OpenLDAP Directory Server安装部署

OpenLDAP安装指南OpenLDAP 安装指南本⼿册仅⽤于配置Ubuntu9.10中的OpenLDAP，其他版本的OpenLDAP可能有所不同。

⾸先，安装 OpenLDAP:步骤 1运⾏如下命令,将slapd包中带的LDAP schema全部添加到 cn=config中 (默认只有core schema 被添加):步骤 2创建⼀个db.ldif⽂件，其内容如下所⽰，此步骤将为域dc=home,dc=local (即 home.local)安装配置⼀个database。

并且，只有cn=admin,dc=hoome,dc=local可以管理这个数据库（密码：admin）。

代码:# Load modules for database typedn: cn=module,cn=configobjectclass: olcModuleListcn: moduleolcModuleLoad: back_/doc/be86a984b9d528ea81c779c8.html# Create directory databasedn: olcDatabase=bdb,cn=configobjectClass: olcDatabaseConfigobjectClass: olcBdbConfigolcDatabase: bdb# Domain name (e.g. home.local)olcSuffix: dc=home,dc=local# Location on system where database is storedolcDbDirectory: /var/lib/ldap# Manager of the databaseolcRootDN: cn=admin,dc=home,dc=localolcRootPW: admin# Indices in database to speed up searchesolcDbIndex: uid pres,eqolcDbIndex: cn,sn,mail pres,eq,approx,subolcDbIndex: objectClass eq# Allow users to change their own password# Allow anonymous to authenciate against the password# Allow admin to change anyone's passwordolcAccess: to attrs=userPasswordby self writeby anonymous authby dn.base="cn=admin,dc=home,dc=local" writeby * none# Allow users to change their own record# Allow anyone to read directoryolcAccess: to *by self writeby dn.base="cn=admin,dc=home,dc=local" writeby * read对上述⽂件，使⽤如下命令将数据库添加到LDAP server上. 需要知道的是 Karmic使⽤EXTERNAL SASL 和LDAP server通信. 这⾥没有admin user或者password:步骤 3创建另⼀个⽂件，该⽂件包含所有你想要添加的⽤户，这⾥以people.ldif命名之。

部署OPENLDAP手册编写：贺承玮日期：2007年9月20日星期四操作系统：LINUX AS3.01)查看已经安装的OPENLDAPrpm –aq | grep openldap显示结果：openldap-2.0.27-17openldap-devel-2.0.27-172)下载并安装openldap-servers-2.0.27-17.i386.rpmrpm –ivh openldap-servers-2.0.27-17.i386.rpm - -force3)上传格尔提供的koalca.schema文件cp koalca.schema /etc/openldap/schema2.1设置配置文件在配置文件/etc/openldap/slapd.conf中进行如下修改：1、引入schemainclude /etc/openldap/schema/koalca.schema 2、增加根节点suffix "o=koalca"3、设置dnrootdn "cn=Manager,dc=koal,dc=com"4、设置登陆密码rootpw 123456785、其他设置suffix "dc=koal,dc=com"（如果有就设置，按你之前做的应该不用）2.2建库[root@testCA-01 openldap]# pwd/etc/openldap（即在openldap在安装目录下执行以下内容）[root@testCA-01 openldap]# slapadd -l initdata2.ldif -f /etc/openldap/slapd.conf（你需要把initdata2.ldif中的o项改成你需要的根节点名称）[root@testCA-01 openldap]# chown ldap.ldap /var/lib/ldap/*重启生效[root@testCA-01 openldap]# /etc/init.d/ldap restart停止slapd：[ 确定] 启动slapd：[ 确定]3.1搭建从机从机的安装过程同主机，不用作slapd.conf的设置和建库。

Linux系统下安装配置 OpenLDAP + phpLDAPadmin实验环境：操作系统：Centos 7.4服务器ip:192.168.3.41运行用户：root网络环境：InternetLDAP（轻量级目录访问协议）是一个能实现提供被称为目录服务的信息服务，也是一套用户认证体系系统；一般在大型企业、学校、政府单位使用的比较多，LDAP是由4部分组成，这4部分分别是slapd(独立LDAP守护进程)、slurpd(独立的LDAP更新复制守护进程)、LDAP协议库、工具软件和示例客户端(phpLDAPadmin)，目录服务是一种特殊的数据库系统，用来存储用户信息的数据库，读写速度非常快，扩展性非常强，可以实现与地方系统直接对接整合起来统一管理用户信息。

LDAP说起来也不简单，但是ALDP在Linux应用范围是比较广泛的，如果想要深入的了解LDAP，建议去看下刘遄老师《Linux就该这么学》这本教程，里面解释的非常详细，也可以在百度输入此书名去官网看，想要在Linux部署还是推荐这本书去系统的学习，对初学者还是很有版本的，这篇文章搭建ldap+phpldapadmin也是在Linux环境下运行的，所以还是需要Linux基础才能看懂下面的配置步骤。

1、安装OpenLDAP[root@centos7 ~]# yum install openldap-servers openldap-clients -y[root@centos7 ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG [root@centos7 ~]# ll /var/lib/ldap/DB_CONFIG-rw-r--r--. 1 root root 845 Aug 1 10:04 /var/lib/ldap/DB_CONFIG[root@centos7 ~]# chown ldap. /var/lib/ldap/DB_CONFIG //授权配置文件[root@centos7 ~]# more /etc/passwd|grep ldapldap:x:55:55:OpenLDAP server:/var/lib/ldap:/sbin/nologin[root@centos7 ~]# systemctl start slapd.service //启动slapd服务[root@centos7 ~]# systemctl enable slapd.service //设置开机自动启动slapd服务2、设置OpenLDAP管理员密码[root@centos7 ~]# slappasswdNew password: //passwordRe-enter new password:{SSHA}d5pkA0TU6b+8/kEoMIxJ59QofCLV为“olcRootPW”指定上面生成的密码[root@centos7 ~]# vim chrootpw.ldifdn: olcDatabase={0}config,cn=configchangetype: modifyadd: olcRootPWolcRootPW: {SSHA}d5pkA0TU6b+8/kEokgQeMIxJ59QofCLV[root@centos7 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldifSASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0modifying entry "olcDatabase={0}config,cn=config"3、导入基本模式[root@centos7 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif SASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0adding new entry "cn=cosine,cn=schema,cn=config"[root@centos7 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif SASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0adding new entry "cn=nis,cn=schema,cn=config"[root@centos7 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f/etc/openldap/schema/inetorgperson.ldifSASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0adding new entry "cn=inetorgperson,cn=schema,cn=config"4、在LDAP DB上设置域名，生成目录管理器密码[root@centos7 ~]# slappasswdNew password:Re-enter new password:{SSHA}Oq61fgUFW9+ItZboTaW1+VbLuAYst7zw注意：下面配置文件这里得注意每一个属性：后必须有空格，但是值的后面不能有任何空格[root@centos7 ~]# vim chdomain.ldif# replace to your own domain name for "dc=***,dc=***" section# specify the password generated above for "olcRootPW" sectiondn: olcDatabase={1}monitor,cn=configchangetype: modifyreplace: olcAccessolcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=srv,dc=world" read by * nonedn: olcDatabase={2}hdb,cn=configchangetype: modifyreplace: olcSuffixolcSuffix: dc=srv,dc=worlddn: olcDatabase={2}hdb,cn=configchangetype: modifyreplace: olcRootDNolcRootDN: cn=Manager,dc=srv,dc=worlddn: olcDatabase={2}hdb,cn=configchangetype: modifyadd: olcRootPWolcRootPW: {SSHA}Oq61fgUFW9+ItZboTaW1+VbLuAYst7zwdn: olcDatabase={2}hdb,cn=configchangetype: modifyadd: olcAccessolcAccess: {0}to attrs=userPassword,shadowLastChange bydn="cn=Manager,dc=srv,dc=world" write by anonymous auth by self write by * none olcAccess: {1}to dn.base="" by * readolcAccess: {2}to * by dn="cn=Manager,dc=srv,dc=world" write by * read[root@centos7 ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldifSASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0modifying entry "olcDatabase={1}monitor,cn=config"modifying entry "olcDatabase={2}hdb,cn=config"modifying entry "olcDatabase={2}hdb,cn=config"modifying entry "olcDatabase={2}hdb,cn=config"modifying entry "olcDatabase={2}hdb,cn=config"[root@centos7 ~]# vim basedomain.ldif# replace to your own domain name for "dc=***,dc=***" sectiondn: dc=srv,dc=worldobjectClass: topobjectClass: dcObjectobjectclass: organizationo: Server Worlddc: Srvdn: cn=Manager,dc=srv,dc=worldobjectClass: organizationalRolecn: Managerdescription: Directory Managerdn: ou=People,dc=srv,dc=worldobjectClass: organizationalUnitou: Peopledn: ou=Group,dc=srv,dc=worldobjectClass: organizationalUnitou: Group[root@centos7 ~]# ldapadd -x -D "cn=Manager,dc=srv,dc=world" -W -f basedomain.ldif Enter LDAP Password: //输入上面设置的目录管理器密码 passwordadding new entry "dc=srv,dc=world"adding new entry "cn=Manager,dc=srv,dc=world"adding new entry "ou=People,dc=srv,dc=world"adding new entry "ou=Group,dc=srv,dc=world"[root@centos7 ~]# ldapsearch -x -b "cn=Manager,dc=srv,dc=world"# extended LDIF## LDAPv3# base <cn=Manager,dc=srv,dc=world> with scope subtree# filter: (objectclass=*)# requesting: ALL## Manager, srv.worlddn: cn=Manager,dc=srv,dc=worldobjectClass: organizationalRolecn: Managerdescription: Directory Manager# search resultsearch: 2result: 0 Success# numResponses: 2# numEntries: 15、设置Firewalld，如果未启用防火墙关闭，忽略[root@centos7 ~]# firewall-cmd --add-service=ldap --permanent[root@centos7 ~]# firewall-cmd --reload6、安装并配置Apache[root@centos7 ~]# yum install httpd-devel.x86_64 httpd.x86_64 -y[root@centos7 ~]# mv /etc/httpd/conf.d/welcome.conf /etc/httpd/conf.d/welcome.conf.bak [root@centos7 ~]# vim /etc/httpd/conf/httpd.conf# line 86: change to admin's email addressServerAdmin root@srv.world# line 95: change to your server's nameServerName www.srv.world:80# line 151: changeAllowOverride All# line 164: add file name that it can access only with directory's nameDirectoryIndex index.html index.cgi index.php# add follows to the end //在尾部新增# server's response headerServerTokens Prod# keepalive is ONKeepAlive On[root@centos7 ~]# systemctl start httpd.service[root@centos7 ~]# systemctl enable httpd.service[root@centos7 ~]# firewall-cmd --add-service=http --permanent //防火墙排除httpd服务，如果没有启用防火墙，此步骤可以忽略。

Windows下安装使用openldapopenldap 比起其他商业目录服务器(比如 IBM Directory Server)，特别的轻巧，十分适合于本地开发测试用，在产品环境中的表现也很优秀。

openldap 软件在它的官方网站, 不过下载过来是源代码，并没有包含 win32 下的 Makefile 文件，只提供了在 Unix/Linux 下编译用的 Makefile。

所以相应的在网上介绍在 windows 下安装使用 openldap 的资料比较少，而在 Unix/Linux 下应用文档却很丰富。

本文实践了在 Windows 下安装配 openldap，并添加一个条目，LdapBrowser 浏览，及 Java 程序连接 openldap 的全过程。

1. 下载安装 openldap for windows，当前版本2.2.29下载地址：/openldap/openldap-2.2.29/openldap-2.2.29-db-4.3.29-openssl-0.9.8a-win32_Setup.exe相关链接：/hacks/openldap/安装很简单，一路 next 即可，假设我们安装在 c:\openldap2. 配置 openldap，编辑 sldap.conf 文件1) 打开 c:\openldap\sldap.conf，找到include C:/openldap/etc/schema/core.schema，在它后面添加include C:/openldap/etc/schema/cosine.schemainclude C:/openldap/etc/schema/inetorgperson.schema接下来的例子只需要用到以上三个 schema，当然，如果你觉得需要的话，你可以把其他的 schema 全部添加进来include C:/openldap/etc/schema/corba.schemainclude C:/openldap/etc/schema/dyngroup.schemainclude C:/openldap/etc/schema/java.schemainclude C:/openldap/etc/schema/misc.schemainclude C:/openldap/etc/schema/nis.schemainclude C:/openldap/etc/schema/openldap.schema2) 还是在 sldap.conf 文件中，找到suffix "dc=my-domain,dc=com"rootdn "cn=Manager,dc=my-domain,dc=com"把这两行改为suffix "o=tcl,c=cn"rootdn "cn=Manager,o=tcl,c=cn"suffix 就是看自己如何定义了，后面步骤的 ldif 文件就必须与它定义了。

Openldap在windows下的安装及配置准备工作Openldap官网只提供了linux平台相关安装文件，windows平台的安装包可以在以下网站下载：erbooster.de/download/openldap-for-windows.aspx(本文使用：2.4.34)/projects/openldapwindows/files/http://sourceforge.jp/projects/openldapwin32/releases/安装过程按照提示一直next，直到安装完成：安装完成后，在系统服务中，找到openldap service，根据自己的需要将启动类型修改为自动或手动。

配置过程安装目录：E:\servers\OpenLDAP编辑文件：E:\servers\OpenLDAP\slapd.conf 修改如下内容suffix "dc=maxcrc,dc=com"rootdn "cn=Manager,dc=maxcrc,dc=com"修改为：suffix "dc=merit "rootdn "cn=Manager,dc=merit"新建一个文件：E:\servers\OpenLDAP\merit.ldif 内容如下dn: dc=meritobjectClass: domainobjectClass: topdc: meritdn: ou=erds,dc=meritobjectclass: topobjectclass: organizationalUnitou: erdsdn: ou=tim,dc=meritobjectclass: topobjectclass: organizationalUnitou: tim在系统服务中，找到openldap service，停止服务再控制台中切换到openldap安装目录下执行命令：Slapadd–v –l merit.ldif运行结果如下：在系统服务中再启动openldap service即可。

OpenLDAP安装及配置OpenLDAP安装及配置折腾了好多天总算是折腾出些眉⽬来了，openldap在linux下的安装与⽂件的配置估计令好多⼈都⽐较头疼吧？我就遇到了这样的问题。

下⾯我就⼤致说⼀下openldap的安装过程以及所遇到的⼀些问题的处理办法。

1.安装BerkeleyDB我选⽤的数据库是BerkeleyDB-4.8.26，在安装openldap之前需要把BDB先装好。

安装步骤如下：1）⾸先把下载好的⽂件db-4.8.26.tar解压，⽣成⽂件夹db-4.8.26，# cd db-4.8.26/build_unix# ../dist/configure# make# make install这个过程⼀般没什么问题，默认安装到了/usr/local下，⽬录名，BerkeleyDB.4.8,2) 接下来应该把BerkeleyDB.4.8下include和lib⽂件夹下的⽂件都考到usr⽂件夹下相应的include和lib⽂件下。

也可以通过以下命令来实现#cp /usr/local/ BerkeleyDB.4.8/include/* /usr/include#cp /usr/local/ BerkeleyDB.4.8/lib/* /usr/lib注意：*后边要有空格，这是cp命令的格式2.安装openldap同样，先解压，我⽤的是openldap-2.4.13，安装步骤如下#cd openldap-2.4.13#env CPPFLAGS=”-I/usr/local/ BerkeleyDB.4.8/include” LDFLAGS=”-L/usr/local/ BerkeleyDB.4.8/lib”./configure --prefix=/usr/local/openldap出现Making servers/slapd/backends.cAdd config…Add ldif…Add monitor…Add bdb…Add hdb…Add relay…Make servers/slapd/overlays/statover.cAdd syncprov…Please run “make depend” to build dependencies就可以进⾏下⼀步了，# make depend#make#make test# make install这样openldap就基本上安装完成了，但在这⼀步容易出现⼀些问题。

LDAP完全配置管理用户组服务器端一：安装相关软件yum -y install openldap* db4*二：安装配置1 创建复制BDB数据库配置文件LDAP服务器默认采用BDB（伯克利）数据库作为后台，CentOS中已经默认安装，需要先将/etc/openldap/目录下的DB-CONFIG.example文件复制到/var/lib/ldap/目录下并更名为DB-CONFIG并更改权限为ldap所有。

#cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG#useradd -s /sbin/nologin ldap#chown ldap:ldap /var/lib/ldap/DB_CONFIG2 LDAP服务器的主配置文件为/etc/openldap/slapd.conf,找到suffix “dc=my-domain,dc=com”rootdn “cn=Manager,dc=my-domain,dc=com” 两行。

根据实际情况修改为：suffix “dc=langtaojin,dc=com” 设定域名后缀rootdn “cn=Manager,dc= langtaojin,dc=com ” 超级管理员密码设为简单的明码，把rootpw secret这行前面的注释去掉，注意此行前面一定不要留空格。

将secret替换成123456（自定义密码）（或者用slappasswd -h{SSHA} -s 123456生成你的暗文密码）找到access配置部分，添加如下语句：access to attrs=shadowLastChange,Userpasswordby self writeby * authaccess to *by * readLDAP服务器需要手动添加日志功能。

/etc/openldap/slapd.conf中末行添加directory /var/lib/ldaploglevel 296cachesize 1000checkpoint 2048 10local4.* /var/log/ldap.log (說明：local0-7为syslog的facilities，具体的程序应用的facility不一样，每一个facility都有它的数字代码，由这些代码加上错误信息的程度syslog 可以判断出信息的优先权。