LDAP部署和用戶創建

輕型目錄訪問協議（英文：Lightweight Directory Access Protocol，縮寫：LDAP）是一個開放的，中立的，工業標准的應用協議，通過IP協議提供訪問控制和維護分布式信息的目錄信息。

OpenLDAP是輕型目錄訪問協議（Lightweight Directory Access Protocol，LDAP）的自由和開源的實現，在其OpenLDAP許可證下發行，並已經被包含在眾多流行的Linux發行版中。

LDAP協議的好處就是你公司的所有員工在所有這些工具里共享同一套用戶名和密碼，來人的時候新增一個用戶就能自動訪問所有系統，走人的時候一鍵刪除就取消了他對所有系統的訪問權限，這就是LDAP。

參考：https://www.ilanni.com/?p=13775

安裝openldap

yum -y install openldap openldap-servers openldap-clients  openldap-devel compat-openldap migrationtools  openldap-servers-sql

migrationtools 實現OpenLDAP 用戶及用戶組的添加，migrationtools 開源工具通過查找/etc/passwd、/etc/shadow、/etc/groups 生成LDIF 文件，並通過ldapadd 命令更新數據庫數據，完成用戶添加

其中compat-openldap這個包與主從有很大的關系

查看版本

slapd -VV

[root@test ~]# slapd -VV

@(#) $OpenLDAP: slapd 2.4.44 (May 16 2018 09:55:53) $

mockbuild@c1bm.rdu2.centos.org:/builddir/build/BUILD/openldap-2.4.44/openldap-2.4.44/servers/slapd

配置openldap

注意:從OpenLDAP2.4.23版本開始所有配置數據都保存在/etc/openldap/slapd.d/中，不再使用slapd.conf作為配置文件。

設置openldap的管理員密碼：

[root@test slapd.d]# slappasswd -s admin@123

{SSHA}ptUSB1Mt+E4EvtscPolhiwLIICTLg1yN

上述加密后的字段保存下，等會我們在配置文件中會使用到。

修改olcDatabase={2}hdb.ldif文件

cd /etc/openldap/slapd.d/cn=config/

vim olcDatabase\=\{2\}hdb.ldif

修改域信息

olcSuffix: dc=jinni,dc=com

olcRootDN: cn=root,dc=jinni,dc=com

olcRootPW: {SSHA}ptUSB1Mt+E4EvtscPolhiwLIICTLg1yN

注意：冒號后面一定加空格，其中cn=root中的root表示OpenLDAP管理員的用戶名，而olcRootPW表示OpenLDAP管理員的密碼。

LDAP是一種通訊協議，如同HTTP是一種協議一樣的！

LDAP連接服務器的連接字串格式為：ldap://servername/DN

其中DN有三個屬性，分別是CN,OU,DC 

CN, OU, DC 都是 LDAP 連接服務器的端字符串中的區別名稱（DN, distinguished   name）

CN：Common Name 為用戶名或服務器名，最長可以到80個字符，可以為中文；

DC：Domain Component   DC類似於dns中的每個元素，例如h3c.com，“.”符號分開的兩個單詞可以看成兩個DC

DN：Distinguished Name   類似於DNS，DN與DNS的區別是：組成DN的每個值都有一個屬性類型，例如:H3c.com是一個dns，那么用dn表示為：dc=h3c,dc=com 級別越高越靠后。H3c和com的屬性都是DC。

DN可以表示為ldap的某個目錄，也可以表示成目錄中的某個對象，這個對象可以是用戶等。 

ldapadd 

修改olcDatabase={1}monitor.ldif文件

vim olcDatabase\=\{1\}monitor.ldif

注意：該修改中的dn.base是修改OpenLDAP的管理員的相關信息的。

驗證OpenLDAP的基本配置，使用如下命令：

slaptest -u

通過上圖，我們可以很明顯的看出OpenLDAP的基本配置是沒有問題。

啟動OpenLDAP服務

systemctl enable slapd

systemctl start slapd

配置ldap數據庫

OpenLDAP默認以Berkeley DB作為后端數據庫，BerkeleyDB數據庫主要以散列的數據類型進行數據存儲，如以鍵值對的方式進行存儲。

BerkeleyDB是一類特殊的面向查詢進行優化、面向讀取進行優化的數據庫，主要用於搜索、瀏覽、更新查詢操作，一般對於一次寫入數據、多次查詢和搜索有很好的效果。BerkeleyDB不支持事務型數據庫(MySQL、MariDB、Oracle等)所支持的高並發的吞吐量以及復雜的事務操作。

現在來開始配置OpenLDAP數據庫，使用如下命令：

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

chown ldap:ldap -R /var/lib/ldap

chmod 700 -R /var/lib/ldap

注意：/var/lib/ldap/就是BerkeleyDB數據庫默認存儲的路徑。

導入基本Schema

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

修改migrate_common.ph文件

migrate_common.ph文件主要是用於生成ldif文件使用，修改migrate_common.ph文件，如下：

vim /usr/share/migrationtools/migrate_common.ph +71

$DEFAULT_MAIL_DOMAIN = “jinni.com”;

$DEFAULT_BASE = “dc=jinni,dc=com”;

$EXTENDED_SCHEMA = 1;        #開啟擴展模式

到此OpenLDAP的配置就已經全部完畢，下面我們來開始添加用戶到OpenLDAP中。

添加用戶及用戶組

默認情況下OpenLDAP是沒有普通用戶的，但是有一個管理員用戶。管理用戶就是前面我們剛剛配置的root。

現在我們把系統中的用戶，添加到OpenLDAP中。為了進行區分，我們現在新加兩個用戶ldapuser1和ldapuser2，和兩個用戶組ldapgroup1和ldapgroup2，如下：

添加用戶組，使用如下命令：

groupadd ldapgroup1

groupadd ldapgroup2

添加用戶並設置密碼，使用如下命令：

useradd -g ldapgroup1 ldapuser1

useradd -g ldapgroup2 ldapuser2

echo ‘123456’ | passwd –stdin ldapuser1

echo ‘123456’ | passwd –stdin ldapuser2

把剛剛添加的用戶和用戶組提取出來，這包括該用戶的密碼和其他相關屬性，如下：

grep “:10[0-9][0-9]” /etc/passwd > /root/users

grep “:10[0-9][0-9]” /etc/group > /root/groups

根據上述生成的用戶和用戶組屬性，使用migrate_passwd.pl文件生成要添加用戶和用戶組的ldif，如下：

/usr/share/migrationtools/migrate_passwd.pl /root/users > /root/users.ldif

/usr/share/migrationtools/migrate_group.pl /root/groups > /root/groups.ldif

注意：后續如果要新加用戶到OpenLDAP中的話，我們可以直接修改users.ldif文件即可。

導入用戶及用戶組到OpenLDAP數據庫

配置openldap基礎的數據庫，如下：

cat > base.ldif << EOF

dn: dc=jinni,dc=com

o: jinni com

dc: jinni

objectClass: top

objectClass: dcObject

objectclass: organization

dn: cn=root,dc=jinni,dc=com

cn: root

objectClass: organizationalRole

description: Directory Manager

dn: ou=People,dc=jinni,dc=com

ou: People

objectClass: top

objectClass: organizationalUnit

dn: ou=Group,dc=jinni,dc=com

ou: Group

objectClass: top

objectClass: organizationalUnit

EOF

 

導入基礎數據庫，使用如下命令：

ldapadd -x -w "admin@123" -D "cn=root,dc=jinni,dc=com" -f /root/base.ldif

 

此密碼是之前創建的root管理員密碼，如果密碼錯誤，會報錯：

文件格式錯誤，會報錯：ldap_add: Protocol error (2)

    additional info: no attributes provided

解決：刪除 base.ldif里面空行，同時，dn前留一空行。

導入用戶到數據庫，使用如下命令：

ldapadd -x -w “admin@123” -D “cn=root,dc=jinni,dc=com” -f /root/users.ldif

 

導入用戶組到數據庫，使用如下命令：

dapadd -x -w “admin@123” -D “cn=root,dc=jinni,dc=com” -f /root/groups.ldif

查看BerkeleyDB數據庫文件，使用如下命令：

ll /var/lib/ldap/

此時BerkeleyDB數據庫文件中多了cn.bdb、sn.bdb、ou.bdb等數據庫文件

查詢OpenLDAP的相關信息

用戶和用戶組全部導入完畢后，我們就可以查詢OpenLDAP的相關信息。

查詢OpenLDAP全部信息，使用如下命令：

ldapsearch -x -b “dc=jinni,dc=com” -H ldap://127.0.0.1

查詢添加的OpenLDAP用戶信息，使用如下命令：

ldapsearch -LLL -x -D ‘cn=root,dc=jinni,dc=com’ -w “admin@123” -b ‘dc=jinni,dc=com’ ‘uid=ldapuser1’

查詢添加的OpenLDAP用戶組信息，使用如下命令：

ldapsearch -LLL -x -D ‘cn=root,dc=jinni,dc=com’ -w “admin@123” -b ‘dc=jinni,dc=com’ ‘cn=ldapgroup1’

把OpenLDAP用戶加入到用戶組

盡管我們已經把用戶和用戶組信息，導入到OpenLDAP數據庫中了。但實際上目前OpenLDAP用戶和用戶組之間是沒有任何關聯的。

如果我們要把OpenLDAP數據庫中的用戶和用戶組關聯起來的話，我們還需要做另外單獨的配置。

現在我們要把ldapuser1用戶加入到ldapgroup1用戶組，需要新建添加用戶到用戶組的ldif文件，如下：

cat > add_user_to_groups.ldif <<  EOF

dn: cn=ldapgroup1,ou=Group,dc=jinni,dc=com

changetype: modify

add: memberuid

memberuid: ldapuser1

EOF

執行如下命令：

ldapadd -x -w “admin@123” -D “cn=root,dc=jinni,dc=com” -f /root/add_user_to_groups.ldif

查詢添加的OpenLDAP用戶組信息，如下：

ldapsearch -LLL -x -D ‘cn=root,dc=jinni,dc=com’ -w “admin@123” -b ‘dc=jinni,dc=com’ ‘cn=ldapgroup1’

我們可以很明顯的看出ldapuser1用戶已經加入到ldapgroup1用戶組了。

開啟OpenLDAP日志訪問功能

默認情況下OpenLDAP是沒有啟用日志記錄功能的，但是在實際使用過程中，我們為了定位問題需要使用到OpenLDAP日志。

新建日志配置ldif文件，如下：

cat > /root/loglevel.ldif << “EOF”

dn: cn=config

changetype: modify

replace: olcLogLevel

olcLogLevel: stats

EOF

導入到OpenLDAP中，並重啟OpenLDAP服務，如下：

ldapmodify -Y EXTERNAL -H ldapi:/// -f /root/loglevel.ldif

systemctl restart slapd

修改rsyslog配置文件，並重啟rsyslog服務，如下：

cat >> /etc/rsyslog.conf << “EOF”

local4.* /var/log/slapd.log

EOF

systemctl restart rsyslog

查看OpenLDAP日志，如下：

tail -f /var/log/slapd.log

修改OpenLDAP默認監聽端口

在前面的文章中，我們已經介紹了OpenLDAP默認監聽的端口是389.如果我們現在要修改OpenLDAP監聽端口的話，我們可以修改/etc/sysconfig/slapd文件。例如我們現在把OpenLDAP監聽的端口修改為4567，可以進行如下操作：

vim /etc/sysconfig/slapd

SLAPD_URLS=”ldapi://0.0.0.0:4567/ldap://0.0.0.0:4567/”

重啟OpenLDAP服務，如下：

systemctl restart slapd.service

netstat -tunlp

到此完結！

 

-x   進行簡單認證

-D   用來綁定服務器的DN

-h   目錄服務的地址

-w   綁定DN的密碼（ldap管理員密碼）

-f    使用ldif文件進行條目添加的文件

-Y    指定用於身份驗證的SASL機制。如果沒有指定，程序將選擇服務器知道的最佳機制

-H   指定引用ldap服務器的URI;只允許協議/主機/端口字段;一個用空格或逗號分隔的URI列表。

例子 

ldapadd -x -D "cn=root,dc=starxing,dc=com" -w secret -f /root/test.ldif 

ldapadd -x -D "cn=root,dc=starxing,dc=com" -w secret (這樣寫就是在命令行添加條目)

ldapsearch 

-x    進行簡單認證

-D   用來綁定服務器的DN

-w   綁定DN的密碼

-b   指定要查詢的根節點

-H   指定要查詢的服務器

-LLL  禁用打印無關信息

ldapsearch -x -D "cn=root,dc=starxing,dc=com" -w secret -b "dc=starxing,dc=com" 

使用簡單認證，用 "cn=root,dc=starxing,dc=com" 進行綁定，

要查詢的根是 "dc=starxing,dc=com"。這樣會把綁定的用戶能訪問"dc=starxing,dc=com"下的

所有數據顯示出來。

ldapsearch -x -W -D "cn=administrator,cn=users,dc=osdn,dc=zzti,dc=edu,dc=cn" -b "cn=administrator,cn=users,dc=osdn,dc=zzti,dc=edu,dc=cn" -h troy.osdn.zzti.edu.cn 

ldapsearch -b "dc=canon-is,dc=jp" -H ldaps://192.168.0.92:636 

ldapdelete 

ldapdelete -x -D "cn=Manager,dc=test,dc=com" -w secret "uid=test1,ou=People,dc=test,dc=com" 

ldapdelete -x -D 'cn=root,dc=it,dc=com' -w secert 'uid=zyx,dc=it,dc=com' 

這樣就可以刪除'uid=zyx,dc=it,dc=com'記錄了，應該注意一點，如果o或ou中有成員是不能刪除的。

ldappasswd 

-x   進行簡單認證

-D   用來綁定服務器的DN

-w   綁定DN的密碼

-S   提示的輸入密碼

-s pass 把密碼設置為pass

-a pass 設置old passwd為pass

-A   提示的設置old passwd

-H   是指要綁定的服務器

-I   使用sasl會話方式

#ldappasswd -x -D 'cm=root,dc=it,dc=com' -w secret 'uid=zyx,dc=it,dc=com' -S

New password:

Re-enter new password: 

就可以更改密碼了，如果原來記錄中沒有密碼，將會自動生成一個userPassword

創建ldap賬號

 

LDAP添加新用戶

具體過程如下：

1）首先運行一個shell腳本，腳本內容如下：

#!/bin/sh

#首先創建一個linux帳戶
useradd $1 
passwd $1

#轉gid到ldap帳戶
cat /etc/group | grep $1 >/tmp/group.in
/usr/share/openldap/migration/migrate_group.pl /tmp/group.in > /tmp/group.ldif
ldapadd -x -D "cn=admin,dc=cas,dc=cn" -w your_ldap_passwd -f /tmp/group.ldif

#轉uid到ldap帳戶
cat /etc/passwd | grep $1 > /tmp/passwd.in
/usr/share/openldap/migration/migrate_passwd.pl /tmp/passwd.in > /tmp/passwd.ldif
ldapadd -x -D "cn=admin,dc=cas,dc=cn" -w your_ldap_passwd -f /tmp/passwd.ldif

#刪掉創建的linux帳戶, 使帳戶成為純粹的ldap帳戶，而不是local帳戶
userdel $1
rm -rf /home/$1
#rm /tmp/group.ldif
#rm /tmp/passwd.ldif

ldapsearch -x "uid=$1" #可用於顯示剛剛添加到ldap數據庫中的用戶信息

 

2）用戶添加好以后，需要給其設定初始密碼，運行命令如下：

# ldappasswd -x -D "cn=admin,dc=cas,dc=cn" -w your_ldap_passwd "uid=XiaoMing,ou=People,dc=cas,dc=cn" -S

 

3）給用戶設定登陸后的家目錄(Home directory)：這個是可選的：

ldapmodify -x -D "cn=admin,dc=cas,dc=cn" -W 
dn: uid=XiaoMing,ou=People,dc=cas,dc=cn 
changetype: modify
replace: homeDirectory
homeDirectory: /home/xiaoming # 此處添加你為用戶指定的家目錄。如果目錄不存在，不用擔心，系統會自動添加的

 

4）如果不小心將ldap管理員密碼丟失，只需要在ldap服務器主機上運行命令slappasswd設置新的密碼就可以了