LDIF修改ldap記錄或配置示例

能夠說LDIF文件是OpenLDAP操做數據或修改配置的一切來源，下面是實際經過客戶端工具操做的具體示例。（openldap安裝及配置過程見這裏）。

1. 添加組織或條目

建立一個Marketing部門，添加一個dn記錄：

# cat add_entry.ldif
dn: ou=Marketing, dc=example,dc=com
changetype: add
objectclass: top
objectclass: organizationalUnit
ou: Marketing

dn: cn=Pete Minsky,ou=Marketing,dc=example,dc=com
changetype: add
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Pete Minsky
sn: Pete
ou: Marketing
description: sb, sx
description: sx
uid: pminsky

# ldapmodify -xWD 'cn=admin,dc=example,dc=com' -f add_entry.ldif

或去掉changetype後
# ldapmodify -a -xWD 'cn=admin,dc=example,dc=com' -f add_entry.ldif
# ldapadd -xWD 'cn=admin,dc=example,dc=com' -f add.ldif

2. 修改組織或條目

添加mail屬性，修改sn的值，刪除一個description屬性：

# cat modify_entry.ldif
dn: cn=Pete Minsky,ou=Marketing,dc=example,dc=com
changetype: modify
add: mail
mail: pminsky@example.com
-
replace: sn
sn: Minsky
-
delete: description
description: sx

# ldapmodify -xWD 'cn=admin,dc=example,dc=com' -f modify_entry.ldif
# ldapsearch -xD 'cn=admin,dc=mydomain,dc=net' -b 'ou=People,dc=mydomain,dc=net' -s sub 'objectclass=*' -w mydomain -LLL

3. 重命名條目

dn: cn=Pete Minsky,ou=Marketing,dc=example,dc=com
changetype: modrdn
newrdn: cn=Susan Jacobs
deleteoldrdn: 1

modrdn只容許修改dn最左邊的部分，且不能重命名帶葉子或分支的子樹，若是要將一個用戶移動到另外一個部門下，只能在新部門建立dn，而後刪除舊的dn。

4. 刪除組織或條目

LDAP協議只能刪除無分支的葉子dn：

# cat delete_entry.ldif
dn: cn=Susan Jacobs,ou=Marketing,dc=example,dc=com
changetype: delete

或
# ldapdelete -xWD "cn=admin,dc=example,dc=com" -h localhost -p 389 "cn=Susan Jacobs,ou=Marketing,dc=example,dc=com"

5. LDIF配置backend

OpenLDAP的配置採用以cn=config爲根的目錄樹的形式組織起來，採用config做爲database，默認狀況下包括admin或root用戶都沒有訪問權限，須要賦予讀寫權限，然而賦予修改權限要求首先要提供認證信息，初始化安裝後的cn=config是沒有credentials

# ldapmodify -Y EXTERNAL -H ldapi:/// -f modify_config.ldif 
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"
ldap_modify: Insufficient access (50)

因此這裏不得不手動編輯olcDatabase={0}config.ldif文件，得到最初認證權限（雖然官方不推薦手動修改配置）：

# vi /etc/ldap/slapd.d/cn\=config/olcDatabase\=\{0\}config.ldif
olcRootPW: {SSHA}your_slappasswd_secret

重啓slapd後(不是說不用重啓嗎)即可以修改config：

# ldapwhoami -x -D cn=config -W 

修改示例：
# ldapmodify -xWD 'cn=config' 
Enter LDAP Password: 
dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=config 
-
replace: olcRootPW
olcRootPW: {SSHA}your_slappasswd_secret

modifying entry "olcDatabase={0}config,cn=config"

在/etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif中olcRootDN變成base64加密後的值（兩個":"）。

最後，若是要在slapd服務未啓動的狀況下修改配置能夠經過如下命令轉換成ldif中間文件：

# slapcat -n0 -F /etc/ldap/slapd.d/ > /tmp/config-in-portable-format.ldif
編輯ldif文件後，從新shengc slapd.d目錄
# slapadd -n0 -F /tmp/slapd.d -l /tmp/config-in-portable-format.ldif

使用這類命令行工具備助於對 LDAP concept 理解，若是要達到快速配置的效果，可使用 ldapbrowser 或 Apache Directory Studio 圖形化工具，特別是 Apache Directory Studio 不只提供了 LDAP Browser/Editor 的功能，還能編輯LDIF文件和自定義schema，智能提示很是友好。

參考

• Chapter 6.1.1: OpenLDAP using OLC (cn=config)
• LDIF Tutorial: slapd.conf

---

原文連接地址：http://seanlook.com/2015/01/22/openldap_ldif_example/