openldap安装配置以及用户家目录的自动挂载手册

LDAP完全配置管理用户组

服务器端

一：安装相关软件

yum -y install openldap* db4*

二：安装配置

1 创建复制BDB数据库配置文件

LDAP服务器默认采用BDB（伯克利）数据库作为后台，CentOS中已经默认安装，需要先将/etc/openldap/目录下的DB-CONFIG.example文件复制到/var/lib/ldap/目录下并更名为DB-CONFIG并更改权限为ldap所有。

#cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

#useradd -s /sbin/nologin ldap

#chown ldap:ldap /var/lib/ldap/DB_CONFIG

2 LDAP服务器的主配置文件为/etc/openldap/slapd.conf,找到

suffix “dc=my-domain,dc=com”

rootdn “cn=Manager,dc=my-domain,dc=com” 两行。

根据实际情况修改为：

suffix “dc=langtaojin,dc=com” 设定域名后缀

rootdn “cn=Manager,dc= langtaojin,dc=com ” 超级管理员

密码设为简单的明码，把rootpw secret这行前面的注释去掉，注意此行前面一定不要留空格。将secret替换成123456（自定义密码）（或者用slappasswd -h{SSHA} -s 123456生成你的暗文密码）

找到access配置部分，添加如下语句：

access to attrs=shadowLastChange,Userpassword

by self write

by * auth

access to *

by * read

LDAP服务器需要手动添加日志功能。/etc/openldap/slapd.conf中末行添加

directory /var/lib/ldap

loglevel 296

cachesize 1000

checkpoint 2048 10

local4.* /var/log/ldap.log (說明：local0-7为syslog的facilities，具体的程序应用的facility不一样，每一个facility都有它的数字代码，由这些代码加上错误信息的程度syslog 可以判断出信息的优先权。就上例来说，local7的代码为23，notice的代码为5，那么local7.notice的信息优先权为：23*8+5=189。这是/var/adm/messages.T3是信息的优先仅。具体可以查RFC3164。我自己认为设定local7而不用local5是由应用程序决定的。)

这是一个比较详细的日志级别。同时在/etc/syslog.conf中添加local4.*

/var/log/ldap.log 确定LDAP服务器的日志位置。

用如下命令使日志功能生效：

#service syslog restart

3开启LDAP服务

以下命令来开启ldap服务

# service ldap restart

查看端口：

#netstat –an | grep 389

如果启动正常应该有“389”端口信息。普通LDAP服务开放389端口。查看日志文件

/var/log/ldap.log(系统随系统日志服务重启时自动创建)应该有启动信息。

设置系统在3，5级别启动时自动开启服务

#chkconfig --level 35 ldap on

4 添加LDAP数据

在加入数据之前，要配置客户端文件/etc/openldap/ldap.conf. 该文件是LDAP服务器的客户端搜索工具文件，由openldap_clientsRPM包生成。

配置如下：

搜索路径，改为： BASE dc=boy，dc=com

BASE dc=Wistronits，dc=com

因为本机就是服务器，所以不用指定服务器IP，默认为localhost。

接下来要为服务器端生成用户，用户组等的数据信息，LDAP数据可以用以.ldif文件的形式添加到数据库中

#cd /usr/share/openldap/migration/

#vim migrate_common.ph

修改文件这2个部分

$DEFAULT_MAIL_DOMAIN = "";

$DEFAULT_BASE = "dc=langtaojin,dc=com";（说明：此处需要和前面配置的slapd.conf文件指定的域名相同）

生成模板信息：

#./migrate_base.pl > base.ldif

用以下命令添加模板信息：

#ldapadd -x -D “cn=Manager,dc=langtaojin,dc=com” -W -f base.ldif

添加组信息：

#grep ^ldapusers /etc/group > group.txt (匹配/etc/group文件中ldapusers用户组的信息并写入到group.txt文件中

#./migrate_group.pl group.txt > group.ldif (生成组信息）

#ldapadd -x -D “cn=Manager,dc=langtaojin,dc=com” -W -f group.ldif （导入）添加用户信息：

#grep ^ldap[0-9]* /etc/passwd > user.txt （配置ldap*用户的信息写入user.txt)

#./migrate_passwd.pl user.txt > user.ldif

#ldapadd -x -D “cn=Manager,dc=langtaojin,dc=com” -W -f user.ldif

上面命令提示输入密码时，输入管理员密码明文“secret”。

添加完成数据后，可用以下命令查询数据：

#ldapsearch –x

客户端配置

LDAP服务器的客户端命令RPM包为openldap-clients,手动安装后会有

/etc/openldap/ldap.conf文件。除此之外要实现LDAP服务客户端必须配置

/etc/nsswitch.conf, /etc/sysconfig/authconfig,/etc/ldap.conf，

/etc/pam.d/system-auth四个文件。

<1>配置/etc/nsswith.conf

/etc/nsswith.conf文件由glibc-2.5-24生成，CentOS5.2中缺省安装。该文件用于名称转换服务。通常LINUX系统身份验证读取本地文件，要使身份验证查询通过LDAP服务器必须在该文件中找到passwd;shadow;group;三行在files后空格添加“ldap”passwd: files ldap