CentOS7 下 OpenLDAP Server 安装和配置及使用 phpLDAPadmin 和

LDAP 代表轻量级目录访问协议Lightweight Directory Access Protocol，并包含在一系列协议之中，这些协议允许一个客户端通过网络去获取集中存储的信息（例如所登录的 shell 的路径，家目录的绝对路径，或者其他典型的系统用户信息），而这些信息可以从不同的地方访问到或被很多终端用户获取到（另一个例子是含有某个公司所有雇员的家庭地址和电话号码的目录）。

对于那些被赋予了权限可以使用这些信息的人来说，将这些信息进行集中管理意味着可以更容易地维护和获取。

下面是对上面示意图的一个详细解释。

在一个 LDAP 目录中，一个条目entry代表一个独立单元或信息，被所谓的区别名DN，Distinguished Name 唯一识别。
一个属性attribute是一些与某个条目相关的信息（例如地址，有效的联系电话号码和邮箱地址）。
每个属性被分配有一个或多个值value，这些值被包含在一个以空格为分隔符的列表中。每个条目中那个唯一的值被称为一个相对区别名RDN，Relative Distinguished Name。
接下来，就让我们进入到有关服务器和客户端安装的内容。

本文主要介绍在 CentOS7 下 OpenLDAP Server 安装及配置方法，以及如何使用 phpLDAPadmin 和 Java LDAP 访问 LDAP Server。

本人也是刚刚学习 LDAP，因此本文主要面向 LDAP 的初学者。高手请绕行！

学习前提：

1. 了解 Linux 常用命令及编辑工具的使用方法。
2. 了解 LDAP 的概念及基础知识点（百度即可）。

系统环境： 
CentOS Linux release 7.2.1511 (Core) 64位 
Linux version 3.10.0-327.el7.x86_64 
gcc version 4.8.3 20140911 (Red Hat 4.8.3-9) (GCC)

软件环境： 
openldap-clients-2.4.40-13 
openldap-devel-2.4.40-13 
openldap-2.4.40-13 
openldap-servers-2.4.40-13 
phpLDAPadmin 1.2.3（需要 LAMP 环境，该部分内容请自行百度，不需要安装 MySQL）

请以 root 账号登录并执行以下所有命令。

OpenLDAP Server 安装及配置 
Step 1：安装必要包 
首先使用如下命令查看是否已经安装 OpenLDAP：

# rpm -qa | grep openldap``
openldap-2.4.40-13.el7.x86_64 
openldap-servers-2.4.40-13.el7.x86_64 
openldap-clients-2.4.40-13.el7.x86_64

若已经安装过，可以忽略此步骤，否则请继续执行如下命令（可以根据需要选择是否安装迁移工具 migrationtools）：

# yum install -y openldap openldap-clients openldap-servers migrationtools
#cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG 
#chown ldap. /var/lib/ldap/DB_CONFIG 
#systemctl start slapd 
#systemctl enable slapd

在服务器和客户端上，为了确保 SELinux 不会妨碍挡道，长久地开启下列的布尔值：

#setsebool -P allow_ypbind=0 authlogin_nsswitch_use_ldap=0
其中 allow_ypbind 为基于 LDAP 的认证所需要，而 authlogin_nsswitch_use_ldap则可能会被某些应用所需要。

查看端口使用情况：

# netstat -tlnp | grep slapd 
tcp 0 0 0.0.0.0:389 0.0.0.0: LISTEN 227/slapd 
tcp6 0 0 :::389 ::: LISTEN 227/slapd 
默认情况下， slapd 用户会占用 389 端口。 
Step 2：设置 OpenLDAP 的管理员密码 
首先要生成经处理后的明文密码：

# slappasswd 
New password: 
Re-enter new password: 
{SSHA}hnm8WDAp0mn2HgN26h6ZdbzFVtFATQhG 
其中 {SSHA}xxxxxxxxxxxxxxxxxxxxxxxx 就是加密处理后的明文密码，之后会用到这个密码。 
之后再新建如下文件:

#touch chrootpw.ldif 
#echo "dn: olcDatabase={0}config,cn=config" >> chrootpw.ldif 
#echo "changetype: modify" >> chrootpw.ldif 
#echo "add: olcRootPW" >> chrootpw.ldif 
#echo "olcRootPW: {SSHA}hnm8WDAp0mn2HgN26h6ZdbzFVtFATQhG" >> chrootpw.ldif 
最后导入该文件：

# ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif 
SASL/EXTERNAL authentication started 
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth 
SASL SSF: 0 
modifying entry "olcDatabase={0}config,cn=config" 
Step 3：导入基本 Schema（可以有选择的导入）

#cd /etc/openldap/schema/ 
#for def in ls /etc/openldap/schema/*.ldif ; do ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/$def; done
或
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f collective.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f corba.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f core.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f duaconf.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f dyngroup.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f java.ldif 
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f misc.ldif 
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f openldap.ldif 
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f pmi.ldif 
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f ppolicy.ldif 
Step 4：设置自己的 Domain Name

#vim chdomain.ldif 
文件内容如下，*注意，要使用你自己的域名替换掉文件中所有的 "dc=,dc=*"，并且使用刚刚生成的密码，替换文中的 "olcRootPW" 部分：

注意文中dn:上的“#空白行”，须改为空白行，否则导入文件会报错：

# replace to your own domain name for "dc=,dc=" section
# specify the password generated above for "olcRootPW" section
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
read by dn.base="cn=Manager,dc=ho1ho,dc=com" read by none
#空白行
dn: olcDatabase={2}hdb,cn=config 
changetype: modify 
replace: olcSuffix 
olcSuffix: dc=ho1ho,dc=com 
#空白行
dn: olcDatabase={2}hdb,cn=config 
changetype: modify 
replace: olcRootDN 
olcRootDN: cn=Manager,dc=ho1ho,dc=com 
#空白行
dn: olcDatabase={2}hdb,cn=config 
changetype: modify 
add: olcRootPW 
olcRootPW: {SSHA}ZhmO2UeH4tsyy5ly0fTwdkO10WJ69V6U 
#空白行
dn: olcDatabase={2}hdb,cn=config 
changetype: modify 
add: olcAccess 
olcAccess: {0}to attrs=userPassword,shadowLastChange by 
dn="cn=Manager,dc=ho1ho,dc=com" write by anonymous auth by self write by none 
olcAccess: {1}to dn.base="" by read 
olcAccess: {2}to by dn="cn=Manager,dc=ho1ho,dc=com" write by read 
之后再导入该文件：

# ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif 
SASL/EXTERNAL authentication started 
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth 
SASL SSF: 0 
modifying entry "olcDatabase={1}monitor,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config" 
然后再新建如下文件,是添加一些条目到我们的 LDAP 目录的：

#vim basedomain.ldif 
文件内容如下，注意，要使用你自己的域名替换掉文件中所有的 "dc=*,dc=*"：

# replace to your own domain name for "dc=***,dc=***" section
dn: dc=ho1ho,dc=com
objectClass: top
objectClass: dcObject
objectclass: organization
o: Server World
dc: ho1ho

dn: cn=Manager,dc=ho1ho,dc=com
objectClass: organizationalRole
cn: Manager
description: Directory Manager

dn: ou=People,dc=ho1ho,dc=com
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=ho1ho,dc=com
objectClass: organizationalUnit
ou: Group
最后导入该文件：

# ldapadd -x -D cn=Manager,dc=ho1ho,dc=com -W -f basedomain.ldif 
Enter LDAP Password: 
adding new entry "dc=ho1ho,dc=com"

adding new entry "cn=Manager,dc=ho1ho,dc=com"

adding new entry "ou=People,dc=ho1ho,dc=com"

adding new entry "ou=Group,dc=ho1ho,dc=com" 
Step 5：允许防火墙访问 LDAP 服务。开启 389/TCP 端口（根据你自己的防火墙进行设置）： 
若使用的是 firewall，修改方法如下：

# firewall-cmd --add-service=ldap --permanent 
success 
# firewall-cmd --reload 
success 
若使用的是 iptables，修改方法如下：

#vim /etc/sysconfig/iptables 
追加如下内容：

-A INPUT -p tcp -m state --state NEW -m tcp --dport 389 -j ACCEPT 
同样的，修改 ipv6 的防火墙文件，并追加相同的内容：

#vim /etc/sysconfig/ip6tables 
追加如下内容：

-A INPUT -p tcp -m state --state NEW -m tcp --dport 389 -j ACCEPT 
最后重启防火墙：

systemctl restart iptables 
systemctl restart ip6tables

向 OpenLDAP Server 中添加用户 
[1] 添加用户 
首先要生成经处理后的明文密码：

# slappasswd 
New password: 
Re-enter new password: 
{SSHA}8TEZlcfO0LLcnby7zDGYkNdd2fiysP4X 
之后再新建如下文件:

#vim ldapuser.ldif 
文件内容如下，注意，要使用你自己的域名替换掉文件中所有的 "dc=*,dc=*"，并且使用刚刚生成的密码，替换文中的 "userPassword" 部分：

# create new 
# replace to your own domain name for "dc=***,dc=***" section
dn: uid=cent,ou=People,dc=ho1ho,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: Cent
sn: Linux
userPassword: {SSHA}8TEZlcfO0LLcnby7zDGYkNdd2fiysP4X
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/cent

dn: cn=cent,ou=Group,dc=ho1ho,dc=com
objectClass: posixGroup
cn: Cent
gidNumber: 1000
memberUid: cent
最后导入该文件：

# ldapadd -x -D cn=Manager,dc=ho1ho,dc=com -W -f ldapuser.ldif 
Enter LDAP Password: 
adding new entry "uid=cent,ou=People,dc=ho1ho,dc=com"

adding new entry "cn=cent,ou=Group,dc=ho1ho,dc=com" 
~~[2] 将 Linux 中已有的用户及用户组（也就是 passwd/group 文件）导入到 LDAP 中 ~~
新建如下脚本文件

vim ldapuser.sh 
文件内容如下，注意，要使用你自己的域名替换掉 SUFFIX 变量：

#!/bin/bash 
# extract local users and groups who have 1000-9999 digit UID 
replace "SUFFIX=***" to your own domain name 
this is an example

SUFFIX='dc=ho1ho,dc=com'
LDIF='ldapuser.ldif'

echo -n > $LDIF 
GROUP_IDS=() 
grep "x:[1-9][0-9][0-9][0-9]:" /etc/passwd | (while read TARGET_USER 
do 
USER_ID="$(echo "$TARGET_USER" | cut -d':' -f1)"

USER_NAME="$(echo "$TARGET_USER" | cut -d':' -f5 | cut -d' ' -f1,2)" 
[ ! "$USER_NAME" ] && USER_NAME="$USER_ID"

LDAP_SN="$(echo "$USER_NAME" | cut -d' ' -f2)" 
[ ! "$LDAP_SN" ] && LDAP_SN="$USER_NAME"

LASTCHANGE_FLAG="$(grep "${USER_ID}:" /etc/shadow | cut -d':' -f3)" 
[ ! "$LASTCHANGE_FLAG" ] && LASTCHANGE_FLAG="0"

SHADOW_FLAG="$(grep "${USER_ID}:" /etc/shadow | cut -d':' -f9)" 
[ ! "$SHADOW_FLAG" ] && SHADOW_FLAG="0"

GROUP_ID="$(echo "$TARGET_USER" | cut -d':' -f4)" 
[ ! "$(echo "${GROUP_IDS[@]}" | grep "$GROUP_ID")" ] && GROUP_IDS=("${GROUP_IDS[@]}" "$GROUP_ID")

echo "dn: uid=$USER_ID,ou=People,$SUFFIX" >> $LDIF 
echo "objectClass: inetOrgPerson" >> $LDIF 
echo "objectClass: posixAccount" >> $LDIF 
echo "objectClass: shadowAccount" >> $LDIF 
echo "sn: $LDAP_SN" >> $LDIF 
echo "givenName: $(echo "$USER_NAME" | awk '{print $1}')" >> $LDIF 
echo "cn: $USER_NAME" >> $LDIF 
echo "displayName: $USER_NAME" >> $LDIF 
echo "uidNumber: $(echo "$TARGET_USER" | cut -d':' -f3)" >> $LDIF 
echo "gidNumber: $(echo "$TARGET_USER" | cut -d':' -f4)" >> $LDIF 
echo "userPassword: {crypt}$(grep "${USER_ID}:" /etc/shadow | cut -d':' -f2)" >> $LDIF 
echo "gecos: $USER_NAME" >> $LDIF 
echo "loginShell: $(echo "$TARGET_USER" | cut -d':' -f7)" >> $LDIF 
echo "homeDirectory: $(echo "$TARGET_USER" | cut -d':' -f6)" >> $LDIF 
echo "shadowExpire: $(passwd -S "$USER_ID" | awk '{print $7}')" >> $LDIF 
echo "shadowFlag: $SHADOW_FLAG" >> $LDIF 
echo "shadowWarning: $(passwd -S "$USER_ID" | awk '{print $6}')" >> $LDIF 
echo "shadowMin: $(passwd -S "$USER_ID" | awk '{print $4}')" >> $LDIF 
echo "shadowMax: $(passwd -S "$USER_ID" | awk '{print $5}')" >> $LDIF 
echo "shadowLastChange: $LASTCHANGE_FLAG" >> $LDIF 
echo >> $LDIF 
done

for TARGET_GROUP_ID in "${GROUP_IDS[@]}" 
do 
LDAP_CN="$(grep ":${TARGET_GROUP_ID}:" /etc/group | cut -d':' -f1)"

echo "dn: cn=$LDAP_CN,ou=Group,$SUFFIX" >> $LDIF 
echo "objectClass: posixGroup" >> $LDIF 
echo "cn: $LDAP_CN" >> $LDIF 
echo "gidNumber: $TARGET_GROUP_ID" >> $LDIF

for MEMBER_UID in $(grep ":${TARGET_GROUP_ID}:" /etc/passwd | cut -d':' -f1,3) 
do 
UID_NUM=$(echo "$MEMBER_UID" | cut -d':' -f2) 
[ $UID_NUM -ge 1000 -a $UID_NUM -le 9999 ] && echo "memberUid: $(echo "$MEMBER_UID" | cut -d':' -f1)" >> $LDIF 
done 
echo >> $LDIF 
done 
) 
之后，执行该脚本，会生成 ldapuser.ldif 文件：

sh ldapuser.sh 
最后导入该文件：

# ldapadd -x -D cn=Manager,dc=ho1ho,dc=com -W -f ldapuser.ldif 
Enter LDAP Password: 
adding new entry "uid=ldapuser1,ou=People,dc=ho1ho,dc=com"

adding new entry "uid=ldapuser2,ou=People,dc=ho1ho,dc=com"

adding new entry "cn=ldapuser1,ou=Group,dc=ho1ho,dc=com"

adding new entry "cn=ldapuser2,ou=Group,dc=ho1ho,dc=com" 
~~
删除 LDAP 用户或组 
删除用户：

ldapdelete -x -W -D 'cn=Manager,dc=ho1ho,dc=com' "uid=ldapuser1,ou=People,dc=ho1ho,dc=com" 
删除组：

ldapdelete -x -W -D 'cn=Manager,dc=ho1ho,dc=com' "cn=ldapuser1,ou=Group,dc=ho1ho,dc=com"

配置 LDAP 客户端，实现网络用户信息共享 
环境说明： 
客户端(192.168.21.177) 
LDAP Server(192.168.21.178)

应用场景 
客户端需要共享 LDAP Server上的用户，希望以后任何一台机器(例如，192.168.21.189)，使用 LDAP Server 上的用户，就可以直接登录客户端。

在客户端机器上执行如下命令 
首先安装必要包：

yum install -y openldap-clients nss-pam-ldapd authconfig authconfig-gtk

之后执行如下命令（注意，请使用自己的值替换 --ldapserver 和 --ldapbasedn 参数）：

authconfig --enableldap \ 
--enableldapauth \ 
--ldapserver=192.168.21.178 \ 
--ldapbasedn="dc=ho1ho,dc=com" \ 
--enablemkhomedir \ 
--update 
然后退出客户端控制台。之后就可以在任何一台机器上，使用 LDAP 用户登录客户端了。例如，在自己的机器(192.168.21.189)，使用 cent 用户（cent 为 LDAP 用户），登录客户端：

ssh cent@192.168.21.177 
cent@192.168.21.177's password: 
Creating directory '/home/cent'. 
请关闭 SELinux，否则可能无法自动创建用户目录，也就是用户的 home 目录。

查询 LDAP 用户信息

$ ldapsearch -x -b "dc=ho1ho,dc=com" -H ldap://172.17.0.6 
# extended LDIF 
# 
# LDAPv3 
# base <dc=ho1ho,dc=com> with scope subtree 
# filter: (objectclass=*) 
# requesting: ALL 
#

# ho1ho.com 
dn: dc=ho1ho,dc=com 
objectClass: top 
objectClass: dcObject 
objectClass: organization 
...... 
......

安装 phpLDAPadmin 
安装 phpLDAPadmin 需要 LAMP 环境，安装方法请自行百度。（不需要安装 MySQL） 
为了方便安装 phpLDAPadmin，请将 YUM 源修改成 aliyun 源，方法自行百度

yum install -y phpldapadmin 
修改配置：

vim /etc/phpldapadmin/config.php 
修改内容，解除 397 行的注释，注释到 398 行。修改后的结果如下：

$servers->setValue('login','attr','dn'); 
// $servers->setValue('login','attr','uid');

vim /etc/httpd/conf.d/phpldapadmin.conf 
修改内容如下：

Alias /phpldapadmin /usr/share/phpldapadmin/htdocs 
Alias /ldapadmin /usr/share/phpldapadmin/htdocs 
<Directory /usr/share/phpldapadmin/htdocs> 
<IfModule mod_authz_core.c> 
# Apache 2.4 
Require local 
\ # 追加内容，设置允许访问 phpLDAPadmin 的 IP 段 
Require ip 192.168.21.0/8 
重新启动 Apache

systemctl restart httpd 
访问地址：http://[your ip]/ldapadmin 或 http://[your ip]/phpldapadmin 
点击查看原始大小图片注意，登录时输入的是 DN，例如：cn=Manager,dc=ho1ho,dc=com 
登录后页面如下： 
点击查看原始大小图片
使用 Java LDAP 库访问 LDAP Server 
Java LDAP 库 Maven 地址如下：

com.novell.ldap jldap 4.3 jar compile 完整工程详见附件（javaldap.zip）。 转载请注明出处： http://yhz61010.iteye.com/blog/2352672

本文转自不要超过24个字符博客51CTO博客，原文链接http://blog.51cto.com/cstsncv/2054961如需转载请自行联系原作者

cstsncv