openldap安装配置以及用户家目录的自动挂载手册

OpenLDAP安装指南OpenLDAP 安装指南本⼿册仅⽤于配置Ubuntu9.10中的OpenLDAP，其他版本的OpenLDAP可能有所不同。

⾸先，安装 OpenLDAP:步骤 1运⾏如下命令,将slapd包中带的LDAP schema全部添加到 cn=config中 (默认只有core schema 被添加):步骤 2创建⼀个db.ldif⽂件，其内容如下所⽰，此步骤将为域dc=home,dc=local (即 home.local)安装配置⼀个database。

并且，只有cn=admin,dc=hoome,dc=local可以管理这个数据库（密码：admin）。

代码:# Load modules for database typedn: cn=module,cn=configobjectclass: olcModuleListcn: moduleolcModuleLoad: back_/doc/be86a984b9d528ea81c779c8.html# Create directory databasedn: olcDatabase=bdb,cn=configobjectClass: olcDatabaseConfigobjectClass: olcBdbConfigolcDatabase: bdb# Domain name (e.g. home.local)olcSuffix: dc=home,dc=local# Location on system where database is storedolcDbDirectory: /var/lib/ldap# Manager of the databaseolcRootDN: cn=admin,dc=home,dc=localolcRootPW: admin# Indices in database to speed up searchesolcDbIndex: uid pres,eqolcDbIndex: cn,sn,mail pres,eq,approx,subolcDbIndex: objectClass eq# Allow users to change their own password# Allow anonymous to authenciate against the password# Allow admin to change anyone's passwordolcAccess: to attrs=userPasswordby self writeby anonymous authby dn.base="cn=admin,dc=home,dc=local" writeby * none# Allow users to change their own record# Allow anyone to read directoryolcAccess: to *by self writeby dn.base="cn=admin,dc=home,dc=local" writeby * read对上述⽂件，使⽤如下命令将数据库添加到LDAP server上. 需要知道的是 Karmic使⽤EXTERNAL SASL 和LDAP server通信. 这⾥没有admin user或者password:步骤 3创建另⼀个⽂件，该⽂件包含所有你想要添加的⽤户，这⾥以people.ldif命名之。

部署OPENLDAP手册编写：贺承玮日期：2007年9月20日星期四操作系统：LINUX AS3.01)查看已经安装的OPENLDAPrpm –aq | grep openldap显示结果：openldap-2.0.27-17openldap-devel-2.0.27-172)下载并安装openldap-servers-2.0.27-17.i386.rpmrpm –ivh openldap-servers-2.0.27-17.i386.rpm - -force3)上传格尔提供的koalca.schema文件cp koalca.schema /etc/openldap/schema2.1设置配置文件在配置文件/etc/openldap/slapd.conf中进行如下修改：1、引入schemainclude /etc/openldap/schema/koalca.schema 2、增加根节点suffix "o=koalca"3、设置dnrootdn "cn=Manager,dc=koal,dc=com"4、设置登陆密码rootpw 123456785、其他设置suffix "dc=koal,dc=com"（如果有就设置，按你之前做的应该不用）2.2建库[root@testCA-01 openldap]# pwd/etc/openldap（即在openldap在安装目录下执行以下内容）[root@testCA-01 openldap]# slapadd -l initdata2.ldif -f /etc/openldap/slapd.conf（你需要把initdata2.ldif中的o项改成你需要的根节点名称）[root@testCA-01 openldap]# chown ldap.ldap /var/lib/ldap/*重启生效[root@testCA-01 openldap]# /etc/init.d/ldap restart停止slapd：[ 确定] 启动slapd：[ 确定]3.1搭建从机从机的安装过程同主机，不用作slapd.conf的设置和建库。

Windows下安装使用openldapopenldap 比起其他商业目录服务器(比如 IBM Directory Server)，特别的轻巧，十分适合于本地开发测试用，在产品环境中的表现也很优秀。

openldap 软件在它的官方网站, 不过下载过来是源代码，并没有包含 win32 下的 Makefile 文件，只提供了在 Unix/Linux 下编译用的 Makefile。

所以相应的在网上介绍在 windows 下安装使用 openldap 的资料比较少，而在 Unix/Linux 下应用文档却很丰富。

本文实践了在 Windows 下安装配 openldap，并添加一个条目，LdapBrowser 浏览，及 Java 程序连接 openldap 的全过程。

1. 下载安装 openldap for windows，当前版本2.2.29下载地址：/openldap/openldap-2.2.29/openldap-2.2.29-db-4.3.29-openssl-0.9.8a-win32_Setup.exe相关链接：/hacks/openldap/安装很简单，一路 next 即可，假设我们安装在 c:\openldap2. 配置 openldap，编辑 sldap.conf 文件1) 打开 c:\openldap\sldap.conf，找到include C:/openldap/etc/schema/core.schema，在它后面添加include C:/openldap/etc/schema/cosine.schemainclude C:/openldap/etc/schema/inetorgperson.schema接下来的例子只需要用到以上三个 schema，当然，如果你觉得需要的话，你可以把其他的 schema 全部添加进来include C:/openldap/etc/schema/corba.schemainclude C:/openldap/etc/schema/dyngroup.schemainclude C:/openldap/etc/schema/java.schemainclude C:/openldap/etc/schema/misc.schemainclude C:/openldap/etc/schema/nis.schemainclude C:/openldap/etc/schema/openldap.schema2) 还是在 sldap.conf 文件中，找到suffix "dc=my-domain,dc=com"rootdn "cn=Manager,dc=my-domain,dc=com"把这两行改为suffix "o=tcl,c=cn"rootdn "cn=Manager,o=tcl,c=cn"suffix 就是看自己如何定义了，后面步骤的 ldif 文件就必须与它定义了。

Openldap在windows下的安装及配置准备工作Openldap官网只提供了linux平台相关安装文件，windows平台的安装包可以在以下网站下载：erbooster.de/download/openldap-for-windows.aspx(本文使用：2.4.34)/projects/openldapwindows/files/http://sourceforge.jp/projects/openldapwin32/releases/安装过程按照提示一直next，直到安装完成：安装完成后，在系统服务中，找到openldap service，根据自己的需要将启动类型修改为自动或手动。

配置过程安装目录：E:\servers\OpenLDAP编辑文件：E:\servers\OpenLDAP\slapd.conf 修改如下内容suffix "dc=maxcrc,dc=com"rootdn "cn=Manager,dc=maxcrc,dc=com"修改为：suffix "dc=merit "rootdn "cn=Manager,dc=merit"新建一个文件：E:\servers\OpenLDAP\merit.ldif 内容如下dn: dc=meritobjectClass: domainobjectClass: topdc: meritdn: ou=erds,dc=meritobjectclass: topobjectclass: organizationalUnitou: erdsdn: ou=tim,dc=meritobjectclass: topobjectclass: organizationalUnitou: tim在系统服务中，找到openldap service，停止服务再控制台中切换到openldap安装目录下执行命令：Slapadd–v –l merit.ldif运行结果如下：在系统服务中再启动openldap service即可。

OpenLDAP安装及配置OpenLDAP安装及配置折腾了好多天总算是折腾出些眉⽬来了，openldap在linux下的安装与⽂件的配置估计令好多⼈都⽐较头疼吧？我就遇到了这样的问题。

下⾯我就⼤致说⼀下openldap的安装过程以及所遇到的⼀些问题的处理办法。

1.安装BerkeleyDB我选⽤的数据库是BerkeleyDB-4.8.26，在安装openldap之前需要把BDB先装好。

安装步骤如下：1）⾸先把下载好的⽂件db-4.8.26.tar解压，⽣成⽂件夹db-4.8.26，# cd db-4.8.26/build_unix# ../dist/configure# make# make install这个过程⼀般没什么问题，默认安装到了/usr/local下，⽬录名，BerkeleyDB.4.8,2) 接下来应该把BerkeleyDB.4.8下include和lib⽂件夹下的⽂件都考到usr⽂件夹下相应的include和lib⽂件下。

也可以通过以下命令来实现#cp /usr/local/ BerkeleyDB.4.8/include/* /usr/include#cp /usr/local/ BerkeleyDB.4.8/lib/* /usr/lib注意：*后边要有空格，这是cp命令的格式2.安装openldap同样，先解压，我⽤的是openldap-2.4.13，安装步骤如下#cd openldap-2.4.13#env CPPFLAGS=”-I/usr/local/ BerkeleyDB.4.8/include” LDFLAGS=”-L/usr/local/ BerkeleyDB.4.8/lib”./configure --prefix=/usr/local/openldap出现Making servers/slapd/backends.cAdd config…Add ldif…Add monitor…Add bdb…Add hdb…Add relay…Make servers/slapd/overlays/statover.cAdd syncprov…Please run “make depend” to build dependencies就可以进⾏下⼀步了，# make depend#make#make test# make install这样openldap就基本上安装完成了，但在这⼀步容易出现⼀些问题。

LDAP完全配置管理用户组服务器端一：安装相关软件yum -y install openldap* db4*二：安装配置1 创建复制BDB数据库配置文件LDAP服务器默认采用BDB（伯克利）数据库作为后台，CentOS中已经默认安装，需要先将/etc/openldap/目录下的DB-CONFIG.example文件复制到/var/lib/ldap/目录下并更名为DB-CONFIG并更改权限为ldap所有。

#cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG#useradd -s /sbin/nologin ldap#chown ldap:ldap /var/lib/ldap/DB_CONFIG2 LDAP服务器的主配置文件为/etc/openldap/slapd.conf,找到suffix “dc=my-domain,dc=com”rootdn “cn=Manager,dc=my-domain,dc=com” 两行。

根据实际情况修改为：suffix “dc=langtaojin,dc=com” 设定域名后缀rootdn “cn=Manager,dc= langtaojin,dc=com ” 超级管理员密码设为简单的明码，把rootpw secret这行前面的注释去掉，注意此行前面一定不要留空格。

将secret替换成123456（自定义密码）（或者用slappasswd -h{SSHA} -s 123456生成你的暗文密码）找到access配置部分，添加如下语句：access to attrs=shadowLastChange,Userpasswordby self writeby * authaccess to *by * readLDAP服务器需要手动添加日志功能。

/etc/openldap/slapd.conf中末行添加directory /var/lib/ldaploglevel 296cachesize 1000checkpoint 2048 10local4.* /var/log/ldap.log (說明：local0-7为syslog的facilities，具体的程序应用的facility不一样，每一个facility都有它的数字代码，由这些代码加上错误信息的程度syslog 可以判断出信息的优先权。

OPENLDAP在REDHA T8.0下的安装和配置笔记最近一直在安装opneldap-2.0.25，现在终于搞定了，所以拿来和大家分享一下，如果有什么意见，可以共同讨论一下：1) 一般需要安装以下四个rpm包：openldap-2.0.25-1.i386.rpmopenldap-servers-2.0.25-1.i386.rpmopenldap-clients-2.0.25-1.i386.rpmopenldap-devel -2.0.25-1.i386.rpmOpenldap-2.0*是必要套件，一定要先安装；Openldap-servers*是服务器套件；openldap-clients*是操作程序套件；openldap-devel*是开发工具套件.如果需要用ldap做一些高级应用，还需要加装如下套件：auth_ldap*nss_ldap*php_ldap*2)下一步就是配置了配置文件一般在/etc/openldap/下：ldapfilter.conf ldap.confldapsearchprefs.conf schema ldaptemplates.conf slapd.conf文件slapd.conf是设置ldap服务器连接，进入文件，修改相应的部分：在include /etc/openldap/schema/……部分添加完整的方案，即schema目录下的所有方案。

在“ldbm database definitions”部分，用suffix命令设置ldap服务器的基础搜索路径（BDN）:suffix “dc=buct, dc=”rootdn “cn=root, dc=buct, dc=”rootpw 123456其它大多数的缺省设置都是适当的。

然后检查两个文件，以保证可以在同一台机器上实现服务器与客户端同机操作：/etc/hosts :127.0.0.1 localhost.localdomain localhost202.xxx.xxx.xxx /etc/openldap/ldap.conf:HOST 202.4.155.91BASE dc=buct , dc=3)测试服务器：#service ldap start#ldapsearch –x –b …‟ -s base …(objectclass=*)‟namingContexts如果正确配置了，应该出现下面输出：version :2#filter(objectclass=*)#requesting: namingContextsdn:namingContexts: dc=buct, dc=#search resultsearch :2result :0 success# numResponses: 2# numEntries: 1如果出现错误消息，则返回并检查配置。

1.避免重复的数据，从而无需在不同地点同时保存数据。

2.通过使用单一系统代替不同的数据管理系统和技术，简化数据的管理。

3.通过单点访问数据和实施一致的访问控制方法，提高数据安全性。

4.通过消除多种存储格式和系统，降低成本。

1、Directory Services(目录服务)能做什么？当局域网的规模变的越来越大时，为了方便主机管理，我们使用DHCP来实现IP地址、以太网地址、主机名和拓扑结构等的集中管理和统一分配。

同样，如果一个局域网内有许多的其它资源时，如打印机、共享文件夹等等，为了方便的定位及查找它们，一种集中定位管理的方式或许是较好的选择，DNS和NIS都是用来实现类似管理的方法。

对于局域网内的一个用户来讲，工作等其它应用需要，我们必须凭帐号登录主机、用帐号收发E-mail，甚至为了管理需要公司还需要维护一个电子号码簿来存储员工的姓名、地址、电话号码等信息。

随着时间的增长，我们会为这些越来越多的帐号和密码弄的头晕脑胀。

同时，如果一个员工离开，管理员就不得不翻遍所有的记录帐号信息的文件把离职员工的信息删除。

这些将是一个繁琐而效率低下的工作。

那么，如果能将此些帐号信息等统一到一个文件中进行管理，无疑会大大提高员工及管理员的工作效率。

目录服务（LDAP是其实现的一种）正是基于这些应用实现的。

2、什么是LDAP？LDAP是Lightweight Directory Access Protocol的缩写，顾名思义，它是指轻量级目录访问协议（这个主要是相对另一目录访问协议X.500而言的；LDAP略去了x.500中许多不太常用的功能，且以TCP/IP协议为基础）。

目录服务和数据库很类似，但又有着很大的不同之处。

数据库设计为方便读写，但目录服务专门进行了读优化的设计，因此不太适合于经常有写操作的数据存储。

同时，LDAP只是一个协议，它没有涉及到如何存储这些信息，因此还需要一个后端数据库组件来实现。

这些后端可以是bdb(BerkeleyDB)、ldbm、shell和passwd等。

Windows下OpenLDAP的安装与配置本文主要参考官方文档：/doc/admin24/quickstart.html和网上流传的教程：/?p=462OpenLDAP下载地址：/openldap/openldap-2.2.29/openldap-2.2.29-db-4.3.29-openssl-0.9.8a-win32_Setup.exe下载后点击安装即可。

配置sldap.conf ：在安装目录下找到sldap.conf ，修改配置如下：suffix "dc=example,dc=com"rootdn "cn=Manager,dc=example,dc=com"rootpw secret启动OpenLDAP：进入cmd命令行，跳转到OpenLDAP安装目录下，运行：slapd -d 1用可以看到控制台下打印一片信息，openldap 默认是用的 Berkeley DB 数据库存储目录数据的。

再开一个cmd，跳转到OpenLDAP安装目录下。

测试OpenLDAP是否正常启动：ldapsearch -x -s base (objectclass=*) namingContexts官方文档里，这一条命令加了些单引号，但带单引号的命令在Windows环境下跑不通。

后面的命令也都避免使用引号。

如果返回：dn:namingContexts: dc=example,dc=com则说明OpenLDAP成功启动增加一个条目：1.做一个LDIF文件2.使用ldapadd命令1.在安装目录下，新建文件example.ldif，输入如下内容：dn: dc=example,dc=comobjectclass: dcObjectobjectclass: organizationo: Example Companydc: exampledn: cn=Manager,dc=example,dc=comobjectclass: organizationalRolecn: Manager注意：在文档每一行的开头和结尾不要有空格，文档最后最好也别回车。

一．Openldap的安装1.利用yum方式安装openldapyum install openldapopenldap-servers openldap-clients openldap-develcompat-openldap2.配置日志mkdir /var/log/slapdchmod 755 /var/log/slapd/chownldap:ldap /var/log/slapd/sed -i "/local4.*/d" /etc/rsyslog.confcat >> /etc/rsyslog.conf<< EOFlocal4.* /var/log/slapd/slapd.logEOFservice rsyslog restart3. 创建管理员密码，尽量使用高强度密码这里我设置的密码为3329728,ssha加密后生成的{SSHA}DOS0VOBzmvD3beMsuFllLBOi6CAt4Kcj 一会配置文件要用[root@openldap-master~]#slappasswdNew password:Re-enter new password:{SSHA}DOS0VOBzmvD3beMsuFllLBOi6CAt4Kcj4.修改slapd.conf配置为了使用默认的slapd.conf这种配置方式，我们移除slapd.d这个目录，并复制默认的slapd.conf文件。

命令如下Cp/usr/share/openldap-servers/slapd.conf.obsolete/etc/openldap/slapd.confmv /etc/openldap/slapd.d{,.bak}（备份slapd.d为slapd.bak）然后我们用vi修改/etc/openldap/spapd.conf这个文件修改suffix和rootdn，rootpw这几个的值其中rootpw后面是上面生成的sha密码!.Suffix后面可以是一级域名也可以是二级域名，这里我们用的是一级域名。

OpenLdap使用手册一、文档概述 (2)二、LDAP简介 (2)2.1 LDAP介绍 (2)2.2 LDAP优劣 (3)2.3 LDAP协议 (3)2.4 LDAP服务器 (4)2.5 LDAP使用权限 (4)2.6 LDAP目标 (4)三、安装配置 (5)3.1 软件安装 (5)3.2 软件配置 (5)3.3 软件运行 (5)3.4 初始数据 (6)四、LDAP应用 (8)4.1 LDAP常用属性 (8)4.2LDAP Schema语法 (9)五、LDAP客户端 (9)5.1 增加目录属性 (10)5.2 删除目录属性 (11)5.3 修改目录属性 (11)5.4 增加目录 (11)5.5 修改目录 (12)5.6 删除目录 (13)六、应用举例 (14)附录： (15)X.500 (15)一、文档概述本文从介绍ldap入手，讲述了ldap的使用场合，并进一步的指导用户进行openldap安装与配置。

是新手入门的一个教程。

二、LDAP简介2.1 LDAP介绍LDAP的英文全称是Lightweight Directory Access Protocol，它是基于X.500标准的，但是简单多了并且可以根据需要定制。

与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。

LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。

LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等等。

通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。

2.2 LDAP优劣目录服务的数据类型主要是字符型，为了检索的需要添加了BIN（二进制数据）、CIS（忽略大小写）、CES（大小写敏感）、TEL（电话型）等语法（Syntax），而不是关系数据库提供的整数、浮点数、日期、货币等类型，同样也不提供象关系数据库中普遍包含的大量的函数，它主要面向数据的查询服务（查询和修改操作比一般是大于10:1），不提供事务的回滚（rollback）机制，它的数据修改使用简单的锁定机制实现All-or-Nothing，它的目标是快速响应和大容量查询并且提供多目录服务器的信息复制功能。

OpenLDAP的安装配制当前(Debian/testing)提供的OpenLDAP的版本是: bf 2.3.25-1$ sudo aptitude install slapd ldap-utilsReading package lists... DoneBuilding dependency tree... DoneReading extended state informationInitializing package states... DoneReading task descriptions... DoneBuilding tag database... DoneThe following NEW packages will be automatically installed:db4.2-util libiodbc2 libldap-2.3-0The following NEW packages will be installed:db4.2-util ldap-utils libiodbc2 libldap-2.3-0 slapd0 packages upgraded, 5 newly installed, 0 to remove and 0 not upgraded. Need to get 1791kB of archives. After unpacking 4502kB will be used. Do you want to continue? [Y/n/?]Y其中:slapd 提供LDAP服务ldap-utils 提供客户工具安装完毕后, 其配制文件位于/etc/ldap/目录下:tony@tonybox:~$ ls -l /etc/ldap/total 16-rw-r--r-- 1 root root 333 2006-06-19 17:56 ldap.confdrwxr-xr-x 2 root root 4096 2006-12-29 11:33 schema-rw------- 1 root root 4351 2006-12-29 11:33 slapd.conf/etc/ldap/schema/目录下为schema文件$ ls /etc/ldap/schema/ -ltotal 208-rw-r--r-- 1 root root 8231 2006-11-11 05:39 corba.schema-rw-r--r-- 1 root root 20591 2006-11-11 05:39 core.ldif-rw-r--r-- 1 root root 19762 2006-11-11 05:39 core.schema-rw-r--r-- 1 root root 74080 2006-11-11 05:39 cosine.schema-rw-r--r-- 1 root root 1553 2006-11-11 05:39 dyngroup.schema-rw-r--r-- 1 root root 6360 2006-11-11 05:39 inetorgperson.schema-rw-r--r-- 1 root root 13984 2006-11-11 05:39 java.schema-rw-r--r-- 1 root root 2471 2006-11-11 05:39 misc.schema-rw-r--r-- 1 root root 7723 2006-11-11 05:39 nis.schema-rw-r--r-- 1 root root 3391 2006-11-11 05:39 openldap.ldif-rw-r--r-- 1 root root 1601 2006-11-11 05:39 openldap.schema-rw-r--r-- 1 root root 19689 2006-11-11 05:39 ppolicy.schema-rw-r--r-- 1 root root 2968 2006-11-11 05:39 README3.2 启动与停止服务启动$ sudo /etc/init.d/slapd start服务停止$ sudo /etc/init.d/slapd stop 服务重启$ sudo /etc/init.d/slapd restsart可以通过以下命令查看slapd是否启动$ ps aux |grep slapdopenldap 6406 0.0 0.2 14608 2764 ? Ssl 13:27 0:00/usr/sbin/slapd -g openldap -u openldaptony 6417 0.0 0.0 4892 752 pts/1 R+ 13:28 0:00 grep slapd3.3 配制比如说我们的域名是, 在配制文件/etc/ldap/slapd.conf中可以做如下调整database bdb #设置使用的资料库suffix "dc=debsir,dc=org" #设置目录后缀rootdn "cn=admin,dc=debsir,dc=org" #设置目录管理员directory "/var/lib/ldap" #设置数据库路径rootpw secret #设置管理密码这里用了明文的“secret”密码。

RHEL6 OPENLDAP 的搭建及本地帐户向LDAP 的迁移一. 服务器环境准备1.防火墙、selinux配置安装RHEL6.0操作系统（注意是RHEL6.0，因为不同版本操作系统对应修改的配置文件可能就不一样）配置前我们需要先关闭iptables和selinux。

[root@ldap ~]# iptables -F[root@ldap ~]# service iptables saveiptables：将防火墙规则保存到 /etc/sysconfig/iptables： [确定] [root@ldap ~]# service iptables stopiptables：清除防火墙规则： [确定] iptables：将链设置为政策 ACCEPT：filter [确定] iptables：正在卸载模块： [确定] [root@ldap ~]# chkconfig iptables off[root@ldap ~]# setenforce 0[root@ldap ~]# getenforcePermissive[root@ldap ~]# grep disabled /etc/selinux/config# disabled - No SELinux policy is loaded.SELINUX=disabled2.网卡文件配置[root@ldap ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0DEVICE="eth0"HWADDR="00:0C:29:97:96:05"NM_CONTROLLED="yes"ONBOOT="static"IPADDR=192.168.37.37NETMASK=255.255.255.0GATEWAY=192.168.37.1DNS1=192.168.37.373.主机名配置[root@ldap ~]# cat /etc/sysconfig/networkNETWORKING=yesHOSTNAME=二. 安装配置Bind DNS Server1.安装软件Bind软件包Linux下面使用的DNS服务端软件叫bindrpm -qa | grep bind #查询是否安装了bind软件如果没有安装就需要安装了yum install bind* -y2.修改Bind配置文件修改根域配置文件如下，三个any。

openLdap安装教程环境操作系统：centOS 7.0 OpenLDAP：2.4.X安装从yum源安装yum install openldap openldap-servers openldap-clients -y配置执⾏如下命令来初始化OpenLdap的配置cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG在/etc/openldap⽬录下新建openLdap配置⽂件cd /etc/openldaptouch slapd.confslapd.conf的⽂件内容为include /etc/openldap/schema/corba.schemainclude /etc/openldap/schema/core.schemainclude /etc/openldap/schema/cosine.schemainclude /etc/openldap/schema/duaconf.schemainclude /etc/openldap/schema/dyngroup.schemainclude /etc/openldap/schema/inetorgperson.schemainclude /etc/openldap/schema/java.schemainclude /etc/openldap/schema/misc.schemainclude /etc/openldap/schema/nis.schemainclude /etc/openldap/schema/openldap.schemainclude /etc/openldap/schema/ppolicy.schemainclude /etc/openldap/schema/collective.schema# OpenLDAP 服务允许连接的客户端版本。

OpenLDAP安装与配置第⼀种⽅法：使⽤命令安装OpenLDAP:yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools查看OpenLDAP版本，使⽤如下命令：slapd -VV到这⾥OpenLDAP基本安装完毕，接下来就是开始配置OpenLDAP四、OpenLDAP配置PS: OpenLDAP2.4.23版本开始所有配置数据都保存在/etc/openldap/slapd.d/,看了很多博客都是使⽤slapd.conf作为配置⽂件，⽽且很多博客内容都已经过时，所以没有⼀个好的⽂档真的会踩很多坑，在此记录⼀下4.0 配置OpenLDAP管理员密码设置OpenLDAP的管理员密码:slappasswd -s [password]密码设置好了之后呢，保存好，下⾯会使⽤到。

4.1 修改olcDatabase={2}hdb.ldif⽂件修改olcDatabase={2}hdb.ldif⽂件,对于该⽂件增加⼀⾏olcRootPW: {SSHA}dXgO/Ipy5SQiKFZ0u7m79Xo7uzKIr038，然后修改域信息：olcSuffix: dc=teracloud2,dc=cnolcRootDN: cn=admin,dc=teracloud2,dc=cn注意：其中cn=admin中的admin表⽰OpenLDAP管理员的⽤户名，dc为ldap的服务器域名，导出⽽olcRootPW表⽰OpenLDAP管理员的密码。

实际修改如下：vim /etc/openldap/slapd.d/cn=config/olcDatabase\=\{2\}hdb.ldifolcSuffix: dc=teracloud2,dc=cnolcRootDN: cn=admin,dc=teracloud2,dc=cnolcRootPW: {SSHA}dXgO/Ipy5SQiKFZ0u7m79Xo7uzKIr0384.2 修改olcDatabase={1}monitor.ldif⽂件修改olcDatabase={1}monitor.ldif⽂件，如下：vim /etc/openldap/slapd.d/cn=config/olcDatabase\=\{1\}monitor.ldifolcAccess: {0}to * by dn.base=”gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth” read by dn.base=”cn=admin,dc=teracloud2,dc=cn” read by * none验证OpenLDAP的基本配置是否正确，使⽤如下命令：slaptest -u通过结果看出我们的配置是没有问题的4.3启动OpenLDAP服务，使⽤如下命令：//开始ldapsystemctl enable slapd//启动ldapsystemctl start slapd//查看ldap的状态systemctl status slapd4.4 配置OpenLDAP数据库OpenLDAP默认使⽤的数据库是BerkeleyDB，现在来开始配置OpenLDAP数据库，使⽤如下命令：cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIGchown ldap:ldap -R /var/lib/ldapchmod 700 -R /var/lib/ldapll /var/lib/ldap/注意：/var/lib/ldap/就是BerkeleyDB数据库默认存储的路径。

OpenLDAP安装说明目录一、环境说明 (2)1.1网络及硬件环境 (2)1.2软件环境 (2)1.3文档 (2)二、安装准备 (2)2.1在安装O PEN LDAP前应确保下列的系统软件已经安装 (2)2.2创建LDAP用户 (2)2.3准备安装目录 (2)三、安装OPENLDAP (3)四、启动 (5)4.1安装启动脚本 (5)4.2设置LDAP的执行环境变量 (5)4.3启动O PEN LDAP (5)4.4停止O PEN LDAP (6)4.5调试启动 (6)一、环境说明1.1网络及硬件环境CPU: 4U 内存：8G 硬盘：60G1.2软件环境Red Hat Linux 6.4 64位1.3文档二、安装准备2.1在安装OpenLDAP前应确保下列的系统软件已经安装软件名称软件描述gcc-4.4.7 编程语言编译器Berkeley DB-6.0.30 Berkeley数据库Cyrus SASL-2.1.26 提供简单认证及安全层协议OpenSSL-1.0.1h 提供加密相关的管理工具和库libtool-2.4.2 提供脚本支持的通用库autoconf-2.69 生成shell脚本的扩展包，用于自动配置源代码包automake-1.11.1 自动创建Makefiles 的GNU工具2.2创建ldap用户1)创建ldap组：groupadd -g 83 ldap2)创建ldap用户：useradd -c "OpenLDAP Daemon Owner" -u 83 -g ldap ldap3)修改ldap密码：passwd ldap2.3准备安装目录1)创建OpenLDAP安装目录：chmod -R 757 srcmkdir /usr/local/openldap2.4.39chown ldap:ldap /usr/local/openldap2.4.392)创建OpenLDAP数据存储目录：mkdir /data/ldapchown ldap:ldap /data/ldap3)创建OpenLDAP运行期工作目录：mkdir /var/run/openldapchown ldap:ldap /var/run/openldap4)通过ldap用户创建配置和数据及日志目录：以ldap登录系统或su - ldapcd /usr/local/openldap2.4.39mkdir confcd /data/ldapmkdir ldap1-m1-datamkdir ldap1-m1-log5)增加ldap用户的环境变量vi ~/.bash_profile增加export LDAP_HOME=/usr/local/openldap2.4.39source ~/.bash_profile6)上传OpenLDAP的安装文件到/usr/local/src目录，包括补丁，见下面列表：openldap-2.4.39-blfs_paths-1.patchopenldap-2.4.39-symbol_versions-1.patchopenldap-2.4.39.tgz三、安装OpenLDAP下面的安装步骤需要使用ldap用户来执行。

安装和配置OPENLDAP必需的软件包在大多数基于软件包的系统上（例如，在基于RPM的分发版（distribution ）上，女口Red Hat、Mandrake和SuSE）安装和配置OpenLDAP是一个相对比较简单的过程。

第一步先确定将哪些OpenLDAP组件（如果有的话）作为初始Linux设置的一部分进行安装。

从控制台窗口或命令行，输入：[rootthor root]# rpm -qa | grep openldapopenldap-devel-2.0.23-4openldap-2.0.23-4openldap-servers-2.0.23-4openldap-clients-2.0.23-4[rootthor root]#您应该看到类似上面的输出。

注：Red Hat分发版安装OpenLDAP客户机软件，但不安装openldap-servers 软件包，即使您选择了服务器配置也是如此。

要安装RPM软件包，在分发版媒质上找到所需文件的位置并输入：rpm -ivh packagename配置OpenLDAP服务器安装了必需的软件之后，下一步是要配置服务器。

首先，备份原始配置文件以供今后参考（cp /etc/openldap/slapd.conf /etc/openldap/slapd.conf.orig ）。

现在，在您所喜爱的文本编辑器中打开/etc/openldap/slapd.conf文件，花几分钟时间通读注释。

除了定义目录数据库类型、suffix、rootdn和存储目录数据库的位置的几个项外，slapd.conf中的大多数缺省设置都是适当的。

database ldbmsuffix "dc=syroidmanor,dc="rootdn "cn=root,dc=syroidmanor.,dc="rootpw {CRYPT}05T/JKDWO0Suldirectory /var/lib/ldapindex objectClass,uid,uidNumber,gidNumber,memberUid eqindex ,mail,surname,givenname eq,subinitial保护rootdnrootdn项控制谁可以对目录数据库进行写操作，以及他们要这样做所必须提供的密码。

Rhel6.1下的ldap服务器搭建服务器IP：192.168.86.130 客户机IP：192.168.86.1291.yum –y install openldap*2.创建openldap配置文件slapd.conf注意:slapd.d这个目录必须要删掉，不然等会导入数据的时候会报错3.编辑slapd.conf配置文件设置主机名前缀设置LDAP密码Sldappasswd注意：rootpw前面没有空格4.创建数据库文件5.重启并测试配置文件6.检查搜索域7.创建待认证用户8.安装迁移工具migrationtools9.修改migrate_common.ph10.创建认证账户文件几个主要的概念:dn:一条记录的位置dc:一条记录所属区域ou:一条记录所属组织cn/uid:一条记录的名字/ID(1)创建基本的数据库文件:#./migrate_base.pl > base.ldif(2)创建用户数据库文件:grep ldapuser /etc/passwd > user.txt./migrate_passwd.pl user.txt ./user.ldif(3)创建组账户文件：(4)导入数据文件:(5)搜索域11.客户端配置打开ldap图形管理工具system-config-authenticati12.实现基于NFS 的LDAP 用户主目录（1）配置nfs 服务器在nfs 服务器上输出/home 目录,注意,输出的目录上必须有用户登录的目录!#vi /etc/exports输入如下内容并保存:/home *(rw,sync)启动服务：service nfs start检查NFS输出（2）配置ldap客户端a) 确保已经安装了autofs 服务b) 配置autofs 服务#vim /etc/auto.master最后加入如下行并保存:/home auto.nfs#vi /etc/auto.nfs输入如下内容并保存:* -fstype=nfs,rw,sync 192.168.86.130:/home/&上面的*表示要挂载的某用户的目录,后面的&表示用户名C）测试登陆。

OpenLdap使用手册一、文档概述 (2)二、LDAP简介 (3)2.1 LDAP介绍 (3)2.2 LDAP优劣 (3)2.3 LDAP协议 (4)2.4 LDAP服务器 (4)2.5LDAP使用权限 (5)2.6 LDAP目标 (5)三、安装配置 (6)3.1 软件安装 (6)3.2 软件配置 (6)3.3 软件运行 (7)3.4 初始数据 (8)四、LDAP应用 (10)4.1LDAP常用属性 (10)4.2LDAP Schema语法 (11)五、LDAP客户端 (11)5.1 增加目录属性 (12)5.2 删除目录属性 (13)5.3 修改目录属性 (13)5.4 增加目录 (14)5.5 修改目录 (14)5.6 删除目录 (15)六、应用举例 (16)附录： (17)X.500 (17)一、文档概述本文从介绍ldap入手，讲述了ldap的使用场合，并进一步的指导用户进行openldap安装与配置。

是新手入门的一个教程。

二、LDAP简介2.1 LDAP介绍LDAP的英文全称是Lightweight Directory Access Protocol，它是基于X.500标准的，但是简单多了并且可以根据需要定制。

与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。

LDAP的核心规范在RFC 中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。

LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等等。

通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。

2.2 LDAP优劣目录服务的数据类型主要是字符型，为了检索的需要添加了BIN（二进制数据）、CIS（忽略大小写）、CES（大小写敏感）、TEL（电话型）等语法（Syntax），而不是关系数据库提供的整数、浮点数、日期、货币等类型，同样也不提供象关系数据库中普遍包含的大量的函数，它主要面向数据的查询服务（查询和修改操作比一般是大于10:1），不提供事务的回滚（rollback）机制，它的数据修改使用简单的锁定机制实现All-or-Nothing，它的目标是快速响应和大容量查询并且提供多目录服务器的信息复制功能。