前言
LDAP(Lightweight Directory Access Protocol)是基于X.500标准的轻量级目录访问协议,在Unix操作系统里面,和NIS,DNS一样,属于名称服务(Naming Service)。本文描述了如何在Ubuntu操作系统上面,搭建LDAP服务。
第一步:修改hostname
127.0.0.1 localhost
127.0.1.1 alternative
192.168.5.180
注:在 Debain 里安装 OpenLDAP 时,Debian 会提示给 LDAP 的 admin 用户设置一个密码,然后就自动地创建了一个默认的数据库,这个默认的数据库使用了一个默认的 base DN,默认情况下,Debian 会使用本机的域名来作为 base DN,比如如果我的域名是 ,那么 Debian 就会使用dc=ldapdomain,dc=com作为我的默认 base DN
第二步:安装,配置软件
sudoapt-getinstall-yslapdldap-utils
注:
slapd: openldap服务端程序组件
slapd: 守护进程
slapdn
slapadd
slapcat: 导出ldap数据库文件为.ldif格式
......
......
ldap-utils: openldap命令行工具集(ldapsearch, ldapmodify, ldapadd,......)
配置/etc/ldap/ldap.conf, 添加BASE 和 URI. 这里的BASE为dc=ldapdomain,dc=com URI为ldap://192.168.5.180:389
BASEdc=ldapdomain,dc=com
URI ldap://192.168.5.180:389
通过如下命令,对slapd进行再配置(如果默认配置可以满足需求,则跳过这一步)
dpkg-reconfigureslapd
注:reconfigure的内容,包括baseDN,admin管理员密码,后端数据库选择(HDB,BDB),是否删除旧的数据库,是否允许LDAPv2协议
安装php的ldap管理端软件:
apt-getinstall-yphpldapadmin
修改相应的配置文件/etc/phpldapadmin/config.php,做如下修改:
(1) $servers->setValue('server'. 'host','127.0.0.1')#修改为某个内网可访问的IP地址
(2) $servers->setValue('server'. 'base', array('dc=example,dc=com')) #修改为baseDN,这里修改为dc=ldapdomain,dc=com
(3) $servers->setValue('login', 'bind_id', 'cn=admin,dc=example,dc=com')#修改为baseDN下的admin, cn=admin,dc=ldapdomain,dc=com
(4) $config->custom->appearance['hide_template_warning'] =false#false修改为true
防火墙放行Apache2:
ufwallow"Apache"
ufwallow"ApacheFull"
ufwallow"ApacheSecure"
之后,重启服务:
/etc/init.d/apache2restart
通过curl http://<IP-Address>/phpldapadmin 测试页面是否能够访问,如果成功之后,通过浏览器访问的效果如下:
第三步:LDAP防火墙ufw配置
添加tcp端口389(ldap通信端口), 以及tcp端口636(ldaps通信端口),这里的server端的IP地址为192.168.5.180:
ufwallowprototcpfromanyto192.168.5.180port389
ufwallowprototcpfromanyto192.168.5.180port636
第四步:配置检查,添加数据
LDAP的配置是由cn=config的树形解构组成,可以通过ldapseach查到该树形结构存在哪些dn:
通过sasl的external认证方式进行查询:
ldapsearch-Q-LLL-YEXTERNAL-Hldapi:///-bcn=configdn:
注:
-Q : sasl认证model(相对于-x简单认证)
-LLL: 以ldif格式展示结果; 忽略注释; 忽略版本
-Y EXTERNAL: 用sasl的external认证方法
-H ldapi:/// : 连接localhost
-b cn=config dn: 查询所有cn=config分支的dn
通过简单认证,查询ldap的baseDN中的内容:
ldapsearch-x-LLL-Hldap:///-bdc=ldapdomain,dc=com
ldapsearch-x-LLL-Hldap:///-bdc=ldapdomain,dc=comdn:#onlyreturndnobject
ldapsearch-x-LLL-h192.168.5.180-p389-bdc=ldapdomain,dc=com
ldapsearch-x-LLL-h192.168.5.180-p389-bdc=ldapdomain,dc=comdn:#onlyreturndnobject
ldapsearch-x-LLL-h192.168.5.180-p389-bdc=ldapdomain,dc=comobjectClass=*#匹配objectClass
创建新的结构,保存为ldif文件,并将其添加到数据库中:
vistructure.ldif
内容如下:
dn:ou=people,dc=ldapdomain,dc=com
objectClass:organizationalUnit
ou:people
dn:ou=group,dc=ldapdomain,dc=com
objectClass:organizationalUnit
ou:group
注:在structure.ldif中,添加了两个条目,都属于organizationalUnit对象,一个的属性为people,另一个属性为group
利用ldapadd命令将ldif导入到数据库中:
ldapadd-x-Dcn=admin,dc=ldapsearch,dc=com-W-fstructure.ldif
注:
-D cn=admin,dc=ldapsearch,dc=com: 由于要往数据库中写内容,所以需要用admin用户的权限进行操作
-W: 在命令行中提示输入admin用户的密码
-f: 需要导入的ldif文件的路径
导入完毕之后,通过命令可以看到ldap数据库中已经存在了相应的内容:
root@alternative:~#ldapsearch-x-LLL-h192.168.5.180-p389-bdc=ldapdomain,dc=comobjectClass=*
dn:dc=ldapdomain,dc=com
objectClass:top
objectClass:dcObject
objectClass:organization
o:
dc:ldapdomain
dn:cn=admin,dc=ldapdomain,dc=com
objectClass:simpleSecurityObject
objectClass:organizationalRole
cn:admin
description:LDAPadministrator
dn:ou=people,dc=ldapdomain,dc=com
objectClass:organizationalUnit
ou:people
dn:ou=group,dc=ldapdomain,dc=com
objectClass:organizationalUnit
ou:group
安装服务端
安装必要的包
sudo apt install slapd ldap-utils
如果配错或想重新配置,执行如下命令:
提示:使用/etc/init.d/slapd启停LDAP服务
/etc/init.d/slapd start|stop
向数据库中插入内容
创建一个content.ldif文件,内容如下:
dn: ou=Users,dc=test,dc=comobjectClass: organizationalUnitou: Usersdn: ou=Groups,dc=test,dc=comobjectClass: organizationalUnitou: Groupsdn: cn=APP,ou=Groups,dc=test,dc=comobjectClass: posixGroupcn: APPgidNumber: 5000dn: uid=zhangsan,ou=Users,dc=test,dc=comobjectClass: inetOrgPersonobjectClass: posixAccountobjectClass: shadowAccountuid: zhangsansn: zhangsangivenName: zhangsancn: zhangsandisplayName: zhangsanuidNumber: 10000gidNumber: 5000userPassword: Aa123456gecos: zhangsanloginShell: /bin/bashhomeDirectory: /home/zhangsan
导入文件内容到数据库中
ldapadd -x -D cn=admin,dc=test,dc=com -W -f content.ldif
1
输出
Enter LDAP Password: adding new entry "ou=Users,dc=test,dc=com"adding new entry "ou=Groups,dc=test,dc=com"adding new entry "cn=APP,ou=Groups,dc=test,dc=com"adding new entry "uid=zhangsan,ou=Users,dc=test,dc=com"
校验添加是否成功
ldapsearch -x -LLL -b dc=test,dc=com 'uid=zhangsan' cn gidNumber
输出:
dn: uid=zhangsan,ou=Users,dc=test,dc=com
cn: zhangsan
gidNumber: 5000
命令解释
-x: 简单绑定,不使用SASL方法
-LLL: 不打印额外信息
uid=zhangsan: 一个过滤条件,查找zhangsan这个用户
cn gidNumber: 展示特定的属性(默认展示所有的属性)
使用ldapscripts去管理LDAP
安装ldapscripts:
sudo apt install ldapscripts
配置/etc/ldapscripts/ldapscripts.conf:
SERVER=localhostBINDDN='cn=admin,dc=test,dc=com'BINDPWDFILE="/etc/ldapscripts/ldapscripts.passwd"SUFFIX='dc=test,dc=com'GSUFFIX='ou=Groups'USUFFIX='ou=Users'MSUFFIX='ou=Computers'GIDSTART=5000UIDSTART=10000MIDSTART=10000
把LDAP管理员的密码写入ldapscripts.passwd(假设管理员的密码为Aa123456)
echo -n 'Aa123456' > /etc/ldapscripts/ldapscripts.passwd
修改文件权限,提高安全性
sudo chmod 400 /etc/ldapscripts/ldapscripts.passwd
然后就可以使用ldapscripts提供的命令管理LDAP,如:
添加用户组
ldapaddgroup bcm
输出
Successfully added group bcm to LDAP
添加用户
ldapadduser lisi bcm
输出:
Successfully added user lisi to LDAPSuccessfully set password for user lisi
设置用户密码:
ldapsetpasswd lisi qwerty
输出:
Successfully set encoded password for user uid=lisi,ou=Users,dc=test,dc=com
更多命令可以输入ldap按Tab键看看有哪些命令可以用
安装客户端
安装客户端需要的包
sudo apt install libnss-ldap
1
重新配置的话执行
sudo apt install libnss-ldap libpam-ldap nscd
配置的结果会写到/etc/ldap.conf
认证方式中添加LDAP
sudo auth-client-config -t nss -p lac_ldap
让系统使用LDAP鉴权
sudo pam-auth-update
客户端就可以使用服务端创建的LDAP用户登陆了
LDAP介绍
LDAP,英文全称Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是LDAP简单许多并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,因为TCP/IP对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。
安装LDAP
基于Debian系列的Ubuntu等系统,可以通过以下命令安装openldap:
sudo apt-get install slapd ldap-utils
安装过程中会提示输入设置LDAP管理员账号密码:
再次确认密码:
配置LDAP
打开'/etc/ldap/ldap.conf'文件按照以下内容配置修改:
sudo vi /etc/ldap/ldap.conf## LDAP Defaults## See ldap.conf(5) for details# This file should be world readable but not world writable.BASE dc=cpu-os,dc=comURIldap://172.30.44.140#SIZELIMIT12#TIMELIMIT15#DEREFnever# TLS certificates (needed for GnuTLS)TLS_CACERT/etc/ssl/certs/ca-certificates.crt
执行以下命令配置:
sudo dpkg-reconfigure slapd
以下界面选择“NO”后按Enter继续
输入DNS domain 名称。例如cpu-
输入组织名称,例如cpu-os
输入LDAP管理员的密码
再次确认输入LDAP管理员密码
选择HDB数据库
选择删除LDAP服务时自动删除数据库
选择删除之前的数据库
选择No后,LDAP服务配置且启动
测试LDAP服务
输入"ldapsearch -x",会看到类似以下输出:
# extended LDIF## LDAPv3# base <dc=your_company,dc=com> (default) with scope subtree# filter: (objectclass=*)# requesting: ALL## dn: dc=your_company,dc=comobjectClass: topobjectClass: dcObjectobjectClass: organization...# admin, dn: cn=admin,dc=your_company,dc=comobjectClass: simpleSecurityObjectobjectClass: organizationalRolecn: admindescription: LDAP administrator# search resultsearch: 2result: 0 Success# numResponses: 3# numEntries: 2
LDAP服务器管理
在命令行模式下管理LDAP服务器是相当困难的,所以在这里我使用了一个更简单的GUI管理工具“phpldapadmin”。
安装phpldapadmin
执行以下命令安装:
sudo apt-get install phpldapadmin
给phpldapadmin目录创建link目录
sudo ln -s /usr/share/phpldapadmin/ /var/www/phpldapadmin
打开‘/etc/phpldapadmin/config.phhp’文件,替换配置的名称。按照以下显示修改:
unixmen@server:~$ sudo vi /etc/phpldapadmin/config.php $servers = new Datastore();$servers->newServer('ldap_pla');$servers->setValue('server','name','your_company LDAP Server');$servers->setValue('server','host','your_server_ip');$servers->setValue('server','base',array('dc=your_company,dc=com'));$servers->setValue('login','auth_type','session');$servers->setValue('login','bind_id','cn=admin,dc=your_company,dc=com');
重启LDAP服务
sudo /etc/init.d/apache2 restart
打开系统80,389端口
root@nfs-virtual-machine:/home/nfs# ufw allow 80防火墙规则已更新规则已更新(v6)root@nfs-virtual-machine:/home/nfs# ufw allow 389防火墙规则已更新规则已更新(v6)
登陆LDAP服务端
通过浏览器访问http://IP/phpldapadmin
点击登陆按钮进入登陆界面
输入密码后点击“认证”进入系统会看到下面的界面
至此LDAP的管理服务phpldapadmin算是搭建完成了。
