安裝和配置OPENLDAP資料

1、安裝和配置OPENLDAP必需的軟件包在大多數(shù)基于軟件包的系統(tǒng)上（例如，在基于RPM的分發(fā)版（distribution）上，如RedHat、Mandrake和SuSE）安裝和配置OpenLDAP是一個(gè)相對(duì)比較簡(jiǎn)單的過程。第一步先確定將哪些OpenLDAP組件（如果有的話）作為初始Linux設(shè)置的一部分進(jìn)行安裝。從控制臺(tái)窗口或命令行，輸入：rootthorroot#rpm-qa|grepopenldapopenldap-devel-2.0.23-4openldap-2.0.23-4openldap-servers-2.0.23-4openldap-clients-2.0.23-4rootthor

2、root#您應(yīng)該看到類似上面的輸出。注：RedHat分發(fā)版安裝OpenLDAP客戶機(jī)軟件，但不安裝openldap-servers軟件包，即使您選擇了服務(wù)器配置也是如此。要安裝RPM軟件包，在分發(fā)版媒質(zhì)上找到所需文件的位置并輸入：rpm-ivhpackagename配置OpenLDAP服務(wù)器安裝了必需的軟件之后，下一步是要配置服務(wù)器。首先，備份原始配置文件以供今后參考（cp/etc/openldap/slapd.conf/etc/openldap/slapd.conf.orig）?，F(xiàn)在，在您所喜愛的文本編輯器中打開/etc/openldap/slapd.conf文件，花幾分鐘時(shí)間通讀注釋。除了

3、定義目錄數(shù)據(jù)庫類型、suffix、rootdn和存儲(chǔ)目錄數(shù)據(jù)庫的位置的幾個(gè)項(xiàng)外，slapd.conf中的大多數(shù)缺省設(shè)置都是適當(dāng)?shù)?。databaseldbmsuffix"dc=syroidmanor,dc=com"rootdn"cn=root,dc=,dc=com"rootpwCRYPT05T/JKDWO0SuIdirectory/var/lib/ldapindexobjectClass,uid,uidNumber,gidNumber,memberUideqindexcn,mail,surname,givennameeq,subinitial保護(hù)rootd

4、nrootdn項(xiàng)控制誰可以對(duì)目錄數(shù)據(jù)庫進(jìn)行寫操作，以及他們要這樣做所必須提供的密碼。請(qǐng)確保閱讀“訪問控制”一章結(jié)束部分的注釋：# ifnoaccesscontrolsarepresent,thedefaultis:# Allowreadbyall# rootdncanalwayswrite!"rootdncanalwayswrite!"（rootdn總是可以寫?。┑囊馑颊缢硎镜哪菢?。您在rootdn項(xiàng)的cn=部分填充的任何項(xiàng)都是對(duì)數(shù)據(jù)庫有完全讀/寫訪問權(quán)的用戶。另外，缺省配置文件使用“secret”作為密碼，它以明文形式發(fā)送。如果只能從裝了防火墻與外界隔離的內(nèi)部網(wǎng)訪問

5、您的LDAP服務(wù)器，并且確信將訪問LDAP服務(wù)器的用戶不知道有關(guān)信息包嗅探的任何事情，您大概可以以明文形式安全地發(fā)送rootdn密碼（只要確保將密碼“secret”稍加修改，使之不易被猜出）。但是，如果您打算存儲(chǔ)在目錄中的數(shù)據(jù)只有一點(diǎn)點(diǎn)機(jī)密性，則對(duì)密碼進(jìn)行散列處理?？梢杂胹lappasswd實(shí)用程序完成它，如下所示：rootthorroot#slappasswd-hcrypt該程序?qū)⒁竽斎朊艽a，然后slappasswd將給出與所提供的項(xiàng)相對(duì)應(yīng)的crypt字符串。將該字符串剪切并粘貼到slapd.conf,如上一頁所示。其它散列選項(xiàng)包含SSHA(缺省值)、SMD5、MD5和SHA。輸入man

6、slappasswd,以獲取更多信息。測(cè)試服務(wù)器現(xiàn)在是測(cè)試服務(wù)器的好時(shí)機(jī)了。這里的配置相對(duì)比較簡(jiǎn)單也容易對(duì)可能出現(xiàn)的問題進(jìn)行故障診斷。在RedHatLinux系統(tǒng)上，命令是：rootthorroot#serviceldapstart接下來，測(cè)試您訪問目錄的能力：rootthorroot#ldapsearch-x-b''-sbase'(objectclass=*)'namingContexts如果正確配置了服務(wù)器，您應(yīng)該看到類似于下面的輸出(當(dāng)然，有不同的dc)：version:2# filter:(objectclass=*)# requesting:namin

7、gContexts#dn:namingContexts:dc=syroidmanor,dc=com# searchresultsearch:2result:0Success# numResponses:2# numEntries:1如果您得到了錯(cuò)誤消息，或輸出與上面有很大的不同，則返回并檢查配置。要使LDAP服務(wù)在重新引導(dǎo)時(shí)自動(dòng)啟動(dòng)，輸入以下命令：rootthorroot#chkconfigldapon再提醒一下，上面的命令特定于RedHat分發(fā)版。配置ACL配置LDAP服務(wù)器的最后一步是設(shè)置一些基本訪問控制。這樣做可以確保用戶只能訪問他們需要訪問的項(xiàng)。在OpenLDAP下設(shè)置ACL(訪問控制

8、表，AccessControlList)的方法有兩種：可以將include行放在/etc/openldap/slapd.conf的頂部，指向個(gè)單獨(dú)的文件(例如，include/etc/openldap/slapd.access.conf)；或者可以將ACL直接添加到slapd.conf。這完全由您選擇一Mandrake通常使用include行；RedHat將ACL添加到配置文件。您將在下一頁看到一組示例ACL以及它們做些什么的說明ACL示例# DefineACLs-accesscontroldefinitionsaccesstodn=".*,dc=syroidmanor,dc=com

9、"attr=userPasswordbydn="cn=root,dc=syroidmanor,dc=com"writebyselfwriteby*authaccesstodn=".*,dc=syroidmanor,dc=com"attr=mailbydn="cn=root,dc=syroidmanor,dc=com"writebyselfwriteby*readaccesstodn=".*,ou=people,dc=syroidmanor,dc=com"by*readaccesstodn=".*

10、,dc=syroidmanor,dc=com"byselfwriteby*read上面的配置僅允許userPassword屬性的所有者修改項(xiàng)，但僅當(dāng)所有者提供他或她的優(yōu)先密碼時(shí)才允許進(jìn)行修改。在所有其它情況下，只能出于認(rèn)證目的來訪問該項(xiàng)，而不能查看它。第二個(gè)accessto.項(xiàng)允許用戶修改自己的電子郵件地址(attr=mail)。第三個(gè)項(xiàng)指定除了rootdn外，對(duì)于所有人，ou=people,dc=syroidmanor,dc=com中的任何DN都是只讀的。這可防止用戶更改其用戶名、uid、gid和主目錄等。最后，最后一項(xiàng)是包容前面訪問控制中未涉及的任何東西的安全的“大雜炫”o例如，

11、它允許用戶更改其自己地址簿中的項(xiàng)。在服務(wù)器可以使用新的ACL之前，需要重新啟動(dòng)：serviceldaprestart完成基本配置之后，應(yīng)該將一些有用的項(xiàng)填充到數(shù)據(jù)庫。填充數(shù)據(jù)進(jìn)行到這一階段，您應(yīng)該大致了解了LDAP的內(nèi)部機(jī)制和結(jié)構(gòu)，并且有了一個(gè)正在運(yùn)行的OpenLDAP服務(wù)器。下一步是將聯(lián)系人數(shù)據(jù)填充到您的目錄，隨后，電子郵件應(yīng)用程序?qū)⑹褂眠@些數(shù)據(jù)來查詢電子郵件地址。遺憾的是，這會(huì)使事情變得有點(diǎn)兒棘手。有三種使聯(lián)系人信息填入目錄樹的基本方法：從命令行手工輸入，通過LDIF(LDAP數(shù)據(jù)庫交換文件(LDAPDatabaseInterchangeFile)導(dǎo)入，或者通過使用腳本。棘手的部分是選擇有

12、效的方法以及將數(shù)據(jù)正確地填入數(shù)據(jù)庫而不出差錯(cuò)。好處就是，一旦完成了，您不必再次執(zhí)行整個(gè)過程一當(dāng)然前提是您繼續(xù)使用支持LDAP的應(yīng)用程序。手工填充數(shù)據(jù)庫是三種方法中最直接的一種（雖然，正如單詞“手工”暗示的那樣，它需要的勞動(dòng)力最多）所以我們先處理這一過程。手工數(shù)據(jù)輸入首先，從控制臺(tái)窗口或命令行，輸入下列命令：rootthorroot#Idapadd-D"cn=root"-hserverpassword:*dn:uid=juser,ou=people,dc=syroidmanor,dc=comuid:jusercn:JoeUsergivenname:Joesn:Usermail

13、:juserobjectClass:topobjectClass:mailRecipientobjectClass:personobjectClass:inetOrgPersonadaddingnewentryuid=juser,ou=people,dc=syroidmanor,dc=comrootthorroot#上面概述的過程使用三個(gè)基本的LDAP操作：綁定操作、更新操作和隱式取消綁定操作。為了修改目錄，您必須以特權(quán)用戶身份綁定或連接到LDAP服務(wù)器。所顯示的示例使用cn=root,因?yàn)槟蔷褪荗penLDAP服務(wù)器的配置方式。如果您對(duì)slapd.conf中的rootdn項(xiàng)使用了其它名稱，則

14、用合適的替換它。在密碼提示后，輸入DN,后跟要與DN（RDN項(xiàng)）相關(guān)聯(lián)的數(shù)據(jù)，后跟包含類型/值對(duì)的屬性的對(duì)象類。過程結(jié)束部分的CTRL-D會(huì)將數(shù)據(jù)發(fā)送給服務(wù)器，并隱式取消與服務(wù)器的綁定。然后，LDAP服務(wù)器用一條已經(jīng)成功輸入（已顯示）數(shù)據(jù)的消息或錯(cuò)誤消息來響應(yīng)。常見錯(cuò)誤是嘗試添加類型/值，而不指定正確的對(duì)象類、添加已經(jīng)存在的用戶或RDN或遺忘了“MUS項(xiàng)（例如，對(duì)象類人員同時(shí)需要givenname和sn）等。另外，在進(jìn)行手工數(shù)據(jù)輸入時(shí)，要知道以下幾點(diǎn)：您必須知道哪個(gè)對(duì)象類擁有您正在添加的類型/值RDN數(shù)據(jù)的屬性。該過程所需的工作量較大。很容易錯(cuò)誤地輸入一個(gè)項(xiàng)，這會(huì)使目錄樹中有錯(cuò)誤信息。一般而言

15、，能使您的目錄樹布局可視化并熟悉配置LDAP服務(wù)器以使用的模式很重要。最后一點(diǎn)對(duì)于所有數(shù)據(jù)輸入方法都適用，它正是LDAP入門一章的目的。熟悉LDAP的結(jié)構(gòu)并清楚地知道您正在嘗試完成什么對(duì)于消除與填充LDAP數(shù)據(jù)庫相關(guān)聯(lián)的失敗和不可避免的錯(cuò)誤大有幫助。LDIF方法將數(shù)據(jù)插入LDAP目錄的第二種方法是使用LDIF文件。LDIF文件只是包含想要插入的以特定語法編排的數(shù)據(jù)的純文本文檔。您已經(jīng)熟悉了語法：dn:后跟樹中存儲(chǔ)項(xiàng)的位置，后跟一個(gè)或多個(gè)RDN項(xiàng)（包含數(shù)據(jù)的類型/值對(duì)），后跟必需的對(duì)象類。要?jiǎng)?chuàng)建LDIF,使用純文本編輯器，然后輸入想要添加到目錄中的數(shù)據(jù)。使用我們的上一個(gè)示例：dn:uid=jus

16、er,ou=people,dc=syroidmanor,dc=comuid:jusercn:JoeUsergivenname:Joesn:Usermail:juserobjectClass:topobjectClass:mailRecipientobjectClass:personobjectClass:inetOrgPerson保存文件（比如，example.ldif）,在控制臺(tái)窗口或命令行上，輸入:rootthorroot#ldapadd-x-D"cn=root,dc=syroidmanor,dc=com"-W-fsample.ldif將提示您輸入rootdn密碼，通過

17、認(rèn)證后，包含在LDIF中的數(shù)據(jù)將被寫入LDAP數(shù)據(jù)庫。LDIF方法的優(yōu)缺點(diǎn)LDIF方法既有優(yōu)點(diǎn)也有缺點(diǎn)。其優(yōu)點(diǎn)為：在將文件導(dǎo)入數(shù)據(jù)庫之前，您可以檢查拼寫和語法。可以創(chuàng)建帶有許多項(xiàng)的LDIF文件，然后用一個(gè)操作將它們添加到目錄中。如果導(dǎo)入失敗，只要打開LDIF文件，查找錯(cuò)誤，并嘗試重新導(dǎo)入即可。LDIF文件是一種開放標(biāo)準(zhǔn)，幾乎可以將它們導(dǎo)入到任何目錄服務(wù)器中。其缺點(diǎn)為：該過程仍需要較大的工作量一必須輸入LDIF中的所有項(xiàng)，并遵循正確的語法。當(dāng)LDAP服務(wù)器遇到導(dǎo)入文件中的錯(cuò)誤時(shí),它并不總是能方便地處理。雖然您可能會(huì)得到一條“syntaxerror（語法錯(cuò)誤）”消息，但它不會(huì)告訴您，在一個(gè)相當(dāng)大的

18、LDIF文件中，錯(cuò)誤在哪里歸結(jié)起來講，比起從命令行手工輸入數(shù)據(jù)，LDIF文件有某些明顯的優(yōu)勢(shì)。但您仍必須遵守正確的語法來將聯(lián)系人信息輸入文件，并將它導(dǎo)入目錄中。有沒有一個(gè)更自動(dòng)化的方法來填充LDAP數(shù)據(jù)庫呢？一請(qǐng)繼續(xù)讀下去。腳本方法可以使用通常用Perl或PHP編寫的腳本，它們的目的是接收您的數(shù)據(jù)并將它“自動(dòng)”放到LDAP目錄中。這種方法有兩個(gè)問題。首先，也是最重要的，我親自嘗試過的任何腳本都有許多可惡的錯(cuò)誤，在某些最壞的情形下，會(huì)在導(dǎo)入期間毀壞您的數(shù)據(jù)或者破壞目錄樹本身。其次，使用腳本導(dǎo)入數(shù)據(jù)假設(shè)數(shù)據(jù)已經(jīng)以某種形式存在。當(dāng)分別從/etc/passwd和/etc/groups導(dǎo)入用戶密碼和組信

19、息時(shí)，這當(dāng)然很好，但您的聯(lián)系人信息可能不是通?？勺R(shí)別的格式。畢竟，本教程的主要目的是使聯(lián)系人信息不受專用格式的支配。如果將聯(lián)系信息數(shù)據(jù)導(dǎo)出成純文本、用逗號(hào)分隔的文件，并找到能夠?qū)?shù)據(jù)導(dǎo)入LDAP目錄的腳本，會(huì)怎么樣呢？如果可以找到這種腳本，并且如果它運(yùn)行得如它所宣稱的那樣，則您會(huì)得到所有的功能。請(qǐng)記住，您的電子郵件客戶機(jī)對(duì)“用逗號(hào)分隔的文件”有其自己精確的解釋。要在每行結(jié)束的地方添加回車嗎？導(dǎo)出程序如何處理嵌入字段中的空格？某些人通常竊用LDAP導(dǎo)入腳本來將他們的數(shù)據(jù)從應(yīng)用程序A（已經(jīng)以格式X導(dǎo)出）傳送到LDAP目錄。如果他們的應(yīng)用程序和導(dǎo)出格式與您的相合，則嘗試它。不過要確保先備份您的目錄數(shù)

20、據(jù)庫，這樣，如果導(dǎo)入失敗，您就可以返回到“已知的好”狀態(tài)。1、獲得軟件/software/download//software/repo.html2、解壓gunzip-copenldap-VERSION.tgz|tarxfB-在當(dāng)前工作目錄下將產(chǎn)生一個(gè)ldap子目錄。3、認(rèn)真閱讀README和INSTALL4、運(yùn)行configure./configure查看configure的可選項(xiàng)./configure-help5、編譯makedependmake6 、測(cè)試編譯結(jié)果cdtestsmakecd.7 、安裝軟件suroot-cmakeinstall8 、創(chuàng)建SLAPD的配置文件編輯/usr/local/etc/slapd.conf文件，該文件中包含下列格式的LDBM數(shù)據(jù)庫定義databaseldbmsuffix"dc=MY-DOMAIN,dc=COM"rootdn"cn=Manager,dc=MY-DOMAIN,dc=COM"rootpwsecret替換上面的MY-DOMAIN和COM成實(shí)際的域名，例如：databaseldbmsuffix"dc=m