📜  安装和配置开放式LDAP(1)

📅  最后修改于: 2023-12-03 15:39:06.926000             🧑  作者: Mango

安装和配置开放式LDAP

LDAP (Lightweight Directory Access Protocol) 是一种用于访问和维护分布式目录服务的协议。开放式的LDAP是一个基于开源技术的LDAP服务器,它可以被用于各种用途,比如提供集中管理用户认证信息、地址信息或者其他属性信息等。

本文将介绍如何在Linux平台上安装和配置开放式的LDAP服务器。

安装

在Debian/Ubuntu系统上安装OpenLDAP服务器,只需要运行一下命令:

sudo apt-get install slapd ldap-utils

安装过程中会提示输入管理员密码和选择一些配置项,也可以选择默认设置。

配置

在安装完成后,需要进行LDAP的初始配置。可以使用下面的命令来启动LDAP配置向导:

sudo dpkg-reconfigure slapd

该配置向导将引导您进行LDAP服务器的初始化设置,并提示您提供许多基本设置。在设置管理员密码时一定要记住。

除此之外,您还需要配置LDAP客户端以访问LDAP服务器。下面是一些需要配置的文件和参数:

/etc/ldap/ldap.conf

该文件包含LDAP客户端的全局配置。以下是一些配置示例:

# LDAP默认URI
URI ldap://ldap.example.com

# base DN
BASE dc=example,dc=com

# 默认协议版本
LDAP_VERSION 3

# 禁止匿名访问
SIZELIMIT 0
TIMELIMIT 0
/etc/ldap.conf

该文件包含客户端认证设置。以下是一些配置示例:

# LDAP认证配置
uri ldap://ldap.example.com/
base dc=example,dc=com
binddn cn=admin,dc=example,dc=com
bindpw YOUR_ADMIN_PASSWORD
/etc/nsswitch.conf

该文件包含了系统的开发库配置。以下是一些配置示例:

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap
/etc/pam.d/common-auth

该文件包含了系统的认证设置。以下是一些配置示例:

auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_ldap.so use_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so
证书

在使用LDAP SSL绑定时,您需要专门的证书。以下是创建自签名SSL证书的步骤:

  1. 创建certificate authority

    openssl req -new -x509 -extensions v3_ca -keyout ca.key \
    -out ca.crt -days 3650 -subj "/C=US/ST=New York/L=Brooklyn/O=Example CA/OU=Example/CN=Root CA"
    
  2. 为LDAP服务器创建证书

    openssl req -newkey rsa:2048 -nodes -keyout ldap.key \
    -out ldap.csr -subj "/C=US/ST=New York/L=Brooklyn/O=Example/OU=Example/CN=ldap.example.com"
    
    openssl x509 -req -in ldap.csr -CA ca.crt -CAkey ca.key \
    -CAcreateserial -out ldap.crt -days 3650 \
    -extensions v3_req -extfile <(cat /etc/ssl/openssl.cnf; printf "[v3_req]\nextendedKeyUsage = serverAuth\n")
    
  3. 配置LDAP服务器以使用证书

    # 在slapd.conf中,添加以下内容:
    TLSCACertificateFile /etc/ssl/ca.crt
    TLSCertificateFile /etc/ssl/ldap.crt
    TLSCertificateKeyFile /etc/ssl/ldap.key
    

到此,您已经成功安装和配置了开放式的LDAP服务器。在这里,您可以访问最基本的LDAP配置。如果您想掌握更深入的知识,请查看OpenLDAP的官方文档:http://www.openldap.org/doc/admin24/。

参考资料

Ubuntu官方文档

OpenLDAP官方文档