OpenLDAP2.4.44安裝和配置

背景：因爲公司現有的sso（單點登陸）對應的驗證方式是訪問數據庫比較繁瑣，考慮到之後跟別的公司對接時帳號不一致，故想看看是否存在一個標準的解決方案，那麼標準的目錄協議（LDAP）出現了，用來解決sso 用戶驗證，只要之後對接的公司將對應的用戶寫入到LDAP便可。

openLDAP 經常使用名詞解釋

o– organization（組織-公司）
ou – organization unit（組織單元/部門）
c - countryName（國家）
dc - domainComponent（域名組件）
sn – suer name（真實名稱）
cn - common name（經常使用名稱）
dn - distinguished name（專有名稱）

注意事項：OpenLDAP不一樣版本之間配置不同，此文章基於OpenLDAP2.4.44，網上好多文章寫的缺胳膊少腿，下面基於實際驗證的。

OpenLDAP2.4.44安裝和配置

安裝前系統設置

一、防火牆設置
centos7.0默認防火牆爲firewalld
#中止firewall
# systemctl stop firewalld.service

#禁止firewall開機啓動
# systemctl disable firewalld.service

查看默認防火牆狀態：
# firewall-cmd --state

二、修改selinux
# vi /etc/selinux/config
將SELINUX=enforcing改成：SELINUX=disabled
# setenforce 0   或者重啓，注意敲黑板重點，以前沒有執行改命令而後致使LDAP一直啓動不成功，耗費了很長一段時間。

1、安裝OpenLDAP

一、安裝
yum install -y openldap openldap-clients openldap-servers migrationtools

二、設置OpenLDAP管理密碼。
slappasswd
New password: linux123
Re-enter new password: linux123
{SSHA}r2fcL6Exxgr8oKkaWROUQDCZKqXrH7bE

三、修改根DN與添加密碼
vi /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldif

修改內容：
olcSuffix: dc=domian,dc=com
olcRootDN: cn=root,dc=domian,dc=com
添加內容：
olcRootPW: {SSHA}r2fcL6Exxgr8oKkaWROUQDCZKqXrH7bE

備註：密碼就是{ssha}和後面的那一串，此處使用上面生成的密碼替換。

四、修改驗證
vi /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{1\}monitor.ldif

olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern
 al,cn=auth" read by dn.base="cn=root,dc=domain,dc=com" read by * none

五、配置DB數據庫
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown ldap:ldap -R /var/lib/ldap
chmod 700 -R /var/lib/ldap

六、驗證
slaptest -u
看見：config file testing succeeded  #驗證成功，不然失敗。

七、受權，若不受權啓動時或報錯，權限不足
chown ldap:ldap -R /var/run/openldap
chown -R ldap:ldap /etc/openldap/

八、啓動
systemctl start slapd
systemctl enable slapd

九、執行ldapsearch -x檢查是否有以下輸出
ldapsearch -x -b '' -s base'(objectclass=*)'

# extended LDIF
#
# LDAPv3
# base <> with scope baseObject
# filter: (objectclass=*)
# requesting: ALL
#

#
dn:
objectClass: top
objectClass: OpenLDAProotDSE

# search result
search: 2
result: 0 Success

如顯示上面信息，表示服務已經啓動成功。

2、建立管理員帳號

一、編輯ldif文件

vi base.ldif

dn: dc=domain,dc=com
o: domain com
dc: domain
objectClass: top
objectClass: dcObject
objectclass: organization

dn: cn=root,dc=domain,dc=com
cn: root
objectClass: organizationalRole
description: Directory Manager

dn: ou=People,dc=domain,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit

dn: ou=Group,dc=domain,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit

二、導入數據庫
ldapadd -x -D "cn=root,dc=domain,dc=com" -W -f base.ldif 

還能夠用LDAP ADMIN工具直接import，也是能夠的，LDAP admin（可視化工具）下載路徑見文章末尾。

三、驗證
ldapsearch -x -b 'dc=domain,dc=com' '(objectClass=*)'

3、OpenLDAP管理工具（LDAP Admin）

鏈接數據庫
點擊connect，選擇new connection

輸入Host地址，Port默認爲389（注意防火牆是否開放389端口）
Base DN處"dc=domain,dc=com"，
Mechanism選擇"Simple"，
username處輸入"cn=root,dc=domain,dc=com"，
Password處填寫相應密碼，保存密碼，
點擊"完成"即建立成功。 以下圖所示

至此就LDAP就搭建成功，LDAP Admin的下載路徑，下篇文章將介紹 cas server 如何用普通的數據庫以及LDAP進行用戶驗證。