LDIF修改ldap记录或配置示例

时间 2019-12-20

标签 ldif 修改 ldap 记录配置示例繁體版

原文原文链接

能够说LDIF文件是OpenLDAP操做数据或修改配置的一切来源，下面是实际经过客户端工具操做的具体示例。（openldap安装及配置过程见这里）。html

1. 添加组织或条目

建立一个Marketing部门，添加一个dn记录：linux

# cat add_entry.ldif
dn: ou=Marketing, dc=example,dc=com
changetype: add
objectclass: top
objectclass: organizationalUnit
ou: Marketing

dn: cn=Pete Minsky,ou=Marketing,dc=example,dc=com
changetype: add
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Pete Minsky
sn: Pete
ou: Marketing
description: sb, sx
description: sx
uid: pminsky

# ldapmodify -xWD 'cn=admin,dc=example,dc=com' -f add_entry.ldif

或去掉changetype后
# ldapmodify -a -xWD 'cn=admin,dc=example,dc=com' -f add_entry.ldif
# ldapadd -xWD 'cn=admin,dc=example,dc=com' -f add.ldif

2. 修改组织或条目

添加mail属性，修改sn的值，删除一个description属性：apache

# cat modify_entry.ldif
dn: cn=Pete Minsky,ou=Marketing,dc=example,dc=com
changetype: modify
add: mail
mail: pminsky@example.com
-
replace: sn
sn: Minsky
-
delete: description
description: sx

# ldapmodify -xWD 'cn=admin,dc=example,dc=com' -f modify_entry.ldif
# ldapsearch -xD 'cn=admin,dc=mydomain,dc=net' -b 'ou=People,dc=mydomain,dc=net' -s sub 'objectclass=*' -w mydomain -LLL

3. 重命名条目

dn: cn=Pete Minsky,ou=Marketing,dc=example,dc=com
changetype: modrdn
newrdn: cn=Susan Jacobs
deleteoldrdn: 1

modrdn只容许修改dn最左边的部分，且不能重命名带叶子或分支的子树，若是要将一个用户移动到另外一个部门下，只能在新部门建立dn，而后删除旧的dn。segmentfault

4. 删除组织或条目

LDAP协议只能删除无分支的叶子dn：api

# cat delete_entry.ldif
dn: cn=Susan Jacobs,ou=Marketing,dc=example,dc=com
changetype: delete

或
# ldapdelete -xWD "cn=admin,dc=example,dc=com" -h localhost -p 389 "cn=Susan Jacobs,ou=Marketing,dc=example,dc=com"

5. LDIF配置backend

OpenLDAP的配置采用以cn=config为根的目录树的形式组织起来，采用config做为database，默认状况下包括admin或root用户都没有访问权限，须要赋予读写权限，然而赋予修改权限要求首先要提供认证信息，初始化安装后的cn=config是没有credentialsapp

# ldapmodify -Y EXTERNAL -H ldapi:/// -f modify_config.ldif 
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"
ldap_modify: Insufficient access (50)

因此这里不得不手动编辑olcDatabase={0}config.ldif文件，得到最初认证权限（虽然官方不推荐手动修改配置）：dom

# vi /etc/ldap/slapd.d/cn\=config/olcDatabase\=\{0\}config.ldif
olcRootPW: {SSHA}your_slappasswd_secret

重启slapd后(不是说不用重启吗)即可以修改config：ide

# ldapwhoami -x -D cn=config -W 

修改示例：
# ldapmodify -xWD 'cn=config' 
Enter LDAP Password: 
dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=config 
-
replace: olcRootPW
olcRootPW: {SSHA}your_slappasswd_secret

modifying entry "olcDatabase={0}config,cn=config"

在/etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif中olcRootDN变成base64加密后的值（两个":"）。工具

最后，若是要在slapd服务未启动的状况下修改配置能够经过如下命令转换成ldif中间文件：ui

# slapcat -n0 -F /etc/ldap/slapd.d/ > /tmp/config-in-portable-format.ldif
编辑ldif文件后，从新shengc slapd.d目录
# slapadd -n0 -F /tmp/slapd.d -l /tmp/config-in-portable-format.ldif

使用这类命令行工具备助于对 LDAP concept 理解，若是要达到快速配置的效果，可使用 ldapbrowser 或 Apache Directory Studio 图形化工具，特别是 Apache Directory Studio 不只提供了 LDAP Browser/Editor 的功能，还能编辑LDIF文件和自定义schema，智能提示很是友好。

参考

原文连接地址：http://seanlook.com/2015/01/22/openldap_ldif_example/