openLdap安装教程

环境

操作系统：centOS 7.0 OpenLDAP：2.4.X安装从yum源安装

yum install openldap openldap-servers openldap-clients -y

配置

执⾏如下命令来初始化OpenLdap的配置

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

在/etc/openldap⽬录下新建openLdap配置⽂件

cd /etc/openldaptouch slapd.conf

slapd.conf的⽂件内容为

include /etc/openldap/schema/corba.schemainclude /etc/openldap/schema/core.schemainclude /etc/openldap/schema/cosine.schemainclude /etc/openldap/schema/duaconf.schemainclude /etc/openldap/schema/dyngroup.schemainclude /etc/openldap/schema/inetorgperson.schemainclude /etc/openldap/schema/java.schemainclude /etc/openldap/schema/misc.schemainclude /etc/openldap/schema/nis.schema

include /etc/openldap/schema/openldap.schemainclude /etc/openldap/schema/ppolicy.schemainclude /etc/openldap/schema/collective.schema# OpenLDAP 服务允许连接的客户端版本。allow bind_v2

# OpenLDAP 进程启动时，pid ⽂件存放路径。pidfile /var/run/openldap/slapd.pid# ⽇志级别loglevel 296# ⽇志⽂件路径

logfile /var/run/slapd.log

# OpenLDAP 参数⽂件存放的路径。

argsfile /var/run/openldap/slapd.args# 传输加密的配置信息

TLSCACertificatePath /etc/openldap/certsTLSCertificateFile \"\\\"OpenLDAP Server\\\"\"

TLSCertificateKeyFile /etc/openldap/certs/passworddatabase configaccess to *

by dn.exact=\"gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth\" manage by * nonedatabase monitoraccess to *

by dn.exact=\"gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth\" read by dn.exact=\"cn=comwavecfcAdmin,OU=IT,DC=CWCFC,DC=COM\" read by * none

# 指定OpenLDAP 数据库类型。database bdb

# 指定OpenLDAP 服务域名（DN）suffix \"DC=TEST,DC=COM\"checkpoint 1024 15

# 指定OpenLDAP 服务管理员信息。

rootdn \"CN=Admin,OU=IT,DC=TEST,DC=COM\"

# 指定OpenLDAP 服务管理员密码，使⽤slappasswd -s your_password来获取加密密码rootpw {SSHA}Tqrn5VCGlnARI1XLCCjcvjKUfIV7ANFs# 指定OpenLDAP 数据库⽂件的存放⽬录。directory /var/lib/ldap# 创建OpenLDAP 索引。

index objectClass eq,pres

index ou,cn,mail,surname,givenname eq,pres,subindex uidNumber,gidNumber,loginShell eq,presindex uid,memberUid eq,pres,sub

index nisMapName,nisMapEntry eq,pres,sub　

关于⽇志级别的问题

输⼊命令slapd -d ?可以看到OpenLDAP预定义的⽇志级别以及每种⽇志级别所对应的数字（⼗进制和⼗六进制），如：

[ldap@192.168.121.130 ~$]slapd -d ?Installed log subsystems:Any (-1, 0xffffffff)Trace (1, 0x1)Packets (2, 0x2)Args (4, 0x4)Conns (8, 0x8)BER (16, 0x10)Filter (32, 0x20)Config (, 0x40)ACL (128, 0x80)Stats (256, 0x100)Stats2 (512, 0x200)Shell (1024, 0x400)Parse (2048, 0x800)Sync (16384, 0x4000)None (32768, 0x8000)

NOTE: custom log subsystems may be later installed by specific code

你可以同时设置⼏种⽇志级别，⽅法是将⽇志级别的数字加起来。 ⽐如同时设置Trace和Stats级别，那么在slapd.conf中：

loglevel 257

或者启动OpenLDAP时，使⽤命令参数-d 257来指定openLdap服务

#启动ldap服务service slapd start#关系ldap服务service slapd stop#重启ldap服务

service slapd restart

openLdap增加⾃定义属性

1.cd /etc/openldap/schema中的修改core.schema配置⽂件（也可以在这⾥新增schema⽂件）

2.这⾥直接修改core.schema配置⽂件，增加⾃定义属性

3.修改保存后覆盖服务器配置

#删除之前的配置⾃动⽣成⽂件rm -rf /etc/openldap/slapd.d/*#刷新配置，使配置⽣效

slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d#复制slapd.d⽂件夹及⼦⽬录权限chmod -R 755 /etc/openldap/slapd.d#重启ldap服务service slapd restart