LDAPworm

环境

• CentOS 7
• openldap-2.4

问题

• 使用slapd工具在CentOS上安装与配置OpenLDAP Server
• 使用olc方式如何配置OpenLDAP Server

操作

1. 安装openldap包

yum install -y openldap openldap-clients openldap-servers

LDAP默认的配置目录是/etc/openldap/slapd.d

[root@rhel7 ~]# cd /etc/openldap/slapd.d/
[root@rhel7 slapd.d]# ls -l
drwxr-x---. 4 ldap ldap 4096 Aug  3 22:49 cn=config
-rw-------. 1 ldap ldap  589 Aug  2 23:39 cn=config.ldif
[root@rhel7 slapd.d]# cd cn\=config
[root@rhel7 cn=config]# ls -l
drwxr-x---. 2 ldap ldap 4096 Aug  3 22:11 cn=schema
-rw-------. 1 ldap ldap  378 Aug  2 22:21 cn=schema.ldif
-rw-------. 1 ldap ldap  552 Aug  3 20:42 olcDatabase={0}config.ldif
-rw-------. 1 ldap ldap  443 Aug  2 22:21 olcDatabase={-1}frontend.ldif
-rw-------. 1 ldap ldap  562 Aug  2 22:21 olcDatabase={1}monitor.ldif
drwxr-x---. 2 ldap ldap   65 Aug  3 22:53 olcDatabase={2}hdb.ldif

2. 设置olcSuffix,设置domain。只需要更新下文件olcDatabase={2}hdb.ldif中的olcSuffix

[root@rhel7 cn=config]# vi /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldif
olcSuffix: dc=example,dc=com

3. 推荐先创建一个专用的具有所有权限的账号，用它来更新LDAP的数据库。需要更新文件olcDatabase={2}hdb.ldif中的olcRootDN和olcRootPW

[root@rhel7 cn=config]# vi /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldif
olcRootDN: cn=Manager,dc=example,dc=com
olcRootPW: redhat

4. 同时设置config数据库的管理员账号
   这里设置的密码很简单，请在生产环境下将密码设置复杂些

[root@rhel7 cn=config]# vi olcDatabase\=\{0\}config.ldif
olcRootDN: cn=config
olcRootPW: secret

5. 使用slaptest命令去验证配置

[root@rhel7 cn=config]# slaptest -u
config file testing succeeded

如果报ldif_read_file: checksum error这样的错误，是因为计算文件的CRC32码来自动校验（文件中前两行中带有校验码），需要更新校验码

• 删除掉报错的文件的前两行

  # AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
  # CRC32 3e515b74
  

• 安装crc32工具（perl-Archive-Zip）

  [root@rhel7 cn=config]# yum install perl-Archive-Zip -y
  

• 计算新文件的CRC32码

  [root@rhel7 cn=config]# crc32 <(cat olcDatabase\=\{2\}hdb.ldif)
  509f92c7
  

• 将计算的CRC32码更新到文件中，添加到文件的前两行

  # AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
  # CRC32 509f92c7
  

6. 如果配置验证成功，启动openldap server

$ systemctl start slapd

7. 创建ldap server的基础结构

$ cat base.ldif
dn: dc=example,dc=com
objectClass: dcObject
objectClass: organization
o: example.com

dn: ou=users,dc=example,dc=com
objectClass: organizationalUnit
objectClass: top
ou: users

dn: ou=groups,dc=example,dc=com
objectClass: organizationalUnit
objectClass: top
ou: groups       

8. 使用ldapadd命令向LDAP目录导入基础结构

$ ldapadd -x -D "cn=Manager,dc=example,dc=com" -w redhat -f base.ldif
adding new entry "dc=example,dc=com"
adding new entry "ou=users,dc=example,dc=com"
adding new entry "ou=groups,dc=example,dc=com"

9. 使用ldapsearch命令验证基础结构是否成功导入

$ ldapsearch -x -D 'cn=Manager,dc=example,dc=com' -b dc=example,dc=com -w redhat

10. 在向ldap结构中添加users和groups之前，先使用ldapadd导入schema，以免出现“object class not defined"的报错

$ ldapadd -Y EXTERNAL -H ldapi:// -f /etc/openldap/schema/cosine.ldif 
$ ldapadd -Y EXTERNAL -H ldapi:// -f /etc/openldap/schema/nis.ldif 
$ ldapadd -Y EXTERNAL -H ldapi:// -f /etc/openldap/schema/inetorgperson.ldif

11. 向ldap结构中添加users和groups

• Users
  • 使用slappasswd命令获取需要的密码

    # slappasswd -s test
    {SSHA}5rMM/3f8Ki13IyarGTtwzieoTu7KMgwc
    

  • 使用ldif文件和上面的hashed密码创建users.ldif

    $ cat users.ldif
    dn: uid=testuser,ou=users,dc=example,dc=com
    uid: testuser
    cn: testuser
    objectClass: shadowAccount
    objectClass: top
    objectClass: person
    objectClass: inetOrgPerson
    objectClass: posixAccount
    userPassword: {SSHA}5rMM/3f8Ki13IyarGTtwzieoTu7KMgwc
    shadowLastChange: 17016
    shadowMin: 0
    shadowMax: 99999
    shadowWarning: 7
    loginShell: /bin/bash
    uidNumber: 1000
    gidNumber: 1000
    homeDirectory: /home/testuser
    sn: testuser
    mail: testuser@example.com
    
    dn: uid=testuser1,ou=users,dc=example,dc=com
    uid: testuser1
    cn: testuser1
    objectClass: shadowAccount
    objectClass: top
    objectClass: person
    objectClass: inetOrgPerson
    objectClass: posixAccount
    userPassword: {SSHA}5rMM/3f8Ki13IyarGTtwzieoTu7KMgwc
    shadowLastChange: 17016
    shadowMin: 0
    shadowMax: 99999
    shadowWarning: 7
    loginShell: /bin/bash
    uidNumber: 1001
    gidNumber: 1001
    homeDirectory: /home/testuser1
    sn: testuser1
    mail: testuser1@example.com
    

• Groups
  创建groups.ldif

  $ cat groups.ldif
  dn: cn=testuser,ou=groups,dc=example,dc=com
  objectClass: posixGroup
  objectClass: top
  cn: testuser
  userPassword: {crypt}x
  gidNumber: 1000
  
  dn: cn=testuser1,ou=groups,dc=example,dc=com
  objectClass: posixGroup
  objectClass: top
  cn: testuser1
  userPassword: {crypt}x
  gidNumber: 1001
  

12. 使用ldapadd命令添加users和groups

$ ldapadd -x -D cn=Manager,dc=example,dc=com -f users.ldif -w redhat
$ ldapadd -x -D cn=Manager,dc=example,dc=com -f groups.ldif -w redhat

13. 使用ldapsearch命令来验证users和groups创建是否成功

$ ldapsearch -x -D cn=Manager,dc=example,dc=com -b dc=example,dc=com -w redhat

OpenLDAP的操作

1. 添加数据

 $ cat user3.ldif
dn: uid=testuser3,ou=users,dc=example,dc=com
uid: testuser3
cn: testuser3
objectClass: shadowAccount
objectClass: top
objectClass: person
objectClass: inetOrgPerson
objectClass: posixAccount
userPassword: {SSHA}5rMM/3f8Ki13IyarGTtwzieoTu7KMgwc
shadowLastChange: 17016
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/testuser
sn: testuser3
mail: testuser@example.com
$ ldapadd -x -D 'cn=Manager,dc=example,dc=com' -w redhat -f user3.ldif

2. 查询数据

$ ldapsearch -x -b 'dc=example,dc=com'
$ ldapsearch -x -b 'dc=example,dc=com' 'sn=testuser3'

3. 修改数据

# 方法一：交互式
$ ldapmodify -x -D 'cn=Manager,dc=example,dc=com' -w redhat
dn: uid=testuser3,ou=users,dc=example,dc=com
changetype: modify
replace: sn
sn: Test User 3
-
add: description
description: add attribute

# 方法二：配置文件式
$ cat modify.ldif
dn: uid=testuser3,ou=users,dc=example,dc=com
changetype: modify
replace: sn
sn: Test User 3
-
delete: description
$ ldapmodify -x -D 'cn=Manager,dc=example,dc=com' -w redhat -f modify.ldif

4. 删除数据

$ ldapdelete -x -D 'cn=Manager,dc=example,dc=com' -w redhat uid=testuser3,ou=users,dc=example,dc=com

5. 数据导出

# 方法一：用查询导出
$ ldapsearch -x -b 'dc=example,dc=com' > export.ldif
# 方法二：导出命令
$ slapcat -l export.ldif

打开OpenLDAP日志

1. 更新日志级别

$ cat loglevel.ldif 
dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: stats

$ ldapmodify -Y EXTERNAL -H ldapi:/// -f loglevel.ldif
$ systemctl restart slapd

2. 修改rsyslog配置文件

$ touch /var/log/slapd.log
$ echo local4.* /var/log/slapd.log >> /etc/rsyslog.conf
$ systemctl restart rsyslog

3. 查看openldap日志

$ tail -f /var/log/slapd.log

容器化部署

$ docker run --name ldap_core -p 389:389 -p 636:636 --env LDAP_ORGANISATION="example.com" --env LDAP_DOMAIN="example.com" --env LDAP_ADMIN_PASSWORD="redhat" --detach osixia/openldap
$ docker run --name ldap_web -p 80:80 -p 443:443 --link ldap_core:ldap_core --env PHPLDAPADMIN_LDAP_HOSTS=ldap_core --detach osixia/phpldapadmin

同时还有Openshift的openldap容器openshift/openldap-2441-centos7

工具

1. 浏览ldap目录列表的工具ldapbrowser