配置Linux目录服务器+LDAP

手把手教您配置 Linux 目录服务器 近几年，随着 LDAP（Light Directory Access Protocol，轻量级目录访问 协议）技术的兴起和应用领域的不断扩展，目录服务技术成为许多新型技术实现 信息存储、管理和查询的首选方案，特别是在网络资源查找、用户访问控制与认 证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务 等方面，都需要应用目录服务技术来实现一个通用、 完善、应用简单和可以扩展 的系统。 对于任何一家大 IT 网络的企业来说，IT 系统中的目录服务功能是必不可少 的。如果一个在全国有多个分支机构的企业，已经有了一个内部网络系统，每一 个分支机构都有一个局域网，局域网之间通过专线或者 VPN 通道连接在一起，那 么，如何将网络中的资源和信息有效地管理起来呢？通常，这个企业可以在每一 个分支机构或者每个城市建立一个目录服务器，任何地方的员工连接到本地目录 服务器就可以访问到目录树中所有的信息，在目录服务器之间复制目录信息，以 保持同步。比如，人事部门看到的人员目录与财务部门、设备管理部门看到的人 员目录是完全一致的， 他们所使用的应用系统无须再建立另一套目录结构。 当然， 这一切都是要经过身份验证的。 目录服务有着如此重要的作用， 但在过去， 企业通常 采用基于 Windows 的目 录服务器，Linux 在这方面相形逊色。作为 Windows 的核心内容，目录服务被企 业 IT 人员认为是 Windows 与 Linux 相比最具竞争力的部分，也成为 Linux 产品 架构中的软肋。随着 Red Hat Enterprise Linux 4.0 出现，这个情况已经改变了。 RHEL 4 内附的 LDAP 服务器为 OpenLDAP 2.2.13-2 版，OpenLDAP 2.x 包括数个 重要功能： 1. 支持 LDAPv3 - OpenLDAP 2.0 除了其它改善外还支持 SASL （SimpleAuthentication and Security Layer） 、 TLS （Transport Layer Security） 以及 SSL（Secure Sockets Layer） 。LDAPv2 之后通讯协议很多的改变都是为了 加强 LDAP 的安全性。

2. 支持 IPv6 - OpenLDAP 支持新一代的因特网通讯协议第 6 版。 3. LDAP Over IPC - OpenLDAP 能够使用 IPC 在系统内进行通讯。这可以避 免使用网络通讯以增加安全性。 4. 使用新的应用程序界面： 改善程序设计人员联机及使用程序的方法。 本文将以 Red Hat Enterprise Linux 4.0 为例，介绍在 Linux 平台使 用 OpenLDAP 上建立目录服务器。 一、LDAP 协议简介 LDAP（轻量级目录访问协议，Lightweight Directory Access Protocol)是 实现提供被称为目录服务的信息服务。目录服务是一种特殊的数据库系统，其专 门针对读取，浏览和搜索操作进行了特定的优化。目录一般用来包含描述性的， 基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大 量更新操作操作需要的复杂的事务管理或回卷策略。 而目录服务的更新则一 般都 非常简单。这种目录可以存储包括个人信息、web 链结、jpeg 图像等各种信息。 为了访问存储在目录中的信息，就需要使用运行在 TCP/IP 之上的访 问协议— LDAP。 LDAP 目录中的信息是是按照树型结构组织，具体信息存储在条目(entry) 的数据结构中。条目相当于关系数据库中表的记录；条目是具有区别名 DN （Distinguished Name）的属性（Attribute） ，DN 是用来引用条目的，DN 相当于 关系数据库表中的关键字（Primary Key） 。属性由类型（Type）和一个或多个值 （Values） 组成， 相当于关系数据库中的字段 （Field） 由字段名和数据类型组成， 只是为了方便检 索的需要， LDAP 中的 Type 可以有多个 Value， 而不是关系数据 库中为降低数据的冗余性要求实现的各个域必须是不相关的。 LDAP 中条目的组织 一般按照地理位置 和组织关系进行组织，非常的直观。LDAP 系统结构图见图 1.

图 1 LDAP 系统结构图 LDAP 的信息是以树型结构存储的，在树根一般定义国家(c=CN)或域名 (dc=com)， 在其下则往往定义一个或多个组织 (organization)(o=Acme)或组织单 元(organizational units) (ou=People)。一个组织单元可能包含诸如所有雇员、 大楼内的所有打印机等信息。 此外，LDAP 支持对条目能够和必 须支持哪些属性进行控制，这是有一 个特殊的称为对 象类别(objectClass)的属性来实现的。该属性的值决定了该条 目必须遵循的一些规则，其规定了该条目能够及至少应该包含哪些属性。例 如： inetorgPerson 对象类需要支持 sn(surname)和 cn(common name)属性，但也可以 包含可选的如邮件，电话号码等属性。dn ：一条记录的位置；dc ：一条记录所 属区域；ou ：一条记录所属组织；cn/uid：一条记录的名字/ID。OpenLdap 是一 个正在得到日益普遍应用的开源软件，和 LADP 完全兼容。 二、安装 OpenLDAP 服务器 如果在系统安装时已经把安装上了，那么我们就可以直接对 OpenLDAP 进行配置使用了。否则，可以通过 Rat Het Enterprise Linux 图形界面下的“添 加/删除应用程序”工具进行安装。具体方法是，选择“主选单”→“系统设置”

→“添加/删除应用程序” ，在弹出的界面中选中“ 网络服务器”的“OpenLDAP －server” ，单击“更新”即可，见图 2。
图 2 安装 OpenLDAP 服务器软件 如果你使用的是其他版本的 Linux，那么通常要安装以下软件包： OpenLDAP、OpenLDAP-servers、OpenLDAP- clients、OpenLDAP-devel ， OpenLDAP-2.0 是必要套件，一定要先安装；OpenLDAP-servers 是服务器套件； OpenLDAP-clients 是操作程序套 件；OpenLDAP-devel 是开发工具套件。 三、配置 OpenLDAP 服务器 以 RedHat Linux 4 所为例字介绍 OpenLDAP 服务器配置文件。主要文件 见表 1。