本节书摘来自异步社区《Linux/UNIX OpenLDAP实战指南》一书中的第2章,第2.4节,作者:郭大勇著,更多章节内容可以访问云栖社区“异步社区”公众号查看
在OpenLDAP 2.4版本中,配置OpenLDAP的方法有两种:一种通过修改配置文件实现配置,另一种通过修改数据库的形式完成配置。
通过配置数据库完成各种配置,属于动态配置且不需要重新启动slapd进程服务。此配置数据库(cn=config)包含一个基于文本的集合LDIF文件(位于 /etc/openldap/slapd.d目录下)。当前仍然可以使用传统的配置文件(slapd.conf)方式进行配置,通过配置文件来实现slapd的配置方式。slapd.conf可以通过编辑器进行配置,但cn=config不建议直接编辑修改,而是采用ldap命令进行修改。
本书中两种配置方式均有介绍,旨在让读者了解两种方法的本质区别。
2.4.1 OpenLDAP相关信息配置文件路径包括以下几个。
/etc/openldap/slapd.conf(OpenLDAP主配置文件,记录根域名称、管理员名称、密码、日志、权限等相关信息)。/var/lib/ldap/*(OpenLDAP数据文件存储位置,可以根据需求进行调整。但为了保证数据的安全,作者建议放到存储设备上或独立的分区上)。/etc/openldap/slapd.d/*/usr/share/openldap-servers/slapd.conf.obsolete(模板配置文件)。/usr/share/openldap-servers/DB_CONFIG.example(模板数据库配置文件schema路径)。/etc/openldap/schema/*(OpenLDAP schema规范存放位置)OpenLDAP监听的端口有以下两个。
默认监听端口:389(明文数据传输)。加密监听端口:636(密文数据传输)。2.4.2 slapd.conf配置文件OpenLDAP主配置文件为/etc/openldap/slapd.conf。此文件默认不存在,需要复制安装OpenLDAP软件包安装所产生的配置文件模板并重命名它为slapd.conf文件,这同样可以通过修改数据库文件实现配置。
1.获取openldap-servers软件包生成的文件要获取openldap-servers软件包生成的文件,命令如下。
[root@mldap01 ~]# rpm -ql openldap-servers | egrep -i '(slapd\.conf\.*|DB_CONFIG.example)' /etc/openldap/slapd.conf /etc/openldap/slapd.conf.bak /usr/share/man/man5/slapd.conf.5.gz /usr/share/openldap-servers/DB_CONFIG.example /usr/share/openldap-servers/slapd.conf.obsolete [root@mldap01 ~]#2.软件包所产生文件的用途/usr/share/openldap-servers/slapd.conf.obsolete为OpenLDAP配置文件模板。/usr/share/openldap-servers/DB_CONFIG.example为OpenLDAP数据库配置文件模板。要配置OpenLDAP服务端,需要将如上配置文件模板复制到/etc/openldap/目录下并命名为slapd. conf,同时将数据库配置文件模板复制到/var/lib/ldap/目录中并将其命名为DB_CONFIG,且/var/lib/ldap/目录权限所有主(owner),所属组(group)必须为ldap用户可读写,否则会在加载slapd进程时显示权限警告。
3.slapd.conf配置文件参数/etc/openldap/slapd.conf为OpenLDAP主配置文件,以#号开头的为注释说明。
include /etc/openldap/schema/corba.schema include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/duaconf.schema include /etc/openldap/schema/dyngroup.schemainclude行代表当前OpenLDAP服务包含的schema文件。schema是整个OpenLDAP目录树的标准规范,标识数据和类型的关系。例如,要使OpenLDAP服务端支持Samba服务用户验证,此时就需要包含Samba对应的schema文件(samba.schema),关于schema,第1章已经介绍,在此不做过多的解释。
OpenLDAP服务允许连接的客户端版本。 allow bind_v2 OpenLDAP进程启动时,pid文件存放路径。 pidfile /var/run/openldap/slapd.pid OpenLDAP参数文件存放的路径。 argsfile /var/run/openldap/slapd.args OpenLDAP指定需要加载额外的模块。 moduleload ppolicy.la OpenLDAP模块文件存放的路径。 modulepath /usr/lib/openldap //32bit的模块文件路径 modulepath /usr/lib64/openldap //64bit的模块文件路径OpenLDAP通过加密传输所加载的配置文件时默认OpenLDAP服务器采用明文传输数据。在网络上传输极其不安全,所以需通过如下配置将数据加密传输,前提是需要第三方合法的证书机构颁发的数字证书(关于证书的构建及颁发,第8章详细介绍如何通过自建证书实现数据加密传输)。
TLSCACertificatePath /etc/openldap/certs TLSCertificateFile "\"OpenLDAP Server\"" TLSCertificateKeyFile /etc/openldap/certs/password指定OpenLDAP数据库类型。OpenLDAP服务后端存储数据库引擎支持的数据库类型有MySQL、DB2、Oracle等关系数据库,默认为bdb数据库。
database bdb指定OpenLDAP服务域名(DN)。指定要搜索或查询OpenLDAP目录树的后缀名称等同于AD域名。
suffix "dc=example,dc=com" 指定OpenLDAP服务管理员信息。OpenLDAP服务管理员对目录树进行管理,如插入、更新、修改及删除等管理操作,要求系统管理员具有root身份权限,此管理员用户名可以自我修改。
rootdn "cn=Manager,dc=example,dc=com"指定OpenLDAP服务管理员密码。要配置管理员密码,密码可以通过明文添加,也可以通过slappasswd -s gdy@123!来获取加密字符串,然后将加密字符串粘贴在roopw后面,实现密文添加。属性与值之间通常使用三个Tab键进行分开。配置文件要求非常严格,后面不能有任何空格或者制表符。
# rootpw secret root gdy@123! #明文添加,不建议使用 rootpw {SSHA}dXWdy83Gn8eg5oD2yUECQzgDnr8LrDqW #密文添加,建议使用通过修改cn=config来实现管理员的修改以及密码的修改。
# cat << EOF | ldapadd -Y EXTERNAL -H ldapi:/// dn: olcDatabase={0}config,cn=config changetype: modify delete: olcRootDN dn: olcDatabase={0}config,cn=config changetype: modify add: olcRootDN olcRootDN: cn=Admin,cn=config dn: olcDatabase={0}config,cn=config changetype: modify add: olcRootPW olcRootPW: {SSHA}tDTQMzxQZjv+W2QRnt0Os2KHNp/lbqEQ EOF SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 modifying entry "olcDatabase={0}config,cn=config" modifying entry "olcDatabase={0}config,cn=config" modifying entry "olcDatabase={0}config,cn=config"此时管理员由“cn=Manager,dc=gdy, dc=com”修改为“cn=Admin,dc=gdy,dc=com”。密码由原来的“gdy@123!”修改为“redhat@123!”。
指定OpenLDAP数据库文件的存放目录。指定一个目录用于存放OpenLDAP目录树所有数据,如用户及组信息、sudo规则、密码策略等数据。
directory /var/lib/ldap创建OpenLDAP索引。通过创建索引(index),提高读写效率,这类似于关系数据库中索引的概念。
index objectClass eq,pres index ou,cn,mail,surname,givenname eq,pres,sub index uidNumber,gidNumber,loginShell eq,pres 相关资源:Linux/Unix OpenLDAP 实战指南