openldap-for-indows安装文档

Windows下openssl的下载安装和使⽤⽅法安装openssl有两种⽅式，第⼀种直接下载安装包，装上就可运⾏；第⼆种可以⾃⼰下载源码，⾃⼰编译。

下⾯对两种⽅式均进⾏详细描述。

⼀、下载和安装openss⽅法⼀：直接使⽤openssl安装包Window 的openssl的安装包的下载地址为：⼀般在安装openssl之前还需要vs的⼀些插件，该地址中也提供了相关插件的下载。

如下图即为openssl的安装及其vs插件在下载⽹页的截图。

⽅法⼆：⾃⼰编译openssl此过程⽐较复杂，需要先安装perl、vs等软件，然后才能编译openssl。

1、下载并安装perl，1)下载路径：2)安装与配置：直接运⾏安装⽂件（例如：ActivePerl-5.16.3.1604-MSWin32-x86-298023.msi）即可完成安装；安装过程将⾃动完成环境变量的配置（安装完成之后，可以在系统环境变量⾥看到perl的bin⽬录（例如： C:\Program Files\perl\site\bin;）已经被加⼊进来），⽆需再⼿⼯配置；3）测试安装是否成功：进⼊perl安装⽬录的eg⽂件夹，执⾏“perl example.pl”若显⽰“Hello from ActivePerl!”，则说明Perl安装成功。

如下图所⽰：perl安装成功之后就可以开始使⽤Perl的相关命令来进⾏OpenSSL的安装了。

2、openssl可以⾃⼰下载源码编译也可以直接下载安装包安装完之后即可使⽤。

2.1使⽤源码编译openssl1) 下载openssl源码的路径：2）配置VS2005的环境变量（因为后⾯编译openssl时，将会⽤到vs2005⾃带的nmake⼯具）。

执⾏VS2005的bin⽬录下（例如：C:\Program Files\Microsoft Visual Studio 8\VC\bin）的vcvars32.bat⽂件即可完成配置，如下图所⽰：3）配置openssl（1）将下载后的openssl压缩⽂件（例如：openssl-1.0.1g.tar.gz）解压缩到某⽬录下（例如：C:\Program Files\openssl-1.0.1g）；（2）通过命令窗⼝，进⼊openssl的⽬录C:\Program Files\openssl-1.0.1g中，执⾏“perl Configure VC-WIN32”即可完成配置，如下图所⽰：（3）执⾏do_masm在openssl的⽬录下执⾏ms\do_masm，注意不能进⼊到ms下⾯直接执⾏do_masm，否则会提⽰找不到⽂件“util\makfiles.pl”之类的错误。

Windows下安装使用openldapopenldap 比起其他商业目录服务器(比如 IBM Directory Server)，特别的轻巧，十分适合于本地开发测试用，在产品环境中的表现也很优秀。

openldap 软件在它的官方网站, 不过下载过来是源代码，并没有包含 win32 下的 Makefile 文件，只提供了在 Unix/Linux 下编译用的 Makefile。

所以相应的在网上介绍在 windows 下安装使用 openldap 的资料比较少，而在 Unix/Linux 下应用文档却很丰富。

本文实践了在 Windows 下安装配 openldap，并添加一个条目，LdapBrowser 浏览，及 Java 程序连接 openldap 的全过程。

1. 下载安装 openldap for windows，当前版本2.2.29下载地址：/openldap/openldap-2.2.29/openldap-2.2.29-db-4.3.29-openssl-0.9.8a-win32_Setup.exe相关链接：/hacks/openldap/安装很简单，一路 next 即可，假设我们安装在 c:\openldap2. 配置 openldap，编辑 sldap.conf 文件1) 打开 c:\openldap\sldap.conf，找到include C:/openldap/etc/schema/core.schema，在它后面添加include C:/openldap/etc/schema/cosine.schemainclude C:/openldap/etc/schema/inetorgperson.schema接下来的例子只需要用到以上三个 schema，当然，如果你觉得需要的话，你可以把其他的 schema 全部添加进来include C:/openldap/etc/schema/corba.schemainclude C:/openldap/etc/schema/dyngroup.schemainclude C:/openldap/etc/schema/java.schemainclude C:/openldap/etc/schema/misc.schemainclude C:/openldap/etc/schema/nis.schemainclude C:/openldap/etc/schema/openldap.schema2) 还是在 sldap.conf 文件中，找到suffix "dc=my-domain,dc=com"rootdn "cn=Manager,dc=my-domain,dc=com"把这两行改为suffix "o=tcl,c=cn"rootdn "cn=Manager,o=tcl,c=cn"suffix 就是看自己如何定义了，后面步骤的 ldif 文件就必须与它定义了。

Openldap在windows下的安装及配置准备工作Openldap官网只提供了linux平台相关安装文件，windows平台的安装包可以在以下网站下载：erbooster.de/download/openldap-for-windows.aspx(本文使用：2.4.34)/projects/openldapwindows/files/http://sourceforge.jp/projects/openldapwin32/releases/安装过程按照提示一直next，直到安装完成：安装完成后，在系统服务中，找到openldap service，根据自己的需要将启动类型修改为自动或手动。

配置过程安装目录：E:\servers\OpenLDAP编辑文件：E:\servers\OpenLDAP\slapd.conf 修改如下内容suffix "dc=maxcrc,dc=com"rootdn "cn=Manager,dc=maxcrc,dc=com"修改为：suffix "dc=merit "rootdn "cn=Manager,dc=merit"新建一个文件：E:\servers\OpenLDAP\merit.ldif 内容如下dn: dc=meritobjectClass: domainobjectClass: topdc: meritdn: ou=erds,dc=meritobjectclass: topobjectclass: organizationalUnitou: erdsdn: ou=tim,dc=meritobjectclass: topobjectclass: organizationalUnitou: tim在系统服务中，找到openldap service，停止服务再控制台中切换到openldap安装目录下执行命令：Slapadd–v –l merit.ldif运行结果如下：在系统服务中再启动openldap service即可。

OpenLdap简易教程总述：LDAP（轻量级目录访问协议，Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。

目录服务是一种特殊的数据库系统，其专门针对读取，浏览和搜索操作进行了特定的优化。

目录一般用来包含描述性的，基于属性的信息并支持精细复杂的过滤能力。

目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。

而目录服务的更新则一般都非常简单。

这种目录可以存储包括个人信息、web链结、jpeg图像等各种信息。

为了访问存储在目录中的信息，就需要使用运行在TCP/IP 之上的访问协议—LDAP。

LDAP目录中的信息是是按照树型结构组织，具体信息存储在条目(entry)的数据结构中。

条目相当于关系数据库中表的记录；条目是具有区别名DN （Distinguished Name）的属性（Attribute），DN是用来引用条目的，DN相当于关系数据库表中的关键字（Primary Key）。

属性由类型（Type）和一个或多个值（Values）组成，相当于关系数据库中的字段（Field）由字段名和数据类型组成，只是为了方便检索的需要，LDAP中的Type可以有多个Value，而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。

LDAP 中条目的组织一般按照地理位置和组织关系进行组织，非常的直观。

LDAP把数据存放在文件中，为提高效率可以使用基于索引的文件数据库，而不是关系数据库。

类型的一个例子就是mail，其值将是一个电子邮件地址。

LDAP的信息是以树型结构存储的，在树根一般定义国家(c=CN)或域名(dc=com)，在其下则往往定义一个或多个组织(organization)(o=Acme)或组织单元(organizational units) (ou=People)。

一个组织单元可能包含诸如所有雇员、大楼内的所有打印机等信息。

openldap 交叉编译
交叉编译 OpenLDAP 通常意味着在一种类型的操作系统上为另一种类型的操作系统编译 OpenLDAP。

例如，你可能在 Linux 上为 Windows 交叉编译 OpenLDAP，或者在 x86 上为 ARM 交叉编译。

下面是一个简单的步骤，描述如何在 Linux 上为 Windows 交叉编译OpenLDAP：
1. 安装交叉编译工具链：
你需要一个 Windows 交叉编译工具链。

例如，MinGW-w64 或 Cygwin。

2. 获取 OpenLDAP 源码：
你可以从 OpenLDAP 的官方网站或其 GitHub 仓库获取最新的源码。

3. 配置交叉编译：
使用 `configure` 脚本时，你需要指定交叉编译工具链的路径。

例如：
```bash
./configure --host=i686-w64-mingw32 --
prefix=/path/to/windows/directory
```
4. 编译与安装：
使用 `make` 和 `make install` 命令来编译和安装 OpenLDAP。

5. 测试：
在 Windows 上测试编译的 OpenLDAP，确保它正常工作。

注意：上述步骤是一个非常简化的过程。

在实际操作中，你可能需要处理更多的细节和问题。

确保在开始之前详细阅读 OpenLDAP 的官方文档和交叉编译的相关资料。

OpenLdap使用手册一、文档概述 (2)二、LDAP简介 (2)2.1 LDAP介绍 (2)2.2 LDAP优劣 (3)2.3 LDAP协议 (3)2.4 LDAP服务器 (4)2.5LDAP使用权限 (4)2.6 LDAP目标 (4)三、安装配置 (5)3.1 软件安装 (5)3.2 软件配置 (5)3.3 软件运行 (5)3.4 初始数据 (6)四、LDAP应用 (8)4.1LDAP常用属性 (8)4.2LDAP Schema语法 (9)五、LDAP客户端 (9)5.1 增加目录属性 (10)5.2 删除目录属性 (11)5.3 修改目录属性 (11)5.4 增加目录 (11)5.5 修改目录 (12)5.6 删除目录 (13)六、应用举例 (14)附录： (15)X.500 (15)一、文档概述本文从介绍ldap入手，讲述了ldap的使用场合，并进一步的指导用户进行openldap安装与配置。

是新手入门的一个教程。

二、LDAP简介2.1 LDAP介绍LDAP的英文全称是Lightweight Directory Access Protocol，它是基于X.500标准的，但是简单多了并且可以根据需要定制。

与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。

LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。

LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等等。

通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。

2.2 LDAP优劣目录服务的数据类型主要是字符型，为了检索的需要添加了BIN（二进制数据）、CIS（忽略大小写）、CES（大小写敏感）、TEL（电话型）等语法（Syntax），而不是关系数据库提供的整数、浮点数、日期、货币等类型，同样也不提供象关系数据库中普遍包含的大量的函数，它主要面向数据的查询服务（查询和修改操作比一般是大于10:1），不提供事务的回滚（rollback）机制，它的数据修改使用简单的锁定机制实现All-or-Nothing，它的目标是快速响应和大容量查询并且提供多目录服务器的信息复制功能。

一．Openldap的安装1.利用yum方式安装openldapyum install openldapopenldap-servers openldap-clients openldap-develcompat-openldap2.配置日志mkdir /var/log/slapdchmod 755 /var/log/slapd/chownldap:ldap /var/log/slapd/sed -i "/local4.*/d" /etc/rsyslog.confcat >> /etc/rsyslog.conf<< EOFlocal4.* /var/log/slapd/slapd.logEOFservice rsyslog restart3. 创建管理员密码，尽量使用高强度密码这里我设置的密码为3329728,ssha加密后生成的{SSHA}DOS0VOBzmvD3beMsuFllLBOi6CAt4Kcj 一会配置文件要用[root@openldap-master~]#slappasswdNew password:Re-enter new password:{SSHA}DOS0VOBzmvD3beMsuFllLBOi6CAt4Kcj4.修改slapd.conf配置为了使用默认的slapd.conf这种配置方式，我们移除slapd.d这个目录，并复制默认的slapd.conf文件。

命令如下Cp/usr/share/openldap-servers/slapd.conf.obsolete/etc/openldap/slapd.confmv /etc/openldap/slapd.d{,.bak}（备份slapd.d为slapd.bak）然后我们用vi修改/etc/openldap/spapd.conf这个文件修改suffix和rootdn，rootpw这几个的值其中rootpw后面是上面生成的sha密码!.Suffix后面可以是一级域名也可以是二级域名，这里我们用的是一级域名。

OpenLdap使用手册一、文档概述 (2)二、LDAP简介 (2)2.1 LDAP介绍 (2)2.2 LDAP优劣 (3)2.3 LDAP协议 (3)2.4 LDAP服务器 (4)2.5 LDAP使用权限 (4)2.6 LDAP目标 (4)三、安装配置 (5)3.1 软件安装 (5)3.2 软件配置 (5)3.3 软件运行 (5)3.4 初始数据 (6)四、LDAP应用 (8)4.1 LDAP常用属性 (8)4.2LDAP Schema语法 (9)五、LDAP客户端 (9)5.1 增加目录属性 (10)5.2 删除目录属性 (11)5.3 修改目录属性 (11)5.4 增加目录 (11)5.5 修改目录 (12)5.6 删除目录 (13)六、应用举例 (14)附录： (15)X.500 (15)一、文档概述本文从介绍ldap入手，讲述了ldap的使用场合，并进一步的指导用户进行openldap安装与配置。

是新手入门的一个教程。

二、LDAP简介2.1 LDAP介绍LDAP的英文全称是Lightweight Directory Access Protocol，它是基于X.500标准的，但是简单多了并且可以根据需要定制。

与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。

LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。

LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等等。

通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。

2.2 LDAP优劣目录服务的数据类型主要是字符型，为了检索的需要添加了BIN（二进制数据）、CIS（忽略大小写）、CES（大小写敏感）、TEL（电话型）等语法（Syntax），而不是关系数据库提供的整数、浮点数、日期、货币等类型，同样也不提供象关系数据库中普遍包含的大量的函数，它主要面向数据的查询服务（查询和修改操作比一般是大于10:1），不提供事务的回滚（rollback）机制，它的数据修改使用简单的锁定机制实现All-or-Nothing，它的目标是快速响应和大容量查询并且提供多目录服务器的信息复制功能。

RHEL6 OPENLDAP 的搭建及本地帐户向LDAP 的迁移一. 服务器环境准备1.防火墙、selinux配置安装RHEL6.0操作系统（注意是RHEL6.0，因为不同版本操作系统对应修改的配置文件可能就不一样）配置前我们需要先关闭iptables和selinux。

[root@ldap ~]# iptables -F[root@ldap ~]# service iptables saveiptables：将防火墙规则保存到 /etc/sysconfig/iptables： [确定] [root@ldap ~]# service iptables stopiptables：清除防火墙规则： [确定] iptables：将链设置为政策 ACCEPT：filter [确定] iptables：正在卸载模块： [确定] [root@ldap ~]# chkconfig iptables off[root@ldap ~]# setenforce 0[root@ldap ~]# getenforcePermissive[root@ldap ~]# grep disabled /etc/selinux/config# disabled - No SELinux policy is loaded.SELINUX=disabled2.网卡文件配置[root@ldap ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0DEVICE="eth0"HWADDR="00:0C:29:97:96:05"NM_CONTROLLED="yes"ONBOOT="static"IPADDR=192.168.37.37NETMASK=255.255.255.0GATEWAY=192.168.37.1DNS1=192.168.37.373.主机名配置[root@ldap ~]# cat /etc/sysconfig/networkNETWORKING=yesHOSTNAME=二. 安装配置Bind DNS Server1.安装软件Bind软件包Linux下面使用的DNS服务端软件叫bindrpm -qa | grep bind #查询是否安装了bind软件如果没有安装就需要安装了yum install bind* -y2.修改Bind配置文件修改根域配置文件如下，三个any。

LDAP完全配置管理用户组服务器端一：安装相关软件yum -y install openldap* db4*二：安装配置1 创建复制BDB数据库配置文件LDAP服务器默认采用BDB（伯克利）数据库作为后台，CentOS中已经默认安装，需要先将/etc/openldap/目录下的DB-CONFIG.example文件复制到/var/lib/ldap/目录下并更名为DB-CONFIG并更改权限为ldap所有。

#cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG#useradd -s /sbin/nologin ldap#chown ldap:ldap /var/lib/ldap/DB_CONFIG2 LDAP服务器的主配置文件为/etc/openldap/slapd.conf,找到suffix “dc=my-domain,dc=com”rootdn “cn=Manager,dc=my-domain,dc=com” 两行。

根据实际情况修改为：suffix “dc=langtaojin,dc=com” 设定域名后缀rootdn “cn=Manager,dc= langtaojin,dc=com ” 超级管理员密码设为简单的明码，把rootpw secret这行前面的注释去掉，注意此行前面一定不要留空格。

（或者用slappasswd -h{SSHA} -s password生成你的密码）找到access配置部分，添加如下语句：access to attrs=shadowLastChange,Userpasswordby self writeby * authaccess to *by * readLDAP服务器需要手动添加日志功能。

/etc/openldap/slapd.conf中末行添加directory /var/lib/ldaploglevel 296cachesize 1000checkpoint 2048 10local4.* /var/log/ldap.log (說明：local0-7为syslog的facilities，具体的程序应用的facility不一样，每一个facility都有它的数字代码，由这些代码加上错误信息的程度syslog 可以判断出信息的优先权。

OpenLDAP安装与配置第⼀种⽅法：使⽤命令安装OpenLDAP:yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools查看OpenLDAP版本，使⽤如下命令：slapd -VV到这⾥OpenLDAP基本安装完毕，接下来就是开始配置OpenLDAP四、OpenLDAP配置PS: OpenLDAP2.4.23版本开始所有配置数据都保存在/etc/openldap/slapd.d/,看了很多博客都是使⽤slapd.conf作为配置⽂件，⽽且很多博客内容都已经过时，所以没有⼀个好的⽂档真的会踩很多坑，在此记录⼀下4.0 配置OpenLDAP管理员密码设置OpenLDAP的管理员密码:slappasswd -s [password]密码设置好了之后呢，保存好，下⾯会使⽤到。

4.1 修改olcDatabase={2}hdb.ldif⽂件修改olcDatabase={2}hdb.ldif⽂件,对于该⽂件增加⼀⾏olcRootPW: {SSHA}dXgO/Ipy5SQiKFZ0u7m79Xo7uzKIr038，然后修改域信息：olcSuffix: dc=teracloud2,dc=cnolcRootDN: cn=admin,dc=teracloud2,dc=cn注意：其中cn=admin中的admin表⽰OpenLDAP管理员的⽤户名，dc为ldap的服务器域名，导出⽽olcRootPW表⽰OpenLDAP管理员的密码。

实际修改如下：vim /etc/openldap/slapd.d/cn=config/olcDatabase\=\{2\}hdb.ldifolcSuffix: dc=teracloud2,dc=cnolcRootDN: cn=admin,dc=teracloud2,dc=cnolcRootPW: {SSHA}dXgO/Ipy5SQiKFZ0u7m79Xo7uzKIr0384.2 修改olcDatabase={1}monitor.ldif⽂件修改olcDatabase={1}monitor.ldif⽂件，如下：vim /etc/openldap/slapd.d/cn=config/olcDatabase\=\{1\}monitor.ldifolcAccess: {0}to * by dn.base=”gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth” read by dn.base=”cn=admin,dc=teracloud2,dc=cn” read by * none验证OpenLDAP的基本配置是否正确，使⽤如下命令：slaptest -u通过结果看出我们的配置是没有问题的4.3启动OpenLDAP服务，使⽤如下命令：//开始ldapsystemctl enable slapd//启动ldapsystemctl start slapd//查看ldap的状态systemctl status slapd4.4 配置OpenLDAP数据库OpenLDAP默认使⽤的数据库是BerkeleyDB，现在来开始配置OpenLDAP数据库，使⽤如下命令：cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIGchown ldap:ldap -R /var/lib/ldapchmod 700 -R /var/lib/ldapll /var/lib/ldap/注意：/var/lib/ldap/就是BerkeleyDB数据库默认存储的路径。

OpenLDAP安装说明目录一、环境说明 (2)1.1网络及硬件环境 (2)1.2软件环境 (2)1.3文档 (2)二、安装准备 (2)2.1在安装O PEN LDAP前应确保下列的系统软件已经安装 (2)2.2创建LDAP用户 (2)2.3准备安装目录 (2)三、安装OPENLDAP (3)四、启动 (5)4.1安装启动脚本 (5)4.2设置LDAP的执行环境变量 (5)4.3启动O PEN LDAP (5)4.4停止O PEN LDAP (6)4.5调试启动 (6)一、环境说明1.1网络及硬件环境CPU: 4U 内存：8G 硬盘：60G1.2软件环境Red Hat Linux 6.4 64位1.3文档二、安装准备2.1在安装OpenLDAP前应确保下列的系统软件已经安装软件名称软件描述gcc-4.4.7 编程语言编译器Berkeley DB-6.0.30 Berkeley数据库Cyrus SASL-2.1.26 提供简单认证及安全层协议OpenSSL-1.0.1h 提供加密相关的管理工具和库libtool-2.4.2 提供脚本支持的通用库autoconf-2.69 生成shell脚本的扩展包，用于自动配置源代码包automake-1.11.1 自动创建Makefiles 的GNU工具2.2创建ldap用户1)创建ldap组：groupadd -g 83 ldap2)创建ldap用户：useradd -c "OpenLDAP Daemon Owner" -u 83 -g ldap ldap3)修改ldap密码：passwd ldap2.3准备安装目录1)创建OpenLDAP安装目录：chmod -R 757 srcmkdir /usr/local/openldap2.4.39chown ldap:ldap /usr/local/openldap2.4.392)创建OpenLDAP数据存储目录：mkdir /data/ldapchown ldap:ldap /data/ldap3)创建OpenLDAP运行期工作目录：mkdir /var/run/openldapchown ldap:ldap /var/run/openldap4)通过ldap用户创建配置和数据及日志目录：以ldap登录系统或su - ldapcd /usr/local/openldap2.4.39mkdir confcd /data/ldapmkdir ldap1-m1-datamkdir ldap1-m1-log5)增加ldap用户的环境变量vi ~/.bash_profile增加export LDAP_HOME=/usr/local/openldap2.4.39source ~/.bash_profile6)上传OpenLDAP的安装文件到/usr/local/src目录，包括补丁，见下面列表：openldap-2.4.39-blfs_paths-1.patchopenldap-2.4.39-symbol_versions-1.patchopenldap-2.4.39.tgz三、安装OpenLDAP下面的安装步骤需要使用ldap用户来执行。

OpenLdap使用手册一、文档概述 (2)二、LDAP简介 (3)2.1 LDAP介绍 (3)2.2 LDAP优劣 (3)2.3 LDAP协议 (4)2.4 LDAP服务器 (4)2.5LDAP使用权限 (5)2.6 LDAP目标 (5)三、安装配置 (6)3.1 软件安装 (6)3.2 软件配置 (6)3.3 软件运行 (7)3.4 初始数据 (8)四、LDAP应用 (10)4.1LDAP常用属性 (10)4.2LDAP Schema语法 (11)五、LDAP客户端 (11)5.1 增加目录属性 (12)5.2 删除目录属性 (13)5.3 修改目录属性 (13)5.4 增加目录 (14)5.5 修改目录 (14)5.6 删除目录 (15)六、应用举例 (16)附录： (17)X.500 (17)一、文档概述本文从介绍ldap入手，讲述了ldap的使用场合，并进一步的指导用户进行openldap安装与配置。

是新手入门的一个教程。

二、LDAP简介2.1 LDAP介绍LDAP的英文全称是Lightweight Directory Access Protocol，它是基于X.500标准的，但是简单多了并且可以根据需要定制。

与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。

LDAP的核心规范在RFC 中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。

LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等等。

通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。

2.2 LDAP优劣目录服务的数据类型主要是字符型，为了检索的需要添加了BIN（二进制数据）、CIS（忽略大小写）、CES（大小写敏感）、TEL（电话型）等语法（Syntax），而不是关系数据库提供的整数、浮点数、日期、货币等类型，同样也不提供象关系数据库中普遍包含的大量的函数，它主要面向数据的查询服务（查询和修改操作比一般是大于10:1），不提供事务的回滚（rollback）机制，它的数据修改使用简单的锁定机制实现All-or-Nothing，它的目标是快速响应和大容量查询并且提供多目录服务器的信息复制功能。

openLDAP双活配置1.安装准备禁用服务器防火墙查看防火墙状态：systemctl status firewalld.service执行关闭命令：systemctl stop firewalld.service执行开机禁用防火墙自启命令：systemctl disable firewalld.service将data.tgz上传至服务器,将解压后的文件夹放到根目录确保所有文件在data目录下面2.设置berkleyDB的路径Berkeley DB是一个开源的文件数据库，介于关系数据库与内存数据库之间，使用方式与内存数据库类似，它提供的是一系列直接访问数据库的函数，而不是像关系数据库那样需要网络通讯、SQL解析等步骤。

ln -s /data/berkeleydb-5.1.29/lib/libdb-5.1.so /lib643.修改密码简版openLDAP默认用户是cn=root,c=cn,默认密码是123456如果需要修改密码请执行以下命令/data/openldap-2.4.48-deploy/sbin/slappasswd输入所要修改密码和确认密码，9zPGeUe0p41：{SSHA}seR+b0exdaASjM45E16+NnTOzDvJjUvG40：{SSHA}MEL2snfHq6NV78Iu09UrK4cA23mEG7Yt将生成的密码XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX填写到/data/openldap-2.4.48-deploy/etc/openldap/slapd.conf文件的如图地方：注：相同密码每次执行后密文都是不一致，所以即使使用相同的明文密码，在不同服务器都需要执行一遍，分别配置。

4.配置索引进入目录/data/openldap-2.4.48-deploy/etc/openldap/ 修改slapd.conf文件，在图片出添加cn,mail注：添加索引操作需要在导入数据之前操作，否则不生效。

windows下OpenLDAP的安装_随风天涯2007年08月17日星期五上午 10:501.openldap的下载：可以通过 openldap for windows 在google上搜索到。

目前最新版本是：2.2.29下载地址：相关联接：2.运行openldap-2.2.29-db-4.3.29-openssl-0.9.8a-win32_Setup.exe安装，一路next就可以了安装ldap for windows 到D:\openldap\。

3.假设我们使用的域名是 对应的主机IP是168.160.12.774.修改C:\WINNT\system32\drivers\etc\下的host文件添加下面一行168.160.12.77 5.配置openldap，修改D:\openldap\slapd.conf里的内容把下面两行(57,58行)suffix "dc=my-domain,dc=com"rootdn "cn=Manager,dc=my-domain,dc=com"改成suffix "dc=rover828,dc=com"rootdn "cn=Manager,dc=rover828,dc=com"运行D:\openldap>slappasswd -h {MD5}New password: Re-enter new password: {MD5}z3muat26YK0Bg0c1m9FE0g==（我输入的密码是8888）然后继续修改slapd.conf把下面这行(62行)rootpw secret改成rootpw {MD5}z3muat26YK0Bg0c1m9FE0g==接下来运行D:\openldap\slapd.exe来启动LDAP服务。

或者运行slapd -d 1可以看到日志信息。

测试认证import java.util.*;import javax.naming.Context;import javax.naming.NamingException;import javax.naming.directory.DirContext;import javax.naming.directory.InitialDirContext;public class LDAPT est {public LDAPTest() {}public static void main(String[] args) {LDAPTest LDAPTest1 = new LDAPT est();String root = "dc=rover828,dc=com"; //rootHashtable env = new Hashtable();env.put(Context.INITIAL_CONTEXT_FACTORY,"com.sun.jndi.ldap.LdapCtxFactory");env.put(Context.PROVIDER_URL, "ldap://168.160.12.77/" + root);env.put(Context.SECURITY_AUTHENTICATION, "simple");env.put(Context.SECURITY_PRINCIPAL,"cn=Manager,dc=rover828,dc=com");env.put(Context.SECURITY_CREDENTIALS,"z3muat26YK0Bg0c1m9FE0g==");//密码DirContext ctx = null;try {ctx = new InitialDirContext(env);System.out.println("认证成功");}catch (javax.naming.AuthenticationException e) {e.printStackTrace();System.out.println("认证失败");}catch (Exception e) {System.out.println("认证出错：");e.printStackTrace();}if (ctx != null) {try {ctx.close();}catch (NamingException e) { //ignore}}System.exit(0);}}。

OpenLDAP安装及配置OpenLDAP安装及配置折腾了好多天总算是折腾出些眉⽬来了，openldap在linux下的安装与⽂件的配置估计令好多⼈都⽐较头疼吧？我就遇到了这样的问题。

下⾯我就⼤致说⼀下openldap的安装过程以及所遇到的⼀些问题的处理办法。

1.安装BerkeleyDB我选⽤的数据库是BerkeleyDB-4.8.26，在安装openldap之前需要把BDB先装好。

安装步骤如下：1）⾸先把下载好的⽂件db-4.8.26.tar解压，⽣成⽂件夹db-4.8.26，# cd db-4.8.26/build_unix# ../dist/configure# make# make install这个过程⼀般没什么问题，默认安装到了/usr/local下，⽬录名，BerkeleyDB.4.8,2) 接下来应该把BerkeleyDB.4.8下include和lib⽂件夹下的⽂件都考到usr⽂件夹下相应的include和lib⽂件下。

也可以通过以下命令来实现#cp /usr/local/ BerkeleyDB.4.8/include/* /usr/include#cp /usr/local/ BerkeleyDB.4.8/lib/* /usr/lib注意：*后边要有空格，这是cp命令的格式2.安装openldap同样，先解压，我⽤的是openldap-2.4.13，安装步骤如下#cd openldap-2.4.13#env CPPFLAGS=”-I/usr/local/ BerkeleyDB.4.8/include” LDFLAGS=”-L/usr/local/ BerkeleyDB.4.8/lib”./configure --prefix=/usr/local/openldap出现Making servers/slapd/backends.cAdd config…Add ldif…Add monitor…Add bdb…Add hdb…Add relay…Make servers/slapd/overlays/statover.cAdd syncprov…Please run “make depend” to build dependencies就可以进⾏下⼀步了，# make depend#make#make test# make install这样openldap就基本上安装完成了，但在这⼀步容易出现⼀些问题。

LDAP：（轻量级目录访问协议，Lightweight Directory Access Protocol）它是基于 X.500标准的，但是简单多了并且可以根据需要定制。

与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。

目录是一个为查询、浏览和搜索而优化的专业分布式数据库，它成树状结构组织数据，就好象Linux/Unix系统中的文件目录一样。

目录数据库和关系数据库不同，它有优异的读性能，但写性能差，并且没有事务处理、回滚等复杂功能，数据修改使用简单的锁定机制实现All-or-Nothing,不适于存储修改频繁的数据。

所以目录天生是用来查询的，就好象它的名字一样。

现在国际上的目录服务标准有两个，一个是较早的X.500标准，一个是较新的LDAP标准。

LDAP诞生的目标是快速响应和大容量查询并且提供多目录服务器的信息复制功能，它为读密集型的操作进行专门的优化。

因此，当从LDAP服务器中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快一个数量级。

LDAP常用术语解释：DN：distinguished name。

在LDAP目录中的所有记录项都有一个唯一的DN CN,OU,DC都是LDAP连接服务器的端字符串中的区别名称;LDAP连接服务器的连接字串格式为：ldap://servername/DN其中DN有三个属性，分别是CN,OU,DCLDAP是一种通讯协议，如同HTTP是一种协议一样的！在LDAP目录中。

uid(User ID)CN (Common Name)DC (Domain Component)OU (Organizational Unit)SN （surname)An LDAP 目录类似于文件系统目录.下列目录:DC=redmond,DC=wa,DC=microsoft,DC=com如果我们类比文件系统的话，可被看作如下文件路径:Com/Microsoft/Wa/Redmond例如：CN=test,OU=developer,DC=domainname,DC=com在上面的代码中cn=test代表一个用户名，ou=developer代表一个active directory中的组织单位。

OpenLDAP安装指南OpenLDAP 安装指南本⼿册仅⽤于配置Ubuntu9.10中的OpenLDAP，其他版本的OpenLDAP可能有所不同。

⾸先，安装 OpenLDAP:步骤 1运⾏如下命令,将slapd包中带的LDAP schema全部添加到 cn=config中 (默认只有core schema 被添加):步骤 2创建⼀个db.ldif⽂件，其内容如下所⽰，此步骤将为域dc=home,dc=local (即 home.local)安装配置⼀个database。

并且，只有cn=admin,dc=hoome,dc=local可以管理这个数据库（密码：admin）。

代码:# Load modules for database typedn: cn=module,cn=configobjectclass: olcModuleListcn: moduleolcModuleLoad: back_/doc/be86a984b9d528ea81c779c8.html# Create directory databasedn: olcDatabase=bdb,cn=configobjectClass: olcDatabaseConfigobjectClass: olcBdbConfigolcDatabase: bdb# Domain name (e.g. home.local)olcSuffix: dc=home,dc=local# Location on system where database is storedolcDbDirectory: /var/lib/ldap# Manager of the databaseolcRootDN: cn=admin,dc=home,dc=localolcRootPW: admin# Indices in database to speed up searchesolcDbIndex: uid pres,eqolcDbIndex: cn,sn,mail pres,eq,approx,subolcDbIndex: objectClass eq# Allow users to change their own password# Allow anonymous to authenciate against the password# Allow admin to change anyone's passwordolcAccess: to attrs=userPasswordby self writeby anonymous authby dn.base="cn=admin,dc=home,dc=local" writeby * none# Allow users to change their own record# Allow anyone to read directoryolcAccess: to *by self writeby dn.base="cn=admin,dc=home,dc=local" writeby * read对上述⽂件，使⽤如下命令将数据库添加到LDAP server上. 需要知道的是 Karmic使⽤EXTERNAL SASL 和LDAP server通信. 这⾥没有admin user或者password:步骤 3创建另⼀个⽂件，该⽂件包含所有你想要添加的⽤户，这⾥以people.ldif命名之。