OpenLDAP2.4.44安装和配置

OpenLDAP2.4.44安装和配置


安装前系统设置

1、防火墙设置
centos7.0默认防火墙为firewalld
#停止firewall
# systemctl stop firewalld.service

#禁止firewall开机启动
# systemctl disable firewalld.service

查看默认防火墙状态：
# firewall-cmd --state

2、修改selinux
# setenforce 0
# vi /etc/selinux/config
将SELINUX=enforcing改为：SELINUX=disabled


一、安装OpenLDAP

1、安装
yum install -y openldap openldap-clients openldap-servers migrationtools

2、设置OpenLDAP管理密码，复制产生的密文。
slappasswd
New password: linux123
Re-enter new password: linux123
{SSHA}r2fcL6Exxgr8oKkaWROUQDCZKqXrH7bE

3、修改根DN与添加密码
vi /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldif

修改内容：
olcSuffix: dc=jf,dc=com
olcRootDN: cn=Manager,dc=jf,dc=local
添加内容：
olcRootPW: {SSHA}r2fcL6Exxgr8oKkaWROUQDCZKqXrH7bE

备注：密码就是{ssha}和后面的那一串，此处使用上面生成的密码替换。

4、修改验证
vi /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{1\}monitor.ldif

olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern
al,cn=auth" read by dn.base="cn=Manager,dc=jf,dc=local" read by * none

5、配置DB数据库
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown -R ldap.ldap /var/lib/ldap

6、验证
slaptest -u
看见：config file testing succeeded #验证成功，否则失败。

7、启动
systemctl start slapd
systemctl enable slapd

8、执行ldapsearch -x检查是否有如下输出
ldapsearch -x -b '' -s base'(objectclass=*)'

# extended LDIF
#
# LDAPv3
# base <> with scope baseObject
# filter: (objectclass=*)
# requesting: ALL
#

#
dn:
objectClass: top
objectClass: OpenLDAProotDSE

# search result
search: 2
result: 0 Success

如显示上面信息，表示服务已经启动成功。


二、创建管理员账号

1、编辑ldif文件
cd /opt/
vi test.ldif

dn: dc=jf,dc=local
objectclass: dcObject
objectclass: organization
o: jf.local
dc: jf

dn: cn=Manager,dc=jf,dc=local
objectclass: organizationalRole
cn: Manager

2、导入数据库
ldapadd -x -D "cn=Manager,dc=jf,dc=local" -W -f test.ldif

3、验证
ldapsearch -x -b 'dc=jf,dc=local' '(objectClass=*)'


三、OpenLDAP管理工具（LDAP Admin）

1、创建数据库文件，New -> New Profile
输入Profile名字，下一步

输入Host地址，Port默认为389（注意防火墙是否开放389端口）
Base DN处默认为空，标示在根节点上
下一步

选择"Other credenti"，
Mechanism选择"Simple"，
Princip处输入"cn=Manager,dc=jf,dc=local"，
Password处填写相应密码，保存密码，
点击"完成"即创建成功。

2、创建OU
New -> New Entry -> Template-Base -> Organization

3、创建Person
New -> New Entry -> Template-Base -> Person



四、数据备份（未测试）

1、ldap

数据备份的方式有两种：一种是通过ldapsearch，一种是通过slapcat命令。
这里更倾向于使用后者。因为后者使用不涉及到密码输出等问题。直接一条命令搞定
/usr/sbin/slapcat > /opt/ldap/ldapdbak.ldif

2、数据的导入

ldap的导入命令也有两种：一种是通过ldapadd命令，一种是通过slapadd命令。
同样，这里更倾向于使用后者。方法如下：
slapadd -l /opt/ldap/ldapdbak.ldif

3、数据的清空

数据清空也有两种方式：一种是通过ldapdelete删除，一种通过直接清理物理文件（清理前先关闭ldap应用）。
当然ldapdelete除了清空数据外，也可以用于删除部分数据。如果仅仅是清空数据的，我更倾向于使用清空物理
文件的方式。默认通过yum安装的ldap的数据文件存放的路径是 /var/lib/ldap，不过因为域的不同，在该目录
下面可能又有根据不同的域命名的目录。有点类似于mysql下不同的库使用不同的文件夹名字是一个道理。
而如果要清一个域的数据的方法就是直接将该域对应的物理文件删除即可。

4、数据迁移

其实在上面几个步骤中已经将迁移的操作都串联进去了。具体操作分两步：一步是源服务器上的导出，一步
是目标服务器上的导入。详细如下：

源服务器：
/usr/sbin/slapcat > /opt/ldap/ldapdbak.ldif

目标服务器：
/etc/init.d/slapd stop
rm -rf /var/lib/ldap/*
mkdir https://www.wendangku.net/doc/bd1460382.html, (创建对应的域目录)
chown -R ldap:ldap https://www.wendangku.net/doc/bd1460382.html,
slapadd -l /opt/ldap/ldapdbak.ldif
chown -R ldap:ldap https://www.wendangku.net/doc/bd1460382.html,
/etc/init.d/slapd start