2022年配置Linux目录服务器+LDAP[归 .pdf

《2022年配置Linux目录服务器+LDAP[归 .pdf》由会员分享，可在线阅读，更多相关《2022年配置Linux目录服务器+LDAP[归 .pdf（17页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、手把手教您配置 Linux 目录服务器近几年，随着 LDAP （Light Directory Access Protocol，轻量级目录访问协议）技术的兴起和应用领域的不断扩展，目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案，特别是在网络资源查找、用户访问控制与认证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务等方面，都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统。对于任何一家大 IT 网络的企业来说， IT 系统中的目录服务功能是必不可少的。如果一个在全国有多个分支机构的企业，已经有了一个内部网络系统，每一个分支机构都有一个局域网

2、，局域网之间通过专线或者VPN通道连接在一起，那么，如何将网络中的资源和信息有效地管理起来呢？通常，这个企业可以在每一个分支机构或者每个城市建立一个目录服务器，任何地方的员工连接到本地目录服务器就可以访问到目录树中所有的信息，在目录服务器之间复制目录信息，以保持同步。比如，人事部门看到的人员目录与财务部门、设备管理部门看到的人员目录是完全一致的， 他们所使用的应用系统无须再建立另一套目录结构。当然，这一切都是要经过身份验证的。目录服务有着如此重要的作用， 但在过去，企业通常采用基于 Windows的目录服务器， Linux 在这方面相形逊色。作为Windows的核心内容，目录服务被企业 IT

3、人员认为是 Windows与 Linux 相比最具竞争力的部分，也成为Linux 产品架构中的软肋。随着Red Hat Enterprise Linux 4.0 出现，这个情况已经改变了。RHEL 4 内附的 LDAP 服务器为 OpenLDAP 2.2.13-2 版，OpenLDAP 2.x包括数个重要功能：1. 支持 LDAPv3 - OpenLDAP 2.0 除了其它改善外还支持SASL（SimpleAuthentication and Security Layer） 、 TLS （Transport Layer Security ）以及 SSL （Secure Sockets Laye

4、r） 。LDAPv2 之后通讯协议很多的改变都是为了加强 LDAP 的安全性。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 17 页 - - - - - - - - - 2. 支持 IPv6 - OpenLDAP 支持新一代的因特网通讯协议第6 版。3. LDAP Over IPC - OpenLDAP 能够使用 IPC 在系统内进行通讯。这可以避免使用网络通讯以增加安全性。4. 使用新的应用程序界面：改善程序设计人员联机及使用程序的方法。本文将以 Red Hat En

5、terprise Linux 4.0 为例，介绍在 Linux 平台使用 OpenLDAP 上建立目录服务器。一、LDAP协议简介LDAP （轻量级目录访问协议， Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。目录服务是一种特殊的数据库系统，其专门针对读取，浏览和搜索操作进行了特定的优化。目录一般用来包含描述性的，基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。而目录服务的更新则一般都非常简单。这种目录可以存储包括个人信息、web链结、 jpeg 图像等各种信息

6、。为了访问存储在目录中的信息，就需要使用运行在TCP/IP 之上的访问协议LDAP 。 LDAP目录中的信息是是按照树型结构组织，具体信息存储在条目 (entry)的数据结构中。条目相当于关系数据库中表的记录；条目是具有区别名 DN（Distinguished Name ）的属性（ Attribute） ，DN是用来引用条目的， DN相当于关系数据库表中的关键字（Primary Key ） 。属性由类型（ Type）和一个或多个值（Values） 组成，相当于关系数据库中的字段 （Field ）由字段名和数据类型组成，只是为了方便检索的需要，LDAP中的 Type 可以有多个 Value， 而

7、不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。LDAP中条目的组织一般按照地理位置和组织关系进行组织，非常的直观。LDAP 系统结构图见图1. 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 17 页 - - - - - - - - - 图 1 LDAP系统结构图LDAP 的信息是以树型结构存储的，在树根一般定义国家(c=CN)或域名(dc=com)， 在其下则往往定义一个或多个组织 (organization)(o=Acme)或组织单元(organi

8、zational units) (ou=People) 。一个组织单元可能包含诸如所有雇员、大楼内的所有打印机等信息。此外， LDAP 支持对条目能够和必须支持哪些属性进行控制，这是有一个特殊的称为对象类别 (objectClass)的属性来实现的。该属性的值决定了该条目必须遵循的一些规则，其规定了该条目能够及至少应该包含哪些属性。例如：inetorgPerson对象类需要支持sn(surname) 和 cn(common name)属性，但也可以包含可选的如邮件，电话号码等属性。dn ：一条记录的位置； dc ：一条记录所属区域； ou ：一条记录所属组织； cn/uid ：一条记录的名字

9、/ID 。OpenLdap是一个正在得到日益普遍应用的开源软件，和LADP完全兼容。二、安装 OpenLDAP 服务器如果在系统安装时已经把安装上了，那么我们就可以直接对OpenLDAP进行配置使用了。否则，可以通过Rat Het Enterprise Linux 图形界面下的“添加/ 删除应用程序”工具进行安装。具体方法是，选择“主选单”“系统设置”名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 17 页 - - - - - - - - - “添加 / 删除应用程序”，

10、在弹出的界面中选中“网络服务器”的“ OpenLDAPserver ” ，单击“更新”即可，见图2。图 2 安装 OpenLDAP 服务器软件如果你使用的是其他版本的Linux ，那么通常要安装以下软件包：OpenLDAP 、OpenLDAP-servers、OpenLDAP- clients 、OpenLDAP-devel ，OpenLDAP-2.0是必要套件，一定要先安装；OpenLDAP-servers是服务器套件；OpenLDAP-clients 是操作程序套件；OpenLDAP-devel是开发工具套件。三、配置 OpenLDAP 服务器以 RedHat Linux 4 所为例字介绍

11、 OpenLDAP 服务器配置文件。主要文件见表 1。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 17 页 - - - - - - - - - 表 1 1. 建立 Linux 用户账号使用文本编辑建立一个文本文件，文件名称myusers.list 内容如下：user1 123456 user2 123456 user3 123456 user4 123456 user5 123456 user6 123456 user7 123456 user8 123456 use

12、r9 123456 注意：第一个字段为使用者名称；第二个字段为预设密码，中间必须用空格隔开。然后使用文本编辑建立另外一个文本文件，文件名称add-users.sh内容如下：建立账号：1.for i in $(seq 1 9 ) ; do useradd user$i ;echo 123456 | passwd -stdin user$i ;done 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 17 页 - - - - - - - - - 表 1 1. 建立 Linux

13、 用户账号使用文本编辑建立一个文本文件，文件名称myusers.list 内容如下：user1 123456 user2 123456 user3 123456 user4 123456 user5 123456 user6 123456 user7 123456 user8 123456 user9 123456 注意：第一个字段为使用者名称；第二个字段为预设密码，中间必须用空格隔开。然后使用文本编辑建立另外一个文本文件，文件名称add-users.sh内容如下：建立账号：1.for i in $(seq 1 9 ) ; do useradd user$i ;echo 123456 | pa

14、sswd -stdin user$i ;done 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 17 页 - - - - - - - - - 表 1 1. 建立 Linux 用户账号使用文本编辑建立一个文本文件，文件名称myusers.list 内容如下：user1 123456 user2 123456 user3 123456 user4 123456 user5 123456 user6 123456 user7 123456 user8 123456 user9

15、 123456 注意：第一个字段为使用者名称；第二个字段为预设密码，中间必须用空格隔开。然后使用文本编辑建立另外一个文本文件，文件名称add-users.sh内容如下：建立账号：1.for i in $(seq 1 9 ) ; do useradd user$i ;echo 123456 | passwd -stdin user$i ;done 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 17 页 - - - - - - - - - 图 3 服务器启动界面利用 lda

16、psearch 指令可搜寻 LDAP 服务器的数据，若是可看到以下的数据，代表整个设定正确无误。# ldapsearch -x -b dc=example,dc=com ,# user9, Group, dn: cn=user9,ou=Group,dc=myexample,dc=com objectClass: posixGroup objectClass: top cn: user9userPassword: e2NyeXB0fXg= gidNumber: 508 ,五、配置 Linux OpenLDAP客户端名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -

17、- - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 17 页 - - - - - - - - - 在客户端执行 authconfig-gtk命令，进入认证配置界面， 进入图 4 所示的界面中配置 LDAP 服务器的信息。在 LDAP 服务器处 指定 LDAP 服务器的 IP 地址。图 4 添加 OpenLDAP 服务器 IP 地址打开 /etc/ldap.conf 文件，下面是一些用于配置的关键指令。到此为止我们已经配置完成Liunx OpenLDAP 目录服务器、 客户端， 接下来将介绍一下管理技巧我们已经配置完成 Liunx OpenLDAP 目录服务

18、器、 客户端，下面着重介绍一下目录服务器的管理技巧。一、监控 OpenLDAP 服务器1. 使用 uptime 命令名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 17 页 - - - - - - - - - 使用 uptime 命令可以查看系统负载， 系统平均负载被定义为在特定时间间隔内运行队列中的平均进程数目。如果一个进程满足以下条件则其就会位于运行队列中：没有在等待 I/O 操作的结果、它没有主动进入等待状态(也就是没有被调用、没有被停止。# uptime 9:51

19、pm up 3 days, 4:43, 4 users, load average:6.02, 5.90, 3.94 上面命令显示示最近1 分钟内系统的平均负载是6.02 ，在最近 5 分钟内系统的平均负载是5.90 ，在最近的 15 分钟内系统的平均负载是3.94 。一共四个用户。通常来说只要每个CPU的当前活动进程数不大于3 那么系统的性能就是良好的，如果每个 CPU 的任务数大于 5 ，那幺就表示这台机器的性能有严重问题。对于上面的例子来说，由于笔者系统使用是双CPU ，那幺其每个 CPU 的当前任务数为： 6.02/2=3.01 。 这表示该服务器的性能是可以接受的。2. 使用 cro

20、n 命令进行定时监测系统负载：cron 是一个守护进程， 它提供定时器的功能， 让用户在特定时间执行命令，首先使用命令：“chkconfig list|grep crond”查看该服务是否启动，然后使用命令：# crontab e 此时打开一个 vi 编辑器：输入以下内容：#30 * * * * * uptime 存盘退出，这样每隔十五分钟就记载其平均负载，这样累计一天，我们就可以得到最近一天的平均负载。3. OpenLDAP进程的监控Linux 系统提供了 ps、top 等察看进程信息的系统调用，通过结合使用这些系统调用，我们可以清晰地了解进程的运行状态以及存活情况，从而采取相应 的措施，来

21、确保 Linux 系统的性能。 它们是目前在 Linux 下最常见的进程状况查看工具，是随 Linux版本发行的，安装好系统之后，用户就可以使用。这里以名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 17 页 - - - - - - - - - ps 命令为例，ps 命令是最基本同时也是非常强大的进程查看命令。利用它可以确定有哪些进程正在运行及运行的状态、 进程是否结束、 进程有没有僵死、 哪些进程占用了过多的资源等。 ps 命令可以监控后台进程的工作情况，因为后台进程

22、是不和屏幕键盘这些标准输入 / 输出设备进行通信的，图5 是 ps ef|grep ldap命令输出的例子。说明其中PID 为 3653 是主进程。图 5 OpenLDAP 服务器的进程4. 端口的监控轻型目录访问协议默认使用389 端口。可以使用命令：# netstat -an | grep 389 tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 二、 OpenLDAP 服务器自动启动和安全设定1. 自动启动 OpenLDAP 服务器如果希望 ldap 每次启动都能自动运行，可以用ntsysv 设置。以 root权限运行命令：# ntsysv 名师资料总结 - -

23、-精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 17 页 - - - - - - - - - 图 6 启动 OpenLDAP 提供网络服务打开如图 6 所示的窗口，在ldap 服务选项加上 *（用空格键），然后重新启动系统，这样系统会启动ldap 目录服务。2. 使用访问控制 (Access Control)实现用户认证修改 OpenLDAP 的配置文件，增加控制模块方法如下：# vi /usr/local/etc/OpenLDAP/slapd.conf access to attr=use

24、rPassword by anonymous auth by self write by * none access to * by self write by users read 这里访问控制用于禁止匿名查询，而认证用户可以修改自己的所有属名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 17 页 - - - - - - - - - 性，除了 userPassword 属性，允许查询它人的信息条目。 上面的每一行都是必须的，如果没有“ by anonymous aut

25、h ” ，需要认证的用户不能完成认证，因为它查询不到密码。所以“ auth ”在这里的作用就是允许匿名用户可以读到密码，但只能用于验证，而不能用于其它的用途，这就保证了密码属性的安全。另外前面介绍 /etc/OpenLDAP/slapd.conf文件设定密码时，使用了明文，主要是为了调试方便，实际工作时应当使用加密方法。最新版本的OpenLDAP支持三种加密方法： MD5 、CRYPT 、SSHA 。我们不想将 rootpw 存储在服务器上的明文内，所以我们改用散列。有几种普遍使用的散列方法可通过slappasswd 命令来实现，包括 SHA 、SSHA 、MD5 、和 CRYPT 在内。安全

26、方面 CRYPT 最差。 SSHA是默认方法， MD5 也不错。使用 slappasswd 可以生成一个很好的散列rootpw ：$ slappasswd New password: Re-enter new password: SSHALr7P+EoH6GpIS4GZ36vkV4R422RuW7R 现在复制粘贴这个很好的新散列到/etc/ldap/slapd.conf内：rootpw SSHALr7P+EoH6GpIS4GZ36vkV4R422RuW7R 这是一个永久设置， 很适合用在小型的简单的网络上。更好的解决方案就是创建一个 LDAP记录，该记录定义了LDAP管理员，还为 LDAP管理

27、员使用slapd.conf中的 ACLs (access control lists)定义了访问权限。尽量少将安全敏感的信息存储在目录中. 如果非存不可 . 一定要编辑 ACL严格的控制访问权限如userPassword 等. 多 数情况下目录服务还要主要是给其他的服务提供数据存储.这样的话应该让每个服务器绑定到不通的DN,同时在 ACL中赋予他们较高的权限 .而不能让所有的服务都使用 rootdn 来绑定。三、 管理 OpenLDAP 服务器1. 命令行下的管理Linux 系统管理员更加喜欢使用命令， 一定要养成在命令行下工作的习名师资料总结 - - -精品资料欢迎下载 - - - - -

28、- - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 17 页 - - - - - - - - - 惯，要知道 Xwindow只是运行在命令行模式下的一个应用程序。在命令行下学习虽然一开始进度较慢，但是熟悉后，您未来的学习之路将是以指数增加的方式增长的。从网管员来说，命令行实际上就是规则，它总是有效的，同时也是灵活的。 即使是通过一条缓慢的调制解调器线路，它也能操纵几千公里以外地远程系统。OpenLDAP 提供了在 Linux 命令行下的访问工具集。包括ldapsearch,ldapadd,ldapmodify,ldappassword

29、,ldapdelete等必要的工具。2. 使用 phpldapadmin 管理 OpenLDAP 服务器phpldapAdmin 是免费的工具，可以管理OpenLDAP 服务器，使用它透过浏览器就可管理 OpenLDAP 服务器。 phpldapAdmin 是一个开源工具，官方主页：http:/ 最新版本：0.9.7.2 ， 下载安装步骤：#cd /var/www/html/ # wegt http:/ . dmin-0.9.7.2.tar.gz#gunzip phpldapadmin-0.9.7.2.tar.gz #tar vxf phpldapadmin-0.9.7.2.tar #cd p

30、hpldapadmin-0.9.7.2/config #cp config.php.example config.php 修改 phpMyadmin配置文件：# vi config.php $servers $ihost = ldap.localhost; $servers $ibase = dc=example,dc=com; $servers $ilogin_pass = secret1234567 ; #前面定义的服务器根管理员的密码然后在 Linux 浏览器服务器的 URL栏目输入： http:/主机/phpldapadmin ，即可。界面见图 7。当然也可以使用IP 地址。名师资料总

31、结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 17 页 - - - - - - - - - 图 7 phpMyadmin管理 OpenLDAP 界面除了 phpMyadmin还有两个管理工具： ldapbrowser ，官方网址：http:/www-unix.mcs.anl.gov/gawor/ldap/，最新版本： 282b2，ldapbrowser是纯 JAVA的程序，可跨平台运行， 在开源的程序中， 是最优秀的一个。 缺点是不能浏览服务器端的 schema 对象，从而限制

32、了条目编辑（添加）的能力。其次，由于 JAVA对 LDAP的访问方式在添加时，必须预先生成一个实现DirContext接口的类，因此，这也令订制型的添加操作在JAVA实现时相当困难。ldapadministrator官方网址： http:/ 3.3 ，ldapadministrator是一个 windows的收费程序，试用一个月。Ldapadministrator除了具备 ldapbrowser 的功能外，在条目编辑上的功能大为增强。四、Outlook 下如下使用 OpenLDAP因为微软的 Outlook 软件一直占有很大的使用率，所以也的介绍一下Outlook 如何使用 OpenLDAP

33、。我们可以使用 Outlook 来观看远程 LDAP 目录服务名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 17 页 - - - - - - - - - 器的各项信息。例如我们要搜寻某个员工的资料时， 我们只要打开我们的Outlook 就可以查询该员工的数据了。 开启 Outlook 之后，选择 工具 / 账户，然后再选取“新增 / 目录服务”。填入你的服务器的IP 地址或者主机全称域名， 在下一个屏 幕中选 yes 以允许用目录服务来查询地址， 最后在 目录服务 栏

34、中选中刚才设置的项目击“属性 / 高级, 在搜索库 中填入“ou=mycompany,dc=lpenguin,dc=idv,dc=cn” ，即可。见图 8。图 8 Outlook设置界面五、OpenLDAP 在 Linux 上集群的应用OpenLDAP 在该系统的网络应用体系中用于对所有应用提供统一的身份认证服务，还包括如邮件路由、地址、联系人信息等其它信息的查询。LDAP作为一种特殊的数据库，通过对读取、查询操作进行特别的优化和处理，以保证在查询速度方面的优势，所以特别适合用来统一企业的各种认证服务，从而规范各种业务 系统的同一登录身份和口令。 当然，它的缺点和优点一样明显， 比如不善于up

35、date、insert等操作，但是如果把它作为中央认证数据库，则正好可以利用名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 17 页 - - - - - - - - - 它的长处而回避它的弱点。由于系统采用了 LDAP作为所有应用的中央认证数据库，一旦该LDAP服务器失效，则系统网络环境中所有依赖于该数据库的应用都会受到影响，甚至停止提供相应的服务。 为了避免这种情况的发生， 就要通过两台 LDAP服务器建立一个高可靠性的认证数据库集群， 同时对其它应用系统提供统一的数

36、据库访问网络接口。总结：以上是 Linux 下使用 OpenLDAP 建立目录服务器，其实在红帽软件公司推出目录服务器之前， Linux 的平台理论上是可以实现目录服务功能的，但是，Linux 的目录服务功能很多都是由免费开源软件包帮助实现，并没有专门的公司来负责开发和维护支持， 因此，很多企业用户都对其心存担忧。在企业的信息系统中，最重要的就是要系统各方面实现无缝集成。很多企业通常用的都是Windows操作平台、Oracle 数据库，以及 Windows目录服务器。 即 使他们采用的是 Linux平台，由于 Linux 之前没有专业的公司提供专门的目录服务器产品，因此这些企业在目录服务器上还

37、是会选择Windows 。 这样 一来， 考虑到 Linux 平台与 Windows目录服务器无缝连接的问题，企业在选择平台时也会很慎重。因此，Linux 现在推出自己的目录服务器， 可以完善其产品结构， 系统各方面可实现无缝集成， 将整个产业链向前推动。主流的 LDAP服务器还有 Sun Java System Directory Server和 IBM Directory Server 、 Domino ， 使用它们同样可行， 配置也是大同小异。 其中 Domino 、Sun Java System Directory Server还可以在其他平台运行名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 17 页 - - - - - - - - -