OpenLDAP Directory Server安装部署

OpenLDAP安装指南OpenLDAP 安装指南本⼿册仅⽤于配置Ubuntu9.10中的OpenLDAP，其他版本的OpenLDAP可能有所不同。

⾸先，安装 OpenLDAP:步骤 1运⾏如下命令,将slapd包中带的LDAP schema全部添加到 cn=config中 (默认只有core schema 被添加):步骤 2创建⼀个db.ldif⽂件，其内容如下所⽰，此步骤将为域dc=home,dc=local (即 home.local)安装配置⼀个database。

并且，只有cn=admin,dc=hoome,dc=local可以管理这个数据库（密码：admin）。

代码:# Load modules for database typedn: cn=module,cn=configobjectclass: olcModuleListcn: moduleolcModuleLoad: back_/doc/be86a984b9d528ea81c779c8.html# Create directory databasedn: olcDatabase=bdb,cn=configobjectClass: olcDatabaseConfigobjectClass: olcBdbConfigolcDatabase: bdb# Domain name (e.g. home.local)olcSuffix: dc=home,dc=local# Location on system where database is storedolcDbDirectory: /var/lib/ldap# Manager of the databaseolcRootDN: cn=admin,dc=home,dc=localolcRootPW: admin# Indices in database to speed up searchesolcDbIndex: uid pres,eqolcDbIndex: cn,sn,mail pres,eq,approx,subolcDbIndex: objectClass eq# Allow users to change their own password# Allow anonymous to authenciate against the password# Allow admin to change anyone's passwordolcAccess: to attrs=userPasswordby self writeby anonymous authby dn.base="cn=admin,dc=home,dc=local" writeby * none# Allow users to change their own record# Allow anyone to read directoryolcAccess: to *by self writeby dn.base="cn=admin,dc=home,dc=local" writeby * read对上述⽂件，使⽤如下命令将数据库添加到LDAP server上. 需要知道的是 Karmic使⽤EXTERNAL SASL 和LDAP server通信. 这⾥没有admin user或者password:步骤 3创建另⼀个⽂件，该⽂件包含所有你想要添加的⽤户，这⾥以people.ldif命名之。

部署OPENLDAP手册编写：贺承玮日期：2007年9月20日星期四操作系统：LINUX AS3.01)查看已经安装的OPENLDAPrpm –aq | grep openldap显示结果：openldap-2.0.27-17openldap-devel-2.0.27-172)下载并安装openldap-servers-2.0.27-17.i386.rpmrpm –ivh openldap-servers-2.0.27-17.i386.rpm - -force3)上传格尔提供的koalca.schema文件cp koalca.schema /etc/openldap/schema2.1设置配置文件在配置文件/etc/openldap/slapd.conf中进行如下修改：1、引入schemainclude /etc/openldap/schema/koalca.schema 2、增加根节点suffix "o=koalca"3、设置dnrootdn "cn=Manager,dc=koal,dc=com"4、设置登陆密码rootpw 123456785、其他设置suffix "dc=koal,dc=com"（如果有就设置，按你之前做的应该不用）2.2建库[root@testCA-01 openldap]# pwd/etc/openldap（即在openldap在安装目录下执行以下内容）[root@testCA-01 openldap]# slapadd -l initdata2.ldif -f /etc/openldap/slapd.conf（你需要把initdata2.ldif中的o项改成你需要的根节点名称）[root@testCA-01 openldap]# chown ldap.ldap /var/lib/ldap/*重启生效[root@testCA-01 openldap]# /etc/init.d/ldap restart停止slapd：[ 确定] 启动slapd：[ 确定]3.1搭建从机从机的安装过程同主机，不用作slapd.conf的设置和建库。

Linux系统下安装配置 OpenLDAP + phpLDAPadmin实验环境：操作系统：Centos 7.4服务器ip:192.168.3.41运行用户：root网络环境：InternetLDAP（轻量级目录访问协议）是一个能实现提供被称为目录服务的信息服务，也是一套用户认证体系系统；一般在大型企业、学校、政府单位使用的比较多，LDAP是由4部分组成，这4部分分别是slapd(独立LDAP守护进程)、slurpd(独立的LDAP更新复制守护进程)、LDAP协议库、工具软件和示例客户端(phpLDAPadmin)，目录服务是一种特殊的数据库系统，用来存储用户信息的数据库，读写速度非常快，扩展性非常强，可以实现与地方系统直接对接整合起来统一管理用户信息。

LDAP说起来也不简单，但是ALDP在Linux应用范围是比较广泛的，如果想要深入的了解LDAP，建议去看下刘遄老师《Linux就该这么学》这本教程，里面解释的非常详细，也可以在百度输入此书名去官网看，想要在Linux部署还是推荐这本书去系统的学习，对初学者还是很有版本的，这篇文章搭建ldap+phpldapadmin也是在Linux环境下运行的，所以还是需要Linux基础才能看懂下面的配置步骤。

1、安装OpenLDAP[root@centos7 ~]# yum install openldap-servers openldap-clients -y[root@centos7 ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG [root@centos7 ~]# ll /var/lib/ldap/DB_CONFIG-rw-r--r--. 1 root root 845 Aug 1 10:04 /var/lib/ldap/DB_CONFIG[root@centos7 ~]# chown ldap. /var/lib/ldap/DB_CONFIG //授权配置文件[root@centos7 ~]# more /etc/passwd|grep ldapldap:x:55:55:OpenLDAP server:/var/lib/ldap:/sbin/nologin[root@centos7 ~]# systemctl start slapd.service //启动slapd服务[root@centos7 ~]# systemctl enable slapd.service //设置开机自动启动slapd服务2、设置OpenLDAP管理员密码[root@centos7 ~]# slappasswdNew password: //passwordRe-enter new password:{SSHA}d5pkA0TU6b+8/kEoMIxJ59QofCLV为“olcRootPW”指定上面生成的密码[root@centos7 ~]# vim chrootpw.ldifdn: olcDatabase={0}config,cn=configchangetype: modifyadd: olcRootPWolcRootPW: {SSHA}d5pkA0TU6b+8/kEokgQeMIxJ59QofCLV[root@centos7 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldifSASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0modifying entry "olcDatabase={0}config,cn=config"3、导入基本模式[root@centos7 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif SASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0adding new entry "cn=cosine,cn=schema,cn=config"[root@centos7 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif SASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0adding new entry "cn=nis,cn=schema,cn=config"[root@centos7 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f/etc/openldap/schema/inetorgperson.ldifSASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0adding new entry "cn=inetorgperson,cn=schema,cn=config"4、在LDAP DB上设置域名，生成目录管理器密码[root@centos7 ~]# slappasswdNew password:Re-enter new password:{SSHA}Oq61fgUFW9+ItZboTaW1+VbLuAYst7zw注意：下面配置文件这里得注意每一个属性：后必须有空格，但是值的后面不能有任何空格[root@centos7 ~]# vim chdomain.ldif# replace to your own domain name for "dc=***,dc=***" section# specify the password generated above for "olcRootPW" sectiondn: olcDatabase={1}monitor,cn=configchangetype: modifyreplace: olcAccessolcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=srv,dc=world" read by * nonedn: olcDatabase={2}hdb,cn=configchangetype: modifyreplace: olcSuffixolcSuffix: dc=srv,dc=worlddn: olcDatabase={2}hdb,cn=configchangetype: modifyreplace: olcRootDNolcRootDN: cn=Manager,dc=srv,dc=worlddn: olcDatabase={2}hdb,cn=configchangetype: modifyadd: olcRootPWolcRootPW: {SSHA}Oq61fgUFW9+ItZboTaW1+VbLuAYst7zwdn: olcDatabase={2}hdb,cn=configchangetype: modifyadd: olcAccessolcAccess: {0}to attrs=userPassword,shadowLastChange bydn="cn=Manager,dc=srv,dc=world" write by anonymous auth by self write by * none olcAccess: {1}to dn.base="" by * readolcAccess: {2}to * by dn="cn=Manager,dc=srv,dc=world" write by * read[root@centos7 ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldifSASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0modifying entry "olcDatabase={1}monitor,cn=config"modifying entry "olcDatabase={2}hdb,cn=config"modifying entry "olcDatabase={2}hdb,cn=config"modifying entry "olcDatabase={2}hdb,cn=config"modifying entry "olcDatabase={2}hdb,cn=config"[root@centos7 ~]# vim basedomain.ldif# replace to your own domain name for "dc=***,dc=***" sectiondn: dc=srv,dc=worldobjectClass: topobjectClass: dcObjectobjectclass: organizationo: Server Worlddc: Srvdn: cn=Manager,dc=srv,dc=worldobjectClass: organizationalRolecn: Managerdescription: Directory Managerdn: ou=People,dc=srv,dc=worldobjectClass: organizationalUnitou: Peopledn: ou=Group,dc=srv,dc=worldobjectClass: organizationalUnitou: Group[root@centos7 ~]# ldapadd -x -D "cn=Manager,dc=srv,dc=world" -W -f basedomain.ldif Enter LDAP Password: //输入上面设置的目录管理器密码 passwordadding new entry "dc=srv,dc=world"adding new entry "cn=Manager,dc=srv,dc=world"adding new entry "ou=People,dc=srv,dc=world"adding new entry "ou=Group,dc=srv,dc=world"[root@centos7 ~]# ldapsearch -x -b "cn=Manager,dc=srv,dc=world"# extended LDIF## LDAPv3# base <cn=Manager,dc=srv,dc=world> with scope subtree# filter: (objectclass=*)# requesting: ALL## Manager, srv.worlddn: cn=Manager,dc=srv,dc=worldobjectClass: organizationalRolecn: Managerdescription: Directory Manager# search resultsearch: 2result: 0 Success# numResponses: 2# numEntries: 15、设置Firewalld，如果未启用防火墙关闭，忽略[root@centos7 ~]# firewall-cmd --add-service=ldap --permanent[root@centos7 ~]# firewall-cmd --reload6、安装并配置Apache[root@centos7 ~]# yum install httpd-devel.x86_64 httpd.x86_64 -y[root@centos7 ~]# mv /etc/httpd/conf.d/welcome.conf /etc/httpd/conf.d/welcome.conf.bak [root@centos7 ~]# vim /etc/httpd/conf/httpd.conf# line 86: change to admin's email addressServerAdmin root@srv.world# line 95: change to your server's nameServerName www.srv.world:80# line 151: changeAllowOverride All# line 164: add file name that it can access only with directory's nameDirectoryIndex index.html index.cgi index.php# add follows to the end //在尾部新增# server's response headerServerTokens Prod# keepalive is ONKeepAlive On[root@centos7 ~]# systemctl start httpd.service[root@centos7 ~]# systemctl enable httpd.service[root@centos7 ~]# firewall-cmd --add-service=http --permanent //防火墙排除httpd服务，如果没有启用防火墙，此步骤可以忽略。

Windows下安装使用openldapopenldap 比起其他商业目录服务器(比如 IBM Directory Server)，特别的轻巧，十分适合于本地开发测试用，在产品环境中的表现也很优秀。

openldap 软件在它的官方网站, 不过下载过来是源代码，并没有包含 win32 下的 Makefile 文件，只提供了在 Unix/Linux 下编译用的 Makefile。

所以相应的在网上介绍在 windows 下安装使用 openldap 的资料比较少，而在 Unix/Linux 下应用文档却很丰富。

本文实践了在 Windows 下安装配 openldap，并添加一个条目，LdapBrowser 浏览，及 Java 程序连接 openldap 的全过程。

1. 下载安装 openldap for windows，当前版本2.2.29下载地址：/openldap/openldap-2.2.29/openldap-2.2.29-db-4.3.29-openssl-0.9.8a-win32_Setup.exe相关链接：/hacks/openldap/安装很简单，一路 next 即可，假设我们安装在 c:\openldap2. 配置 openldap，编辑 sldap.conf 文件1) 打开 c:\openldap\sldap.conf，找到include C:/openldap/etc/schema/core.schema，在它后面添加include C:/openldap/etc/schema/cosine.schemainclude C:/openldap/etc/schema/inetorgperson.schema接下来的例子只需要用到以上三个 schema，当然，如果你觉得需要的话，你可以把其他的 schema 全部添加进来include C:/openldap/etc/schema/corba.schemainclude C:/openldap/etc/schema/dyngroup.schemainclude C:/openldap/etc/schema/java.schemainclude C:/openldap/etc/schema/misc.schemainclude C:/openldap/etc/schema/nis.schemainclude C:/openldap/etc/schema/openldap.schema2) 还是在 sldap.conf 文件中，找到suffix "dc=my-domain,dc=com"rootdn "cn=Manager,dc=my-domain,dc=com"把这两行改为suffix "o=tcl,c=cn"rootdn "cn=Manager,o=tcl,c=cn"suffix 就是看自己如何定义了，后面步骤的 ldif 文件就必须与它定义了。

Openldap在windows下的安装及配置准备工作Openldap官网只提供了linux平台相关安装文件，windows平台的安装包可以在以下网站下载：erbooster.de/download/openldap-for-windows.aspx(本文使用：2.4.34)/projects/openldapwindows/files/http://sourceforge.jp/projects/openldapwin32/releases/安装过程按照提示一直next，直到安装完成：安装完成后，在系统服务中，找到openldap service，根据自己的需要将启动类型修改为自动或手动。

配置过程安装目录：E:\servers\OpenLDAP编辑文件：E:\servers\OpenLDAP\slapd.conf 修改如下内容suffix "dc=maxcrc,dc=com"rootdn "cn=Manager,dc=maxcrc,dc=com"修改为：suffix "dc=merit "rootdn "cn=Manager,dc=merit"新建一个文件：E:\servers\OpenLDAP\merit.ldif 内容如下dn: dc=meritobjectClass: domainobjectClass: topdc: meritdn: ou=erds,dc=meritobjectclass: topobjectclass: organizationalUnitou: erdsdn: ou=tim,dc=meritobjectclass: topobjectclass: organizationalUnitou: tim在系统服务中，找到openldap service，停止服务再控制台中切换到openldap安装目录下执行命令：Slapadd–v –l merit.ldif运行结果如下：在系统服务中再启动openldap service即可。

OpenLDAP安装及配置OpenLDAP安装及配置折腾了好多天总算是折腾出些眉⽬来了，openldap在linux下的安装与⽂件的配置估计令好多⼈都⽐较头疼吧？我就遇到了这样的问题。

下⾯我就⼤致说⼀下openldap的安装过程以及所遇到的⼀些问题的处理办法。

1.安装BerkeleyDB我选⽤的数据库是BerkeleyDB-4.8.26，在安装openldap之前需要把BDB先装好。

安装步骤如下：1）⾸先把下载好的⽂件db-4.8.26.tar解压，⽣成⽂件夹db-4.8.26，# cd db-4.8.26/build_unix# ../dist/configure# make# make install这个过程⼀般没什么问题，默认安装到了/usr/local下，⽬录名，BerkeleyDB.4.8,2) 接下来应该把BerkeleyDB.4.8下include和lib⽂件夹下的⽂件都考到usr⽂件夹下相应的include和lib⽂件下。

也可以通过以下命令来实现#cp /usr/local/ BerkeleyDB.4.8/include/* /usr/include#cp /usr/local/ BerkeleyDB.4.8/lib/* /usr/lib注意：*后边要有空格，这是cp命令的格式2.安装openldap同样，先解压，我⽤的是openldap-2.4.13，安装步骤如下#cd openldap-2.4.13#env CPPFLAGS=”-I/usr/local/ BerkeleyDB.4.8/include” LDFLAGS=”-L/usr/local/ BerkeleyDB.4.8/lib”./configure --prefix=/usr/local/openldap出现Making servers/slapd/backends.cAdd config…Add ldif…Add monitor…Add bdb…Add hdb…Add relay…Make servers/slapd/overlays/statover.cAdd syncprov…Please run “make depend” to build dependencies就可以进⾏下⼀步了，# make depend#make#make test# make install这样openldap就基本上安装完成了，但在这⼀步容易出现⼀些问题。

LDAP完全配置管理用户组服务器端一：安装相关软件yum -y install openldap* db4*二：安装配置1 创建复制BDB数据库配置文件LDAP服务器默认采用BDB（伯克利）数据库作为后台，CentOS中已经默认安装，需要先将/etc/openldap/目录下的DB-CONFIG.example文件复制到/var/lib/ldap/目录下并更名为DB-CONFIG并更改权限为ldap所有。

#cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG#useradd -s /sbin/nologin ldap#chown ldap:ldap /var/lib/ldap/DB_CONFIG2 LDAP服务器的主配置文件为/etc/openldap/slapd.conf,找到suffix “dc=my-domain,dc=com”rootdn “cn=Manager,dc=my-domain,dc=com” 两行。

根据实际情况修改为：suffix “dc=langtaojin,dc=com” 设定域名后缀rootdn “cn=Manager,dc= langtaojin,dc=com ” 超级管理员密码设为简单的明码，把rootpw secret这行前面的注释去掉，注意此行前面一定不要留空格。

将secret替换成123456（自定义密码）（或者用slappasswd -h{SSHA} -s 123456生成你的暗文密码）找到access配置部分，添加如下语句：access to attrs=shadowLastChange,Userpasswordby self writeby * authaccess to *by * readLDAP服务器需要手动添加日志功能。

/etc/openldap/slapd.conf中末行添加directory /var/lib/ldaploglevel 296cachesize 1000checkpoint 2048 10local4.* /var/log/ldap.log (說明：local0-7为syslog的facilities，具体的程序应用的facility不一样，每一个facility都有它的数字代码，由这些代码加上错误信息的程度syslog 可以判断出信息的优先权。

安装 Ubuntu 环境1．搭建虚拟机环境，装入 ubuntu-12.04-server-amd64.iso 2．安装 Ubuntu Server 12.04 3．设置用户名 xxxxxxx 和密码 xxxxxxx1 4．设置外网访问 Proxy，http://161.92.64.41:8080 /etc/apt/apt.conf 5．选中 OPENSSH、LAMP、SAMBA、TOMCAT 服务以便将来使用 安装 LAMP 中提示 Mysql 密码设置为 xxxxxxx1 6. IP 设置 /etc/network/interfaces 7. DNS 设置 /etc/resolv.conf 8. Hosename 设置 /etc/hostname安装 OPENLDAP 和 phpLDAPadmin1． 安装 OPENLDAP https:///12.04/serverguide/openldap-server.htmlsudo apt-get install slapdldap-utils2． 配置 OpenLDAPsudodpkg-reconfigureslapd People Yyyy2012 3． 安装 phpLDAPadmin /wiki/index.php/Main_Pagesudo apt-get install phpLDAPadmin4. 配置 config.php /community/InstallingphpLDAPadmin 一定要配置否则搞不定，需要配置 OpenLDAP 相关的内容安装 SubVersion1. 安装 SubVersion /packages.html#ubuntusudo apt-get install subversion sudo apt-get install libapache2-svn2. 配置 SVN https:///12.04/serverguide/subversion.htmlsvnadmin create /path/to/repos/project svn import /path/to/import/directory file:///path/to/repos/project 实际操作参考 /blog/7403473. 设置 WebDAV 期间碰到了问题，用了网络上搜索的 N 种方法都没有办法解决问题，问题可能是 “Unknown DAV provider: svn”，最终抱着试试看的心态把/etc/apache2/mods-available 里 面的 authz_svn.loaddav_svn.loaddav_svn.conf 的东西直接 copy 到/etc/apache2/modsenabled 才搞定能否访问 http://localhost/svn/zlex 4. 设置 SSL 下的 WebDAVsudo a2enmod ssl sudo a2ensite default-ssl sudo service apache2 restart5. 设置 LDAP 验证 按照 3 里面的成功经验将/etc/apache2/mods-available 里面的 authnz_ldap.loadldap.load 直 接 copy 到/etc/apache2/mods-enabled；同时 dav_svn.conf 里面重新配置如下图注：老大说原来那个 COPY 的事情可以通过 a2enmod 和 a2ensite 命令来 LINK，郁闷了半天 的事情原来可以这么方便的解决 6. 配置 SVN 的访问权限设置 /en/1.7/svn-book.html#svn.serverconfig.pathbasedauthz 还是需要通过文件来配置的，用户名和 LDAP 中的 UID 一致来认证 [aliases] [groups] [repos-name:path]安装 Mantis1. Ubuntu 下安装 mantissudo apt-get install mantis安装到最后的时候提示转到浏览器安装，设置安装时的认证用户 admin 及密码 Yyyy2012 2. 浏览器下正式安装 mantis 安装 mysql 的账号 root 密码 xxxxxxx1 设置安装 db 为 mantis 用户名 mantis 密码 mantis Mantis 系统初始化管理员账号为 administrator 密码 xxxxxxx1 及其邮件地址为 root@localhost 3. 设置 LDAP 账户验证 /docs/master1.2.x/en/administration_guide.html#ADMIN.CONFIG.AUTH.LDAP注：配置完毕 LDAP 之后对于 administrator 的账户将会屏蔽，所以需要在 LDAP 中的 admin 追加 UID 为 administrator 的信息，同时前面初始化账号将失效。

LDAP：（轻量级目录访问协议，Lightweight Directory Access Protocol）它是基于 X.500标准的，但是简单多了并且可以根据需要定制。

与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。

目录是一个为查询、浏览和搜索而优化的专业分布式数据库，它成树状结构组织数据，就好象Linux/Unix系统中的文件目录一样。

目录数据库和关系数据库不同，它有优异的读性能，但写性能差，并且没有事务处理、回滚等复杂功能，数据修改使用简单的锁定机制实现All-or-Nothing,不适于存储修改频繁的数据。

所以目录天生是用来查询的，就好象它的名字一样。

现在国际上的目录服务标准有两个，一个是较早的X.500标准，一个是较新的LDAP标准。

LDAP诞生的目标是快速响应和大容量查询并且提供多目录服务器的信息复制功能，它为读密集型的操作进行专门的优化。

因此，当从LDAP服务器中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快一个数量级。

LDAP常用术语解释：DN：distinguished name。

在LDAP目录中的所有记录项都有一个唯一的DN CN,OU,DC都是LDAP连接服务器的端字符串中的区别名称;LDAP连接服务器的连接字串格式为：ldap://servername/DN其中DN有三个属性，分别是CN,OU,DCLDAP是一种通讯协议，如同HTTP是一种协议一样的！在LDAP目录中。

uid(User ID)CN (Common Name)DC (Domain Component)OU (Organizational Unit)SN （surname)An LDAP 目录类似于文件系统目录.下列目录:DC=redmond,DC=wa,DC=microsoft,DC=com如果我们类比文件系统的话，可被看作如下文件路径:Com/Microsoft/Wa/Redmond例如：CN=test,OU=developer,DC=domainname,DC=com在上面的代码中cn=test代表一个用户名，ou=developer代表一个active directory中的组织单位。

手把手教您配置 Linux 目录服务器 近几年，随着 LDAP（Light Directory Access Protocol，轻量级目录访问 协议）技术的兴起和应用领域的不断扩展，目录服务技术成为许多新型技术实现 信息存储、管理和查询的首选方案，特别是在网络资源查找、用户访问控制与认 证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务 等方面，都需要应用目录服务技术来实现一个通用、 完善、应用简单和可以扩展 的系统。

对于任何一家大 IT 网络的企业来说，IT 系统中的目录服务功能是必不可少 的。

如果一个在全国有多个分支机构的企业，已经有了一个内部网络系统，每一 个分支机构都有一个局域网，局域网之间通过专线或者 VPN 通道连接在一起，那 么，如何将网络中的资源和信息有效地管理起来呢？通常，这个企业可以在每一 个分支机构或者每个城市建立一个目录服务器，任何地方的员工连接到本地目录 服务器就可以访问到目录树中所有的信息，在目录服务器之间复制目录信息，以 保持同步。

比如，人事部门看到的人员目录与财务部门、设备管理部门看到的人 员目录是完全一致的， 他们所使用的应用系统无须再建立另一套目录结构。

当然， 这一切都是要经过身份验证的。

目录服务有着如此重要的作用， 但在过去， 企业通常 采用基于 Windows 的目 录服务器，Linux 在这方面相形逊色。

作为 Windows 的核心内容，目录服务被企 业 IT 人员认为是 Windows 与 Linux 相比最具竞争力的部分，也成为 Linux 产品 架构中的软肋。

随着 Red Hat Enterprise Linux 4.0 出现，这个情况已经改变了。

RHEL 4 内附的 LDAP 服务器为 OpenLDAP 2.2.13-2 版，OpenLDAP 2.x 包括数个 重要功能： 1. 支持 LDAPv3 - OpenLDAP 2.0 除了其它改善外还支持 SASL （SimpleAuthentication and Security Layer） 、 TLS （Transport Layer Security） 以及 SSL（Secure Sockets Layer） 。

OpenLDAP 目录服务解决方案一、LDAP与目录服务简介LDAP （Lightweight Directory Access Protocal, 轻量目录访问协议），是针对以X500目录为主的目录服务的前端访问一种通讯协议，是OSL X.500目录访问网关。

目录服务（Directory Service）是企业利用软件来储存企业内的信息，如：人员、设备、其它资源等信息，并提供使用者查询机制的一种服务，通常都会包含一个目录服务器（Directory Server），以及许多查询用的客户端程序。

目录服务最主要的功能即在提供一个简便的查询方式，让使用者可以用像姓名、编号之类的关键词来查询目录服务器中所储存的信息。

LDAP Directory Server因为可以快速地响应目录信息的查询，常被用来作为网络应用系统数据储存之用，或是进行大量数据查询的应用，所以最常被用在Intranet的系统整合、Internet与E-Commerce结合等等的应用上。

二、LDAP应用就目前情况来看LDAP主要用于用户管理。

包括各种行业应用：1、元目录领域：使用LDAP作用户信息统一接口；2、用户管理：邮件系统（红旗的webmail使用OpenLDAP）、大容量网站用户管理系统；3、PKI/PMI行业：使用LDAP存储用户证书信息；4、电信：使用LDAP作为用户记费系统；5、设备管理：由于设备也具有分级管理的特性，所以可以使用LDAP进行管理。

6、“单点登录”的解决方案，即使用元目录作为单点登录的统一接口，用户在得到元目录系统（或称体系）的认证之后，登录邮件系统、其它管理系统（例如：ERP）等时不需要再次进行认证。

“单点登录”是个人信用体系、电子商务等的基础建设内容之一。

两个重要应用趋势：1、UDDI，UDDI是（通用描述、发现和集成），用于发现一个已发布在互联网上的web service，由于LDAP具有良好的查询速度和权限控制能力，所以LDAP将成为UDDI的首选数据存储系统；2、SSO，即单点登录，在SOA体系中最重要需解决的问题可能就是SSO了，但各大厂商目前仍没有好的解决方案，可能即将出台的带数字签名的XML技术将是一剂良方，届时LDAP将成为主流存储系统。

一．Openldap的安装1.利用yum方式安装openldapyum install openldapopenldap-servers openldap-clients openldap-develcompat-openldap2.配置日志mkdir /var/log/slapdchmod 755 /var/log/slapd/chownldap:ldap /var/log/slapd/sed -i "/local4.*/d" /etc/rsyslog.confcat >> /etc/rsyslog.conf<< EOFlocal4.* /var/log/slapd/slapd.logEOFservice rsyslog restart3. 创建管理员密码，尽量使用高强度密码这里我设置的密码为3329728,ssha加密后生成的{SSHA}DOS0VOBzmvD3beMsuFllLBOi6CAt4Kcj 一会配置文件要用[root@openldap-master~]#slappasswdNew password:Re-enter new password:{SSHA}DOS0VOBzmvD3beMsuFllLBOi6CAt4Kcj4.修改slapd.conf配置为了使用默认的slapd.conf这种配置方式，我们移除slapd.d这个目录，并复制默认的slapd.conf文件。

命令如下Cp/usr/share/openldap-servers/slapd.conf.obsolete/etc/openldap/slapd.confmv /etc/openldap/slapd.d{,.bak}（备份slapd.d为slapd.bak）然后我们用vi修改/etc/openldap/spapd.conf这个文件修改suffix和rootdn，rootpw这几个的值其中rootpw后面是上面生成的sha密码!.Suffix后面可以是一级域名也可以是二级域名，这里我们用的是一级域名。

安装和配置OPENLDAP必需的软件包在大多数基于软件包的系统上（例如，在基于RPM 的分发版（distribution）上，如Red Hat、Mandrake 和SuSE)安装和配置OpenLDAP 是一个相对比较简单的过程。

第一步先确定将哪些OpenLDAP 组件（如果有的话)作为初始Linux 设置的一部分进行安装。

从控制台窗口或命令行，输入：［root＠thor root］＃rpm —qa | grep openldapopenldap-devel-2。

0.23—4openldap-2。

0。

23-4openldap—servers-2.0.23—4openldap—clients-2.0.23-4[root@thor root］＃您应该看到类似上面的输出。

注:Red Hat 分发版安装OpenLDAP 客户机软件，但不安装openldap-servers 软件包,即使您选择了服务器配置也是如此。

要安装RPM 软件包,在分发版媒质上找到所需文件的位置并输入:rpm -ivh packagename配置OpenLDAP 服务器安装了必需的软件之后，下一步是要配置服务器。

首先，备份原始配置文件以供今后参考（cp /etc/openldap/slapd.conf /etc/openldap/slapd。

conf。

orig ).现在,在您所喜爱的文本编辑器中打开/etc/openldap/slapd.conf 文件，花几分钟时间通读注释。

除了定义目录数据库类型、suffix、rootdn 和存储目录数据库的位置的几个项外，slapd.conf 中的大多数缺省设置都是适当的。

database ldbmsuffix "dc=syroidmanor,dc=com"rootdn "cn=root,dc=syroidmanor。

com，dc=com"rootpw {CRYPT}05T/JKDWO0SuIdirectory /var/lib/ldapindex objectClass,uid,uidNumber，gidNumber，memberUid eqindex cn,mail，surname,givenname eq,subinitial保护rootdnrootdn 项控制谁可以对目录数据库进行写操作，以及他们要这样做所必须提供的密码。

Centos7搭建openldap完整详细教程（真实可用）最近，由于公司需求，需要搭建openldap来统一用户名和密码，目前市面上几乎所有的工具都支持ldap协议，具体ldap的介绍这里就不详细说明了，这里主要记录一下如果部署openldap来实现Ldap 服务，并使用phpldapadmin作为web管理工具进行界面维护。

刚开始的时候，我百度了一下openldap的搭建，发现教程都比较乱，也没人说清楚个具体的所以然，还有一个说网上的90%都是错的，而其本身的教程又不是很详细，对于新手没那么好懂，这里我就记录一下完整的详细的openldap搭建过程，并尽可能详细的说明其中每一步的作用，好了，废话不多说，下面开始。

版本说明：直接yum安装，版本如下，官网最新的是2.4.47，版本并不老所以就直接用yum仓库默认自带的。

centos7.5 （这里只要是centos7 都ok）openldap 2.4.44phpldapadmin 1.2.3正文1. 安装openldap1.# yum 安装相关包2.yum install -y openldap openldap-clients openldap-servers3.4.# 复制一个默认配置到指定目录下,并授权，这一步一定要做，然后再启动服务，不然生产密码时会报错5.cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG6.# 授权给ldap用户,此用户yum安装时便会自动创建7.chown -R ldap. /var/lib/ldap/DB_CONFIG8.9.# 启动服务，先启动服务，配置后面再进行修改10.systemctl start slapd11.systemctl enable slapd12.13.# 查看状态，正常启动则ok14.systemctl status slapd2. 修改openldap配置这里就是重点中的重点了，从openldap2.4.23版本开始，所有配置都保存在/etc/openldap/slapd.d目录下的cn=config文件夹内，不再使用slapd.conf作为配置文件。

openLdap安装教程环境操作系统：centOS 7.0 OpenLDAP：2.4.X安装从yum源安装yum install openldap openldap-servers openldap-clients -y配置执⾏如下命令来初始化OpenLdap的配置cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG在/etc/openldap⽬录下新建openLdap配置⽂件cd /etc/openldaptouch slapd.confslapd.conf的⽂件内容为include /etc/openldap/schema/corba.schemainclude /etc/openldap/schema/core.schemainclude /etc/openldap/schema/cosine.schemainclude /etc/openldap/schema/duaconf.schemainclude /etc/openldap/schema/dyngroup.schemainclude /etc/openldap/schema/inetorgperson.schemainclude /etc/openldap/schema/java.schemainclude /etc/openldap/schema/misc.schemainclude /etc/openldap/schema/nis.schemainclude /etc/openldap/schema/openldap.schemainclude /etc/openldap/schema/ppolicy.schemainclude /etc/openldap/schema/collective.schema# OpenLDAP 服务允许连接的客户端版本。

OpenLDAP安装与配置第⼀种⽅法：使⽤命令安装OpenLDAP:yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools查看OpenLDAP版本，使⽤如下命令：slapd -VV到这⾥OpenLDAP基本安装完毕，接下来就是开始配置OpenLDAP四、OpenLDAP配置PS: OpenLDAP2.4.23版本开始所有配置数据都保存在/etc/openldap/slapd.d/,看了很多博客都是使⽤slapd.conf作为配置⽂件，⽽且很多博客内容都已经过时，所以没有⼀个好的⽂档真的会踩很多坑，在此记录⼀下4.0 配置OpenLDAP管理员密码设置OpenLDAP的管理员密码:slappasswd -s [password]密码设置好了之后呢，保存好，下⾯会使⽤到。

4.1 修改olcDatabase={2}hdb.ldif⽂件修改olcDatabase={2}hdb.ldif⽂件,对于该⽂件增加⼀⾏olcRootPW: {SSHA}dXgO/Ipy5SQiKFZ0u7m79Xo7uzKIr038，然后修改域信息：olcSuffix: dc=teracloud2,dc=cnolcRootDN: cn=admin,dc=teracloud2,dc=cn注意：其中cn=admin中的admin表⽰OpenLDAP管理员的⽤户名，dc为ldap的服务器域名，导出⽽olcRootPW表⽰OpenLDAP管理员的密码。

实际修改如下：vim /etc/openldap/slapd.d/cn=config/olcDatabase\=\{2\}hdb.ldifolcSuffix: dc=teracloud2,dc=cnolcRootDN: cn=admin,dc=teracloud2,dc=cnolcRootPW: {SSHA}dXgO/Ipy5SQiKFZ0u7m79Xo7uzKIr0384.2 修改olcDatabase={1}monitor.ldif⽂件修改olcDatabase={1}monitor.ldif⽂件，如下：vim /etc/openldap/slapd.d/cn=config/olcDatabase\=\{1\}monitor.ldifolcAccess: {0}to * by dn.base=”gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth” read by dn.base=”cn=admin,dc=teracloud2,dc=cn” read by * none验证OpenLDAP的基本配置是否正确，使⽤如下命令：slaptest -u通过结果看出我们的配置是没有问题的4.3启动OpenLDAP服务，使⽤如下命令：//开始ldapsystemctl enable slapd//启动ldapsystemctl start slapd//查看ldap的状态systemctl status slapd4.4 配置OpenLDAP数据库OpenLDAP默认使⽤的数据库是BerkeleyDB，现在来开始配置OpenLDAP数据库，使⽤如下命令：cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIGchown ldap:ldap -R /var/lib/ldapchmod 700 -R /var/lib/ldapll /var/lib/ldap/注意：/var/lib/ldap/就是BerkeleyDB数据库默认存储的路径。

Linux新⼿随⼿笔记2.8-使⽤OpenLDAP部署⽬录服务了解⽬录服务回忆前⾯所学的章节，我们发现其实⽬录可以被理解成是⼀种为查询、浏览或搜索的数据库，但数据库⼜分为了⽬录数据库和关系数据库，⽬录数据库主要⽤于存储较⼩的信息（如姓名、电话、主机名等），同时具有很好的读性能，但在写性能⽅⾯⽐较差，所以不适合存放那些需要经常修改的数据。

⽬录服务则是由⽬录数据库和⼀套能够访问和处理数据库信息的协议组成的服务协议，⽤于集中的管理主机帐号密码，员⼯名字等数据，⼤⼤的提升了管理⼯作效率。

轻量级⽬录访问协议LDAP(Lightweight Directory Access Protocol)是在⽬录访问协议X.500的基础上研发的，主要的优势是：X.500⽬录协议功能⾮常臃肿，消耗⼤量资源，⽆法做到快速查询且不⽀持TCP/IP协议⽹络。

LDAP采⽤树状结构存储数据（类似于前⾯学习的DNS服务程序），⽤于在IP⽹络层⾯实现对分布式⽬录的访问和管理操作，条⽬是LDAP协议中最基本的元素，可以想象成字典中的单词或者数据库中的记录，通常对LDAP服务程序的添加、删除、更改、搜索都是以条⽬为基本对象的。

dn:每个条⽬的唯⼀标识符，如上图中linuxprobe的dn值是：cn=linuxprobe,ou=marketing,ou=people,dc=mydomain,dc=orgrdn:⼀般为dn值中最左侧的部分，如上图中linuxprobe的rdn值是：cn=linuxprobebase DN:此为基准DN值，表⽰顶层的根部，上图中的base DN值是：dc=mydomain,dc=org⽽每个条⽬可以有多个属性（如姓名、地址、电话等），每个属性中会保存着对象名称与对应值，LDAP已经为运维⼈员对常见的对象定义了属性，其中有：属性名称属性别名语法描述值（举例）commonName cn DirectoryString名字seansurname sn DirectoryString姓⽒ChoworganizationalUnitName ou DirectoryString单位（部门）名称IT_SECTIONorganization o DirectoryString组织（公司）名称linuxprobetelephoneNumber TelephoneNumber电话号码911objectClass内置属性organizationalPersonX.500 他有个致命的缺点，就是不⽀持tcp/ip协议，这就好⽐说我们买了个⼿机，但是这个⼿机不能联⽹。