运维权限系统之 OpenLDAP（干货）

时间：2021-02-06 11:54:44 阅读：0 评论：0 收藏：0 [点我收藏+]

标签：usr 组织单元 client desc 系统目录形式 passwd host download

系统环境：CentOS7

一、OpenLDAP

1，开始安装（使用yum源码安装）

yum install openldap openldap-servers openldap-clients

##拷贝数据库配置文件并修改权限

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

chown ldap:ldap /var/lib/ldap/DB_CONFIG

##启动 OpenLDAP 服务并设置开机启动

systemctl start slapd

systemctl enable slapd

注：slapd即standard alone ldap daemon，该进程默认监听389端口

设置root用户密码（先用一个命令生成一个LDAP管理用户root密码）

执行 slappasswd ，输入你的密码即可

slappasswd

New password:

Re-enter new password:

{SSHA}krOGXDmiCdSXuXocOf10F96LJO5ijdXo #记住这个,下面会用到

创建一个文件 rootpwd.ldif(名字可以自己取)的文件

vim rootpwd.ldif

　　dn: olcDatabase={0}config,cn=config
　　changetype: modify
　　add: olcRootPW
　　olcRootPW: {SSHA}uOw+Jr617NnLvrXcZryPfTp76vaarGkk

ldif即LDAP Data Interchange Format，是LDAP中数据交换的一种文件格式。文件内容采用的是key-value形式，注意value后面不能有空格。
上面内容中dn即distingush name
olc即Online Configuration，表示写入LDAP后不需要重启即可生效
changetype: modify表示修改一个entry，changetype的值可以是add,delete, modify等。
add: olcRootPW表示对这个entry新增了一个olcRootPW的属性
olcRootPW: {SSHA}uOw+Jr617NnLvrXcZryPfTp76vaarGkk 指定了属性值

下面使用ldapadd命令将上面的rootpwd.ldif文件写入LDAP

ldapadd -Y EXTERNAL -H ldapi:/// -f rootpwd.ldif

结果如下：

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"

导入schema

导入schema，schema包含为了支持特殊场景相关的属性，可根据选择导入，这里先全部导入:

ls /etc/openldap/schema/*.ldif | while read f; do ldapadd -Y EXTERNAL -H ldapi:/// -f $f; done

设定默认域

先使用slappasswd生成一个密码:（改密码可与上面的一样，也可以不一样）

slappasswd

New password:

Re-enter new password:

{SSHA}SdsZ+VWv9W/sMXBj0b8lxFOx5One5KC7

新创建一个domain.ldif的文件（文件名自己去）

vim domain.ldif

　内容如下（此处修改为自己的内容）

dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
read by dn.base="cn=Manager,dc=tsing,dc=com" read by * none

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=tsing,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=tsing,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}SdsZ+VWv9W/sMXBj0b8lxFOx5One5KC7

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
dn="cn=Manager,dc=tsing,dc=com" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=Manager,dc=tsing,dc=com" write by * read

olcAccess
即access，该key用于指定目录的ACL即谁有什么权限可以存取什么
olcRootDN
设定管理员root用户的distingush name
注意替换上面文件内容中cn为具体的域信息
olcRootPW用上面新生成的密码替换

写入：

ldapmodify -Y EXTERNAL -H ldapi:/// -f domain.ldif

结果如下：

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

添加基本目录

新创建一个 basedomain.ldif 的文件（文件名自己取）

（此处将内容修改为自己的即可）

dn: dc=tsing,dc=com
objectClass: top
objectClass: dcObject
objectclass: organization
o: tsing com
dc: tsing

dn: cn=Manager,dc=tsing,dc=com
objectClass: organizationalRole
cn: Manager
description: Directory Manager

dn: ou=People,dc=tsing,dc=com
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=tsing,dc=com
objectClass: organizationalUnit
ou: Group

注意替换上面文件内容中dn为具体的域信息
理解dn,cn,dc

DC即Domain Component，LDAP目录类似文件系统目录
dc=tsing,dc=com
相当于
/com/tsing
CN即Common Name，CN有可能代表一个用户名，例如
cn=Manager,dc=tsing,dc=com
表示在
/com/tsing
域下的管理员用户Manager
OU即Organizational Unit，例如
ou=People,dc=tsing,dc=com
表示在
/com/tsing
域下的一个组织单元
People

写入：

ldapadd -x -D cn=Manager,dc=tsing,dc=com -W -f basedomain.ldif

输入密码后执行结果如下：

Enter LDAP Password:
adding new entry "dc=tsing,dc=com"

adding new entry "cn=Manager,dc=tsing,dc=com"

adding new entry "ou=People,dc=tsing,dc=com"

adding new entry "ou=Group,dc=tsing,dc=com"

测试：

ldapsearch -LLL -W -x -D "cn=Manager,dc=tsing,dc=com" -H ldap://localhost -b "dc=tsing,dc=com"

输入密码后执行结果如下（出现此结果即为服务部署成功）：

Enter LDAP Password:
dn: dc=tsing,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: tsingcom
dc: tsing

dn: cn=Manager,dc=tsing,dc=com
objectClass: organizationalRole
cn: Manager
description: Directory Manager

dn: ou=People,dc=tsing,dc=com
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=tsing,dc=com
objectClass: organizationalUnit

ou: Group

OpenLDAP服务至此部署完成，以下为其管理工具的使用

OpenLDAP管理工具

可以在局域网内的windows电脑上下载ldapadmin作为管理工具（http://www.ldapadmin.org/download/ldapadmin.html）

连接信息如下：

技术图片

功夫再高，也怕菜刀，加油！打工人

转载请标明出处，让我们一起维护互联网信息之源。

运维权限系统之 OpenLDAP（干货）

标签：usr 组织单元 client desc 系统目录形式 passwd host download

原文地址：https://www.cnblogs.com/muyi-yang/p/14379156.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行