CentOS 7 环境下 OpenLDAP 的安装与配置
转载https://myanbin.github.io/post/openldap-in-centos-7.htmlphp
自主研发团队正在搭建一套基于 LDAP 统一认证的开发协做平台(包括代码托管服务 GitLab、私有 npm 服务 CNPM 等),以便达到用户统一管理、统一受权的效果。在这期间,咱们阅读和参考了许多优秀的文档和资料,同时也遇到了一些知识瓶颈和技术难题,但最终顺利地完成了该平台搭建。所以咱们认为有必要把这些经验整理和汇总成一些文档和笔记并分享出来,以使后来有须要的人参考使用,并践行开源自由之精神。html
本文是该系列的第一篇,主要介绍了 LDAP 的基本概念,以及在 CentOS 7 环境下 OpenLDAP 的安装步骤及配置,最后会介绍如何经过 phpLDAPadmin 来管理 LDAP 服务。关于 GitLab 和 CNPM 的安装和配置,请阅读:git
1、LDAP 基础教程
LDAP 全称轻量级目录访问协议(英文:Lightweight Directory Access Protocol),是一个运行在 TCP/IP 上的目录访问协议。目录是一个特殊的数据库,它的数据常常被查询,可是不常常更新。其专门针对读取、浏览和搜索操做进行了特定的优化。目录通常用来包含描述性的,基于属性的信息并支持精细复杂的过滤能力。好比 DNS 协议即是一种最被普遍使用的目录服务。docker
LDAP 中的信息按照目录信息树结构组织,树中的一个节点称之为条目(Entry),条目包含了该节点的属性及属性值。条目均可以经过识别名 dn 来全局的惟一肯定1,能够类比于关系型数据库中的主键。好比 dn 为 uid=ada,ou=People,dc=xinhua,dc=org 的条目表示在组织中一个名字叫作 Ada Catherine 的员工,其中 uid=ada 也被称做相对区别名 rdn。数据库
一个条目的属性经过 LDAP 元数据模型(Scheme)中的对象类(objectClass)所定义,下面的表格列举了对象类 inetOrgPerson(Internet Organizational Person)中的一些必填属性和可选属性。npm
| 属性名 | 是否必填 | 描述 |
|---|---|---|
cn |
是 | 该条目被人所熟知的通用名(Common Name) |
sn |
是 | 该条目的姓氏 |
o |
否 | 该条目所属的组织名(Organization Name) |
mobile |
否 | 该条目的手机号码 |
description |
否 | 该条目的描述信息 |
下面是一个典型的 LDAP 目录树结构,其中每一个节点表示一个条目。在下一节中,咱们将按照这个结构来配置一个简单的 LDAP 服务。vim
2、OpenLDAP 的安装和配置
本文中相关操做系统及依赖包的版本以下:centos
centos-release-7-4.1708.el7.centos.x86_64
gcc-4.8.5-16.el7_4.1.x86_64
openldap-clients-2.4.44-5.el7.x86_64
openldap-servers-2.4.44-5.el7.x86_64
第一步,须要切换到 root 帐号来安装 OpenLDAP 相关程序包,并启动服务:
[xinhua@localhost ~]$ su - [root@localhost ~]# yum install -y openldap-servers openldap-clients [root@localhost ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG [root@localhost ~]# chown ldap. /var/lib/ldap/DB_CONFIG [root@localhost ~]# systemctl enable slapd [root@localhost ~]# systemctl start slapd
第二步,咱们使用 slappasswd 命令来生成一个密码,并使用 LDIF(LDAP 数据交换格式)文件将其导入到 LDAP 中来配置管理员密码:
[root@localhost ~]# slappasswdNew password:
Re-enter new password:
{SSHA}KS/bFZ8KTmO56khHjJvM97l7zivH1MwG
[root@localhost ~]# vim chrootpw.ldif
# specify the password generated above for "olcRootPW" section
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}KS/bFZ8KTmO56khHjJvM97l7zivH1MwG
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"
第三步,咱们须要向 LDAP 中导入一些基本的 Schema。这些 Schema 文件位于 /etc/openldap/schema/ 目录中,定义了咱们之后建立的条目能够使用哪些属性:
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=cosine,cn=schema,cn=config" [root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=nis,cn=schema,cn=config" [root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=inetorgperson,cn=schema,cn=config"
第四步,咱们须要配置 LDAP 的顶级域(以 dc=xinhua,dc=org 为例)及其管理域:
[root@localhost ~]# slappasswdNew password:
Re-enter new password:
{SSHA}z/rsbmAjVtLlWeUB0xS5itLPI0VA1akD
[root@localhost ~]# vim chdomain.ldif
# replace to your own domain name for "dc=***,dc=***" section
# specify the password generated above for "olcRootPW" section
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
read by dn.base="cn=Manager,dc=xinhua,dc=org" read by * none
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=xinhua,dc=org
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=xinhua,dc=org
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}z/rsbmAjVtLlWeUB0xS5itLPI0VA1akD
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
dn="cn=Manager,dc=xinhua,dc=org" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=Manager,dc=xinhua,dc=org" write by * read
[root@localhost ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
第五步,在上述基础上,咱们来建立一个叫作 Xinhua News Agency 的组织,并在其下建立一个 Manager 的组织角色(该角色内的用户具备管理整个 LDAP 的权限)和 People 和 Group 两个组织单元:
[root@localhost ~]# vim basedomain.ldif # replace to your own domain name for "dc=***,dc=***" section dn: dc=xinhua,dc=org objectClass: top objectClass: dcObject objectclass: organization o: Xinhua News Agency dc: xinhua dn: cn=Manager,dc=xinhua,dc=org objectClass: organizationalRole cn: Manager dn: ou=People,dc=xinhua,dc=org objectClass: organizationalUnit ou: People dn: ou=Group,dc=xinhua,dc=org objectClass: organizationalUnit ou: Group [root@localhost ~]# ldapadd -x -D cn=Manager,dc=xinhua,dc=org -W -f basedomain.ldif Enter LDAP Password: # directory manager's passwordadding new entry "dc=xinhua,dc=org" adding new entry "cn=Manager,dc=xinhua,dc=org" adding new entry "ou=People,dc=xinhua,dc=org" adding new entry "ou=Group,dc=xinhua,dc=org"
经过以上的全部步骤,咱们就设置好了一个 LDAP 目录树:其中基准 dn dc=xinhua,dc=org 是该树的根节点,其下有一个管理域 cn=Manager,dc=xinhua,dc=org 和两个组织单元 ou=People,dc=xinhua,dc=org 及 ou=Group,dc=xinhua,dc=org。
接下来,咱们来建立一个叫做 Ada Catherine 的员工并将其分配到 Secretary 组来验证上述配置是否生效。
[root@localhost ~]# slappasswdNew password:
Re-enter new password:
{SSHA}HTGqAd4p6fOOIVHm7VZYUSorWGfnrqAA
[root@localhost ~]# vim ldapuser.ldif
# create new
# replace to your own domain name for "dc=***,dc=***" section
dn: uid=ada,ou=People,dc=xinhua,dc=org
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: ada
cn: Ada Catherine
sn: Catherine
userPassword: {SSHA}HTGqAd4p6fOOIVHm7VZYUSorWGfnrqAA
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/ada
dn: cn=Secretary,ou=Group,dc=xinhua,dc=org
objectClass: posixGroup
cn: Secretary
gidNumber: 1000
memberUid: ada
[root@localhost ~]# ldapadd -x -D cn=Manager,dc=xinhua,dc=org -W -f ldapuser.ldif
Enter LDAP Password:
adding new entry "uid=ada,ou=People,dc=xinhua,dc=org"
adding new entry "cn=Secretary,ou=Group,dc=xinhua,dc=org"
咱们也能够使用 ldapsearch 命令来查看 LDAP 目录服务中的全部条目信息:
[root@localhost ~]# ldapsearch -x -b "dc=xinhua,dc=org" -H ldap://127.0.0.1 # extended LDIF # # LDAPv3 # base <dc=xinhua,dc=org> with scope subtree # filter: (objectclass=*) # requesting: ALL # # xinhua.orgdn: dc=xinhua,dc=org objectClass: top objectClass: dcObject objectClass: organization o: Xinhua News Agency dc: xinhua...
若是要删除一个条目,能够按下面的命令操做:
[root@localhost ~]# ldapdelete -x -W -D 'cn=Manager,dc=xinhua,dc=org' "uid=ada,ou=People,dc=xinhua,dc=org"
3、使用 phpLDAPadmin 来管理 LDAP 服务
经过 LDIF 文件能够在终端上管理起整个 LDAP,可是咱们都喜欢图形化界面。phpLDAPadmin 正是一个能够经过浏览器来管理 LDAP 服务的 Web 工具。
在安装 phpLDAPadmin 以前,要确保服务器上已经启动了 Apache httpd 服务及 PHP 2。准备就绪后,咱们按下面的操做来安装和配置 phpLDAPadmin:
[root@localhost ~]# yum -y install epel-release
[root@localhost ~]# yum --enablerepo=epel -y install phpldapadmin
[root@localhost ~]# vim /etc/phpldapadmin/config.php
# line 397: uncomment, line 398: comment out
$servers->setValue('login','attr','dn');
// $servers->setValue('login','attr','uid');
[root@localhost ~]# vim /etc/httpd/conf.d/phpldapadmin.conf
Alias /phpldapadmin /usr/share/phpldapadmin/htdocs
Alias /ldapadmin /usr/share/phpldapadmin/htdocs
<Directory /usr/share/phpldapadmin/htdocs>
<IfModule mod_authz_core.c>
# Apache 2.4 Require local
# line 12: add access permission ip range
Require ip 10.0.0.0/24
[root@localhost ~]# systemctl restart httpd
安装成功的话,在浏览器中访问 http://localhost:8000/phpldapadmin/ 便会进入 phpLDAPadmin 管理页面:
按上面的方式进行登陆后,就能够查看、新建、编辑和删除 dc=xinhua,dc=org 域下的全部条目了。
4、使用 Docker 安装 OpenLDAP 和 phpLDAPadmin
随着容器化技术和 Docker 的快速发展,打包和部署应用程序变得更加简单和灵活。OpenLDAP 和 phpLDAPadmin 也有本身的 Docker 镜像,使用下面的命令,能够快速的安装 OpenLDAP 和 phpLDAPadmin 环境:
[root@localhost ~]# docker run --name ldap_core -p 389:389 -p 636:636 --env LDAP_ORGANISATION="XINHUA.IO" --env LDAP_DOMAIN="xinhua.io" --env LDAP_ADMIN_PASSWORD="Passw0rd" --detach osixia/openldap [root@localhost ~]# docker run --name ldap_web -p 80:80 -p 443:443 --link ldap_core:ldap_core --env PHPLDAPADMIN_
在生产环境中,咱们使用 Docker 的方式来部署 OpenLDAP。
5、参考资料
每个 LDAP 条目的区别名 dn 都是由两个部分组成的:相对区别名 rdn 以及该条目在 LDAP 目录中的位置。 ↩
关于如何安装这两个服务,请参考 Install and start Apache httpd 和 Install PHP。 ↩
- 1. CentOS 7 环境下 mysql5.7的安装与配置
- 2. CentOS-7安装Lamp环境
- 3. centos openldap 2.4 安装与配置
- 4. centos(6-7)安装openldap
- 5. windows环境下OpenLDAP安装与客户端连接配置
- 6. windows环境下OpenLDAP安装与客户端链接配置
- 7. RHEL7下openldap的安装与配置
- 8. windows下OpenLDAP的安装与配置
- 9. centos 7 下Paraviewweb环境的安装和配置 和 npm install canvas
- 10. OpenLDAP安装与配置
- 更多相关文章...
- • Git 安装配置 - Git 教程
- • Maven 环境配置 - Maven教程
- • Composer 安装与使用
- • IDEA下SpringBoot工程配置文件没有提示
-
每一个你不满意的现在,都有一个你没有努力的曾经。