• LDAP学习小结【仅原理和基础篇】


      此篇文章花费了好几个晚上,大部分是软件翻译的英文文档,加上自己的理解所写,希望学习者能尊重每个人的努力.

      我有句话想送给每个看我文章的人:

        慢就是快,快就是慢!!!

      另外更希望更多人能从认真从原理学习,分享更多有质量的文章,而不是仅仅转载别人的文章.

      以下仅介绍了OpenLDAP的基本原理和基本配置,至于更高级的配置,还需自行学习,因为有了以下基础,再去建楼,就会

      更加容易,网上有太多文章都太老旧,实在难以让初学者对OpenLDAP有一个全面的基础认识,总搞的人云里雾里,这篇文章

      希望对想学习OpenLDAP的人,打一个好的基础,从而能深入了解它.基本命令我就不贴出来了,希望想深入学习的人,自行学习

      man手册.

            --------------马帮弟子:zcf

    LDAP:
      原理:
      https://www.cnblogs.com/wilburxu/p/9174353.html

    LDAP:
        它是用来做统一用户身份认证的.即: 你访问CSDN它说你可以用微信登录,你登录微博,它也支持微信登录等,
      这就是一种目录服务, 当然它们不一定用LDAP来做为他们的目录服务.
      LDAP(Light Directory Access Portocol),它是基于X.500标准的轻量级目录访问协议。
      Linux上实现LDAP的工具是 openladp, 通过配置ldap服务器,将用户信息存储在其中,就可以使用ldap协议,
      访问用户数据库,来实现LDAP用户认证.

    基本概念:
      目录树概念
        1. 目录树:在一个目录服务系统中,整个目录信息集可以表示为一个目录信息树,树中的每个节点是一个条目。
        2. 条目:每个条目就是一条记录,每个条目有自己的唯一可区别的名称(DN)。
        3. 对象类:与某个实体类型对应的一组属性,对象类是可以继承的,这样父类的必须属性也会被继承下来。
        4. 属性:描述条目的某个方面的信息,一个属性由一个属性类型和一个或多个属性值组成,属性有必须属性和非必须属性。

      名词:
        dn(Distinguished Name): “uid=songtao.xu,ou=oa组,dc=example,dc=com”,一条记录的位置(唯一)
        uid(User Id): 用户ID songtao.xu(一条记录的ID)
        ou(Organization Unit): 组织单位,组织单位可以包含其他各种对象(包括其他组织单元),如“oa组”(一条记录的所属组织)
        dc(Domain Component) :域名的部分,其格式是将完整的域名分成几部分,如域名为example.com变成dc=example,dc=com(一条记录的所属位置)

        cn(Common Name): 公共名称,如“Thomas Johansson”(一条记录的名称)
        sn(Surname): 姓,如“许”
        rdn(Relative dn): 相对辨别名,类似于文件系统中的相对路径,它是与目录树结构无关的部分,如“uid=tom”或“cn= Thomas Johansson”

    配置openLDAP有两种方式:
      slapd.conf
        修改它,需要重新生成数据库文件, 生成后需要重新赋予权限属主属组ldap.ldap .
        接着重新加载slapd 进程, 配置才会生效.若使用单机版,不推荐。
      cn=config:
        修改后,立即生效, 它属于热部署.

        从16年开始OpenLDAP官方都不推荐使用slapd.conf来配置LDAP,因为它太繁琐,修改完配置必须重新生成OpenLDAP数据库,

        这就意味着,OpenLDAP服务器必须停机!!

      LDAP初始化
        [root@rnode6 ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG   #用何种方式都需要.
        [root@rnode6 ~]# cp /usr/share/openldap-servers/slapd.ldif /etc/openldap/slapd.conf
        [root@rnode6 ~]# chown -R ldap.ldap /etc/openldap/
        [root@rnode6 ~]# chown -R ldap.ldap /var/lib/ldap/

        /etc/openldap/
          check_password.conf :   用于密码生成
          ldap.conf:         可支持匿名方式访问LDAP
          slapd.d :     此目录就是cn=config方式管理LDAP所需的目录.
          slapd.ldif :     若需要使用slapd.conf管理LDAP,则需要将此ldif复制到这里,改名为slapd.conf

        /etc/openldap/slapd.d/cn=config/
          olcDatabase={2}hdb.ldif    #CentOS6是bdb CentOS7是 hdb


      编译安装:
        1. yum install openssl-devel gcc libtool-ltdl-devel libtool-ltdl -y

        2. 先编译安装Berkeley DB 5.3.28
          Berkeley DBv6.0.20后不在被openldap支持, 因为Berkeley现在是Oracle公司的.
          cd   berkeley的安装目录/build_unix/      #必须要先进到此目录下,否则编译时会总报错
          ../src/dbinc/configure --prefix=/usr/local/berkeley-db-5.3.28
          make
          make install

        3. 编译openldap
          cd openldap源码目录/
          ./configure --enable-wrappers       #启用TCP-Wrapper
          CPPFLAGS="-I/usr/local/berkeley-db-5.3.28/include"
          LDFLAGS="-L/usr/local/berkeley-db-5.3.28/lib -Wl,-rpath,/usr/local/berkeley-db-5.3.28/lib"
          --prefix=/usr/local/openldap2.4.44

          make
          make install


        LDAP的目录信息:

          
      它通常就如上图这样组织, 它是倒树结构, 树根一般是 国家(如:c=CN) 或 域名(dc=zcf,dc=com),
      其次一般定义一个或多个组织(Organization, 简称 o) 或 组织单元(Organization Unit, ou)
      一个组织单元中可包含: 员工, 设备信息(PC/打印机等)相关信息.
      Entry(条目):
        uid=tom,ou=People,dc=example,dc=com      #这称为一个DN, 也叫一个entry(条目)


        

      目前比较知名的目录服务产品:
        SUN: SUNONE Directory Server, 特点: 基于文本数据的存储,速度块.
        IBM: IBM Directory Server: 基于DB2数据库存储, 速度一般.
        Oracle: Oracle Internet Directory: 基于Oracle的数据库, 速度一般.
        Mircrosoft:AD :基于Windows系统用户, 数据管理/权限不灵活.
        OpenLDAP: 开源项目,速度快,应用广泛.

       Schema:
        它是基本数据模式, LDIF语法, LDAP管理,是目录中存储数据的规则的集合, 它是一种规范, 或一种数据存储标准.
      Schema根据自己内部规范,保证整个目录树的完整性, 无非法数据, 当你需要在LDAP中添加一些自定义的属性时,
      你就需要自定义Schema了, 若使用默认Schema你就 无法添加这些自己所独有的属性, 因为,若没有Schema这些规范,
      随便添加属性, 整个目录树将变的毫无章法,无法管理!
        Schema是一个标准,定义了OpenLDAP目录树读写和属性存取方式,这也是OpenLDAP能够存储什么数据类型,
      数据有何属性等 均是根据Schema来定义的. OpenLDAP默认的schema文件一般在安装在/etc/openldap/schema/下,
      此目录下每个文件定义了不同的对象和不同的属性. 若想使用schema只需要在配置文件中通过include包含即可.
        grep '*.schema' /etc/openldap/slapd.conf

        /etc/openldap/schema/
        core.schema:     OpenLDAP的核心schema.【它是必须加载的】
        inetorgperson.schema : 它仅次于core, 我们添加账号时,很多要使用到它里面定义的objectClass.
        dyngroup.schema : 这是定义组时使用的schema,包括要使用sudo.schema时,也需要它。
        ppolicy.schema:     若需要做密码策略时,需要导入此schema.
        nis.schema: 网络信息服务(FYI),也是一种集中账号管理实现.
        java.schema: 若需要使用Java程序来操作openLDAP时,需要使用它,让OpenLDAP支持Java.
        cosine.schema : Cosine 和 Internet X.500 (比较有用, 不太懂.)
        misc.schema : Assorted (experimental)
        openldap.schema : OpenLDAP Project(experimental)
        sudo.schema: 定义sudo规则

        在OpenLDAP目录树中,Schema用来指定一个目录中所包含的对象(Objects)的类型(ObjectClass),
      以及每一个对象类型(ObjectClass)中必须提供的属性(Atrribute)和可选属性及对应的属性值.
      在LDIF文件中的数据条目, 可理解为一个具体的对象,是通过Schema来规划创建的, 符合Schema
      标准. 因此Schema是一个数据模型, 用来决定数据按什么方式存储, 并定义存储在OpenLDAP目录树中
      不同条目(entry)下的数据之间的关系,schema需要OpenLDAP配置文件(Slapd.conf 或 cn=config)来
      指定. 以保证当前OpenLDAP服务器可在目录树中定义那些对象类型(objectClass).

      ObjectClass:
        在OpenLDAP目录树中, 每个条目必须包含一个ObjectClass属性,,或多个非必要的ObjectClass,及对应的值,
      有且需至少给一个ObjectClass赋一个值!
        每一个值将用作每个条目在目录树中存储信息的标准,如 可包含哪些属性信息, 我们可将ObjectClass属性值
      理解为一种模板,模板定义哪些信息可存取, 哪些信息不可在目录树中存储.
        ObjectClass和Attribute是由Schema文件来规定的, Schema文件规范ObjectClass的构成、Attribute格式
      以及继承关系.

      ObjectClass可分为三类:
        1. 结构型(Structural) : person 和 organizationUnit
          如person: 它可定义一个人的相关属性,如:他的住址,电话,公司,职位等..
        2. 辅助型(Auxiliary) : extensibeObject
          如:以后若想限制登录,就需要通过借助此objectClass来定义.
        3. 抽象型(Abstract): top, 抽象型的ObjectClass不能直接使用.

      Attribute(属性):
        一个ObjectClass节点具有一系列的Attribute, Attribute可理解为Linux系统当中的变量, 那么变量都有
      相应的值, 那么Attribute也是由相关的值,这些属性的对应值表示每个对象的特点, 但有些条目当中的属性
      是必须指定的(如: 有MUST标记的), 有些是非必要的(如: 由MAY标记的).
      在目录树中常用的Attribute有:
        uid, sn, giveName, I, ObjectClass, dc, ou, cn, mail, telephoneNumber, c 等.
      注意:
        uid: 这里的UID不是Linux系统上的UID,这里的UID是用户登录LDAP的账号.
        sn: 只能写姓.
        giveName: 只能写名字

      ObjectClass示例:
        objectClass: ( 2.5.6.6 NAME 'person'
        SUP top STRUCTURAL
        MUST (sn $ cn)
        MAY (userPassword $ telephoneNumber $ seeAlso $ description))

      说明:
        2.5.6.6 : 这称为Object ID
        若要定义 person 属性, 顶级必须为 top, 因为其属性类型为STRUCTURAL, 必须定义 sn 和 cn 属性.
      MAY定义的userPassword, telephoneNumber, seeAlse, description等4个属性是可有可无的.
      若要定义邮件地址, 国家等属性, 是不可以定义的, 除非你自己定义了相关的
        ObjectClass条目.
          对于此person类型的ObjectClass,后期你要调用,就必须提供sn 和 cn, 查询也一样, 否则Schema检查
        将保错.


      ObjectClass案例2:
        objectClass: (2.5.6.0 NAME 'top'
        ABSTRACT
        MUST (objectClass) )

        objectClass: ( 2.5.6.6 NAME 'person'
        SUP top STRUCTURAL
        MUST (sn $ cn)
        MAY (userPassword $ telephoneNumber $ seeAlso $ description))

        说明:
        此案例,若要定义 top 属性, 必须定义一个objectClass属性. 且此案例中还定义了person属性, 所以要必须定义
        sn 和 cn属性, 以及可附加的属性( userPassword, telephoneNumber, seeAlse, description), 所以此案例中
        必须要定义 3 必要个属性, 即objectClass, sn, cn .
        此案例的下一级 objectClass 可以继承上一级的 objectClass 的属性信息.
        注:
          ObjectClass类型定义的不同,则其属性的相关值信息也是不同的.


        Openldap配置:
          Slapd.conf方式配置Openldap的步骤:
          》slaptest :测试对slapd.conf的配置文件.
          》service slapd restart

        olcLogLevel: <日志级别>

    LDIF格式:
        LDIF(LDAP Data Interchanged Format)的轻量级目录交换格式.
        它是存储LDAP配置信息及目录内容的标准文本文件格式, 之所以使用文本文件来存储这些信息,是为了方便
      读取和修改,这也是其它大多数服务配置文件所采用的格式.
        LDIF通常用来交换数据并在OpenLDAP服务器之间互相交换数据, 并且可通过LDIF实现数据文件的导入,
      导出及数据文件的增加, 修改, 重命名等一些操作, 这些信息需要按照LDAP中schema的规范进行操作, 并
      会接受schema的检查, 若不符合OpenLDAP Schema规范要求, 则会提示相关语法错误信息.

    LDIF文件格式:
      LDIF 文件每行的结尾是不允许有空格或者制表符存在.
      LDIF 文件允许相关属性可被重复赋值并使用.
      LDIF 文件以 # 号行为注释行.
      LDIF 文件所有赋值方式为: 属性:[空格]属性值.
      LDIF 文件通过空行来区分两条条目.

        注意: 若需要手动定义LDIF文件,添加相关条目,需要了解以上相关特点.
      在OpenLDAP服务器中定义LDIF文件,每个条目中必须包含一个ObjectClass属性, 并赋值!!
      ObjectClass属性有顶级之分, 定义时要了解ObjectClass的相关依赖类型, 否则在添加或
      修改时,也一样会语法报错!!

    LDIF文件语法:
      基本语法:
      dn: <distinguished name> #首先要指定要修改那个DN(条目)
      <attrdesc>: <attrvalue> #最常用的attrdesc是changetype: 其值最常用的是 modify
      <attrdesc>: <attrvalue>
      <attrdesc>:: <base64-encoded-value>
      <attrdesc>:< <URL>
      ...

      #: 井号开头行为注释.

      1. 可用空格或制表符开始一个新行
        dn: cn=Barbara J Jensen,dc=exam
        ple,dc=com        #注意: example是分行写了,一定要注意写法,不要在它中间加任何非空字符!!

      2. 多个属性值在单独的行中指定
        cn: Barbara J Jensen
        cn: Babs Jensen

      3.以冒号+空格开头的表示,这是一个Base64编码的字符串.
        cn:: IGJlZ2lucyB3aXRoIGEgc3BhY2U=

      4.从文件中获取属性值,当然它还支持ftp,http等.
        cn:< file:///tmp/value


      下面是三个LDAP条目,每个条目要用空行分割
        dn: cn=Barbara J Jensen,dc=example,dc=com
        cn: Barbara J Jensen
        cn: Babs Jensen
        objectclass: person
        description:< file:///tmp/babs
        sn: Jensen

        dn: cn=Bjorn J Jensen,dc=example,dc=com
        cn: Bjorn J Jensen
        cn: Bjorn Jensen
        objectclass: person
        sn: Jensen

        dn: cn=Jennifer J Jensen,dc=example,dc=com
        cn: Jennifer J Jensen
        cn: Jennifer Jensen
        objectclass: person
        sn: Jensen
        jpegPhoto:: /9j/4AAQSkZJRgABAAAAAQABAAD/2wBDABALD
          A4MChAODQ4SERATGCgaGBYWGDEjJR0oOjM9PDkzODdASFxOQ
          ERXRTc4UG1RV19iZ2hnPk1xeXBkeFxlZ2P/2wBDARESEhgVG
        ...


      5.修改记录格式
        dn: <DistinguishedName>
        changetype: <[modify|add|delete|modrdn]>
        add |delete |replace: <attributetype>

        dn: DN
        changetype: add
        <attrdesc1>: <value1>
        <attrdesc1>: <value2>
        ...
        <attrdescN>: <value1>
        <attrdescN>: <value2>
        ...
        -    #注意: 他是Entry之间的分隔符!!!
        示例:
          dn: cn=Babs Jensen,dc=example,dc=com
          changetype: add
          objectclass: person
          objectclass: extensibleObject
          cn: babs
          cn: babs jensen
          sn: jensen


          dn: DN
          changetype: modify
          add: <attributetype>
          <attrdesc>: <value1>
          <attrdesc>: <value2>
          ...
          -
          replace: <attributetype>    #在进行替换操作时,若要替换的DN不存在,它会提示你添加.
          <attrdesc>: <value1>
          <attrdesc>: <value2>
          ...
          -
          delete: <attributetype> #若不提供<attributeType>则删除整个dn属性集.
          <attrdesc>: <value1>
          <attrdesc>: <value2>
          ...
          -
      示例:
        dn: cn=Barbara J Jensen,ou=People,dc=example,dc=com
        changetype: delete

      以上add,replace,delete综合示例:
        dn: cn=Babs Jensen,dc=example,dc=com
        changetype: modify
        add: givenName
        givenName: Barbara
        givenName: babs
           -
        replace: description
        description: the fabulous babs
        -
        delete: sn
        sn: jensen
        -

        dn: DN
        changetype: [modrdn | moddn]
        newrdn: <newrdn>
        deleteoldrdn: 0 | 1      #1:从条目中删除旧的rdn,0:保留,但修该为非区分属性.
        newsuperior: <DN>    #若存在,则将条目移动到新上级.
        ...
        -
      示例:
        dn: cn=Babs Jensen,dc=example,dc=com
        changetype: modrdn
        newrdn: cn=Barbara J Jensen
        deleteoldrdn: 0
        newsuperior: ou=People,dc=example,dc=com

        dn: cn=Barbara J Jensen,ou=People,dc=example,dc=com
        changetype: delete #这样写,将删除dn这个准确名属性集.


      6.包含外部LDIF文件.
        dn: dc=example,dc=com
        objectclass: domain
        dc: example

        include: file:///tmp/example.com.ldif

        dn: dc=example,dc=org
        objectclass: domain
        dc: example

      服务端命令和客户端命令:
        slap[passwd|...]      #凡是slap开头的命令都是服务端命令.
        ldap[passwd|add|..]    #客户端命令

      LDIF 示例:
        dn: uid=Green Tom,ou=people,dc=test,dc=com    #DN描述项,在整个目录树上是唯一的.
        objectClass: top
        objectClass: posixAccount
        objectClass: shadowAccount
        ojbectClass: person
        objectClass: inetOrgPerson
        objectClass: hostObject
        sn: Green
        cn: Green Tom
        telephoneNumber: 010 12345678
        mail: dayong_guo@126.com
        注:
        冒号后面必须有一个空格, 然后才是属性值, schema规范定义要求很严格!!


    openLDAP的使用
        openLDAP它可以帮助我们构建自己的企业目录服务, 所谓目录服务,其实就是将一个组织的内部,
      各个部门等,使用一种结构构建出来,方便我们来管理整个公司内的所有事物, 包括员工, PC, 打印机
      等等... 目录服务帮我们构建的组织架构就如下图:
      什么是组织架构?
        抽象图:

          第一张图就是抽象概念,第二张图就是实际工作中会使用的.
        此图是OpenLDAP的倒树架构图
        树根: dc=com 这是顶级域
        dc=example 这是二级域,也就是我们组织机构的根.
        ou=People, ou=Servers 这都是组织内部的组织单元,可理解为部门.
        其中ou=Servers,它是一个特殊ou,一般使用它表示,它下面可以有很多子ou.
        uid=babs 这是一个用户相关的条目

        企业组织架构图:
          这张图中是企业中真正使用的架构图
          dc=zcf,dc=com #这就是zcf.com域
          它下面有很多ou, 每个ou下面是具体的用户.
          注意:
            在创建组织架构时, 用户和组是分开的,就类似于MS AD(活动目录).


      使用yum安装的openldap做基本初始化步骤

        一. 首先配置主机名可被解析
          #因为openLDAP执行命令时,它需要解析主机名, 若不能成功解析,它将一直等到解析超时才会
          #将命令的执行结果返回.
            echo IP HostName >> /etc/hosts

        二. 导入必要的schema:
          cd /etc/openldap/slapd.d/cn=config/cn=schema
          ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif
          ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
          ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
          注:
            additional info: olcObjectClasses: AttributeType not found: "audio"
              若出现这个错误, 就是cosine.ldif还没有导入导致的.
          ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
          注:
            additional info: olcObjectClasses: AttributeType not found: "manager"
            若出现这个错误, 就是cosine.ldif还没有导入导致的.
          ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif

          ls #导入成功后,会有这些文件.

        三. 修改域名, 管理员帐户, 禁止匿名查询
          cat /etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif
          olcSuffix: dc=my-domain,dc=com
          olcRootDN: cn=Manager,dc=my-domain,dc=com
            #要将这些信息修改为,自己的域名和RootDN, RootDN就是openldap的管理员账号名.

          cat /etc/openldap/slapd.d/cn=config/olcDatabase={1}monitor.ldif
            olcAccess: ....
            #这里定义了openldap的监控信息, 需要修改为适合自己需要的内容.

          vim moddomain.ldif
            dn: olcDatabase={1}monitor,cn=config
            changetype: modify
            replace: olcAccess
            olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern
            al,cn=auth" read by dn.base="cn=Manager,dc=zczf,dc=com" read by * none

            dn: olcDatabase={2}hdb,cn=config
            changetype: modify
            replace: olcSuffix
            olcSuffix: dc=zczf,dc=com

            dn: olcDatabase={2}hdb,cn=config
            changetype: modify
            replace: olcRootDN
            olcRootDN: cn=Manager,dc=zczf,dc=com

            dn: olcDatabase={2}hdb,cn=config
            changetype: modify
            add: olcRootPW
            olcRootPW: {SSHA}GqkPrqlMNqjZVxcRqHPcwqc3usvzYmyd

            dn: cn=config
            changetype: modify
            add: olcDisallows
            olcDisallows: bind_anon
        注: 这里修改了两个文件, 分别是olcDatabase={1}monitor.ldif 和 olcDatabase={2}hdb.ldif
      在monitor文件中修改了 olcAccess: 这个字段, 修改方式是替换(replace), 主要是修改值中的域名, 其它字段不变.
      数据库文件hdb中是修改了olcSuffix 和 olcRootDN, 修改类型也是替换, 主要是修改成自己的域名.
      由于数据库hdb中没有root密码字段, 所以要先添加 olcRootPW, 再赋值为新密码.
      最后一个 olcDisallows 是定义禁止登录, 这里是设置匿名用户不能登录LDAP.

      执行修改:
        ldapadd -Y EXTERNAL -H ldapi:/// -f moddomain.ldif


        四. 创建自己的组织架构
          下面将创建的组织架构图:

            

        1. 创建先创建顶级域 和 两个ou(people, group)组织架构:

        vim newZCFcom.ldif
          dn: dc=zcf,dc=com
          objectClass: dcObject
          objectClass: organization
          dc: zcf
          o: zcf.com
          注: 这里先定义了一个顶级域zcf.com
        并配置了两个objectClass, 这两个对象要引用,必须提供dc 和 o 这两个属性.
        因为包含它们的schema定义文件中是这么定义的,你要引用该ObjectClass,
        就必须遵守这些规则. 我看到objectClass通常写一块,而这些对象所必须的属性
        写一块, 所以,具体dc和o是被他俩谁要求,必须提供的,我还不清楚.

          dn: ou=People,dc=zcf,dc=com
          objectClass: organizationalUnit
          objectClass: top
          ou: People

          dn: ou=Group,dc=zcf,dc=com
          objectClass: organizationalUnit
          ou: Group

          dn: cn=Manager,dc=zcf,dc=com    #Manger: 是默认管理员的cn名,建议修改.
          objectClass: organizationalRole
          cn: Manager           #cn: 公共名, 需要注意:冒号前有空格, 结尾不能有空格
        这里定义管理员的RootDN.即管理员帐户

          dn: cn=appteam,ou=Group,dc=zcf,dc=com
          objectClass: posixGroup
          cn: Host
          gidNumber: 1010
          #这里引用了一个posixGroup的对象, 它需要提供cn 和 gidNumber.

          dn: cn=dbateam,ou=Group,dc=zcf,dc=com
          objectClass: posixGroup
          cn: Host
          gidNumber: 1011

          dn: cn=host,ou=Group,dc=zcf,dc=com
          objectClass: posixGroup
          cn: Host
          gidNumber: 1012
          #多加一个组,图中没画出来, 它用来存放所有PC的信息.

      2. 执行添加:
        ldapadd -x -D cn=Manager,dc=zcf,dc=com -W -f newZCFcom.ldif
        #-x: 使用SASL做简单认证. -W: 提示输入密码 -D: 指明LDAP的管理员账号名,即rootdn

      3. 接下来对刚创建的组织架构做查询 并 验证:
        建议每次配置完成后,都要做验证!
        查询可通过GUI工具 或 命令.
        1. 命令方式:
          vim /etc/openldap/ldap.conf
            BASE   dc=zcf,dc=com
            URI     ldap://      #当前主机OpenLDAPServer的IP或主机名

          ldapsearch -x -LLL        #这样就可以直接获取刚添加的条目信息了

        2. GUI工具
          ldapadmin    #这是一个windows上的绿色小工具,它虽小,但功能却非常强大!

        4. 创建要添加的用户:
          cat addUser.ldif
            dn: uid=zhangchaofeng,ou=People,dc=zcf,dc=com
            objectClass: inetOrgPerson
            objectClass: posixAccount
            objectClass: shadowAccount
            homeDirectory: /home/zhangchaofeng
            userPassword: {SSHA}78DMFNXKLvUl+tjCi2haD+U0DASQ/MJK
            loginShell: /bin/bash
            cn: zhangchaofeng
            uidNumber: 2000
            gidNumber: 1010
            sn: System Administrator
            mail: zhangcf9988@aliyun.com
            postalAddress: Beijing
            mobile: 12345678900

            dn: uid=ldap01,ou=People,dc=zczf,dc=com
            objectClass: inetOrgPerson
            objectClass: posixAccount
            objectClass: shadowAccount
            homeDirectory: /home/ldap01
            userPassword: {SSHA}78DMFNXKLvUl+tjCi2haD+U0DASQ/MJK
            loginShell: /bin/bash
            cn: ldap01
            uidNumber: 2001
            gidNumber: 1011
            sn: dba
            mail: ldap01@aliyun.com
            postalAddress: Beijing
            mobile: 12345678901

        注: 以上添加了两个条目(entry), 条目和条目之间要用空行隔开!!

        5. 执行添加:
          ldapadd -x -D 'cn=Manager,dc=zcf,dc=com' -W -f addUser.ldif

        6. 验证是否添加成功
          ldapsearch -x -D 'cn=Manager,dc=zcf,dc=com' -W -LLL 'uid=ldap01'
            #具体语法参见下文
            # -x: 使用SASL做简单认证, SASL是将用户名和密码直接加到URL中传输,
              只是它会预先使用共享密钥对密码做加密.
            #-D 和 -W 要配合使用, -D指明以什么身份登录查询,默认是匿名身份,但前面
              通过cn=config方式关闭了匿名,所以必须指明身份, -W:提示输入密码.
            #-LLL: 这是查询级别, 分三级, -L, -LL, -LLL

     五. 配置TLS方式对外提供目录服务
        测试环境为RHEL7.4, 客户端为CentOS7.6 , 客户端在连接服务端认证时,若不是安全连接,
      将导致客户端能够获取 ldap用户的帐户信息, 但无法获取密码,导致登录失败!!

      OpenLDAP 向cn=config中添加TLS证书认证的方式:
        A. 创建CA:
          1. 创建的CA的私钥
            openssl genrsa -out cakey.pem 2048
          2. 创建CA的自签发证书
            openssl req -new -x509 -key cakey.pem -out cacert.pem
              -subj /C=CN/ST=Beijing/L=Changping/O=zczf/CN=ca.zczf.com
          3. 创建CA签发证书的工作目录:
            mkdir certs newcerts crl private
            echo 01 > serial ---->创建证书生成列表的序列号文件
            echo 01 > crlnumber ---->创建证书吊销列表的序列号文件;【注意:若不需要吊销证书也可不创建】
            mv cakey.pem private/
            cp /etc/pki/tls/openssl.cnf .
            vim openssl.cnf
              dir = 当前目录的绝对路径.

       B. 签发证书:
          4. 创建LDAPServer的私钥
            openssl genrsa -out ldap.key 2048
          5. 创建LDAPServer向CA申请签发证书的请求
            openssl req -new -key ldap.key -out ldap.csr
              -subj /C=CN/ST=Beijing/L=Changping/O=zczf/CN=ldap.zczf.com
          6. 使用CA的私钥签发此证书申请
            openssl ca -in ldap.csr -out ldap.crt -days 365 -config openssl.cnf

      C. 配置LDAP支持证书:
        1.将生成的证书复制到:
          cp ldap.key ldap.crt cacert.pem /etc/openldap/cacerts/

        2. 编写下面的LDIF文件:
          以下内容主要是在/etc/openldap/slapd.d/cn=config.ldif 文件添加系统配置.
          以下添加的了 OpenLDAP Server将启用TLS功能, 告诉OpenLDAP Server
          olcTLSCACertificatePath: CA的证书目录在哪里.
          olcTLSCACertificateFile: CA的证书文件叫什么, 这里建议写绝对路径.
          olcTLSCertificateFile: 指明OpenLDAP Server的证书在哪里.
          olcTLSCertificateKeyFile: 指明OpenLDAP Server的Key在哪里
          olcTLSVerifyClient: never: 表示从来不对客户端做证书验证.
        vim updateldapTLS.ldif
          dn: cn=config
          changetype: modify
          replace: olcTLSCACertificatePath
          olcTLSCACertificatePath: /etc/openldap/cacerts
          -
          add: olcTLSCACertificateFile
          olcTLSCACertificateFile: /etc/openldap/cacerts/cacert.pem
          -
          replace: olcTLSCertificateFile
          olcTLSCertificateFile: /etc/openldap/cacerts/ldap.crt
          -
          replace: olcTLSCertificateKeyFile
          olcTLSCertificateKeyFile: /etc/openldap/cacerts/ldap.key
          -
          add: olcTLSVerifyClient
          olcTLSVerifyClient: never

       3.执行添加, 将自动将上面的条目添加/etc/openldap/slapd.d/cn=config.ldif
          ldapmodify -Y EXTERNAL -H ldapi:/// -f updateldapTLS.ldif
          注: -Y EXTERNAL :这个我还不清楚是什么意思.

         4. 修改slapd.service脚本的启动参数文件
          vim /etc/sysconfig/slapd
            #若用不到非加密的方式,也可以去掉 ldap:/// (389)
            #添加ldaps:/// 后,slapd就会监听默认TLS端口636.
            # ldapi:// : 这个是Socket方式连接.
            SLAPD_URLS="ldapi:/// ldaps:/// ldap:///"

        5. 重启slapd服务
          systemctl restart slapd

       6. TLS证书添加完成后,还需要在服务器端配置本地openldap 客户端与slapd交互使用的TLS证书.
          cat   /etc/openldap/ldap.conf
            BASE dc=zcf,dc=com
            URI ldaps://ldap.zczf.com
            TLS_CACERT /etc/openldap/cacerts/cacert.pem
            TLS_CACERTDIR /etc/openldap/cacerts
            TLS_REQCERT allow
            注:
              URI: 要使用ldaps://
              TLS_CACERT: 指名CA的证书在哪里.
              TSL_CACERTDIR: 指明CA证书所在目录
              TLS_REQCERT:
              allow: 若服务器端证书验证失败,也依然允许连接.
          此配置文件修改好后:
            ldapsearch -D 'cn=admin,dc=zcf,dc=com' -W -LLL
            #输入密码后, 命令能执行成, 则说明ldaps已经配置成功。


      以上所有配置就完成了LDAP Server端的配置.

           D. 接下来就需要配置客户端访问了:
          1. 安装客户端支持包
            yum install openldap-clients nss-pam-ldapd authconfig

          2. 在做以下配置前, 先做备份
            因为openldap认证配置要修改很多系统文件, 为了避免配置错误,而导致手工查找这些
            配置文件,去删除,所以建议一定要备份!!
            它大概会修改以下文件:
              CentOS7.6和之前的版本修改的文件多少是不同!!!
            相同的文件:
              /etc/nslcd.conf
              /etc/openldap/ldap.conf
              /etc/pam.d/system-auth-ac
              /etc/nsswitch.conf
            不同的文件:
              /etc/pam.d/password-auth-ac
            还有些其他文件, 我没完全测试到.

            authconfig --savebackup=openldapconf.bak
              #若需要恢复:
                authconfig --restorebakcup=openldapconf.bak
                或
                authconfig --restorelastbakcup
                #这是在第一次操作时忘记备份了,可用它来恢复到
                  最进一次操作前的状态, 因为是第一次操作,最近
                  一次就是系统安装好时的状态!!

           3. 接下来就可以配置客户端使用LDAP认证了.
          authconfig --enableldap --enableldapauth
            --ldapserver=ldaps://ldap.zcf.com
            --ldapbasedn="dc=zcf,dc=com"
            --enableldaptls
            --ldaploadcacert=http://ldap.zczf.com/cacert.pem
            --enablemkhomedir       #RHCE考试题,中不要加此选项!!
            --update
          注:
            启用LDAP, 启用LDAP认证,是必须要有的.
          虽然后面指明了要使用TLS,但ldapserver的地址依然不能直接写,
          必须要加上ldaps:// 这个协议头部, 另外CA证书必须提供URL地址,
          让authconfig自己下载; enablemkhomedir: 若你需要使用autofs,
          来自动管理用户家目录的创建,挂载,就不能使用此选项.
          另注:
            authconfig-gtk          #这是authconfig的图像工具, 也可使用它来配置LDAP.

        4. 在客户端验证是否学习到LDAP服务器上的用户信息:
          id ldapuser01
          getent passwd ldapuser01
          getent shadow ldapuser01 #这个好像不能在返回用户密码了.
            另外: CentOS7.6上配置LDAP客户端时,若不支持TLS或SSL,
              将不允许LDAP用户登录系统.

        5. 验证登录
          ssh ldapuser01@IP



      六. 配置允许用户修改自己的密码
        vim allowModPasswd.ldif
          dn: olcDatabase={2}hdb,cn=config
          changetype: modify
          add: olcAccess
          olcAccess: {0}to attrs=userPassword,shadowLastChange by
          dn="cn=admin,dc=zczf,dc=com" write by anonymous auth by self write by * none
          olcAccess: {1}to dn.base="" by * read
          olcAccess: {2}to * by dn="cn=admin,dc=zczf,dc=com" write by * read

        ldapmodify -Y EXTERNAL -H ldapi:/// -f allowModPasswd.ldif

        验证用户是否可以修改自己的密码.

      七. 配置ldap用户在登录时, 使用autofs来自动挂载家目录

       NFS Server:
          1. mkdir -pv /ldaphome/ldap0{1,2,3}
          2. chmod o+w -R /ldaphome/

          3, yum install nfs-utils
          4, vim /etc/exports
            /ldaphome/ldapadmin 192.168.10.0/24(rw,sync)
            /ldaphome/ldap01 192.168.10.0/24(rw,sync)
            /ldaphome/ldap02 192.168.10.0/24(rw,sync)

          5. systemctl restart nfs
          6. showmount -e localhost

      

      Client:
        1. yum install autofs sssd
          注:
          sssd: (System Security Services Dameon)
            https://blog.csdn.net/liu16659/article/details/80997333

        2. vim /etc/auto.master
          /home/ldap      /etc/auto.misc

          3.mkdir  /home/ldap       #这个目录必须存在!!!

          4.vim /etc/auto.misc
          *       -rw,vers=3,soft,intr      nfs.server.com:/userhome/&

            注: &可匹配到的ldap用户名,* 是前向引用.引用匹配到的用户名.

             -fstype=nfs,soft,intr,vers,sync都非必须,但rw是必须的!!

         5. 配置LDAP认证

        authconfig --savebackup=ldap.bak
        authconfig --enableldap --enableldapauth 

          --ldapserver=ldap://server.group8.example.com  --ldapbasedn="dc=group8,dc=example,dc=com"

            --enableldaptls  --ldaploadcacert=http://172.25.0.254/pub/cacert.pem --update

       6. 测试su登录

          若能正常挂载NFS共享,并看到其中的文件,则说明成功.

        

        7.若出现autofs挂载失败的情况,可参考:【坑好多,请注意!!!】

            1. nfs导出配置是否正确, IP, 权限.
          2. autofs中auto.master中填写的目录,必须存在.
          3. auto.misc中的配置一定要有rw。
          4. 系统时间是否同步


        原因不明:
          autofs 服务启动时报了一个错误:
          automount[20951]: setautomntent: lookup(sss): setautomntent: No such file or directory
            但网上查询,没有找到答案, 我在另一台别人配置好的VM中,查看,他的autofs也报这个错误,但ldap
            用户却可以正确自动挂载nfs共享的家目录. 不清楚原因.但最近做成功后,没有这个错误了!!

        以上配置完成后, openLDAP的基本使用已经完成!


    OpenLDAP修改管理员密码
      1. 直接回车输入密码,它会生成密码字符串.
        slappasswd
        注:
          echo 123456 |xargs slappasswd -s
            #-s: 指定要生成的明文密码

      2. 创建一个ldif 文件,来修改管理员密码
        vim modrootpw.ldif
          dn: olcDatabase={0}config,cn=config
          changetype: modify
          add: olcRootPW
          olcRootPW: {SSHA}xxxx

       3. 执行修改命令
        ldapadd -Y EXTERNAL -H ldapi:/// -f modrootpw.ldif
        或
          ldapmodify -a -Y EXTERNAL -H ldapi:/// -f modrootpw.ldif
            #-a: 其实就是 ldapadd, 因为ldapadd是ldapmodify的硬链接
          注:
          [root@rnode6 ~]# cat /etc/openldap/slapd.d/cn=config/olcDatabase={0}config.ldif
            # AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
            # CRC32 ba5c9427
            dn: olcDatabase={0}config
            objectClass: olcDatabaseConfig
            olcDatabase: {0}config
            olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern
            al,cn=auth" manage by * none
            structuralObjectClass: olcDatabaseConfig
            entryUUID: ec40f8c2-e643-1038-8c1d-e1c3847c1ae1
            .......
            查看openldap的olcDatabase={0}config.ldif 这个配置文件,发现其中没有olcRootPW字段,所以
            要修改管理员密码,需要先添加该字段才可以.
            如:
              上面示例中:
              dn: olcDatabase={0}config,cn=config
                #这段是告诉,openLDAP,要操作的dn是 olcDatabase={0}config这个配置文件,
                   它的上级目录是cn=config
              changetype: modify         # 这是告诉openLDAP,我要做修改操作.
              add: olcRootPW          # 这是告诉openLDAP,我要添加一个字段叫 olcRootPW
              olcRootPW: {SSHA}xx      # 这是给olcRootPW 字段 赋值,要注意: 属性必须要有值!!
                另外: 属性名: 后必须要有一个空格!!

          当执行完成后, cat /etc/openldap/slapd.d/cn=config/olcDatabase={0}config.ldif
          就会发现修改了,而且时间戳也修改了.


    ldap日志:
      查看日志级别:
        slapd -d ?
        或
          查看官网的说明.

        debug level:
          -1: 安装调试时,开启,输出所有信息.
          0: 关闭debug
          1: 跟踪函数调用
          2:跟踪一个包


       启用 OpenLDAP 的日志功能:
        1. 默认openLDAP使用的rsyslog来处理自己的日志, 它会将日志发送给 local4 这个设备, 来接受.
          vim /etc/rsyslog.conf
            local4.* /var/log/ldap.log

        2. 使用cn=config方式来管理启用日志
        默认openLDAP是不开启日志的, 需要需要首先添加在olcLoglevel对象,并给它赋值.
          cat << EOF | ldapmodify -Y EXTERNAL -H ldapi:///
            dn: cn=config
            changetype: modify
            add: olcLoglevel
            olcLoglevel: -1
          EOF

      3. 重启rsyslog 和 slapd即可.

        注: 若是使用的是slapd.conf 则可使用以下方式来开启.

        此方式仅做参考,它是slapd.conf配置openLDAP的方式,现在已不建议使用:
          vim slapd.conf
            loglevel [-1 | any]
          

          slaptest -f  /etc/openldap/slapd.conf      #测试配置文件是否有语法错误.
          rm -rf /etc/openldap/slapd.d/*
              #重新生成slapd.d这些系统数据库配置文件.
          slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/
          chown -R ldap.ldap /etc/openldap

          #最后还是重启 rsyslog 和 slapd




  • 相关阅读:
    数据库各类模板
    React+Cesium安装部署
    VS2019+QT 制作自定义控件
    Vue+arcgis(1)
    将TIF/PNG等转为GeoTIFF
    QT 同名信号无法识别的问题
    VSCode配置PyQt5
    Python中类属性和self属性的区别
    postgresql的数据复制
    在windows server 2012 R2上搭建nginx环境
  • 原文地址:https://www.cnblogs.com/wn1m/p/10700236.html
Copyright © 2020-2023  润新知