linux ldap配置,LDAP服務的配置與應用,如何配置ldap,如何配置ldap服務器���,linux ldap配置詳解
LDAP服務的配置與應用
本節(jié)關鍵字:linux ldap配置,LDAP服務的配置與應用,如何配置ldap,如何配置ldap服務器
一.目錄服務概述
(一).X.500簡介
X.500由ITU-T和ISO定義����,它實際上不是一個協(xié)議�,它是由一個協(xié)議族組成的����,包括了從X.501到X.525等一系列非常完整的目錄服務。
X.500主要具備以下特征��。
分散維護:運行X.500的每個站點只負責其本地目錄部分���,所以可以立即進行更新和維護操作�。
強大的搜索性能:X.500具有強大的搜索功能,支持用戶建立的任意復雜查詢�。
單一全局命名空間:類似于DNS,X.500為用戶提供單一同性命名空間(Single Homogeneous Namespace)����。與DNS相比,X.500的命名空間更靈活且易于擴展�。
結(jié)構(gòu)化信息結(jié)構(gòu):X.500目錄中定義了信息結(jié)構(gòu),允許本地擴展���。
基于標準的目錄服務:由于X.500可以被用于建立一個基于標準的目錄���,因此在某種意義上,請求應用目錄信息(電子郵件��、資源自動分配器���、特定目錄工具)的應用程序就能訪問重要且有價值的信息�。
(二).LDAP簡介
LDAP是X.500標準中的目錄訪問協(xié)議DAP的一個子集�����,可用于建立X.500目錄。因此這兩個目錄服務技術(shù)標準有著許多的共同之處�,即在平臺上,都實現(xiàn)了一個通用的平臺結(jié)構(gòu)�,提供了一個操作系統(tǒng)和應用程序需要的信息服務類型,可以被許多平臺和應用程序接收和實現(xiàn)����;在信息模型上,都使用了項�、對象類、屬性等概念和模式來描述信息�����;在命名空間方面����,都使用了目錄信息樹結(jié)構(gòu)和層次命名模型;在功能模型上�,都使用了相似的操作命令來管理目錄信息���;在認證框架方面���,都可以實現(xiàn)用戶名稱和密碼���,或者基于安全加密方式的認證機制;在靈活性上�,它們的目錄規(guī)模都可大可小,大到全球目錄樹���,小到只有一臺目錄服務器���;在分布性方面,目錄信息都可以分布在多個目錄服務器中�����,這些服務器可以由各組織管理��,既保證了目錄信息總體結(jié)構(gòu)的一致性�,又滿足了分級管理的需要。
LDAP具有下列特點:
LDAP是一個跨平臺的�、標準的協(xié)議,得到了業(yè)界廣泛的認可����;
LDAP服務器可以使用基于“推”或“拉”的技術(shù),用簡單的或基于安全證書的安全認證����,復制部分或全部數(shù)據(jù)�����,既保證了數(shù)據(jù)的安全性��,又提高了數(shù)據(jù)的訪問效率���;
LDAP是一個安全的協(xié)議,LDAP v3支持SASL(Simple Authentication and Security Layer)�、SSL(Secure Socket Layer)和TLS(Transport Layer Security),使用認證來確保事務的安全�,另外,LDAP提供了不同層次的訪問控制����,以限制不同用戶的訪問權(quán)限;
支持異類數(shù)據(jù)存儲�����,LDAP存儲的數(shù)據(jù)可以是文本資料�����、二進制圖片等�;
大多數(shù)的LDAP服務器安裝簡單,也容易維護和優(yōu)化�����。
(三).LDAP與X.500的比較
LDAP基于Internet協(xié)議����,X.500基于OSI(開放式系統(tǒng)互聯(lián))協(xié)議,建立在應用層上的X.500目錄訪問協(xié)議DAP�,需要在OSI會話層和表示層上進行許多的建立連接和包處理的任務,需要特殊的網(wǎng)絡軟件實現(xiàn)對網(wǎng)絡的訪問��;LDAP則直接運行在更簡單和更通用的TCP/IP或其他可靠的傳輸協(xié)議層上���,避免了在OSI會話和表示層的開銷�����,使連接的建立和包的處理更簡單����、更快,對于互聯(lián)網(wǎng)和企業(yè)網(wǎng)應用更理想���。
LDAP協(xié)議更為簡單���,LDAP繼承了X.500最好的特性,同時去掉了它的復雜性����。LDAP通過使用查找操作實現(xiàn)列表操作和讀操作,另一方面省去了X.500中深奧的和很少使用的服務控制和安全特性�����,只保留常用的特性���,簡化了LDAP的實現(xiàn)���。
LDAP通過引用機制實現(xiàn)分布式訪問,X.500 DSA通過服務器之間的鏈操作實現(xiàn)分布式的訪問����,這樣查詢的壓力集中于服務器端;而LDAP通過客戶端API實現(xiàn)分布式操作(對于應用透明)平衡了負載�。
LDAP實現(xiàn)具有低費用�����、易配置和易管理的特點。經(jīng)過性能測試�����,LDAP比X.500具有更少的響應時間��;LDAP提供了滿足應用程序?qū)δ夸浄账枨蟮奶匦浴?BR>(四).流行的目錄服務產(chǎn)品
1.NDS(Novell Directory Services)
2.Microsoft Active Directory(活動目錄)
3.OpenLDAP
二.LDAP基礎
(一).LDAP的4種基本模型
1.信息模型
2.命名模型
3.功能模型
在LDAP中共有4類操作(共10種):
(1)查詢類操作����,如搜索、比較�;
(2)更新類操作,如添加條目�����、刪除條目�、修改條目和修改條目名;
(3)認證類操作�����,如綁定、解綁定��;
(4)其他操作��,如放棄和擴展操作�����。
4.安全模型
(1)無認證
(2)基本認證
(3)SASL認證
(二).LDAP存儲結(jié)構(gòu)
一棵目錄信息樹由若干條目(Entry)組成���,每個條目有惟一的標識名DN(Distinguished Name)��,條目可以描述用戶賬號�����、打印機和計算機等對象�����。
一個條目是一個對象�,每個條目由多個“屬性(Attribute)”組成��,每個屬性由一個類型和一個到多個值組成 ,每個屬性可以對應一個或多個“值(Value)”�,如聯(lián)系電話屬性可以包含有多個值 �。
(三).LDAP的基本概念
LDAP目錄服務器是通過目錄數(shù)據(jù)庫來存儲網(wǎng)絡信息以提供目錄服務的����。為了方便用戶迅速查找和定位信息,目錄數(shù)據(jù)庫是以目錄信息樹(Directory nformation Tree��,縮寫為DIT)為存儲方式的樹型存儲結(jié)構(gòu)����,目錄信息樹及其相關概念構(gòu)成了LDAP協(xié)議的信息模型 �。
(四).規(guī)劃目錄樹
要實現(xiàn)LDAP,第一步就是規(guī)劃目錄樹����,規(guī)劃一個靈活且易于擴展的目錄樹非常重要,它可以減少后期維護目錄樹的工作量���。
(五).LDAP服務的應用領域
LDAP的應用主要涉及以下幾種類型��。
信息安全類:數(shù)字證書管理���、授權(quán)管理、單點登錄���。
科學計算類:DCE(Distributed Computing Environment����,分布式計算環(huán)境)、UDDI(Universal Description���,Discovery and Integration���,統(tǒng)一描述、發(fā)現(xiàn)和集成協(xié)議)��。
網(wǎng)絡資源管理類:MAIL系統(tǒng)��、DNS系統(tǒng)���、網(wǎng)絡用戶管理��、電話號碼簿�。
電子政務資源管理類:內(nèi)網(wǎng)組織信息服務����、電子政務目錄體系、人口基礎庫�、法人基礎庫�。
三.LDAP服務的安裝
(一).Berkeley DB數(shù)據(jù)庫的安裝
1.下載BDB
2.安裝BDB
(1)編譯安裝BDB
BDB的安裝方法比較簡單���,使用以下命令編譯安裝�����。
tar zxvf db-4.6.18.tar.gz
cd db-4.6.18/build_unix
../dist/configure
make
make install
(2)配置系統(tǒng)動態(tài)鏈接庫的路徑
① 編輯系統(tǒng)動態(tài)鏈接庫的配置文件/etc/ld.so.conf����,在文件的末尾加入如下語句���。
/usr/local/BerkeleyDB.4.6/lib
②使用以下命令刷新系統(tǒng)動態(tài)鏈接庫緩存,如圖13-11所示�����。
/sbin/ldconfig
(二).OpenLDAP的安裝
1.下載OpenLDAP
2.安裝OpenLDAP
OpenLDAP的安裝方法比較簡單���,可使用以下命令編譯安裝��。
tar zxvf openldap-stable-20070110.tgz
cd openldap-2.3.32
env CPPFLAGS="-I/usr/local/BerkeleyDB.4.6/include" LDFLAGS="-L/usr/local/BerkeleyDB.4.6/lib" ./configure --prefix=/usr/local/openldap --enable-bdb
make depend
make
make test
make install
四.初始化OpenLDAP
(一).OpenLDAP的基本配置
1.設置LDAP使用的Schema
Schema(模式)定義了LDAP中的對象類型���、屬性���、語法和匹配規(guī)則等,如用戶的電子郵件����、聯(lián)系地址和聯(lián)系電話等屬性,它類似于關系數(shù)據(jù)庫中的表結(jié)構(gòu)����。
找到語句:
include /usr/local/openldap/etc/openldap/schema/core.schema
在該語句的后面添加以下語句。
include /usr/local/openldap/etc/openldap/schema/corba.schema
include /usr/local/openldap/etc/openldap/schema/cosine.schema
include /usr/local/openldap/etc/openldap/schema/dyngroup.schema
include /usr/local/openldap/etc/openldap/schema/inetorgperson.schema
include /usr/local/openldap/etc/openldap/schema/java.schema
include /usr/local/openldap/etc/openldap/schema/misc.schema
include /usr/local/openldap/etc/openldap/schema/nis.schema
include /usr/local/openldap/etc/openldap/schema/openldap.schema
2.設置目錄樹的后綴
找到語句:
suffix "dc=my-domain,dc=com"
將其改為:
suffix "dc=example,dc=com"
3.該語句設置LDAP管理員的DN
找到語句:
rootdn "cn=Manager,dc=my-domain,dc=com"
將其改為:
rootdn "cn=Manager,dc=example,dc=com"
4.設置LDAP管理員的口令
找到語句:
rootpw secret
將其改為:
rootpw {SSHA}NXV9Fl28qCHMmA6P sjhVX0uejTKE6OYr
(二).啟動OpenLDAP服務器
啟動OpenLDAP服務器����,應執(zhí)行以下命令:
/usr/local/openldap/libexec/slapd
為了確保slapd進程已經(jīng)啟動,應執(zhí)行以下命令:
pstree|grep "slapd"
如果出現(xiàn)“|-slapd”���,則表示slapd進程已經(jīng)成功啟動
(三).建立初始化數(shù)據(jù)
① 建立LDIF文件��。使用vi等文本編輯工具建立名為example.ldif的文件��,內(nèi)容如下:
dn:dc=example,dc=com
objectclass:dcObject
objectclass:organization
o:Example, Inc.
dc:example
dn:cn=Manager,dc=example,dc=com
objectclass:organizationalRole
cn:Manager
② 執(zhí)行以下命令導入數(shù)據(jù)���。
/usr/local/openldap/bin/ldapadd -x -W -D "cn=Manager,dc=example,dc=com" -f example.ldif
命令執(zhí)行輸入LDAP管理員的口令
五.phpLDAPadmin的安裝
(一).安裝Apache服務
由于基于Web界面的LDAP客戶端軟件phpLDAPadmin使用PHP編寫而成,因此在使用前應安裝Apache服務器并建立好PHP的運行環(huán)境。由于phpLDAPadmin支持中文管理界面����,因此還要將Apache的默認字符集設置為中文(Apache服務具體的安裝和配置方法參見本書第7 章Web服務的配置與應用)。
(二).下載phpLDAPadmin
使用Web瀏覽器訪問http://prdownloads./phpldapadmin/處下載 phpLDAPadmin最新的穩(wěn)定版 ��。
(三).安裝phpLDAPadmin
安裝phpLDAPadmin的具體步驟如下���。
① 使用下面的命令解壓安裝包�����。
tar zxvf phpldapadmin-0.9.8.4.tar.gz
② 使用下面的命令進入解壓目錄���。
cp -a phpldapadmin-0.9.8.4 /usr/local/phpldapadmin
(四).配置Apache服務
1.加入用戶認證功能
2.建立虛擬目錄
在Apache的主配置文件httpd.conf中加入以下語句建立虛擬目錄。
Alias /phpldapadmin "/usr/local/phpldapadmin"
<Directory "/usr/local/phpldapadmin">
AuthType Basic
AuthName "Please Login to phpldapadmin"
AuthUserFile /etc/httpd/php_ldap_admin_pwd
Require user admin
</Directory>
六.配置phpLDAPadmin
(一).生成phpLDAPadmin主配置文件
phpLDAPadmin的主配置文件是/usr/local/phpldapadmin/config /config.php.example�����,phpLDAPadmin提供了一個默認的例子文件config.php.example���,使用以下的命令可生成phpLDAPadmin主配置文件。
cp /usr/local/phpldapadmin/config/config.php.example /usr/local/phpldapadmin/config/config.php
(二).配置phpLDAPadmin使用中文
① 編輯文件/usr/local/phpldapadmin/config/config.php�����,修改語句:
// $config->custom->appearance['language'] = 'auto';
將“//”注釋符號去處,并將語句改為:
$config-> custom->appearance['language'] = 'zh_CN';
② 使用下列的命令轉(zhuǎn)換phpLDAPadmin語言文件的編碼�。
iconv -f gbk -t utf8 /usr/local/phpldapadmin/locale/zh_CN/LC_MESSAGES/messages.po/usr/local/phpldapadmin/locale/zh_CN/LC_MESSAGES/messages.new.po
msgfmt -o /usr/local/phpldapadmin/locale/zh_CN/LC_MESSAGES/messages.mo /usr/ local/phpldapadmin/locale/zh_CN/LC_MESSAGES/messages.new.po
(三).配置phpLDAPadmin
(1)設置口令加密字符串
找到語句:
$config->custom->session['blowfish'] = ' ';
將其改為:
$config->custom- >session['blowfish'] = 'welcome';
(2)設置LDAP服務器的地址
找到語句:
$ldapservers->SetValue($i,'server','host','127.0.0.1');將其改為LDAP服務器對應的名稱和IP地址。
(3)設置目錄樹的基準DN
找到語句:
$queries[$q]['base'] = 'dc=example,dc=com';根據(jù)實際將其改為目錄樹的基準DN�。
(4)設置LDAP服務器管理員的DN
找到語句:
$ldapservers->SetValue($i,'login','dn','cn=Manager,dc=example,dc=com');根據(jù)實際將其改為LDAP服務器管理員的DN。
(5)設置LDAP服務器管理員的口令
找到語句:
$ldapservers->SetValue($i,'login','pass','');
確保其口令為空����。
(6)設置用戶認證方式
phpLDAPadmin提供了cookie、session和config這3種認證方式找到語句:
$ldapservers->SetValue($i,'server','auth_type','cookie');
確保其認證方式為cookie��。
七.使用phpLDAPadmin管理目錄樹
(一).登錄phpLDAPadmin
啟動Apache服務���,然后使用瀏覽器訪問http://Linux服務器的IP或域名/phpldapadmin/��,輸入用戶名為“admin”和口令后即可進入phpLDAPadmin的管理主頁面 �。
(二).創(chuàng)建OU
(三).創(chuàng)建用戶組
(四).創(chuàng)建用戶賬號
八.LDAP服務的身份驗證實例
(一).Linux系統(tǒng)用戶驗證
1.安裝相關軟件
(1)安裝nss_ldap軟件
(2)安裝openldap-client軟件
2.關閉SELinux
3.設置使用LDAP進行用戶認證
(二).FTP用戶驗證
① 確認已經(jīng)安裝Red Hat Enterprise Linux 4 Update 1第4張安裝光盤/RedHat/RPMS目錄下的openldap-clients-2.2.13-2.i386.rpm的RPM包����。
② 安裝好pure-ftpd服務器并確認安裝編譯pure-ftpd時在./configure腳本命令行上加入“--with-ldap”參數(shù)(pure-ftpd具體的安裝和配置方法參見本書第8章 FTP服務的配置與應用)。
③ 進入pure-ftpd源文件解壓后的目錄����,編輯配置文件pureftpd-ldap.conf并進行以下操作。
修改語句“LDAPServer ldap.c9x.org”為“LDAPServer 192.168.16.177”。
修改語句“LDAPBaseDN cn=Users,dc=c9x,dc=org”為“LDAPBaseDN dc=xyz,dc=com”����。
修改語句“LDAPBindDN cn=Manager,dc=c9x,dc=org”為“LDAPBindDN cn=Manager,dc=example,dc=com”。
修改語句“LDAPBindPW r00tPaSsw0rD”為“LDAPBindPW helloldap”��。
④ 使用以下命令將文件pureftpd-ldap.conf復制到/etc目錄中���。
cp pureftpd-ldap.conf /etc
⑤ 編輯pure-ftpd的主配置文件/etc/pure-ftpd.conf�,找到語句“# LDAPConfigFile /etc/pureftpd-ldap.conf”�����,將該語句前的“#”號刪掉����。
⑥ 重新啟動pure-ftpd服務后即可使用在LDAP服務器建立的用戶登錄FTP。
(三).Web用戶驗證
① 確認已經(jīng)安裝Red Hat Enterprise Linux 4 Update 1第4張安裝光盤/RedHat/RPMS目錄下的openldap-clients-2.2.13-2.i386.rpm的RPM包���。
② 編輯Apache的主配置文件httpd.conf����,添加如下語句(本例是對private目錄進行用戶驗證)�����。
Alias /mysecret "/usr/local/mysecret"
<Directory /usr/local/mysecret>
AuthType Basic
AuthName "Please Login:"
AuthLDAPURL "ldap://192.168.16.177/dc=example,dc=com"
require valid-user
</Directory>
③ 重新啟動Apache服務 ����。
