights reserved. 渝ICP备17001054号-4

没有结果
查看所有结果
  • 关于我们
  • 文章列表
  • 版权声明
  • 王耍耍
  • 联系我们
  • 隐私政策

Copyright © 2017 - 2020 王耍耍 , All rights reserved. 渝ICP备17001054号-4

欢迎回来!

登录帐户

忘记密码?

建立账户

填写表格进行注册

各个领域都需要 登录

找回密码

输入详细信息以重置密码

登录