LDAP 服务搭建和后期管理

本文首发：https://www.somata.net/2019/openldap_server_config_and_management.html

本文主要在debian配置，如果需要在CentOS上部署，需要修改大部分的路径，这里需要自行修改。

LDAP 服务按照个人理解，也可使理解为一个数据库，但是这个数据库的读写性能不像 MySQL 一样拥有良好的读写性能，而 LDAP 更偏向于读取，而弱于写入。并且 LDAP 的数据类型属于面向对象的数据类型，这和 MySQL 的数据类型不同，并且使用树状结构记录数据，这些都与普通的数据库(关系型数据库)，有着极大的差别。而这一切的一切都代表着 LDAP 这个服务并不是用做一个普通的数据库(关系型数据库)用的，而是用于类似于账户存储等这种少存入、多读取、需要包含对象类型和对象相关属性的场合。

LDAP工作机制

就跟上面说的一样，LDAP是树状结构的数据库，所以说如果想要找到其中一个节点，就得通过逐层查询，并且必须保证每一个节点的路径唯一，那么这个节点的路径就称之为dn，dn 的编写路径必须是由下而上编写的，例如：

cn=scott,ou=marketing,ou=people,dc=mydomain,dc=org

关键字	英文全称	含义
dc	Domain Component	域名的部分，其格式是将完整的域名分成几部分，如域名为 example.com 那么就是： dc=example,dc=com
uid	User Id	用户 ID，如 “tom”
ou	Organization Unit	组织单位，类似于 Linux 文件系统中的子目录，它是一个容器对象，组织单位可以包含其他各种对象（包括其他组织单元），如 “market”
cn	Common Name	公共名称，如 “Thomas Johansson”
sn	Surname	姓，如 “Johansson”
c	Country	国家，如 “CN” 或“US”等。
o	Organization	组织名，如 “Example, Inc.”
dn	Distinguished Name	惟一辨别名，类似于 Linux 文件系统中的绝对路径，每个对象都有一个惟一的名称，如 “uid= tom,ou=market,dc=example,dc=com”，在一个目录树中 DN 总是惟一的
rdn	Relative dn	相对辨别名，类似于文件系统中的相对路径，它是与目录树结构无关的部分，如 “uid=tom” 或“cn= Thomas Johansson”

以上这些类别没有指定特定的用法，这些完全由应用程序自行决定。

LDAP 安装

debian:

apt install slapd ldap-utils		# slapd 为服务端， ldap-utils 为客户端程序

CentOS：

yum install openldap-servers openldap-clients	# 上同

LDAP 服务器配置初始化

做这一步的目的是为了完全自定义初始化数据库，抛弃由软件包构成的数据库。
当然你也可以跳过这个步骤，直接开始下一步，这样也是无所谓的。

你也可以你使用 debian 提供的便捷方式来完成服务器配置: dpkg-reconfig slapd

首先先来解释一些为什么要按照如下(完全属于个人理解)：
新版的 OpenLdap 已经弃用了 slapd.conf 配置文件，改而使用 slapd.d 目录下的树状目录文件来配置服务器的相关配置。但是 slapd.d 是由服务进程维护的，并且使用CRC来校验文本是否改动，我们无法轻易修改，slapd安装包给我们提供了一个命令 slapadd 用于创建配置文件，所以才用了下面的方法来初始化数据库。后期使用 ldapmodify 或 ldapadd 来完成服务器配置。

首先停止数据库服务:

systemctl stop slapd

然后编辑文件：

# 首先备份文件，以免无法复原
mkdir /root/back
tar -Jcvf /root/back/slapd.config-`date  '+(%Y.%m.%d_%H:%M:%S)'`.tar.xz /etc/ldap/slapd.d/
tar -Jcvf /root/back/slapd.data-`date  '+(%Y.%m.%d_%H:%M:%S)'`.tar.xz /var/lib/ldap /var/lib/slapd
# 然后再删除配置文件
rm -rf /etc/ldap/slapd.d/*
rm -rf /var/lib/slapd/*
rm -rf /var/lib/ldap/*
# 复制配置文件到临时目录
cp /usr/share/slapd/slapd.init.ldif /tmp
cd /tmp

这里我创建一个sed的规则表，方便使用，以下请自行选择。

# file: rules
##################################
#    本文请自行选择复制到到文件内     #
##################################
#自定义基本域名(必选):
	s/@SUFFIX@/$(basename)/g
#自定义管理员用户密码(必须):
	s/@PASSWORD@/$(password)/g
#自定义管理员用户名称(可选):
	s/cn=admin/cn=$(username)/g
#数据库类型(3选1,必选):
#	mdb
		s/@BACKEND@/mdb/g
		s/@BACKENDOBJECTCLASS@/olcMdbConfig/g
		s/@BACKENDOPTIONS@/olcDbMaxSize: 1073741824/g
#	hdb
		s/@BACKEND@/hdb/g
		s/@BACKENDOBJECTCLASS@/olcHdbConfig/g
		s/@BACKENDOPTIONS@/olcDbConfig: set_cachesize 0 2097152 0\nolcDbConfig: set_lk_max_objects 1500\nolcDbConfig: set_lk_max_locks 1500\nolcDbConfig: set_lk_max_lockers 1500/g
#	bdb
		s/@BACKEND@/bdb/g
		s/@BACKENDOBJECTCLASS@/olcBdbConfig/g
		s/@BACKENDOPTIONS@/olcDbConfig: set_cachesize 0 2097152 0\nolcDbConfig: set_lk_max_objects 1500\nolcDbConfig: set_lk_max_locks 1500\nolcDbConfig: set_lk_max_lockers 1500/g

这里我选择hdb数据库，样例如下：

# file:rule
s/@SUFFIX@/dc=black,dc=com/g
s/@PASSWORD@/{SSHA}RadcVPriXsR6gCwhwPKsCLkhnHy3r1ZS/g
s/cn=admin/cn=root/g
s/@BACKEND@/hdb/g
s/@BACKENDOBJECTCLASS@/olcHdbConfig/g
s/@BACKENDOPTIONS@/olcDbConfig: set_cachesize 0 2097152 0\nolcDbConfig: set_lk_max_objects 1500\nolcDbConfig: set_lk_max_locks 1500\nolcDbConfig: set_lk_max_lockers 1500/g

其中密码是这样生成的：

slappasswd -s 147258369

{SSHA}RadcVPriXsR6gCwhwPKsCLkhnHy3r1ZS

再然后通过命令修改配置文件,并且生成配置文件和数据库：

sed -i -f rule /tmp/slapd.init.ldif
slapadd -F "/etc/ldap/slapd.d/" -b "cn=config" -l slapd.init.ldif

_#################### 100.00% eta none elapsed none fast!

Closing DB...

我们再查看一下这些文件的:

ll /etc/ldap/slapd.d/*

-rw------- 1 root root 478 Jul 10 09:06 /etc/ldap/slapd.d/cn=config.ldif

/etc/ldap/slapd.d/cn=config:

total 28

-rw------- 1 root root 452 Jul 10 09:06 cn=module{0}.ldif

drwxr-x--- 2 root root 4096 Jul 10 09:06 cn=schema

-rw------- 1 root root 394 Jul 10 09:06 cn=schema.ldif

-rw------- 1 root root 412 Jul 10 09:06 olcBackend={0}hdb.ldif

-rw------- 1 root root 542 Jul 10 09:06 olcDatabase={0}config.ldif

-rw------- 1 root root 657 Jul 10 09:06 olcDatabase={-1}frontend.ldif

-rw------- 1 root root 1084 Jul 10 09:06 olcDatabase={1}hdb.ldif

哦，我们这里看到了好像文件权限不对啊，所以我们也改改文件属主。

chown -R openldap:openldap slapd.d
chown -R openldap:openldap /var/lib/slapd/*
chown -R openldap:openldap /var/lib/ldap/*

那么这里就可以正常启动服务器了:

systemctl start slapd

LDAP 数据库创建

这里我们还需要注意虽然前面创建的服务器配置里有DN信息，但是真正的数据库完全没有创建，这里我们必须手动创建这些数据库。当然你可以使用命令 slapcat 或者 ldapsearch 命令来查询是否有数据存在。

首先创建一个文件，用于记录需要存入的数据，ldap数据库没有交互式界面，每一次操作都必须一条命令，其实这也侧面证明了LDAP是是个偏读取的面向对象型的服务，而不是一个综合型的数据库服务。

# file:base.ldif
# 根节点					复制时，注意把这这个注释删了！！！！
dn: dc=black,dc=com
dc: black
objectClass: top
objectClass: domain
# 管理员用户root
dn: cn=root,dc=black,dc=com
objectClass: organizationalRole
cn: root
description: LDAP Manager

然后我们再通过命令，将 base.ldif 这的信息导入至数据库

ldapadd -x -D "cn=root,dc=black,dc=com" -w 147258369 -f  base.ldif

adding new entry "dc=black,dc=com"

adding new entry "cn=root,dc=black,dc=com"

这里需要解释一项这里命令的基本用法:

• -x: 表示使用基本拥挤认证
• -D "cn=root,dc=black,dc=com" -w 147258369: 指定用户和密码
• -f: 指定文件

那么这里再验证一下数据库是否创建成功：

ldapsearch  -x -D "cn=root,dc=black,dc=com" -w 147258369 -b "dc=black,dc=com"

# extended LDIF

#

# LDAPv3

# base <dc=black,dc=com> with scope subtree

# filter: (objectclass=*)

# requesting: ALL

#

# black.com

dn: dc=black,dc=com

dc: black

objectClass: top

objectClass: domain

# root, black.com

dn: cn=root,dc=black,dc=com

objectClass: organizationalRole

cn: root

description: LDAP Manager

# search result

search: 2

result: 0 Success

# numResponses: 3

# numEntries: 2

再解释一个参数：

• -b: 指定需要搜索的base目录

LDAP 后期管理

数据库管理

这里的数据库管理也可是使用一些 LDAP 软件来完成(部署 LDAP 应用)，不过还以要写写命令行，因为命令行的灵活性高，而且便于理解，这些都是应用程序无法比拟的。

ldapadd 条目添加

还是和上面数据库创建一样的，需要先创建一个文件用于存放数据。

# file: group.ldif
# 组织单元
dn: ou=User,dc=black,dc=com
objectClass: organizationalUnit
ou: User
# 用户1
dn: uid=User1,ou=User,dc=black,dc=com
objectClass: account
objectClass: simpleSecurityObject
uid: User1
userPassword: {SSHA}5WjJz9QfntUjurHirfv9C4832x1xh9Kt
# 用户2
dn: uid=User2,ou=User,dc=black,dc=com
objectClass: account
objectClass: simpleSecurityObject
uid: User2
userPassword: {SSHA}9biML+BP/W8w3mRkVack7CyB1hfDi8cD

然后我们再通过命令将文件添加到数据库：

ldapadd  -x -D "cn=root,dc=black,dc=com" -w 147258369 -f group.ldif

adding new entry "ou=User,dc=black,dc=com"

adding new entry "uid=User1,ou=User,dc=black,dc=com"

adding new entry "uid=User2,ou=User,dc=black,dc=com"

ldapadd 可以从文件中读取数据，同时也可从标准输入输出读取数据：

cat << EOF | ldapadd  -x -D "cn=root,dc=black,dc=com" -w 147258369
dn: uid=User3,ou=User,dc=black,dc=com
objectClass: account
objectClass: simpleSecurityObject
uid: User3
userPassword: {SSHA}iES3qeH0nYUcwGtSQm1hIBCEsV+gBF3P
EOF

adding new entry "uid=User3,ou=User,dc=black,dc=com"

这样就可以临时添加数据了，同时这样也可使用bash脚本完成批量用户添加，这里我就不演示了。

ldapmodify 条目更改

还是一样的将数据写入文件，不过这里需要注意，因为是更改条目，所以需要编写指明更改模式，和更改目标。

# file: change.ldif
dn: uid=User3,ou=User,dc=black,dc=com
changetype: modify
replace: userPassword
userPassword: {SSHA}9TM5y06bvepK6k8i+Jfkc/9C6GkVsobm

然后使用命令即可。

ldapmodify -x -D "cn=root,dc=black,dc=com" -w 147258369 -f change.ldif

modifying entry "uid=User3,ou=User,dc=black,dc=com"

那么再来验证一下:

ldapwhoami -x -D "uid=User3,ou=User,dc=black,dc=com" -w 147

dn:uid=User3,ou=User,dc=black,dc=com

如果返回如上，那么修改成功。

ldapdelete 条目删除

删除条目不需要写清除如何如何，只需要指定条目路径即可，也就是dn.

ldapdelete -x -D "cn=root,dc=black,dc=com" -w 147258369 "uid=User3,ou=User,dc=black,dc=com"

这个命令没有返回信息，那么表明执行成功。我们再次使用命令验证：

ldapwhoami -x -D "uid=User3,ou=User,dc=black,dc=com" -w 123456

ldap_bind: Invalid credentials (49)

这就返回凭据无效则表明条目删除成功。

ldapsearch 条目搜寻

这个就不多说了，直接上命令：

ldapsearch  -x -b "dc=black,dc=com" -D "cn=root,dc=black,dc=com" -w 147258369 "(&(objectclass=account)(uid=User1))"                # 这里最后一段是filter，用于过滤查询结果

# extended LDIF

#

# LDAPv3

# base <dc=black,dc=com> with scope subtree

# filter: (objectclass=*)

# requesting: ALL

#

# User1, User, black.com

dn: uid=User1,ou=User,dc=black,dc=com

objectClass: account

objectClass: simpleSecurityObject

userPassword:: e1NTSEF9OWJpTUwrQlAvVzh3M21Sa1ZhY2s3Q3lCMWhmRGk4Y0Q=

uid: User1

# search result

search: 2

result: 0 Success

# numResponses: 6

# numEntries: 5

-b：指定基本路径，会查找该路径下的所有节点

ldapwhomai 用户查询

前面也用过了，直接上命令：

ldapwhoami -x -D "cn=root,dc=black,dc=com" -w 147258369

dn:cn=root,dc=black,dc=com

返回值如上则表示正常

服务器配置

这里服务器的后续配置，不能再动 slapd.d 目录下的文件了，必须通过 ldap 提供的 API 接口完成服务器配置，这点是非常重要的，因为默认的配置是只允许通过本地SASL认证的用户才能修改服务器的配置文件，这样才能保证服务器的安全性。所以我们还需要通过客户端命令 ldapmodify 命令来进行服务配置，比如所修改管理员密码：

这里的dn节点与数据库节点不同，你可以看到这些条目对应的就是 slapd.d 目录下的文件了，当然是去去除了后缀名（ldif）的节点。

# file: config.ldif
dn: olcDatabase={1}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}5WjJz9QfntUjurHirfv9C4832x1xh9Kt

然后通过命令完成修改：

 ldapmodify -Y EXTERNAL -H ldapi:/// -f config.ldif

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

modifying entry "olcDatabase={1}hdb,cn=config"

注：如果节点不存在，但是你还是想要创建也是可是的，你需要将dn节点指定到你需要创建的文件路径，然后使用命令ldapadd 添加即可。

LDAP 备份和还原

这里我使用了 slapd 提供的命令完成了该操作，主要就是方便而且全面，也不想去了解别的方法，都没这个实在。

服务器备份

slapcat -n 0 -l slapcat.bak.0.ldif			# 0 表示备份服务器配置
slapcat -n 1 -l slapcat.bak.1.ldif			# 1 表示备份数据库

无返回信息则表示执行成功。

服务器还原

关闭服务器：

systemctl stop slapd

删除原始文件：

# 首先备份文件，以免无法复原
mkdir /root/back
tar -Jcvf /root/back/slapd.config-`date  '+(%Y.%m.%d_%H:%M:%S)'`.tar.xz /etc/ldap/slapd.d/
tar -Jcvf /root/back/slapd.data-`date  '+(%Y.%m.%d_%H:%M:%S)'`.tar.xz /var/lib/ldap /var/lib/slapd
# 然后再删除配置文件
rm -rf /etc/ldap/slapd.d/*
rm -rf /var/lib/slapd/*
rm -rf /var/lib/ldap/*

还原数据库：

slapadd -l slapcat.bak.0.ldif -F /etc/ldap/slapd.d/ -b "cn=config"		# 还原服务器配置
slapadd -l slapcat.bak.1.ldif -F /etc/ldap/slapd.d/										# 还原数据库

_#################### 100.00% eta none elapsed none fast!

Closing DB...

_#################### 100.00% eta none elapsed none fast!

Closing DB...

这样就搞定了。
但是还是需要注意权限:

chown -R openldap:openldap /etc/ldap/slapd.d/*
chown -R openldap:openldap /var/lib/slapd/*
chown -R openldap:openldap /var/lib/ldap/*

启动服务器：

systemctl start slapd

部署 LDAP 应用

这里直接使用 phpldapadmin了， 我也不想再多弄了，怎么简单，怎么来了。

apt install phpldapadmin

然后配置一下 phpladpadmin的文件即可：

# file: /etc/phpldap/config.php
……
$servers->setValue('server','base',array('dc=black,dc=com'));				# 在300行，更改服务器
……
……
$servers->setValue('login','bind_id','cn=root,dc=black,dc=com');		# 在326行，更改登入的默认字符串
……

然后登入即可：

界面如下：

本文经「原本」原创认证，作者乾坤盘，访问yuanben.io查询【2P9ZA60S】获取授权信息。