CentOS 7 環境下 OpenLDAP 的安裝與配置

轉載https://myanbin.github.io/post/openldap-in-centos-7.htmlphp

自主研發團隊正在搭建一套基於 LDAP 統一認證的開發協做平臺(包括代碼託管服務 GitLab、私有 npm 服務 CNPM 等),以便達到用戶統一管理、統一受權的效果。在這期間,咱們閱讀和參考了許多優秀的文檔和資料,同時也遇到了一些知識瓶頸和技術難題,但最終順利地完成了該平臺搭建。所以咱們認爲有必要把這些經驗整理和彙總成一些文檔和筆記並分享出來,以使後來有須要的人蔘考使用,並踐行開源自由之精神。html

本文是該系列的第一篇,主要介紹了 LDAP 的基本概念,以及在 CentOS 7 環境下 OpenLDAP 的安裝步驟及配置,最後會介紹如何經過 phpLDAPadmin 來管理 LDAP 服務。關於 GitLab 和 CNPM 的安裝和配置,請閱讀:git

开发协作平台总体架构图

1、LDAP 基礎教程

LDAP 全稱輕量級目錄訪問協議(英文:Lightweight Directory Access Protocol),是一個運行在 TCP/IP 上的目錄訪問協議。目錄是一個特殊的數據庫,它的數據常常被查詢,可是不常常更新。其專門針對讀取、瀏覽和搜索操做進行了特定的優化。目錄通常用來包含描述性的,基於屬性的信息並支持精細複雜的過濾能力。好比 DNS 協議即是一種最被普遍使用的目錄服務。docker

LDAP 中的信息按照目錄信息樹結構組織,樹中的一個節點稱之爲條目(Entry),條目包含了該節點的屬性及屬性值。條目均可以經過識別名 dn 來全局的惟一肯定1,能夠類比於關係型數據庫中的主鍵。好比 dn 爲 uid=ada,ou=People,dc=xinhua,dc=org 的條目表示在組織中一個名字叫作 Ada Catherine 的員工,其中 uid=ada 也被稱做相對區別名 rdn。數據庫

一個條目的屬性經過 LDAP 元數據模型(Scheme)中的對象類(objectClass)所定義,下面的表格列舉了對象類 inetOrgPerson(Internet Organizational Person)中的一些必填屬性和可選屬性。npm

屬性名 是否必填 描述
cn 該條目被人所熟知的通用名(Common Name)
sn 該條目的姓氏
o 該條目所屬的組織名(Organization Name)
mobile 該條目的手機號碼
description 該條目的描述信息

下面是一個典型的 LDAP 目錄樹結構,其中每一個節點表示一個條目。在下一節中,咱們將按照這個結構來配置一個簡單的 LDAP 服務。vim

一个典型的 LDAP 目录树

2、OpenLDAP 的安裝和配置

本文中相關操做系統及依賴包的版本以下:centos

  • centos-release-7-4.1708.el7.centos.x86_64

  • gcc-4.8.5-16.el7_4.1.x86_64

  • openldap-clients-2.4.44-5.el7.x86_64

  • openldap-servers-2.4.44-5.el7.x86_64

第一步,須要切換到 root 帳號來安裝 OpenLDAP 相關程序包,並啓動服務:

[xinhua@localhost ~]$ su -
[root@localhost ~]# yum install -y openldap-servers openldap-clients
[root@localhost ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@localhost ~]# chown ldap. /var/lib/ldap/DB_CONFIG
[root@localhost ~]# systemctl enable slapd
[root@localhost ~]# systemctl start slapd

第二步,咱們使用 slappasswd 命令來生成一個密碼,並使用 LDIF(LDAP 數據交換格式)文件將其導入到 LDAP 中來配置管理員密碼:

[root@localhost ~]# slappasswdNew password: 
Re-enter new password: 
{SSHA}KS/bFZ8KTmO56khHjJvM97l7zivH1MwG
[root@localhost ~]# vim chrootpw.ldif
# specify the password generated above for "olcRootPW" section
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}KS/bFZ8KTmO56khHjJvM97l7zivH1MwG

[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"

第三步,咱們須要向 LDAP 中導入一些基本的 Schema。這些 Schema 文件位於 /etc/openldap/schema/ 目錄中,定義了咱們之後建立的條目能夠使用哪些屬性:

[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif 
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=cosine,cn=schema,cn=config"

[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif 
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=nis,cn=schema,cn=config"

[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif 
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=inetorgperson,cn=schema,cn=config"

第四步,咱們須要配置 LDAP 的頂級域(以 dc=xinhua,dc=org 爲例)及其管理域:

[root@localhost ~]# slappasswdNew password: 
Re-enter new password: 
{SSHA}z/rsbmAjVtLlWeUB0xS5itLPI0VA1akD

[root@localhost ~]# vim chdomain.ldif
# replace to your own domain name for "dc=***,dc=***" section
# specify the password generated above for "olcRootPW" section
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
  read by dn.base="cn=Manager,dc=xinhua,dc=org" read by * none

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=xinhua,dc=org

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=xinhua,dc=org

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}z/rsbmAjVtLlWeUB0xS5itLPI0VA1akD

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
  dn="cn=Manager,dc=xinhua,dc=org" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=Manager,dc=xinhua,dc=org" write by * read

[root@localhost ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif 
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"

第五步,在上述基礎上,咱們來建立一個叫作 Xinhua News Agency 的組織,並在其下建立一個 Manager 的組織角色(該角色內的用戶具備管理整個 LDAP 的權限)和 People 和 Group 兩個組織單元:

[root@localhost ~]# vim basedomain.ldif
# replace to your own domain name for "dc=***,dc=***" section
dn: dc=xinhua,dc=org
objectClass: top
objectClass: dcObject
objectclass: organization
o: Xinhua News Agency
dc: xinhua

dn: cn=Manager,dc=xinhua,dc=org
objectClass: organizationalRole
cn: Manager

dn: ou=People,dc=xinhua,dc=org
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=xinhua,dc=org
objectClass: organizationalUnit
ou: Group

[root@localhost ~]# ldapadd -x -D cn=Manager,dc=xinhua,dc=org -W -f basedomain.ldif 
Enter LDAP Password: 
# directory manager's passwordadding new entry "dc=xinhua,dc=org"
adding new entry "cn=Manager,dc=xinhua,dc=org"
adding new entry "ou=People,dc=xinhua,dc=org"
adding new entry "ou=Group,dc=xinhua,dc=org"

經過以上的全部步驟,咱們就設置好了一個 LDAP 目錄樹:其中基準 dn dc=xinhua,dc=org 是該樹的根節點,其下有一個管理域 cn=Manager,dc=xinhua,dc=org 和兩個組織單元 ou=People,dc=xinhua,dc=org 及 ou=Group,dc=xinhua,dc=org

接下來,咱們來建立一個叫做 Ada Catherine 的員工並將其分配到 Secretary 組來驗證上述配置是否生效。

[root@localhost ~]# slappasswdNew password: 
Re-enter new password: 
{SSHA}HTGqAd4p6fOOIVHm7VZYUSorWGfnrqAA

[root@localhost ~]# vim ldapuser.ldif
# create new
# replace to your own domain name for "dc=***,dc=***" section
dn: uid=ada,ou=People,dc=xinhua,dc=org
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: ada
cn: Ada Catherine
sn: Catherine
userPassword: {SSHA}HTGqAd4p6fOOIVHm7VZYUSorWGfnrqAA
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/ada

dn: cn=Secretary,ou=Group,dc=xinhua,dc=org
objectClass: posixGroup
cn: Secretary
gidNumber: 1000
memberUid: ada

[root@localhost ~]# ldapadd -x -D cn=Manager,dc=xinhua,dc=org -W -f ldapuser.ldif
Enter LDAP Password:
adding new entry "uid=ada,ou=People,dc=xinhua,dc=org"
adding new entry "cn=Secretary,ou=Group,dc=xinhua,dc=org"

咱們也能夠使用 ldapsearch 命令來查看 LDAP 目錄服務中的全部條目信息:

[root@localhost ~]# ldapsearch -x -b "dc=xinhua,dc=org" -H ldap://127.0.0.1
# extended LDIF
#
# LDAPv3
# base <dc=xinhua,dc=org> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# xinhua.orgdn: dc=xinhua,dc=org
objectClass: top
objectClass: dcObject
objectClass: organization
o: Xinhua News Agency
dc: xinhua...

若是要刪除一個條目,能夠按下面的命令操做:

[root@localhost ~]# ldapdelete -x -W -D 'cn=Manager,dc=xinhua,dc=org' "uid=ada,ou=People,dc=xinhua,dc=org"


3、使用 phpLDAPadmin 來管理 LDAP 服務

經過 LDIF 文件能夠在終端上管理起整個 LDAP,可是咱們都喜歡圖形化界面。phpLDAPadmin 正是一個能夠經過瀏覽器來管理 LDAP 服務的 Web 工具。

在安裝 phpLDAPadmin 以前,要確保服務器上已經啓動了 Apache httpd 服務及 PHP 2。準備就緒後,咱們按下面的操做來安裝和配置 phpLDAPadmin:

[root@localhost ~]# yum -y install epel-release
[root@localhost ~]# yum --enablerepo=epel -y install phpldapadmin

[root@localhost ~]# vim /etc/phpldapadmin/config.php
# line 397: uncomment, line 398: comment out
$servers->setValue('login','attr','dn');
// $servers->setValue('login','attr','uid');

[root@localhost ~]# vim /etc/httpd/conf.d/phpldapadmin.conf
Alias /phpldapadmin /usr/share/phpldapadmin/htdocs
Alias /ldapadmin /usr/share/phpldapadmin/htdocs
<Directory /usr/share/phpldapadmin/htdocs>  
<IfModule mod_authz_core.c>    
# Apache 2.4    Require local    
# line 12: add access permission ip range    
Require ip 10.0.0.0/24

[root@localhost ~]# systemctl restart httpd

安裝成功的話,在瀏覽器中訪問 http://localhost:8000/phpldapadmin/ 便會進入 phpLDAPadmin 管理頁面:

phpLDAPadmin 安装成功后的登录界面

按上面的方式進行登陸後,就能夠查看、新建、編輯和刪除 dc=xinhua,dc=org 域下的全部條目了。

4、使用 Docker 安裝 OpenLDAP 和 phpLDAPadmin

隨着容器化技術和 Docker 的快速發展,打包和部署應用程序變得更加簡單和靈活。OpenLDAP 和 phpLDAPadmin 也有本身的 Docker 鏡像,使用下面的命令,能夠快速的安裝 OpenLDAP 和 phpLDAPadmin 環境:

[root@localhost ~]# docker run --name ldap_core -p 389:389 -p 636:636 --env LDAP_ORGANISATION="XINHUA.IO" --env LDAP_DOMAIN="xinhua.io" --env LDAP_ADMIN_PASSWORD="Passw0rd" --detach osixia/openldap
[root@localhost ~]# docker run --name ldap_web -p 80:80 -p 443:443 --link ldap_core:ldap_core --env PHPLDAPADMIN_


在生產環境中,咱們使用 Docker 的方式來部署 OpenLDAP。

5、參考資料

  1. 每個 LDAP 條目的區別名 dn 都是由兩個部分組成的:相對區別名 rdn 以及該條目在 LDAP 目錄中的位置。 

  2. 關於如何安裝這兩個服務,請參考 Install and start Apache httpd 和 Install PHP。 

相關文章
相關標籤/搜索