安裝和配置OPENLDAP

1、安裝和配置OPENLDAP必需的軟件包在大多數(shù)基于軟件包的系統(tǒng)上（例如，在基于RPM的分發(fā)版（distribution ）上，女口 Red Hat、Mandrake和SuSE）安裝和配置 OpenLDAP是一個相對比較簡單的過程。第一步先確定將哪些OpenLDAP組件（如果有的話）作為初始Linux設(shè)置的一部分進行安裝。從控制臺窗口或命令行，輸入：rootthor root# rpm -qa | grep openldaprootthor root#您應(yīng)該看到類似上面的輸出。注：Red Hat分發(fā)版安裝OpenLDAP客戶機軟件，但不安裝openldap-servers 軟件包，即使您選擇了服

2、務(wù)器配置也是如此。要安裝 RPM軟件包，在分發(fā)版媒質(zhì)上找到所需文件的位置 并輸入：rpm -ivh packagename配置 OpenLDAP服務(wù)器安裝了必需的軟件之后，下一步是要配置服務(wù)器。首先，備份原始配置文件以供今后參考（cp/etc/openldap/slapd.conf /etc/openldap/slapd.conf.orig ）?，F(xiàn)在，在您所喜愛 的文本編輯器中打開 /etc/openldap/slapd.conf文件，花幾分鐘時間通讀注釋。除了定義目錄數(shù)據(jù)庫類型、suffix、rootdn和存儲目錄數(shù)據(jù)庫的位置的幾個項外，slapd.conf中的大多數(shù)缺省設(shè)置都是適當(dāng)?shù)?。da

3、tabaseldbmsuffix"dc=syroidmanor,dc="rootdn"cn=root,dc=syroidmanor.,dc="rootpwCRYPT05T/JKDWO0Suldirectory /var/lib/ldapindex objectClass,uid,uidNumber,gidNumber,memberUid eqindex ,mail,surname,givennameeq,subinitial保護 rootdnrootdn項控制誰可以對目錄數(shù)據(jù)庫進行寫操作，以及他們要這樣做所必須提供的密碼。請確保閱讀“訪問控制”一章結(jié)束部

4、分的注釋：# if no access controls are present, the default is:# Allow read by all# rootdn can always write!“ rootdn can always write!” （ rootdn總是可以寫?。┑囊馑颊缢硎镜哪菢?。您在rootdn項的=部分填充的任何項都是對數(shù)據(jù)庫有完全讀/寫訪問權(quán)的用戶。另外，缺省配置文件使用“secret”作為密碼，它以明文形式發(fā)送。如果只能從裝了防火墻與外界隔離的部網(wǎng)訪問您的LDAP服務(wù)器，并且確信將訪問LDAP服務(wù)器的用戶不知道有關(guān)信息包嗅探的任何事情，您大概可以以明文

5、形式安全地發(fā)送rootdn密碼（只要確保將密碼“ secret ”稍加修改，使之不易被猜出）。但是，如果您打算存儲在目錄中的數(shù)據(jù)只有一 點點性，則對密碼進行散列處理?？梢杂?slappasswd實用程序完成它，如下所示：rootthor root# slappasswd -h crypt該程序?qū)⒁竽斎朊艽a，然后slappasswd將給出與所提供的項相對應(yīng)的crypt字符串。將該字符串剪切并粘貼到 slapd.conf,如上一頁所示。其它散列選項包含SSHA （缺省值）、SMD5、MD5和SHA。輸入 man slappasswd，以獲取更多信息。測試服務(wù)器現(xiàn)在是測試服務(wù)器的好時機了。這里的

6、配置相對比較簡單也容易對可能出現(xiàn)的問題進行故障診斷。在RedHat Linux 系統(tǒng)上，命令是：rootthor root# service ldap start接下來，測試您訪問目錄的能力：rootthor root# ldapsearch -x -b '' -s base '（objectclass=*）' namingContexts如果正確配置了服務(wù)器，您應(yīng)該看到類似于下面的輸岀（當(dāng)然，有不同的dc）:version: 2# filter: (objectclass=*)# requesting: namingContexts#dn:namingCont

7、exts: dc=syroidmanor,dc=# search resultsearch: 2result: 0 Success# numResponses: 2# numEntries: 1LDAP服務(wù)在重新引導(dǎo)如果您得到了錯誤消息，或輸岀與上面有很大的不同，則返回并檢查配置。要使 時自動啟動，輸入以下命令：rootthor root# chkconfig ldap on再提醒一下，上面的命令特定于Red Hat分發(fā)版配置ACL配置LDAP服務(wù)器的最后一步是設(shè)置一些基本訪問控制。這樣做可以確保用戶只能訪問他們需要訪問的 項。在OpenLDAP下設(shè)置 ACL （訪問控制表， Access C

8、ontrol List ）的方法有兩種：可以將 include行放在 /etc/openldap/slapd.conf 的頂部，指向一個單獨的文件（例如，include /etc/openldap/slapd.access.conf ）； 或者可以將 ACL直接添加到 slapd.conf。這完全由您選擇 一Mandrake通常使用include行；Red Hat將 ACL添加到配置文件。ACL示例# Define ACLs - access control definitionsaccess to dn=".*,dc=syroidmanor,dc=" attr=userP

9、asswordby dn="cn=root,dc=syroidmanor,dc=" writeby self writeby * authaccess to dn=".*,dc=syroidmanor,dc=" attr=mailby dn="cn=root,dc=syroidmanor,dc=" writeby self writeby * readaccess to dn=".*,ou=people,dc=syroidmanor,dc="by * readaccess to dn=".*,dc=syr

10、oidmanor,dc="by self writeby * read上面的配置僅允許 userPassword屬性的所有者修改項，但僅當(dāng)所有者提供他或她的優(yōu)先密碼時才允許進行 修改。在所有其它情況下，只能出于認(rèn)證目的來訪問該項，而不能查看它。第二個access to.項允許用戶修改自己的電子地址 (attr=mail)。第三個項指定除了rootdn夕卜，對于所有人，ou=people,dc=syroidmanor,dc=中的任何DN都是只讀的。這可防止用戶更改其用戶名、uid、gid和主目錄等。最后，最后一項是包容前面訪問控制中未涉及的任何東西的安全的“大雜燴”。例如，它允許用戶更

11、改其自己地址簿中的項。在服務(wù)器可以使用新的ACL之前，需要重新啟動：service ldap restart。完成基本配置之后，應(yīng)該將一些有用的項填充到數(shù)據(jù)庫。填充數(shù)據(jù)進行到這一階段，您應(yīng)該大致了解了LDAP的部機制和結(jié)構(gòu)，并且有了一個正在運行的OpenLDAP服務(wù)器。下一步是將聯(lián)系人數(shù)據(jù)填充到您的目錄，隨后，電子應(yīng)用程序?qū)⑹褂眠@些數(shù)據(jù)來查詢電子地址。遺憾 的是，這會使事情變得有點兒棘手。有三種使聯(lián)系人信息填入目錄樹的基本方法：從命令行手工輸入，通過LDIF ( LDAP數(shù)據(jù)庫交換文件(LDAP Database Interchange File)導(dǎo)入，或者通過使用腳本。棘手的部分是選擇有效的

12、方法以及將數(shù)據(jù)正確地填入數(shù)據(jù)庫而不岀差錯。好處就是，一旦完成了，您不必再次執(zhí)行整個過程一當(dāng)然前提是您繼續(xù)使用支持LDAP的應(yīng)用程序。手工填充數(shù)據(jù)庫是三種方法中最直接的一種（雖然，正如單詞“手工”暗示的那樣，它需要的勞動力最多），所以我們先處理這一過程。手工數(shù)據(jù)輸入首先，從控制臺窗口或命令行，輸入下列命令：rootthor root# Idapadd -D "cn=root" -hserverpassword: *dn: uid=juser,ou=people,dc=syroidmanor,dc=uid: jusercn: Joe Usergivenname: Joesn:

13、Usermail: jusersyroidmanor.objectClass: topobjectClass: mailRecipientobjectClass: personobjectClass: inetOrgPersonADadding new entry uid=juser,ou=people,dc=syroidmanor,dc=rootthor root#上面概述的過程使用三個基本的LDAP操作：綁定操作、更新操作和隱式取消綁定操作。為了修改目錄，您必須以特權(quán)用戶身份綁定或連接到LDAP服務(wù)器。所顯示的示例使用=root，因為那就是OpenLDAP服務(wù)器的配置方式。如果您對 sla

14、pd.conf中的rootdn項使用了其它名稱，則用合適的替換它。在密碼提示后，輸入DN，后跟要與DN（ RDN項）相關(guān)聯(lián)的數(shù)據(jù)，后跟包含類型/值對的屬性的對象類。過程結(jié)束部分的 CTRL-D會將數(shù)據(jù)發(fā)送給服務(wù)器，并隱式取消與服務(wù)器的綁定。然后，LDAP服務(wù)器用一條已經(jīng)成功輸入（已顯示）數(shù)據(jù)的消息或錯誤消息來響應(yīng)。常見錯誤是嘗試添加類型/值，而不指定正 確的對象類、添加已經(jīng)存在的用戶或RDN或遺忘了 “MUST”項（例如，對象類人員同時需要givenname和sn）等。另外，在進行手工數(shù)據(jù)輸入時，要知道以下幾點：您必須知道哪個對象類擁有您正在添加的類型/值RDN數(shù)據(jù)的屬性。該過程所需的工作量較

15、大。很容易錯誤地輸入一個項，這會使目錄樹中有錯誤信息。一般而言，能使您的目錄樹布局可視化并熟悉配置LDAP服務(wù)器以使用的模式很重要。最后一點對于所有數(shù)據(jù)輸入方法都適用，它正是LDAP入門一章的目的。熟悉LDAP的結(jié)構(gòu)并清楚地知LDIF方法將數(shù)據(jù)插入 LDAP目錄的第二種方法是使用LDIF文件。LDIF文件只是包含想要插入的以特定語法編排的數(shù)據(jù)的純文本文檔。您已經(jīng)熟悉了語法：dn:后跟樹中存儲項的位置，后跟一個或多個RDN項（包含數(shù)據(jù)的類型/值對），后跟必需的對象類。要創(chuàng)建LDIF，使用純文本編輯器，然后輸入想要添加到目錄中的數(shù)據(jù)。使用我們的上一個示例：dn: uid=juser,ou=peop

16、le,dc=syroidmanor,dc=uid: jusercn: Joe Usergivenname: Joesn: Usermail: jusersyroidmanor.objectClass: topobjectClass: mailRecipientobjectClass: personobjectClass: inetOrgPerson保存文件（比如，example.ldif），在控制臺窗口或命令行上，輸入：rootthor root# ldapadd -x -D "cn=root,dc=syroidmanor,dc=" -W -f sample.ldif將提示

17、您輸入rootdn密碼，通過認(rèn)證后，包含在LDIF中的數(shù)據(jù)將被寫入 LDAP數(shù)據(jù)庫。LDIF方法的優(yōu)缺點LDIF方法既有優(yōu)點也有缺點。其優(yōu)點為：在將文件導(dǎo)入數(shù)據(jù)庫之前，您可以檢查拼寫和語法?？梢詣?chuàng)建帶有許多項的LDIF文件，然后用一個操作將它們添加到目錄中。如果導(dǎo)入失敗，只要打開 LDIF文件，查找錯誤，并嘗試重新導(dǎo)入即可。LDIF文件是一種開放標(biāo)準(zhǔn)，幾乎可以將它們導(dǎo)入到任何目錄服務(wù)器中。其缺點為：該過程仍需要較大的工作量一必須輸入LDIF中的所有項，并遵循正確的語法。當(dāng)LDAP服務(wù)器遇到導(dǎo)入文件中的錯誤時，它并不總是能方便地處理。雖然您可能會得到一條“ syntax error（語法錯誤）”

18、消息，但它不會告訴您，在一個相當(dāng)大的LDIF文件中，錯誤在哪里。歸結(jié)起來講，比起從命令行手工輸入數(shù)據(jù)，LDIF文件有某些明顯的優(yōu)勢。但您仍必須遵守正確的語法來將聯(lián)系人信息輸入文件，并將它導(dǎo)入目錄中。有沒有一個更自動化的方法來填充LDAP數(shù)據(jù)庫呢？一 請繼續(xù)讀下去。腳本方法可以使用通常用 Perl或PHP編寫的腳本，它們的目的是接收您的數(shù)據(jù)并將它“自動”放到LDAP目錄中。這種方法有兩個問題。首先，也是最重要的，我親自嘗試過的任何腳本都有許多可惡的錯誤，在某些 最壞的情形下，會在導(dǎo)入期間毀壞您的數(shù)據(jù)或者破壞目錄樹本身。其次，使用腳本導(dǎo)入數(shù)據(jù)假設(shè)數(shù)據(jù)已經(jīng) 以某種形式存在。當(dāng)分別從/etc/pass

19、wd和/etc/groups導(dǎo)入用戶密碼和組信息時，這當(dāng)然很好，但您的聯(lián)系人信息可能不是通常可識別的格式。畢竟，本教程的主要目的是使聯(lián)系人信息不受專用格式的支配。如果將聯(lián)系信息數(shù)據(jù)導(dǎo)岀成純文本、用逗號分隔的文件，并找到能夠?qū)?shù)據(jù)導(dǎo)入LDAP目錄的腳本，會怎么樣呢？如果可以找到這種腳本，并且如果它運行得如它所宣稱的那樣，則您會得到所有的功能。請記 住，您的電子客戶機對“用逗號分隔的文件”有其自己精確的解釋。要在每行結(jié)束的地方添加回車嗎？導(dǎo) 出程序如何處理嵌入字段中的空格？某些人通常竊用LDAP導(dǎo)入腳本來將他們的數(shù)據(jù)從應(yīng)用程序A （已經(jīng)以格式X導(dǎo)岀）傳送到LDAP目錄。如果他們的應(yīng)用程序和導(dǎo)岀格式

20、與您的相合，則嘗試它。不過要 確保先備份您的目錄數(shù)據(jù)庫，這樣，如果導(dǎo)入失敗，您就可以返回到“已知的好”狀態(tài)。1、獲得軟件.ope nl /software/dow nl oad/.ope nl /software/repo.html2、解壓gunzip -c openldap-VERSION.tgz | tar xfB -在當(dāng)前工作目錄下將產(chǎn)生一個ldap子目錄。3、認(rèn)真閱讀 README 和口 INSTALL4、運行 con figure./c on figure查看con figure的可選項./c on figure -help5、編譯 make depe n

21、dmake6 、測試編譯結(jié)果cd testsmakecd .7 、安裝軟件su root -c make install8 、創(chuàng)建 SLAPD 的配置文件編輯 /usr/local/etc/slapd.conf 文件，該文件中包含下列格式的 LDBM 數(shù)據(jù)庫定義 database ldbmsuffix "dc=MY-DOMAIN, dc=COM"rootdn "cn=Manager, dc=MY-DOMAIN, dc=COM"rootpw secret替換上面的 MY-DOMAIN 和 COM 成實際的域名，例如：database ldbmsuffix "dc=mydomain, dc="rootdn "cn