LDAP配置與安裝

LDAP配置與安裝

• 一、安裝LDAP
• • 1、安裝OpenLDAP及相關依賴包
  • 2、查看OpenLDAP版本
  • 3、配置OpenLDAP數據庫
  • 4、設置OpenLDAP的管理員密碼
  • 5、修改配置文件
  • • 5.1. 修改{2}hdb.ldif文件
    • 5.2. 修改{1}monitor.ldif文件
    • 5.3. 修改{-1}frontend.ldif文件
  • 6、驗證LDAP的基本配置
  • 7、修改LDAP文件權限、端口（不強求）
  • 8、啟動OpenLDAP服務
  • 9、導入基本Schema
  • 10、修改migrate_common.ph文件
  • 11、配置LDAP基礎數據庫
  • 12、導入基礎數據庫
  • 13、添加用戶及用戶組
  • 14、查詢LDAP的相關信息
  • 15、開啟OpenLDAP日志訪問功能
• 二、安裝PHPldapAdmin管理軟件
• • 1、安裝
  • 2、修改配置文件
  • 3、啟動httpd
• 三、使用LdapAdmin
• 四、數據遷移
• • 1、獲取數據到指定文件
  • 2、查看數據是否備份成功
  • 3、插入數據
• 五、卸載LDAP
• 參考

一、安裝LDAP

1、安裝OpenLDAP及相關依賴包

[root@nano ~]# yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools

2、查看OpenLDAP版本

[root@nano ~]# slapd -VV

3、配置OpenLDAP數據庫

# OpenLDAP默認使用的數據庫是BerkeleyDB，/var/lib/ldap/就是BerkeleyDB數據庫默認存儲的路徑： [root@localhost cn=config]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

4、設置OpenLDAP的管理員密碼

（格式——slappasswd -s [password]）

[root@nano ~]# slappasswd -s huawei {SSHA}TlGs09uMOeFa5UJNhy1LB6cGW9i8N+tt # 記住該密碼，下面配置要用

5、修改配置文件

定位到/etc/openldap/slapd.d/cn=config中，修改相關配置文件{1}monitor.ldif、{2}hdb.ldif、{-1}frontend.ldif：

[root@nano ~]# cd /etc/openldap/slapd.d/cn\=config [root@nano cn=config]# ll > 總用量 24 drwxr-x---. 2 ldap 4096 3月 2 10:14 cn=schema > -rw-------. 1 ldap 378 3月 2 10:14 cn=schema.ldif > -rw-------. 1 ldap 513 3月 2 10:14 olcDatabase={0}config.ldif > -rw-------. 1 ldap ldap 443 3月 2 10:14 olcDatabase={-1}frontend.ldif > -rw-------. 1 ldap ldap 562 3月 2 10:14 olcDatabase={1}monitor.ldif > -rw-------. 1 ldap ldap 609 3月 2 10:14 olcDatabase={2}hdb.ldif

5.1. 修改{2}hdb.ldif文件

[root@nano cn=config]# vim olcDatabase\=\{2\}hdb.ldif

• 修改域信息： olcSuffix: dc=ss,dc=com olcRootDN: cn=admin,dc=ss,dc=com
• 定位到最后添加一行密碼： olcRootPW: {SSHA}dXgO/Ipy5SQiKFZ0u7m79Xo7uzKIr038
• 注意：其中cn=admin中的admin表示OpenLDAP管理員的用戶名，dc為ldap的服務器域名（dc=ss是自行創建的服務器域名），olcRootPW表示OpenLDAP管理員的密碼

5.2. 修改{1}monitor.ldif文件

[root@nano cn=config]# vim olcDatabase\=\{1\}monitor.ldif

5.3. 修改{-1}frontend.ldif文件

[root@localhost cn=config]# vim olcDatabase\=\{-1\}frontend.ldif # 權限設置，指定用戶密碼只能由本人和管理員能更改。添加如下兩行代碼：olcAccess: {0}to attrs=userPassword by self write by anonymous auth by users noneolcAccess: {1}to * by * read

6、驗證LDAP的基本配置

# 若出現succeeded就表示成功了 [root@nano cn=config]# slaptest -u

7、修改LDAP文件權限、端口（不強求）

[root@localhost cn=config]# chown -R ldap:ldap /var/lib/ldap/ [root@localhost cn=config]# chown -R ldap:ldap /etc/openldap/# OpenLDAP默認監聽的端口是389，我們可在/etc/sysconfig/slapd文件中修改其監聽端口，如下修改為4567端口 [root@localhost cn=config]# vim /etc/sysconfig/slapd SLAPD_URLS= "ldapi://0.0.0.0:4567/ldap://0.0.0.0:4567/"

8、啟動OpenLDAP服務

[root@localhost cn=config]# systemctl enable --now slapd # 設置slapd服務開機自啟，并啟動# 驗證端口狀態 # 前提是要安裝net-tools才能使用netstat命令 [root@localhost cn=config]# netstat -antup | grep 389

9、導入基本Schema

導入基本Schema，使用如下命令：

[root@nano cn=config]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif [root@nano cn=config]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif [root@nano cn=config]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

10、修改migrate_common.ph文件

# migrate_common.ph文件主要是用于生成ldif文件使用，修改migrate_common.ph文件，如下： [root@localhost cn=config]# vim /usr/share/migrationtools/migrate_common.ph +71

11、配置LDAP基礎數據庫

# 配置如下信息（修改對應的dc數據值）： [root@localhost ~]# mkdir /root/openldap [root@localhost ~]# vim openldap/base.ldif #管理員信息 dn: dc=ss,dc=com o: ss com dc: ss objectClass: top objectClass: dcObject objectclass: organizationdn: cn=admin,dc=ss,dc=com cn: admin objectClass: organizationalRole description: Directory Manager#基本分組 dn: ou=People,dc=ss,dc=com ou: People objectClass: top objectClass: organizationalUnitdn: ou=Group,dc=ss,dc=com ou: Group objectClass: top objectClass: organizationalUnit

12、導入基礎數據庫

# -x 進行簡單認證、-D 用來綁定服務器的DN、-w 綁定管理員的密碼（最開始設置的） [root@localhost ~]# ldapadd -x -D 'cn=admin,dc=ss,dc=com' -w '123456' -f /root/openldap/base.ldif

13、添加用戶及用戶組

默認情況下OpenLDAP是沒有普通用戶的，只有一個管理員用戶（最開始配置的）

[root@localhost ~]# groupadd ldapgroup1 [root@localhost ~]# groupadd ldapgroup2 [root@localhost ~]# useradd -g ldapgroup1 ldapuser1 [root@localhost ~]# useradd -g ldapgroup2 ldapuser2 [root@localhost ~]# echo '123456' | passwd --stdin ldapuser1 [root@localhost ~]# echo '123456' | passwd --stdin ldapuser2# 提取剛添加的用戶和用戶組相關信息 [root@localhost ~]# grep ":10[0-9][0-9]" /etc/passwd > /root/openldap/users [root@localhost ~]# grep ":10[0-9][0-9]" /etc/group > /root/openldap/groups [root@localhost ~]# cat openldap/users [root@localhost ~]# cat openldap/groups# 使用migrate_passwd.pl文件生成要添加用戶和用戶組的ldif [root@localhost ~]# /usr/share/migrationtools/migrate_group.pl /root/openldap/groups > /root/openldap/groups.ldif [root@localhost ~]# /usr/share/migrationtools/migrate_passwd.pl /root/openldap/users > /root/openldap/users.ldif# 導入用戶及用戶組到Ldap數據庫 [root@localhost ~]# ldapadd -x -w '123456' -D 'cn=admin,dc=ss,dc=com' -f /root/openldap/groups.ldif [root@localhost ~]# ldapadd -x -w '123456' -D 'cn=admin,dc=ss,dc=com' -f /root/openldap/users.ldif

把LDAP用戶加入到用戶組

# 盡管我們已經把用戶和用戶組信息，導入到OpenLDAP數據庫中了。但實際上目前OpenLDAP用戶和用戶組之間是沒有任何關聯的 # 如果我們要把OpenLDAP數據庫中的用戶和用戶組關聯起來的話，我們還需要做另外單獨的配置 [root@localhost ~]# cat > /root/openldap/add_user_to_groups.ldif << "EOF" dn: cn=ldapgroup1,ou=Group,dc=ss,dc=com changetype: modify add: memberuid memberuid: ldapuser1dn: cn=ldapgroup2,ou=Group,dc=ss,dc=com changetype: modify add: memberuid memberuid: ldapuser2 EOF [root@localhost ~]# ldapadd -x -w '123456' -D 'cn=admin,dc=ss,dc=com' -f /root/openldap/add_user_to_groups.ldif

14、查詢LDAP的相關信息

1》 查詢LDAP全部信息

[root@localhost ~]# ldapsearch -x -b 'dc=ss,dc=com' -H ldap://127.0.0.1

2》 查詢添加的LDAP用戶組信息

[root@localhost ~]# ldapsearch -LLL -x -D 'cn=admin,dc=ss,dc=com' -w '123456' -b 'dc=ss,dc=com' 'cn=ldapgroup1'

3》 查詢添加的LDAP用戶信息

[root@localhost ~]# ldapsearch -LLL -x -D 'cn=admin,dc=ss,dc=com' -w '123456' -b 'dc=ss,dc=com' 'uid=ldapuser1'

15、開啟OpenLDAP日志訪問功能

默認情況下OpenLDAP是沒有啟用日志記錄功能的，但是在實際使用過程中，我們為了定位問題需要使用到OpenLDAP日志

# 新建日志配置ldif文件，如下： [root@localhost ~]# cat > /root/openldap/loglevel.ldif << EOF dn: cn=config changetype: modify replace: olcLogLevel olcLogLevel: stats EOF [root@localhost ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f /root/openldap/loglevel.ldif# 修改rsyslog配置文件，并重啟rsyslog服務，如下： [root@localhost ~]# cat >> /etc/rsyslog.conf << EOF local4.* /var/log/slapd.log EOF# 重啟服務 [root@localhost ~]# systemctl restart rsyslog [root@localhost ~]# systemctl restart slapd# 使用ldapuser1認證下 [root@localhost ~]# ldapwhoami -x -D uid=ldapuser1,ou=People,dc=ss,dc=com -w 123456

查看OpenLDAP日志，如下：

[root@localhost ~]# tail /var/log/slapd.log

到此，LDAP已配置完成。

---

二、安裝PHPldapAdmin管理軟件

1、安裝

先安裝Apache和PHP：

[root@localhost ~]# yum -y install httpd php php-ldap php-gd php-mbstring php-pear php-bcmath php-xml

再安裝phpldapadmin：

[root@localhost ~]# yum -y install epel-release [root@localhost ~]# yum --enablerepo=epel -y install phpldapadmin

2、修改配置文件

》修改config.php文件：

[root@nano cn=config]# vim /etc/phpldapadmin/config.php +397 > // 397行取消注釋，398行添加注釋 > $servers->setValue('login','attr','dn'); > // $servers->setValue('login','attr','uid');

》修改phpldapadmin.conf文件：

[root@nano cn=config]# vim /etc/httpd/conf.d/phpldapadmin.conf +11 > <IfModule mod_authz_core.c> > # Apache 2.4 > Require local > # 添加一行內容，指定可訪問的ip段 或者輸入：Require all granted 開放外網訪問 > Require ip 192.168.77.0/24 > </IfModule>

3、啟動httpd

修改Apache的端口！一般來說80端口會被占用，所以需要改一下端口，如果不需要的可以跳過此步驟。

vim /etc/httpd/conf/httpd.conf 將配置文件中的Listen 80 改成Listen 8081

啟動httpd

[root@nano cn=config]# systemctl enable --now httpd

瀏覽器訪問 phpldapadmin：

• url: http://服務器地址/phpldapadmin/
• 用戶名：cn=admin,dc=ss,dc=com
• 密碼：設定的管理員密碼

Phpldap使用方法參考：https://blog.csdn.net/u010543388/article/details/107682769

---

三、使用LdapAdmin

該軟件更容易創建用戶組、用戶和移動等

---

四、數據遷移

1、獲取數據到指定文件

[root@nano cn=config]# ldapsearch -LLL -W -x -D "cn=admin,dc=ss,dc=com" -b "dc=ss,dc=com" > ldap_data_2023.ldif

如果公司有多個域，請將命令執行多次，修改命令中-b 后面的域名就行；
注意： 以上命令只適合數據量小的時候，數據量在10000以內可以這么做，如果超過了請就選擇其他方法；

2、查看數據是否備份成功

[root@nano cn=config]# cat ldap_data_2023.ldif

3、插入數據

[root@nano cn=config]# ldapadd -x -D "cn=admin,dc=ss,dc=com" -w "你的密碼" -f ldap_data_2023.ldif

若出現如下報錯，則證明數據庫中已有該條記錄，需要到ldap_data_2023.ldif中刪除，再繼續導入即可
adding new entry "dc=test,dc=com"
ldap_add: Already exists (68)

---

五、卸載LDAP

1、停止openldap

[root@nano cn=config]# systemctl stop slapd [root@nano cn=config]# systemctl disable slapd

2、卸載

[root@nano cn=config]# yum -y remove openldap-servers openldap-clients

3、刪除殘留文件

[root@nano cn=config]# rm -rf /var/lib/ldap

4、刪除ldap用戶

[root@nano cn=config]# userdel ldap

5、刪除openldap目錄

[root@nano cn=config]# rm -rf /etc/openldap

參考

• OpenLDAP安裝與配置 -博客園

• LDAP安裝、LDAP數據遷移、LDAP卸載指南及PHPldapAdmin管理軟件安裝-博客園

• 在CentOS 7上安裝OpenLDAP服務器 - 簡書 (jianshu.com)