為什么80%的碼農都做不了架構師？>>> ??

搜索很長時間始終發現博文與我的centos6.3里的openldap文件目錄不同。敢肯定是版本問題。

于是參考了rhel官方文檔，在這漢化列出。

1.ldap的安裝

基本的ldap服務

Package Description

openldap	openldap服務端和客戶端必須用的庫文件。
openldap-clients	在ldap服務上使用的用于查看和修改目錄的命令行的package。
openldap-servers	用于啟動服務和設置. 包含單獨的ldap后臺守護程序。
openldap-servers-sql	支持sql模塊
compat-openldap	openldap兼容性庫

下面是常用的ldap服務

Package Description

nss-pam-ldapd	允許用戶執行ldap查詢的服務，nslcd ?
mod_authz_ldap	mod_authz_ldap模塊,ldap的apche授權模塊。 該模塊使用短形式的主題和客戶端SSL證書來確定用戶的可分辨名稱LDAP目錄內的發行人的專有名稱。 目錄條目的屬性的授權用戶，確定用戶和組權限的資產根據資產，并否認使用過期密碼的用戶訪問。需要注意的是mod_ssl的模塊時，需要使用的mod_authz_ldap模塊。

使用yum install package來安裝你需要的包

yum install package… 例如： ~]#yum install openldap openldap-clients openldap-servers

2.openldap的工具

openldap服務端命工具

Command Description

slapacl	允許你檢查 訪問屬性列表
slapadd	允許你從LDIF文件添加條目在 LDAP 目錄.
slapauth	允許你檢查驗證和授權權限的ID表
slapcat	允許你把 LDAP 目錄的默認格式 保存到?LDIF 文件。
slapdn	允許你檢查變別名（NDs）的正確語法。
slapindex	允許你基于當前內容重新索引slapd目錄。會更改配置文件。
slappasswd	允許您創建的ldapmodify實用程序，或者在slapd的配置文件加密的用戶要使用的密碼。
slapschema	允許你檢查遵守相應模式的數據庫。
slaptest	允許您檢查LDAP服務器的配置。

使用以上工具時，注意停止服務

~]# service slapd stop Stopping slapd: [ OK ]

確保文件有正確的使用者

~]#chown -R ldap:ldap /var/lib/ldap

openldap客戶端工具

Command Description

ldapadd	允許您將從一個文件中，或從標準輸入條目添加到LDAP目錄中。這是一個符號鏈接 的ldapmodify-A
ldapcompare	可以讓你比較給定的屬性與LDAP目錄條目。
ldapdelete	允許您從LDAP目錄中刪除條目。
ldapexop	允許您進行擴展LDAP操作。
ldapmodify	允許您修改LDAP目錄中的項目，無論是從一個文件中，或從標準輸入。
ldapmodrdn	允許您修改LDAP目錄條目的RDN值。
ldappasswd	讓您的LDAP用戶來設置或更改密碼。
ldapsearch	允許你搜索LDAP目錄條目。
ldapurl	可讓您撰寫或LDAP URL的分解。
ldapwhoami	允許您在?LDAP服務上執行WHOAMI的操作。

在?Mozilla Thunderbird,?Evolution, or?Ekiga ldap 圖形客戶端上，只有只讀權限，而不具有操作目錄的權限。

默認的情況下，存儲在OpenLDAP配置的/etc/openldap目錄，下邊的表為這個目錄的重要文件。

Path Description

/etc/openldap/ldap.conf	OpenLDAP客戶端應用程序的配置文件。這包括LDAPADD的，ldapsearch的演變等。
/etc/openldap/slapd.d/	此目錄包含slapd 的配置文件。

新的服務已經不再讀取/etc/openldap/slapd.conf，你可以通過以下命令轉換成新的配置文件 ~]#slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/ 不要直接編輯/etc/openldap/slapd.d/中的文件，這將有可能導致服務無法啟動。

3.更改全局配置

LDAP全局配置選項文件：/etc/openldap/slapd.d/cn=config.ldif?

以下是常用選項

可用的olcAllows選項

選項 描述

bind_v2	接受LDAP2綁定請求。
bind_anon_cred	當分辨名稱（DN）是空的，允許匿名綁定時。
bind_anon_dn	當可分辨名稱（DN）是不是空的，允許匿名綁定時，。
update_anon	啟用匿名更新操作的處理。
proxy_authz_anon	啟用匿名代理授權控制。

使用olcAllows指令

例如

olcAllows: bind_v2 update_anon

olcConnMaxPending
olcConnMaxPending指令允許您指定掛起的請求，匿名會話的最大數量。它采用以下形式：

olcConnMaxPending: number 默認選項為100。

例如：

olcConnMaxPending: 100

olcConnMaxPendingAuth
olcConnMaxPendingAuth指令允許您指定掛起的請求，認證會話的最大數量。它采用以下形式：

olcConnMaxPendingAuth: number

例如

olcConnMaxPendingAuth: 1000

olcDisallows
olcDisallows指令允許你指定哪個功能停用。它采用以下形式：
采用空額分隔

可用的olcDisallows選項

Option Description

bind_anon	禁止匿名綁定
bind_simple	禁止簡單綁定認證機制
tls_2_anon	當收到STARTTLS 命令禁止匿名會話
tls_authc	禁止在驗證時使用STARTTLS命令

例如

olcDisallows：bind_anon olcIdleTimeout

olcIdleTimeout指令允許您指定關閉空閑連接之前等待多少秒。它采用以下形式：

olcIdleTimeout: number 此選項默認被禁用（即設置為0）。

例如

olcIdleTimeout：180

olcLogFile
olcLogFile指令允許你指定一個文件，在其中寫入日志消息。它采用以下形式：

olcLogFile：FILE_NAME

默認情況下，日志消息寫入標準錯誤。

例如

olcLogFile: /var/log/slapd.log olcReferral
olcReferral選項允許你不處理這個URL的服務請求

例如

olcReferral: ldap://root.openldap.org olcWriteTimeout

允許你指定等待多少秒去關閉一個為解決的寫請求連接

例如

olcWriteTimeout: 180 4.更改數據庫特定配置

默認情況下，OpenLDAP服務器使用Berkeley DB（BDB）數據庫作為后端。此數據庫的配置存儲在/etc/openldap/slapd.d/cn=config/olcDatabase={1}bdb.ldif文件。下面的指令中常用的數據庫特定的配置：

olcReadOnly

該選項允許你使用只讀模式的數據庫

olcReadOnly: boolean 允許TRUE(默認只讀模式)，或者FALSE(默認可更改數據庫)。默認為FALSE

例如

olcReadOnly: TRUE olcRootDN選項讓指定的用戶在LDAP目錄無訪問控制和無命令設置。 olcRootDN: distinguished_name 它接受專有名稱 Distinguished Name ?(DN )，默認cn=Manager,dn=my-domain,dc=com.

例如

olcRootDN: cn=root,dn=example,dn=com olcRootPW

olcRootPW: password 允許純文本字符串，hash。生成一個hash,然后：

~]$slappaswdNew password: Re-enter new password: {SSHA}WczWsyPEnMchFf1GRTweq2q7XJcvmSxD 例如 olcRootPW: {SSHA}WczWsyPEnMchFf1GRTweq2q7XJcvmSxD olcSuffix

該指令允許您指定域的提供信息

olcSuffix: domain_name 它接受一個完全限定的域名 fully qualified domain name ?(FQDN)，默認：dc=my-domain,dc=com.

例如

olcSuffix: dc=example,dc=com 5.擴展模式

從OPENLADP2.3開始，/etc/openldap/slapd.d/目錄包含原本位于/etc/openldap/schema/。它可以擴展模式使用OpenLDAP支持額外的屬性類型和對象類使用默認模式文件作為指導。參考http://www.openldap.org/doc/admin/schema.html。

6.啟動LDAP服務

~]#service slapd start

Starting slapd: [ OK ]

如果你希望服務在啟動時自動啟動,使用以下命令:

~]#chkconfig slapd on

重啟服務

~]#service slapd restart Stopping slapd: [ OK ] Starting slapd: [ OK ] 查看狀態 ? ? ~]#service slapd status slapd (pid 3672) is running...

配置系統以驗證使用OpenLDAP

為了將系統配置為使用OpenLDAP驗證，確保LDAP服務器和客戶機上安裝相應的軟件包。

~]# yum install openldap openldap-clients nss-pam-ldapd

～

轉載于:https://my.oschina.net/HankCN/blog/145617

總結

以上是生活随笔為你收集整理的centos redhat 6+ openldap 初级介绍的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。