最近由於工作的原因，需要做一些DevOps和Saas相關的工作，需要使用到LDAP來搭建一個統一的賬號管理認證平臺，把需要用到的N臺Linux Server配置好LDAP服務。

××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××

Note：

本次配置的服務器環境是<redhat enterprise linux 6.5>, Centos/Suse類似， Debian/Ubuntu安裝包可能略有不同，但是大致過程應該相似。

PS:LDAP 是C/S結構的，所以接下來我們要設計好哪臺機器上搭建LDAP Server,剩下的機器上安裝LDAP Client.

LDAP Server Machine:192.168.1.10 (此IP爲機器的實際IP，自己配置時根據實際情況而定)

LDAP Client Machine:192.168.1.11 (此IP爲機器的實際IP，自己配置時根據實際情況而定)

LDAP Client Machine N...... (其餘N多的client機器不一一列舉，完成一個client配置後，其他機器Clone整個過程即可 :-))

寫在開始之前：在自己第一次做LDAP配置的時候，也曾查閱了很多國內的相關博客和帖子，發現好多講的都不夠完善，讓人在安裝和配置調試遇到問題是，總要浪費很大一部分時間來遊走於各大搜索引擎去尋根問藥，多麼痛苦的過程，而且好多還被“牆”了，你們懂得。。。Anyway,通過不斷的嘗試和摸索，還是搞定了LDAP的配置，下面來和大家分享一下整個配置過程，包括：client/server配置，su配置，ssh配置...

1.LDAP Server Setup:

a.安裝LDAP服務（使用YUM本地光盤安裝）

# yum install openldap-* -y
會提示安裝以下幾個必須的包，另外鑑於依賴，可能還會安裝一些其他的包，所以我們選擇-y：

openldap-devel-2.4.23-26.el6.x86_64
openldap-clients-2.4.23-26.el6.x86_64
openldap-2.4.23-26.el6.x86_64
openldap-servers-2.4.23-26.el6.x86_64
....

OpenLDAP 使用Berkely-DB來作爲數據庫存儲信息，我們可以去官網下載解壓到本地安裝。But,用Yum的話，應該會幫我們做好這一切事情。我們只要在安裝完後檢查一下是否安裝了db4*相關的rpm包就可以了。If true,那恭喜，我們可以進行下一步了。If not,請用yum命令安裝。

查看rpm安裝包的命令：rpm -qa | grep db4

b.拷貝LDAP配置文件到LDAP目錄(redhat6.3)：

# cd /etc/openldap/
# cp /usr/share/openldap-servers/slapd.conf.obsolete slapd.conf

Note: redhat6.0或6.1版本配置文件在主目錄有備份：

# cd /etc/openldap/
# cp slapd.conf.bak slapd.conf

c.創建LDAP管理員密碼：

# slappasswd
這裏我輸入的密碼是redhat,輸入完密碼後,返回一串密文，先保存到剪貼板,之後要複製到LDAP配置文件中使用:

{SSHA}pfAJm+JJa4ec2y8GjTc8uMEJpoR5YKLy

d.編譯配置文件

# vi /etc/openldap/slapd.conf

....

# enable server status monitoring (cn=monitor)
database monitor
access to *
by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read
by dn.exact="cn=admin,dc=test,dc=com" read
by * none

#######################################################################
# database definitions
#######################################################################

database bdb
suffix "dc=test,dc=com"
checkpoint 1024 15
rootdn "cn=admin,dc=test,dc=com"
# Cleartext passwords, especially for the rootdn, should
# be avoided. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
# rootpw secret
# rootpw {crypt}ijFYNcSNctBYg
rootpw {SSHA}pfAJm+JJa4ec2y8GjTc8uMEJpoR5YKMn

.......

保存退出。

e.拷貝DB_CONFIG文件到指定目錄

# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
刪除默認/etc/openldap/slapd.d下面的所有內容，否則後面在使用ldapadd的時候會報錯：
# rm -rf /etc/openldap/slapd.d/*

f.啓動LDAP的slapd服務,並設置自啓動：

# service slapd restart
# chkconfig slapd on
賦予配置目錄相應權限：
# chown -R ldap:ldap /var/lib/ldap
# chown -R ldap:ldap /etc/openldap/

g.測試並生成配置文件：

slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
返回config file testing succeeded,則配置成功。
賦予生成的配置文件予權限並重啓：
# chown -R ldap:ldap /etc/openldap/slapd.d
# service slapd restart

h.創建一個賬號，以備客戶端測試登陸

# useradd ldapuser1
# passwd ldapuser1
至此，這些用戶僅僅是系統上存在的用戶（存儲在/etc/passwd和/etc/shadow上），並沒有在LDAP數據庫裏，所以要把這些用戶導入到LDAP裏面去。但LDAP只能識別特定格式的文件即後綴爲ldif的文件（也是文本文件），所以不能直接使用/etc/passwd和/etc/shadow。需要migrationtools這個工具把這兩個文件轉變成LDAP能識別的文件。

i.安裝配置migrationtools

# yum install migrationtools -y

j.進入migrationtool配置目錄

# cd /usr/share/migrationtools/
首先編輯migrate_common.ph

# vi migrate_common.ph

...

# Default DNS domain
$DEFAULT_MAIL_DOMAIN = "test.com";

# Default base
$DEFAULT_BASE = "dc=test,dc=com";

.......

保存退出。：-）

K.下面利用pl腳本將/etc/passwd 和/etc/shadow生成LDAP能讀懂的文件格式，保存在/tmp/下

# ./migrate_base.pl > /tmp/base.ldif
# ./migrate_passwd.pl /etc/passwd > /tmp/passwd.ldif
# ./migrate_group.pl /etc/group > /tmp/group.ldif

L.下面就要把這三個文件導入到LDAP，這樣LDAP的數據庫裏就有了我們想要的用戶

# ldapadd -x -D "cn=admin,dc=example,dc=com" -W -f /tmp/base.ldif
# ldapadd -x -D "cn=admin,dc=example,dc=com" -W -f /tmp/passwd.ldif
# ldapadd -x -D "cn=admin,dc=example,dc=com" -W -f /tmp/group.ldif
過程若無報錯，則LDAP服務端配置完畢

M.重啓slapd完成配置

# service slapd restart

N.現安裝NFS，並把ldapuser1的家目錄做NFS共享.

默認REDHAT已安裝
# yum install nfs* -y
配置NFS共享：
# vi /etc/exports
--------------
/home/ldapuser1 *(rw,no_root_squash)
--------------
重啓nfs服務：
# service rpcbind restart
# service nfs restart

PS.本地需要做ldap控制的賬號都要導入到LDAP DB中，否則客戶端配置無法正常識別登錄。

2.LDAP Client Setup:

a.安裝LDAP client認證需要的pam包：

yum install nss-pam-ldapd pam_ldap -y

安裝完成後，配置ldap 客戶端配置文件:
vim /etc/openldap/ldap.conf

添加

BASE:dc=test,dc=com

URL:192.168.1.10 --->此處爲LDAP Server IP

b.配置客戶端，是機器使用LDAP進行賬戶驗證：

LANG=C authconfig-tui

vim /etc/pam.d/system-auth 註釋掉創建家目錄，重啓sssd服務。

c. vim /etc/sssd/sssd.conf

添加enumerate=true,(因該不是必須的，但是加上爲妙)

d. service sssd restart 並重啓服務。

e.進行客戶端測試，看能否讀到LDAP user 相關信息

getent passwd |grep ldapuser1

f.編輯系統認證文件，保證使用LDAP來認證：

vim /etc/pam.d/system-auth update: pam_sss.so --> pam_ldap.so 可以實現用戶su之間切換
******Please Makre sure all this updated*****************************************************************
其中/etc/pam.d/

vim /etc/pam.d/system-auth
vim /etc/pam.d/password-auth

auth required pam_env.so
auth sufficient pam_fprintd.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_ldap.so
auth required pam_deny.so

account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so

password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=ok default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
session optional pam_ldap.so

配置文件是RHEL6實現用戶名驗證機制配置文件，大多數服務的配置將都會調用它們。
vim /etc/pam.d/system-auth update: pam_sss --> pam_ldap 可以實現用戶su之間切換
*********************************************************************************************************

service nslcd restart

服務重啓之後因該就可以使用LDAP 服務了。

可以 su ldapsuer1或者ssh ldapuser1@xxxxx來使用。

客戶端配置完成！

3. LDAP數據庫相關增刪查改操作：

操作LDAP的方式有很多，下面以bash下用openldap-clients 套件提供的工具來進行。

1、初始化數據

這一步通常是由特定的應用程序根據其自身使用的需要創建的。包括兩部分的內容：
a、創建.schema文件，該文件定義了後面ldap 中存放對象的類型和屬性，這已經在上面sldapd.conf文件中定義；
b、初始化數據結構，其結構必須由上面的.schema文件已經定義的，並由應用程序讀取和使用。

初始化文件通常爲.ldif 結尾，稱爲LDIF數據交換格式。這種格式是行界定、冒號分隔的屬性-值對。例如：

引用
dn: dc=ldapuser1,ou=People,dc=test,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
....

導入時，執行：
# ldapadd -x -h 192.168.1.10 -D 'cn=admin,dc=test,dc=com' -W -f info.ldif

ldapadd 命令各參數含義如下：
-x 爲使用簡單密碼驗證方式
-D 指定管理員DN（與slapd.conf中一致）
-W 爲管理員密碼，可以使用-w password 直接輸入密碼
-f 爲初始化數據LDIF的文件名
-h 爲操作的服務器IP地址

2、搜索操作

LDAP是讀優化數據庫，因此，讀的速度很快，也很常用。但與關係數據庫不同，其以樹結構形式讀取數據，若不添加過濾，會顯示匹配節點下所有節點的內容。若以ldif 的形式表達，剛開始可能不太習慣。
# ldapsearch -x -b 'dc=test,dc=com'

首先要留意的是，ldapsearch 不需要提供驗證信息。因爲正如前面提到的，LDAP 默認供任何人可讀。
-b 後面定義搜索節點位置，即從該節點往其子節點進行搜索

3、身份驗證

修改或添加內容需進行用戶驗證，可通過下面的命令確認驗證信息：
# ldapwhoami -x -D 'cn=ldapuser1,dc=test,dc=com' -w 'yourpasswd'
dn:cn=admin,dc=test,dc=com
Result: Success (0)

4、修改操作

修改內容通常由LDIF 文件提供。因此，可先用ldapsearch 導出節點內容：

# ldapsearch -x -LLL -b 'dc=test,dc=com'
-LLL 表示不輸出註釋內容，以便後續重新導入。

其實也可以使用文件進行批量修改，我們只要把需要修改信息寫入文件即可，比如：

dn: uid=ldapuser1,ou=People,dc=test,dc=com
changetype: modify
replace: uidNumber
uidNumber: 1000

把以上內容寫入test.ldif中，運行如下命令：

ldapmodify -x -D "cn=admin,dc=test,dc=com" -w yourpasswd -f test.ldif

a、ldapadd 與ldapmodify -a 作用相同
b、如果在添加或修改時，報Naming violation等錯誤，則說明添加或修改的內容不符合schema中定義的對象屬性規範，需修改後才能重新操作。

5、刪除操作

刪除時，給出DN即可：
# ldapdelete -x -D 'cn=admin,dc=test,dc=com' -w yourpasswd -r 'dc=test,dc=com'
-r 表示以遞歸模式刪除，即刪除該節點下面的所有子節點。

OK，到這裏基本上完整的LDAP配置和使用方法已經比較完整了，大家可以按照步驟自由的去嘗試，遇到新問題也可以去google上找答案(Google is a great teacher! :-)).

Good Luck!

Linux下LDAP Server/Client配置 --OpenLDAP