linux ldap配置,LDAP服務(wù)的配置與應(yīng)用,如何配置ldap,如何配置ldap服務(wù)器,linux ldap配置詳解
LDAP服務(wù)的配置與應(yīng)用
本節(jié)關(guān)鍵字:linux ldap配置,LDAP服務(wù)的配置與應(yīng)用,如何配置ldap,如何配置ldap服務(wù)器
一.目錄服務(wù)概述
(一).X.500簡(jiǎn)介
X.500由ITU-T和ISO定義����,它實(shí)際上不是一個(gè)協(xié)議,它是由一個(gè)協(xié)議族組成的���,包括了從X.501到X.525等一系列非常完整的目錄服務(wù)���。
X.500主要具備以下特征。
分散維護(hù):運(yùn)行X.500的每個(gè)站點(diǎn)只負(fù)責(zé)其本地目錄部分����,所以可以立即進(jìn)行更新和維護(hù)操作。
強(qiáng)大的搜索性能:X.500具有強(qiáng)大的搜索功能���,支持用戶(hù)建立的任意復(fù)雜查詢(xún)����。
單一全局命名空間:類(lèi)似于DNS��,X.500為用戶(hù)提供單一同性命名空間(Single Homogeneous Namespace)���。與DNS相比����,X.500的命名空間更靈活且易于擴(kuò)展���。
結(jié)構(gòu)化信息結(jié)構(gòu):X.500目錄中定義了信息結(jié)構(gòu)�,允許本地?cái)U(kuò)展�����。
基于標(biāo)準(zhǔn)的目錄服務(wù):由于X.500可以被用于建立一個(gè)基于標(biāo)準(zhǔn)的目錄����,因此在某種意義上,請(qǐng)求應(yīng)用目錄信息(電子郵件����、資源自動(dòng)分配器、特定目錄工具)的應(yīng)用程序就能訪問(wèn)重要且有價(jià)值的信息�。
(二).LDAP簡(jiǎn)介
LDAP是X.500標(biāo)準(zhǔn)中的目錄訪問(wèn)協(xié)議DAP的一個(gè)子集,可用于建立X.500目錄���。因此這兩個(gè)目錄服務(wù)技術(shù)標(biāo)準(zhǔn)有著許多的共同之處���,即在平臺(tái)上���,都實(shí)現(xiàn)了一個(gè)通用的平臺(tái)結(jié)構(gòu),提供了一個(gè)操作系統(tǒng)和應(yīng)用程序需要的信息服務(wù)類(lèi)型�����,可以被許多平臺(tái)和應(yīng)用程序接收和實(shí)現(xiàn)����;在信息模型上,都使用了項(xiàng)����、對(duì)象類(lèi)、屬性等概念和模式來(lái)描述信息����;在命名空間方面,都使用了目錄信息樹(shù)結(jié)構(gòu)和層次命名模型�;在功能模型上,都使用了相似的操作命令來(lái)管理目錄信息���;在認(rèn)證框架方面����,都可以實(shí)現(xiàn)用戶(hù)名稱(chēng)和密碼���,或者基于安全加密方式的認(rèn)證機(jī)制���;在靈活性上,它們的目錄規(guī)模都可大可小��,大到全球目錄樹(shù)�,小到只有一臺(tái)目錄服務(wù)器;在分布性方面�,目錄信息都可以分布在多個(gè)目錄服務(wù)器中,這些服務(wù)器可以由各組織管理�,既保證了目錄信息總體結(jié)構(gòu)的一致性,又滿(mǎn)足了分級(jí)管理的需要�����。
LDAP具有下列特點(diǎn):
LDAP是一個(gè)跨平臺(tái)的����、標(biāo)準(zhǔn)的協(xié)議��,得到了業(yè)界廣泛的認(rèn)可����;
LDAP服務(wù)器可以使用基于“推”或“拉”的技術(shù)�����,用簡(jiǎn)單的或基于安全證書(shū)的安全認(rèn)證���,復(fù)制部分或全部數(shù)據(jù)���,既保證了數(shù)據(jù)的安全性,又提高了數(shù)據(jù)的訪問(wèn)效率����;
LDAP是一個(gè)安全的協(xié)議,LDAP v3支持SASL(Simple Authentication and Security Layer)�、SSL(Secure Socket Layer)和TLS(Transport Layer Security),使用認(rèn)證來(lái)確保事務(wù)的安全����,另外,LDAP提供了不同層次的訪問(wèn)控制����,以限制不同用戶(hù)的訪問(wèn)權(quán)限�����;
支持異類(lèi)數(shù)據(jù)存儲(chǔ),LDAP存儲(chǔ)的數(shù)據(jù)可以是文本資料�����、二進(jìn)制圖片等�;
大多數(shù)的LDAP服務(wù)器安裝簡(jiǎn)單,也容易維護(hù)和優(yōu)化����。
(三).LDAP與X.500的比較
LDAP基于Internet協(xié)議,X.500基于OSI(開(kāi)放式系統(tǒng)互聯(lián))協(xié)議���,建立在應(yīng)用層上的X.500目錄訪問(wèn)協(xié)議DAP�����,需要在OSI會(huì)話層和表示層上進(jìn)行許多的建立連接和包處理的任務(wù)��,需要特殊的網(wǎng)絡(luò)軟件實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問(wèn)���;LDAP則直接運(yùn)行在更簡(jiǎn)單和更通用的TCP/IP或其他可靠的傳輸協(xié)議層上���,避免了在OSI會(huì)話和表示層的開(kāi)銷(xiāo),使連接的建立和包的處理更簡(jiǎn)單��、更快��,對(duì)于互聯(lián)網(wǎng)和企業(yè)網(wǎng)應(yīng)用更理想��。
LDAP協(xié)議更為簡(jiǎn)單��,LDAP繼承了X.500最好的特性�����,同時(shí)去掉了它的復(fù)雜性��。LDAP通過(guò)使用查找操作實(shí)現(xiàn)列表操作和讀操作���,另一方面省去了X.500中深?yuàn)W的和很少使用的服務(wù)控制和安全特性���,只保留常用的特性,簡(jiǎn)化了LDAP的實(shí)現(xiàn)�����。
LDAP通過(guò)引用機(jī)制實(shí)現(xiàn)分布式訪問(wèn),X.500 DSA通過(guò)服務(wù)器之間的鏈操作實(shí)現(xiàn)分布式的訪問(wèn)��,這樣查詢(xún)的壓力集中于服務(wù)器端�����;而LDAP通過(guò)客戶(hù)端API實(shí)現(xiàn)分布式操作(對(duì)于應(yīng)用透明)平衡了負(fù)載����。
LDAP實(shí)現(xiàn)具有低費(fèi)用����、易配置和易管理的特點(diǎn)。經(jīng)過(guò)性能測(cè)試����,LDAP比X.500具有更少的響應(yīng)時(shí)間;LDAP提供了滿(mǎn)足應(yīng)用程序?qū)δ夸浄?wù)所需求的特性���。
(四).流行的目錄服務(wù)產(chǎn)品
1.NDS(Novell Directory Services)
2.Microsoft Active Directory(活動(dòng)目錄)
3.OpenLDAP
二.LDAP基礎(chǔ)
(一).LDAP的4種基本模型
1.信息模型
2.命名模型
3.功能模型
在LDAP中共有4類(lèi)操作(共10種):
(1)查詢(xún)類(lèi)操作�����,如搜索�����、比較���;
(2)更新類(lèi)操作��,如添加條目�、刪除條目��、修改條目和修改條目名���;
(3)認(rèn)證類(lèi)操作����,如綁定���、解綁定���;
(4)其他操作,如放棄和擴(kuò)展操作。
4.安全模型
(1)無(wú)認(rèn)證
(2)基本認(rèn)證
(3)SASL認(rèn)證
(二).LDAP存儲(chǔ)結(jié)構(gòu)
一棵目錄信息樹(shù)由若干條目(Entry)組成�,每個(gè)條目有惟一的標(biāo)識(shí)名DN(Distinguished Name),條目可以描述用戶(hù)賬號(hào)��、打印機(jī)和計(jì)算機(jī)等對(duì)象��。
一個(gè)條目是一個(gè)對(duì)象���,每個(gè)條目由多個(gè)“屬性(Attribute)”組成��,每個(gè)屬性由一個(gè)類(lèi)型和一個(gè)到多個(gè)值組成 ,每個(gè)屬性可以對(duì)應(yīng)一個(gè)或多個(gè)“值(Value)”���,如聯(lián)系電話屬性可以包含有多個(gè)值 。
(三).LDAP的基本概念
LDAP目錄服務(wù)器是通過(guò)目錄數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)網(wǎng)絡(luò)信息以提供目錄服務(wù)的���。為了方便用戶(hù)迅速查找和定位信息,目錄數(shù)據(jù)庫(kù)是以目錄信息樹(shù)(Directory nformation Tree�,縮寫(xiě)為DIT)為存儲(chǔ)方式的樹(shù)型存儲(chǔ)結(jié)構(gòu),目錄信息樹(shù)及其相關(guān)概念構(gòu)成了LDAP協(xié)議的信息模型 ���。
(四).規(guī)劃目錄樹(shù)
要實(shí)現(xiàn)LDAP����,第一步就是規(guī)劃目錄樹(shù),規(guī)劃一個(gè)靈活且易于擴(kuò)展的目錄樹(shù)非常重要���,它可以減少后期維護(hù)目錄樹(shù)的工作量����。
(五).LDAP服務(wù)的應(yīng)用領(lǐng)域
LDAP的應(yīng)用主要涉及以下幾種類(lèi)型�。
信息安全類(lèi):數(shù)字證書(shū)管理、授權(quán)管理����、單點(diǎn)登錄。
科學(xué)計(jì)算類(lèi):DCE(Distributed Computing Environment�,分布式計(jì)算環(huán)境)、UDDI(Universal Description����,Discovery and Integration,統(tǒng)一描述�、發(fā)現(xiàn)和集成協(xié)議)。
網(wǎng)絡(luò)資源管理類(lèi):MAIL系統(tǒng)����、DNS系統(tǒng)、網(wǎng)絡(luò)用戶(hù)管理�����、電話號(hào)碼簿。
電子政務(wù)資源管理類(lèi):內(nèi)網(wǎng)組織信息服務(wù)��、電子政務(wù)目錄體系�、人口基礎(chǔ)庫(kù)、法人基礎(chǔ)庫(kù)�。
三.LDAP服務(wù)的安裝
(一).Berkeley DB數(shù)據(jù)庫(kù)的安裝
1.下載BDB
2.安裝BDB
(1)編譯安裝BDB
BDB的安裝方法比較簡(jiǎn)單,使用以下命令編譯安裝�����。
tar zxvf db-4.6.18.tar.gz
cd db-4.6.18/build_unix
../dist/configure
make
make install
(2)配置系統(tǒng)動(dòng)態(tài)鏈接庫(kù)的路徑
① 編輯系統(tǒng)動(dòng)態(tài)鏈接庫(kù)的配置文件/etc/ld.so.conf�����,在文件的末尾加入如下語(yǔ)句���。
/usr/local/BerkeleyDB.4.6/lib
②使用以下命令刷新系統(tǒng)動(dòng)態(tài)鏈接庫(kù)緩存,如圖13-11所示��。
/sbin/ldconfig
(二).OpenLDAP的安裝
1.下載OpenLDAP
2.安裝OpenLDAP
OpenLDAP的安裝方法比較簡(jiǎn)單�����,可使用以下命令編譯安裝。
tar zxvf openldap-stable-20070110.tgz
cd openldap-2.3.32
env CPPFLAGS="-I/usr/local/BerkeleyDB.4.6/include" LDFLAGS="-L/usr/local/BerkeleyDB.4.6/lib" ./configure --prefix=/usr/local/openldap --enable-bdb
make depend
make
make test
make install
四.初始化OpenLDAP
(一).OpenLDAP的基本配置
1.設(shè)置LDAP使用的Schema
Schema(模式)定義了LDAP中的對(duì)象類(lèi)型���、屬性�、語(yǔ)法和匹配規(guī)則等��,如用戶(hù)的電子郵件�����、聯(lián)系地址和聯(lián)系電話等屬性�����,它類(lèi)似于關(guān)系數(shù)據(jù)庫(kù)中的表結(jié)構(gòu)��。
找到語(yǔ)句:
include /usr/local/openldap/etc/openldap/schema/core.schema
在該語(yǔ)句的后面添加以下語(yǔ)句���。
include /usr/local/openldap/etc/openldap/schema/corba.schema
include /usr/local/openldap/etc/openldap/schema/cosine.schema
include /usr/local/openldap/etc/openldap/schema/dyngroup.schema
include /usr/local/openldap/etc/openldap/schema/inetorgperson.schema
include /usr/local/openldap/etc/openldap/schema/java.schema
include /usr/local/openldap/etc/openldap/schema/misc.schema
include /usr/local/openldap/etc/openldap/schema/nis.schema
include /usr/local/openldap/etc/openldap/schema/openldap.schema
2.設(shè)置目錄樹(shù)的后綴
找到語(yǔ)句:
suffix "dc=my-domain,dc=com"
將其改為:
suffix "dc=example,dc=com"
3.該語(yǔ)句設(shè)置LDAP管理員的DN
找到語(yǔ)句:
rootdn "cn=Manager,dc=my-domain,dc=com"
將其改為:
rootdn "cn=Manager,dc=example,dc=com"
4.設(shè)置LDAP管理員的口令
找到語(yǔ)句:
rootpw secret
將其改為:
rootpw {SSHA}NXV9Fl28qCHMmA6P sjhVX0uejTKE6OYr
(二).啟動(dòng)OpenLDAP服務(wù)器
啟動(dòng)OpenLDAP服務(wù)器����,應(yīng)執(zhí)行以下命令:
/usr/local/openldap/libexec/slapd
為了確保slapd進(jìn)程已經(jīng)啟動(dòng)�����,應(yīng)執(zhí)行以下命令:
pstree|grep "slapd"
如果出現(xiàn)“|-slapd”,則表示slapd進(jìn)程已經(jīng)成功啟動(dòng)
(三).建立初始化數(shù)據(jù)
① 建立LDIF文件���。使用vi等文本編輯工具建立名為example.ldif的文件����,內(nèi)容如下:
dn:dc=example,dc=com
objectclass:dcObject
objectclass:organization
o:Example, Inc.
dc:example
dn:cn=Manager,dc=example,dc=com
objectclass:organizationalRole
cn:Manager
② 執(zhí)行以下命令導(dǎo)入數(shù)據(jù)�。
/usr/local/openldap/bin/ldapadd -x -W -D "cn=Manager,dc=example,dc=com" -f example.ldif
命令執(zhí)行輸入LDAP管理員的口令
五.phpLDAPadmin的安裝
(一).安裝Apache服務(wù)
由于基于Web界面的LDAP客戶(hù)端軟件phpLDAPadmin使用PHP編寫(xiě)而成,因此在使用前應(yīng)安裝Apache服務(wù)器并建立好PHP的運(yùn)行環(huán)境���。由于phpLDAPadmin支持中文管理界面�,因此還要將Apache的默認(rèn)字符集設(shè)置為中文(Apache服務(wù)具體的安裝和配置方法參見(jiàn)本書(shū)第7 章Web服務(wù)的配置與應(yīng)用)�。
(二).下載phpLDAPadmin
使用Web瀏覽器訪問(wèn)http://prdownloads./phpldapadmin/處下載 phpLDAPadmin最新的穩(wěn)定版 。
(三).安裝phpLDAPadmin
安裝phpLDAPadmin的具體步驟如下���。
① 使用下面的命令解壓安裝包��。
tar zxvf phpldapadmin-0.9.8.4.tar.gz
② 使用下面的命令進(jìn)入解壓目錄����。
cp -a phpldapadmin-0.9.8.4 /usr/local/phpldapadmin
(四).配置Apache服務(wù)
1.加入用戶(hù)認(rèn)證功能
2.建立虛擬目錄
在Apache的主配置文件httpd.conf中加入以下語(yǔ)句建立虛擬目錄���。
Alias /phpldapadmin "/usr/local/phpldapadmin"
<Directory "/usr/local/phpldapadmin">
AuthType Basic
AuthName "Please Login to phpldapadmin"
AuthUserFile /etc/httpd/php_ldap_admin_pwd
Require user admin
</Directory>
六.配置phpLDAPadmin
(一).生成phpLDAPadmin主配置文件
phpLDAPadmin的主配置文件是/usr/local/phpldapadmin/config /config.php.example����,phpLDAPadmin提供了一個(gè)默認(rèn)的例子文件config.php.example�,使用以下的命令可生成phpLDAPadmin主配置文件。
cp /usr/local/phpldapadmin/config/config.php.example /usr/local/phpldapadmin/config/config.php
(二).配置phpLDAPadmin使用中文
① 編輯文件/usr/local/phpldapadmin/config/config.php���,修改語(yǔ)句:
// $config->custom->appearance['language'] = 'auto';
將“//”注釋符號(hào)去處���,并將語(yǔ)句改為:
$config-> custom->appearance['language'] = 'zh_CN';
② 使用下列的命令轉(zhuǎn)換phpLDAPadmin語(yǔ)言文件的編碼。
iconv -f gbk -t utf8 /usr/local/phpldapadmin/locale/zh_CN/LC_MESSAGES/messages.po/usr/local/phpldapadmin/locale/zh_CN/LC_MESSAGES/messages.new.po
msgfmt -o /usr/local/phpldapadmin/locale/zh_CN/LC_MESSAGES/messages.mo /usr/ local/phpldapadmin/locale/zh_CN/LC_MESSAGES/messages.new.po
(三).配置phpLDAPadmin
(1)設(shè)置口令加密字符串
找到語(yǔ)句:
$config->custom->session['blowfish'] = ' ';
將其改為:
$config->custom- >session['blowfish'] = 'welcome';
(2)設(shè)置LDAP服務(wù)器的地址
找到語(yǔ)句:
$ldapservers->SetValue($i,'server','host','127.0.0.1');將其改為L(zhǎng)DAP服務(wù)器對(duì)應(yīng)的名稱(chēng)和IP地址��。
(3)設(shè)置目錄樹(shù)的基準(zhǔn)DN
找到語(yǔ)句:
$queries[$q]['base'] = 'dc=example,dc=com';根據(jù)實(shí)際將其改為目錄樹(shù)的基準(zhǔn)DN��。
(4)設(shè)置LDAP服務(wù)器管理員的DN
找到語(yǔ)句:
$ldapservers->SetValue($i,'login','dn','cn=Manager,dc=example,dc=com');根據(jù)實(shí)際將其改為L(zhǎng)DAP服務(wù)器管理員的DN�。
(5)設(shè)置LDAP服務(wù)器管理員的口令
找到語(yǔ)句:
$ldapservers->SetValue($i,'login','pass','');
確保其口令為空。
(6)設(shè)置用戶(hù)認(rèn)證方式
phpLDAPadmin提供了cookie�、session和config這3種認(rèn)證方式找到語(yǔ)句:
$ldapservers->SetValue($i,'server','auth_type','cookie');
確保其認(rèn)證方式為cookie。
七.使用phpLDAPadmin管理目錄樹(shù)
(一).登錄phpLDAPadmin
啟動(dòng)Apache服務(wù)����,然后使用瀏覽器訪問(wèn)http://Linux服務(wù)器的IP或域名/phpldapadmin/,輸入用戶(hù)名為“admin”和口令后即可進(jìn)入phpLDAPadmin的管理主頁(yè)面 �。
(二).創(chuàng)建OU
(三).創(chuàng)建用戶(hù)組
(四).創(chuàng)建用戶(hù)賬號(hào)
八.LDAP服務(wù)的身份驗(yàn)證實(shí)例
(一).Linux系統(tǒng)用戶(hù)驗(yàn)證
1.安裝相關(guān)軟件
(1)安裝nss_ldap軟件
(2)安裝openldap-client軟件
2.關(guān)閉SELinux
3.設(shè)置使用LDAP進(jìn)行用戶(hù)認(rèn)證
(二).FTP用戶(hù)驗(yàn)證
① 確認(rèn)已經(jīng)安裝Red Hat Enterprise Linux 4 Update 1第4張安裝光盤(pán)/RedHat/RPMS目錄下的openldap-clients-2.2.13-2.i386.rpm的RPM包。
② 安裝好pure-ftpd服務(wù)器并確認(rèn)安裝編譯pure-ftpd時(shí)在./configure腳本命令行上加入“--with-ldap”參數(shù)(pure-ftpd具體的安裝和配置方法參見(jiàn)本書(shū)第8章 FTP服務(wù)的配置與應(yīng)用)�。
③ 進(jìn)入pure-ftpd源文件解壓后的目錄��,編輯配置文件pureftpd-ldap.conf并進(jìn)行以下操作��。
修改語(yǔ)句“LDAPServer ldap.c9x.org”為“LDAPServer 192.168.16.177”����。
修改語(yǔ)句“LDAPBaseDN cn=Users,dc=c9x,dc=org”為“LDAPBaseDN dc=xyz,dc=com”�����。
修改語(yǔ)句“LDAPBindDN cn=Manager,dc=c9x,dc=org”為“LDAPBindDN cn=Manager,dc=example,dc=com”�。
修改語(yǔ)句“LDAPBindPW r00tPaSsw0rD”為“LDAPBindPW helloldap”。
④ 使用以下命令將文件pureftpd-ldap.conf復(fù)制到/etc目錄中�����。
cp pureftpd-ldap.conf /etc
⑤ 編輯pure-ftpd的主配置文件/etc/pure-ftpd.conf�,找到語(yǔ)句“# LDAPConfigFile /etc/pureftpd-ldap.conf”,將該語(yǔ)句前的“#”號(hào)刪掉�。
⑥ 重新啟動(dòng)pure-ftpd服務(wù)后即可使用在LDAP服務(wù)器建立的用戶(hù)登錄FTP。
(三).Web用戶(hù)驗(yàn)證
① 確認(rèn)已經(jīng)安裝Red Hat Enterprise Linux 4 Update 1第4張安裝光盤(pán)/RedHat/RPMS目錄下的openldap-clients-2.2.13-2.i386.rpm的RPM包���。
② 編輯Apache的主配置文件httpd.conf����,添加如下語(yǔ)句(本例是對(duì)private目錄進(jìn)行用戶(hù)驗(yàn)證)。
Alias /mysecret "/usr/local/mysecret"
<Directory /usr/local/mysecret>
AuthType Basic
AuthName "Please Login:"
AuthLDAPURL "ldap://192.168.16.177/dc=example,dc=com"
require valid-user
</Directory>
③ 重新啟動(dòng)Apache服務(wù) ��。
