OpenLDAP搭建全过程 (待补充

Posted 2021-02-01 tichy

一、OpenLDAP服务端安装部署

1. 安装OpenLDAP服务

[[email protected] ~]# yum list |grep openldap

[[email protected] ~]# yum install -y openldap openldap-servers openldap-clients openldap-devel compat-openldap

//其中compat-openldap这个包与主从配置有关。

安装完成后自动创建了ldap用户，

[[email protected] ~]# rpm -qa |grep openldap

2. OpenLDAP相关配置文件

/etc/openldap/slapd.conf    //OpenLDAP的主配置文件，记录根域信息，管理员名称，密码，日志，权限等；

/etc/openldap/slapd.d/*       //这下面是/etc/openldap/slapd.conf配置信息生成的文件，每修改一次配置信息，这里的东西就要重新生成；

/etc/openldap/schema/*      //OpenLDAP的schema存放的地方；

/var/lib/ldap/*                      //OpenLDAP的数据文件；

/usr/share/openldap-servers/slapd.conf.obsolete      //模板配置文件；

/usr/share/openldap-servers/DB_CONFIG.example   //模板数据库配置文件； 

OpenLDAP监听的端口：

默认端口：389（明文数据传输）

加密端口：636（密文数据传输）

3. 初始化OpenLDAP的配置

[[email protected] ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[[email protected] ~]# cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf

4. 修改配置文件

slappasswd生成密文密码nihaoa，写入配置文件/etc/openldap/slapd.conf中，

这里的rootpw必须顶格写，与后面的密码文件用TAB键隔开，

//个人建议：为了便于排错，不要在配置文件中直接修改，另起一行写入新的配置。

根据自己定义配置，修改对应的，

5. 重新生成配置文件

先检测/etc/openldap/slapd.conf是否有错误：slaptest -f /etc/openldap/slapd.conf

这里报错是因为在第3步没有重新生成配置文件，启动slapd服务，而是直接修改配置文件了，先启动slapd服务，

报错显示，是因为没有给/var/lib/ldap/目录授权。授权后再启动slapd服务，成功，

再次检查/etc/openldap/slapd.conf是否有错误：slaptest -f /etc/openldap/slapd.conf

先删除最早的配置文件生成的内容：rm -rf /etc/openldap/slapd.d/*

重新生成：slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

检查新生成的配置文件信息：cat /etc/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif

到此为止，OpenLDAP服务端基本上完成了。

二、phpLDAPAdmin的搭建

1. 安装PhpLDAPAdmin

[[email protected] ~]# yum install -y phpldapadmin

2. 修改phpldapadmin的访问控制权限

[[email protected] ~]# vim /etc/httpd/conf.d/phpldapadmin.conf

加入允许访问的主机，

 3. 修改配置文件：vim /etc/phpldapadmin/config.php

$servers->setValue(‘login‘,‘attr‘,‘dn‘);       这行的注释去掉

//$servers->setValue(‘login‘,‘attr‘,‘uid‘);    这行注释掉

4. 重启httpd服务

[[email protected] ~]# /etc/init.d/httpd restart

此提示基本上无影响，但作为深度强迫症，无法忍受。

可修改httpd的配置文件vim /etc/httpd/conf/httpd.conf，加入ServerName localhost:80，

可去掉该提示，而且速度也变快了，你值得拥有，so easy!

5. 在浏览器登录OpenLDAP

http://your server ip/ldapadmin

输入管理员的DN，就是此前配置文件里面配置的，

认证，报错，

这是因为搭建OpenLDAP服务端的时候，并没有把管理员的账号信息导入，编辑root.ldif，然后导入

dn: dc=ccp,dc=com
objectclass: dcObject
objectclass: organization
o: Tichy,Inc.
dc: ccp

dn: cn=tichy,dc=ccp,dc=com
objectclass: organizationalRole
cn: tichy

冒号：后必须有空格，但是值的后面不能有任何空格，空行也不能有空格。

然后导入root.ldif，

[[email protected] ~]# ldapadd -x -D "cn=tichy,dc=ccp,dc=com" -W -f root.ldif