本文主要是介绍ECS Linux搭建OpenLDAP服务,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
背景
想搭建一个LDAP的服务,作为测试用。于是在阿里云上买了台测试机。搭建。
参考了这位大神的文章《OpenLDAP(2.4.3x)服务器搭建及配置说明》,基本上按照他的步骤做了搭建,我针对自己遇到的问题做了一下备注。
如果只是为了看一下ldap怎么用,完全不用这么麻烦。
下载Apache Directory Studio,直接在里面可以开启ApacheDS服务,就可以做基础的了解了。
正文
1 安装
1.1 准备编译环境和依赖包(ECS第1、2个,安装第3个openssl)
# apt-get install build-essential
# apt-get install libssl-dev
# ECS需要安装这个
yum -y install openssl-devel
下载openldap-2.4.31.tgz和db-5.1.29.NC.tar.gz并解压:(注意目录的路径,如果省事,最好一致)
db是数据库,openldap是上层服务
cd /usr/local/srcwget ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/openldap-2.4.31.tgzwget http://download.oracle.com/berkeley-db/db-5.1.29.NC.tar.gztar -zxf openldap-2.4.31.tgztar -zxf db-5.1.29.NC.tar.gzcd db-5.1.29.NC/build_unix/../dist/configure --prefix=/usr/local/berkeleydb-5.1make && make install
建议人工指定–prefix,默认会安装到/usr/local/BerkeleyDB.5.1。
1.2 安装openldap
设置一些环境变量,修改/etc/profile或/etc/bash.bashrc:(注意安装路径,根据实际需求修改)
环境变量
export BERKELEYDB_HOME="/usr/local/berkeleydb-5.1"
export CPPFLAGS="-I$BERKELEYDB_HOME/include"
export LDFLAGS="-L$BERKELEYDB_HOME/lib"
export LD_LIBRARY_PATH="$BERKELEYDB_HOME/lib"export LDAP_HOME="/usr/local/openldap-2.4"
export PATH="$PATH:$BERKELEYDB_HOME/bin:$LDAP_HOME/bin:$LDAP_HOME/sbin:$LDAP_HOME/libexec"
编译安装
./configure --prefix=/usr/local/openldap-2.4
make depend
make
make install
如果遇到问题,请检查第一步的依赖是否已经安装,查看openldap解压目录下的README看到REQUIRED SOFTWARE。
2 配制
2.1 基本配置
/usr/local/openldap-2.4目录结构:
bin/ --客户端工具如ldapadd、ldapsearchetc/ --包含主配置文件slapd.conf、schema、DB_CONFIG等include/lib/libexec/ --服务端启动工具slapdsbin/ --服务端工具如slappasswdshare/var/ --bdb数据、log存放目录
2.1.1 配置root密码
这个很重要,设置好之后再启动,如果没有改,那默认密码是secret
下面这个是采用了SSHA加密的方式,避免密码放入配制文件被人发现
# slappasswd
New password:
Re-enter new password:
{SSHA}phAvkua+5B7UNyIAuoTMgOgxF8kxekIk
2.2 修改后的slapd.conf
include /usr/local/openldap-2.4.31/etc/openldap/schema/core.schema
include /usr/local/openldap-2.4.31/etc/openldap/schema/cosine.schema
include /usr/local/openldap-2.4.31/etc/openldap/schema/inetorgperson.schemapidfile /usr/local/openldap-2.4.31/var/run/slapd.pid
argsfile /usr/local/openldap-2.4.31/var/run/slapd.argsloglevel 256
logfile /usr/local/openldap-2.4.31/var/slapd.log database bdb
# 自定义start 这里根据实际场景来定义
suffix "dc=mydomain,dc=net"
rootdn "cn=root,dc=mydomain,dc=net" # 数据库管理员
rootpw {SSHA}UK4eGUq3ujR1EYrOL2MRzMBJmo7qGyY3 # 管理员密码。这个是上面生成的
# 自定义END
directory /usr/local/openldap-2.4.31/var/openldap-data
index objectClass eq
2.3 服务操作
1)启动服务
/usr/local/openldap-2.4.31/libexec/slapd
2)启动服务
# 第一种方式(启动多个端口),ldaps,需要配制TLS加密传输./libexec/slapd -h 'ldap://0.0.0.0:389/ ldaps://0.0.0.0:636/ ldapi:///'# 第二种方式(带有证书的)
./libexec/slapd -h 'ldaps://0.0.0.0:636/'
3)提供其他几种方式
# 停止服务
systemctl stop slapd# 重启服务
systemctl restart slapd
ps aux | grep slapd | grep -v grep
netstat -tunlp | grep :389# 如果停止服务,还需要运行
killall slapd/usr/local/openldap-2.4.31/libexec/slapd
2.4 导入测试数据
touch一个文件test.ldif
dn: dc=mydomain,dc=net
objectClass: dcObject
objectClass: organization
dc: mydomain
o: mydomain.Incdn: cn=root,dc=mydomain,dc=net
objectClass: organizationalRole
cn: rootdn: ou=itsection,dc=mydomain,dc=net
ou: itsection
objectClass: organizationalUnitdn: cn=sean,ou=itsection,dc=mydomain,dc=net
ou: itsection
cn: sean
sn: zhouxiao
objectClass: inetOrgPerson
objectClass: organizationalPerson
插入数据
查看(匿名)
# ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts添加(读入密码)
# ldapadd -x -D "cn=root,dc=mydomain,dc=net" -W -f test.ldif验证
# ldapsearch -x -b 'dc=mydomain,dc=net' '(objectClass=*)'
遇到的问题
1 密码改了不生效
这个版本找不到sldap.d的文件,需要命令改,参考《Openldap修改管理员密码》
- 1)输入ldapsearch
ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config olcRootDN=cn=自定义xxx,dc=自定义xxx,dc=自定义xxx dn olcRootDN olcRootPW#以下是返回值
SASL /EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn: olcDatabase={2}bdb,cn=config # 这里是要下一步要用的
olcRootDN: cn=自定义xxx, dc =自定义xxx, dc =自定义xxx
olcRootPW: {SSHA}密码串
可以看到,这里返回的dn是olcDatabase={2}bdb,cn=config,密码等信息也都一并返回。这里有用的是dn和密码的加密方式,比如这里是SSHA,dn是后面修改的Entry DN,而知道密码的加密方式就可以使用该加密方式生成新密码。
- 2)使用slappasswd生成密码
[root@wiki ~] # slappasswd -h {SSHA}
New password:
Re-enter new password:
{SSHA}新密码串
- 3) 使用ldapmodify修改条目
ldapmodify -Y EXTERNAL -H ldapi: ///
SASL /EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0# 以下是交互模式
dn: olcDatabase={2}bdb,cn=config #这是第1步获取的管理员dn
replace: olcRootPW
olcRootPW: {SSHA}这里是上面slappasswd生成的密码
连续两次回车就好了。出现:
modifying entry "olcDatabase={2}bdb,cn=config"
密码就修改好了。
Apache Direcotry Studio直接开启LDAP服务
1 下载apache Directoryt Studio
- 最新地址(要求jdk11以上,当前时间:2021.5)
- 其他版本
2 安装
3 启动apahce
4 新建client链接
在这里就看到有一个connection
4 启动client链接
点击右键“open connection"
之后就开启了ldap试用的道路了~~
这篇关于ECS Linux搭建OpenLDAP服务的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
