📅  最后修改于: 2023-12-03 15:39:06.926000             🧑  作者: Mango
LDAP (Lightweight Directory Access Protocol) 是一种用于访问和维护分布式目录服务的协议。开放式的LDAP是一个基于开源技术的LDAP服务器,它可以被用于各种用途,比如提供集中管理用户认证信息、地址信息或者其他属性信息等。
本文将介绍如何在Linux平台上安装和配置开放式的LDAP服务器。
在Debian/Ubuntu系统上安装OpenLDAP服务器,只需要运行一下命令:
sudo apt-get install slapd ldap-utils
安装过程中会提示输入管理员密码和选择一些配置项,也可以选择默认设置。
在安装完成后,需要进行LDAP的初始配置。可以使用下面的命令来启动LDAP配置向导:
sudo dpkg-reconfigure slapd
该配置向导将引导您进行LDAP服务器的初始化设置,并提示您提供许多基本设置。在设置管理员密码时一定要记住。
除此之外,您还需要配置LDAP客户端以访问LDAP服务器。下面是一些需要配置的文件和参数:
该文件包含LDAP客户端的全局配置。以下是一些配置示例:
# LDAP默认URI
URI ldap://ldap.example.com
# base DN
BASE dc=example,dc=com
# 默认协议版本
LDAP_VERSION 3
# 禁止匿名访问
SIZELIMIT 0
TIMELIMIT 0
该文件包含客户端认证设置。以下是一些配置示例:
# LDAP认证配置
uri ldap://ldap.example.com/
base dc=example,dc=com
binddn cn=admin,dc=example,dc=com
bindpw YOUR_ADMIN_PASSWORD
该文件包含了系统的开发库配置。以下是一些配置示例:
passwd: compat ldap
group: compat ldap
shadow: compat ldap
该文件包含了系统的认证设置。以下是一些配置示例:
auth [success=2 default=ignore] pam_unix.so nullok_secure
auth [success=1 default=ignore] pam_ldap.so use_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
在使用LDAP SSL绑定时,您需要专门的证书。以下是创建自签名SSL证书的步骤:
创建certificate authority
openssl req -new -x509 -extensions v3_ca -keyout ca.key \
-out ca.crt -days 3650 -subj "/C=US/ST=New York/L=Brooklyn/O=Example CA/OU=Example/CN=Root CA"
为LDAP服务器创建证书
openssl req -newkey rsa:2048 -nodes -keyout ldap.key \
-out ldap.csr -subj "/C=US/ST=New York/L=Brooklyn/O=Example/OU=Example/CN=ldap.example.com"
openssl x509 -req -in ldap.csr -CA ca.crt -CAkey ca.key \
-CAcreateserial -out ldap.crt -days 3650 \
-extensions v3_req -extfile <(cat /etc/ssl/openssl.cnf; printf "[v3_req]\nextendedKeyUsage = serverAuth\n")
配置LDAP服务器以使用证书
# 在slapd.conf中,添加以下内容:
TLSCACertificateFile /etc/ssl/ca.crt
TLSCertificateFile /etc/ssl/ldap.crt
TLSCertificateKeyFile /etc/ssl/ldap.key
到此,您已经成功安装和配置了开放式的LDAP服务器。在这里,您可以访问最基本的LDAP配置。如果您想掌握更深入的知识,请查看OpenLDAP的官方文档:http://www.openldap.org/doc/admin24/。