本文主要介紹在 CentOS7 下 OpenLDAP Server 安裝及配置方法谓传,以及如何使用 phpLDAPadmin 和 Java LDAP 訪問 LDAP Server。
本人也是剛剛學習 LDAP唯竹,因此本文主要面向 LDAP 的初學者。高手請繞行!
學習前提:
- 了解 Linux 常用命令及編輯工具的使用方法。
- 了解 LDAP 的概念及基礎知識點(百度即可)虫啥。
系統(tǒng)環(huán)境:
CentOS Linux release 7.2.1511 (Core) 64位
Linux version 3.10.0-327.el7.x86_64
gcc version 4.8.3 20140911 (Red Hat 4.8.3-9) (GCC)
軟件環(huán)境:
openldap-clients-2.4.40-13
openldap-devel-2.4.40-13
openldap-2.4.40-13
openldap-servers-2.4.40-13
phpLDAPadmin 1.2.3(需要 LAMP 環(huán)境,該部分內(nèi)容請自行百度奄妨,不需要安裝 MySQL)
請以 root 賬號登錄并執(zhí)行以下所有命令涂籽。
OpenLDAP Server 安裝及配置
Step 1:安裝必要包
首先使用如下命令查看是否已經(jīng)安裝 OpenLDAP:
使用命令
rpm -qa | grep openldap
我已經(jīng)安裝了,若已經(jīng)安裝過,可以忽略此步驟,否則請繼續(xù)執(zhí)行如下命令(可以根據(jù)需要選擇是否安裝遷移工具 migrationtools):
# yum install -y openldap openldap-clients openldap-servers migrationtools
# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
# chown ldap. /var/lib/ldap/DB_CONFIG
# systemctl start slapd
# systemctl enable slapd
查看端口使用情況:
netstat -tlnp | grep slapd
端口信息
默認情況下, slapd 用戶會占用 389 端口。
Step 2:設置 OpenLDAP 的管理員密碼
首先要生成經(jīng)處理后的明文密碼:
[root@ldap ~]# slappasswd
New password:
Re-enter new password:
{SSHA}KjpGp+wQBX6XRCW7BtO106i7KVYcY9/U
其中 {SSHA}xxxxxxxxxxxxxxxxxxxxxxxx 就是加密處理后的明文密碼谢鹊,之后會用到這個密碼。 之后再新建如下文件:
touch chrootpw.ldif
echo "dn: olcDatabase={0}config,cn=config" >> chrootpw.ldif
echo "changetype: modify" >> chrootpw.ldif
echo "add: olcRootPW" >> chrootpw.ldif
echo "olcRootPW: {SSHA}KjpGp+wQBX6XRCW7BtO106i7KVYcY9/U" >> chrootpw.ldif
上面導入的為您自行設置的密碼,請自行替換甸昏。
最后導入該文件:
ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"
Step 3:導入基本 Schema(可以有選擇的導入)
cd /etc/openldap/schema/
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f collective.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f corba.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f core.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f duaconf.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f dyngroup.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f java.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f misc.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f openldap.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f pmi.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f ppolicy.ldif
Step 4:設置自己的 Domain Name
首先要生成經(jīng)處理后的目錄管理者明文密碼:
[root@ldap ~]# slappasswd
New password:
Re-enter new password:
{SSHA}fNA2PqKRV2ClJJf0p8jDW8oZiU2Cfzkk
之后,再新建如下文件:
vim chdomain.ldif
文件內(nèi)容如下舔清,注意丝里,
要使用你自己的域名替換掉文件中所有的 "dc=***,dc=***",
并且使用剛剛生成的密碼体谒,替換文中的 "olcRootPW" 部分杯聚,代碼如下:
# replace to your own domain name for "dc=***,dc=***" section
# specify the password generated above for "olcRootPW" section
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
read by dn.base="cn=Manager,dc=srv,dc=world" read by * none
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=srv,dc=world
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=srv,dc=world
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}fNA2PqKRV2ClJJf0p8jDW8oZiU2Cfzkk
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
dn="cn=Manager,dc=srv,dc=world" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=Manager,dc=srv,dc=world" write by * read
之后再導入該文件:
ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
然后再新建如下文件:
vim basedomain.ldif
文件內(nèi)容如下,注意抒痒,
要使用你自己的域名替換掉文件中所有的 "dc=***,dc=***":
# replace to your own domain name for "dc=***,dc=***" section
dn: dc=srv,dc=world
objectClass: top
objectClass: dcObject
objectclass: organization
o: Server World
dc: Srv
dn: cn=Manager,dc=srv,dc=world
objectClass: organizationalRole
cn: Manager
description: Directory Manager
dn: ou=People,dc=srv,dc=world
objectClass: organizationalUnit
ou: People
dn: ou=Group,dc=srv,dc=world
objectClass: organizationalUnit
ou: Group
最后導入該文件:
# ldapadd -x -D cn=Manager,dc=srv,dc=world -W -f basedomain.ldif
Enter LDAP Password:
adding new entry "dc=srv,dc=world"
adding new entry "cn=Manager,dc=srv,dc=world"
adding new entry "ou=People,dc=srv,dc=world"
adding new entry "ou=Group,dc=srv,dc=world"
Step 5:允許防火墻訪問 LDAP 服務幌绍。開啟 389/TCP 端口(根據(jù)你自己的防火墻進行設置):
若使用的是 firewall,修改方法如下:
firewall-cmd --add-service=ldap --permanent
success
firewall-cmd --reload
success
- 或者直接關閉防火墻
# systemctl stop firewalld 停止防火墻
# systemctl disable firewalld 徹底關閉防火墻
# setenforce 0 臨時關閉selinux
或者修改配置文件 vim /etc/selinux/config
SELINUX=disabled 徹底關閉selinux
若使用的是 iptables(默認未安裝)故响,修改方法如下:
vim /etc/sysconfig/iptables
追加如下內(nèi)容:
-A INPUT -p tcp -m state --state NEW -m tcp --dport 389 -j ACCEPT
最后重啟防火墻:
systemctl restart iptables
systemctl restart ip6tables
向 OpenLDAP Server 中添加用戶
[1] 添加用戶
首先要生成經(jīng)處理后的明文密碼:
[root@ldap ~]# slappasswd
New password:
Re-enter new password:
{SSHA}nkJcP9IEbVgbxZwP2PYyJVxgmP9+j35u
之后再新建如下文件:
vim ldapuser.ldif
文件內(nèi)容如下傀广,注意,
要使用你自己的域名替換掉文件中所有的 "dc=***,dc=***"彩届,
并且使用剛剛生成的密碼伪冰,替換文中的 "userPassword" 部分:
# create new
# replace to your own domain name for "dc=***,dc=***" section
dn: uid=cent,ou=People,dc=srv,dc=world
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: Cent
sn: Linux
userPassword: {SSHA}nkJcP9IEbVgbxZwP2PYyJVxgmP9+j35u
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/cent
dn: cn=cent,ou=Group,dc=srv,dc=world
objectClass: posixGroup
cn: Cent
gidNumber: 1000
memberUid: cent
最后導入該文件:
[root@ldap ~]# ldapadd -x -D cn=Manager,dc=srv,dc=world -W -f ldapuser.ldif
Enter LDAP Password:
adding new entry "uid=cent,ou=People,dc=srv,dc=world"
adding new entry "cn=cent,ou=Group,dc=srv,dc=world"
[2] 將 Linux 中已有的用戶及用戶組、ldap目錄(也就是 passwd/group 文件)導入到 LDAP 中
新建如下腳本文件:
vim ldapuser.sh
文件內(nèi)容如下樟蠕,注意贮聂,要使用你自己的域名替換掉 SUFFIX 變量:
#!/bin/bash
# extract local users and groups who have 1000-9999 digit UID
# replace "SUFFIX=***" to your own domain name
# this is an example
SUFFIX='dc=srv,dc=world'
LDIF='ldapuser.ldif'
echo -n > $LDIF
GROUP_IDS=()
grep "x:[1-9][0-9][0-9][0-9]:" /etc/passwd | (while read TARGET_USER
do
USER_ID="$(echo "$TARGET_USER" | cut -d':' -f1)"
USER_NAME="$(echo "$TARGET_USER" | cut -d':' -f5 | cut -d' ' -f1,2)"
[ ! "$USER_NAME" ] && USER_NAME="$USER_ID"
LDAP_SN="$(echo "$USER_NAME" | cut -d' ' -f2)"
[ ! "$LDAP_SN" ] && LDAP_SN="$USER_NAME"
LASTCHANGE_FLAG="$(grep "${USER_ID}:" /etc/shadow | cut -d':' -f3)"
[ ! "$LASTCHANGE_FLAG" ] && LASTCHANGE_FLAG="0"
SHADOW_FLAG="$(grep "${USER_ID}:" /etc/shadow | cut -d':' -f9)"
[ ! "$SHADOW_FLAG" ] && SHADOW_FLAG="0"
GROUP_ID="$(echo "$TARGET_USER" | cut -d':' -f4)"
[ ! "$(echo "${GROUP_IDS[@]}" | grep "$GROUP_ID")" ] && GROUP_IDS=("${GROUP_IDS[@]}" "$GROUP_ID")
echo "dn: uid=$USER_ID,ou=People,$SUFFIX" >> $LDIF
echo "objectClass: inetOrgPerson" >> $LDIF
echo "objectClass: posixAccount" >> $LDIF
echo "objectClass: shadowAccount" >> $LDIF
echo "sn: $LDAP_SN" >> $LDIF
echo "givenName: $(echo "$USER_NAME" | awk '{print $1}')" >> $LDIF
echo "cn: $USER_NAME" >> $LDIF
echo "displayName: $USER_NAME" >> $LDIF
echo "uidNumber: $(echo "$TARGET_USER" | cut -d':' -f3)" >> $LDIF
echo "gidNumber: $(echo "$TARGET_USER" | cut -d':' -f4)" >> $LDIF
echo "userPassword: {crypt}$(grep "${USER_ID}:" /etc/shadow | cut -d':' -f2)" >> $LDIF
echo "gecos: $USER_NAME" >> $LDIF
echo "loginShell: $(echo "$TARGET_USER" | cut -d':' -f7)" >> $LDIF
echo "homeDirectory: $(echo "$TARGET_USER" | cut -d':' -f6)" >> $LDIF
echo "shadowExpire: $(passwd -S "$USER_ID" | awk '{print $7}')" >> $LDIF
echo "shadowFlag: $SHADOW_FLAG" >> $LDIF
echo "shadowWarning: $(passwd -S "$USER_ID" | awk '{print $6}')" >> $LDIF
echo "shadowMin: $(passwd -S "$USER_ID" | awk '{print $4}')" >> $LDIF
echo "shadowMax: $(passwd -S "$USER_ID" | awk '{print $5}')" >> $LDIF
echo "shadowLastChange: $LASTCHANGE_FLAG" >> $LDIF
echo >> $LDIF
done
for TARGET_GROUP_ID in "${GROUP_IDS[@]}"
do
LDAP_CN="$(grep ":${TARGET_GROUP_ID}:" /etc/group | cut -d':' -f1)"
echo "dn: cn=$LDAP_CN,ou=Group,$SUFFIX" >> $LDIF
echo "objectClass: posixGroup" >> $LDIF
echo "cn: $LDAP_CN" >> $LDIF
echo "gidNumber: $TARGET_GROUP_ID" >> $LDIF
for MEMBER_UID in $(grep ":${TARGET_GROUP_ID}:" /etc/passwd | cut -d':' -f1,3)
do
UID_NUM=$(echo "$MEMBER_UID" | cut -d':' -f2)
[ $UID_NUM -ge 1000 -a $UID_NUM -le 9999 ] && echo "memberUid: $(echo "$MEMBER_UID" | cut -d':' -f1)" >> $LDIF
done
echo >> $LDIF
done
)
之后,執(zhí)行該腳本寨辩,會生成 ldapuser.ldif 文件:
sh ldapuser.sh
最后導入該文件:
[root@dlp ~]# sh ldapuser.sh
[root@dlp ~]# ldapadd -x -D cn=Manager,dc=srv,dc=world -W -f ldapuser.ldif
Enter LDAP Password:
adding new entry "uid=cent,ou=People,dc=srv,dc=world"
adding new entry "uid=redhat,ou=People,dc=srv,dc=world"
adding new entry "uid=ubuntu,ou=People,dc=srv,dc=world"
adding new entry "uid=debian,ou=People,dc=srv,dc=world"
adding new entry "cn=cent,ou=Group,dc=srv,dc=world"
adding new entry "cn=redhat,ou=Group,dc=srv,dc=world"
adding new entry "cn=ubuntu,ou=Group,dc=srv,dc=world"
adding new entry "cn=debian,ou=Group,dc=srv,dc=world"
下面部分有兩個參考
參考1
- 安裝phpLDAPadmin來web配置LDAP
安裝和配置httpd
[root@www ~]# yum -y install httpd
# remove welcome page
[root@www ~]# rm -f /etc/httpd/conf.d/welcome.conf
[root@www ~]# vi /etc/httpd/conf/httpd.conf
# line 86: change to admin's email address
ServerAdmin root@srv.world
# line 95: change to your server's name
ServerName www.srv.world:80
# line 151: change
AllowOverride All
# line 164: add file name that it can access only with directory's name
DirectoryIndex index.html index.cgi index.php
# add follows to the end
# server's response header
ServerTokens Prod
# keepalive is ON
KeepAlive On
[root@www ~]# systemctl start httpd
[root@www ~]# systemctl enable httpd
[root@www ~]# vi /var/www/html/index.html
<html>
<body>
<div style="width: 100%; font-size: 40px; font-weight: bold; text-align: center;">
Test Page
</div>
</body>
</html>
安裝php
[root@www ~]# yum -y install php php-mbstring php-pear
[root@www ~]# vi /etc/php.ini
# line 878: uncomment and add your timezone
date.timezone = "Asia/Shanghai"
[root@www ~]# systemctl restart httpd
[root@www ~]# vi /var/www/html/index.php
<html>
<body>
<div style="width: 100%; font-size: 40px; font-weight: bold; text-align: center;">
<?php
print Date("Y/m/d");
?>
</div>
</body>
</html>
安裝phpLDAP admin
[root@dlp ~]# wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
[root@dlp ~]# rpm -ivh epel-release-latest-7.noarch.rpm
[root@dlp ~]# yum repolist ##檢查是否已添加至源列表
# install from EPEL
[root@dlp ~]# yum --enablerepo=epel -y install phpldapadmin
[root@dlp ~]# vi /etc/phpldapadmin/config.php
解除 397 行的注釋吓懈,注釋到 398 行
$servers->setValue('login','attr','dn');
// $servers->setValue('login','attr','uid');
如圖:
[root@dlp ~]# vi /etc/httpd/conf.d/phpldapadmin.conf
Alias /phpldapadmin /usr/share/phpldapadmin/htdocs
Alias /ldapadmin /usr/share/phpldapadmin/htdocs
<Directory /usr/share/phpldapadmin/htdocs>
<IfModule mod_authz_core.c>
# Apache 2.4
# line 12: add access permission
Require local
# 追加內(nèi)容,設置允許訪問 phpLDAPadmin 的 IP 段
Require ip 10.0.0.0/24
重新啟動 Apache
[root@dlp ~]# systemctl restart httpd
通過phpLDAPadmin訪問
http://www.xww.world/ldapadmin 即可
- 方法1結束
刪除 LDAP 用戶或組 方法
刪除用戶:
ldapdelete -x -W -D ' cn=Manager,dc=srv,dc=world' "uid=ldapuser1,ou=People,dc=srv,dc=world"
刪除組:
ldapdelete -x -W -D ' cn=Manager,dc=srv,dc=world' "cn=ldapuser1,ou=Group,dc=srv,dc=world"
方法二:
-
配置 LDAP 客戶端靡狞,實現(xiàn)網(wǎng)絡用戶信息共享
環(huán)境說明:
客戶端(192.168.21.177)
LDAP Server(192.168.21.178)
應用場景
客戶端需要共享 LDAP Server上的用戶耻警,希望以后任何一臺機器(例如,192.168.21.189),使用 LDAP Server 上的用戶榕栏,就可以直接登錄客戶端畔勤。
在客戶端機器上執(zhí)行如下命令
首先安裝必要包:
yum install -y openldap-clients nss-pam-ldapd authconfig authconfig-gtk
之后執(zhí)行如下命令(注意,請使用自己的值替換 --ldapserver 和 --ldapbasedn 參數(shù)):
authconfig --enableldap \
--enableldapauth \
--ldapserver=192.168.21.178 \
--ldapbasedn="dc=ho1ho,dc=com" \
--enablemkhomedir \
--update
然后退出客戶端控制臺扒磁。之后就可以在任何一臺機器上,使用 LDAP 用戶登錄客戶端了妨托。例如,在自己的機器(192.168.21.189)内颗,使用 cent 用戶(cent 為 LDAP 用戶),登錄客戶端:
# ssh cent@192.168.21.177
cent@192.168.21.177's password:
Creating directory '/home/cent'.
請關閉 SELinux敦腔,否則可能無法自動創(chuàng)建用戶目錄均澳,也就是用戶的 home 目錄找前。
查詢 LDAP 用戶信息
$ ldapsearch -x -b "dc=ho1ho,dc=com" -H ldap://172.17.0.6
# extended LDIF
#
# LDAPv3
# base <dc=ho1ho,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# ho1ho.com
dn: dc=ho1ho,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
......
......
安裝 phpLDAPadmin
安裝 phpLDAPadmin 需要 LAMP 環(huán)境,安裝方法請自行百度判族。(不需要安裝 MySQL)
為了方便安裝 phpLDAPadmin躺盛,請將 YUM 源修改成 aliyun 源形帮,方法自行百度
yum install -y phpldapadmin
修改配置:
vim /etc/phpldapadmin/config.php
修改內(nèi)容,解除 397 行的注釋辩撑,注釋到 398 行槐臀。修改后的結果如下:
$servers->setValue('login','attr','dn');
// $servers->setValue('login','attr','uid');
vim /etc/httpd/conf.d/phpldapadmin.conf
修改內(nèi)容如下:
Alias /phpldapadmin /usr/share/phpldapadmin/htdocs
Alias /ldapadmin /usr/share/phpldapadmin/htdocs
<Directory /usr/share/phpldapadmin/htdocs>
<IfModule mod_authz_core.c>
# Apache 2.4
Require local
# 追加內(nèi)容,設置允許訪問 phpLDAPadmin 的 IP 段
Require ip 192.168.21.0/8
重新啟動 Apache
systemctl restart httpd
訪問地址:http://[your ip]/ldapadmin 或 http://[your ip]/phpldapadmin
注意得糜,登錄時輸入的是 DN晰洒,例如:cn=Manager,dc=ho1ho,dc=com
uid=cent,ou=People,dc=srv,dc=world
登錄后頁面如下:
使用 Java LDAP 庫訪問 LDAP Server
Java LDAP 庫 Maven 地址如下:
<!-- https://mvnrepository.com/artifact/com.novell.ldap/jldap -->
<dependency>
<groupId>com.novell.ldap</groupId>
<artifactId>jldap</artifactId>
<version>4.3</version>
<type>jar</type>
<scope>compile</scope>
</dependency>
參考地址:
https://blog.csdn.net/wenwenxiong/article/details/76855047
http://yhz61010.iteye.com/blog/2352672
