轉載https://myanbin.github.io/post/openldap-in-centos-7.htmlphp
自主研發團隊正在搭建一套基於 LDAP 統一認證的開發協做平臺(包括代碼託管服務 GitLab、私有 npm 服務 CNPM 等),以便達到用戶統一管理、統一受權的效果。在這期間,咱們閱讀和參考了許多優秀的文檔和資料,同時也遇到了一些知識瓶頸和技術難題,但最終順利地完成了該平臺搭建。所以咱們認爲有必要把這些經驗整理和彙總成一些文檔和筆記並分享出來,以使後來有須要的人蔘考使用,並踐行開源自由之精神。html
本文是該系列的第一篇,主要介紹了 LDAP 的基本概念,以及在 CentOS 7 環境下 OpenLDAP 的安裝步驟及配置,最後會介紹如何經過 phpLDAPadmin 來管理 LDAP 服務。關於 GitLab 和 CNPM 的安裝和配置,請閱讀:git
LDAP 全稱輕量級目錄訪問協議(英文:Lightweight Directory Access Protocol),是一個運行在 TCP/IP 上的目錄訪問協議。目錄是一個特殊的數據庫,它的數據常常被查詢,可是不常常更新。其專門針對讀取、瀏覽和搜索操做進行了特定的優化。目錄通常用來包含描述性的,基於屬性的信息並支持精細複雜的過濾能力。好比 DNS 協議即是一種最被普遍使用的目錄服務。docker
LDAP 中的信息按照目錄信息樹結構組織,樹中的一個節點稱之爲條目(Entry),條目包含了該節點的屬性及屬性值。條目均可以經過識別名 dn 來全局的惟一肯定1,能夠類比於關係型數據庫中的主鍵。好比 dn 爲 uid=ada,ou=People,dc=xinhua,dc=org
的條目表示在組織中一個名字叫作 Ada Catherine 的員工,其中 uid=ada
也被稱做相對區別名 rdn。數據庫
一個條目的屬性經過 LDAP 元數據模型(Scheme)中的對象類(objectClass)所定義,下面的表格列舉了對象類 inetOrgPerson(Internet Organizational Person)中的一些必填屬性和可選屬性。npm
屬性名 | 是否必填 | 描述 |
---|---|---|
cn |
是 | 該條目被人所熟知的通用名(Common Name) |
sn |
是 | 該條目的姓氏 |
o |
否 | 該條目所屬的組織名(Organization Name) |
mobile |
否 | 該條目的手機號碼 |
description |
否 | 該條目的描述信息 |
下面是一個典型的 LDAP 目錄樹結構,其中每一個節點表示一個條目。在下一節中,咱們將按照這個結構來配置一個簡單的 LDAP 服務。vim
本文中相關操做系統及依賴包的版本以下:centos
centos-release-7-4.1708.el7.centos.x86_64
gcc-4.8.5-16.el7_4.1.x86_64
openldap-clients-2.4.44-5.el7.x86_64
openldap-servers-2.4.44-5.el7.x86_64
第一步,須要切換到 root 帳號來安裝 OpenLDAP 相關程序包,並啓動服務:
[xinhua@localhost ~]$ su - [root@localhost ~]# yum install -y openldap-servers openldap-clients [root@localhost ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG [root@localhost ~]# chown ldap. /var/lib/ldap/DB_CONFIG [root@localhost ~]# systemctl enable slapd [root@localhost ~]# systemctl start slapd
第二步,咱們使用 slappasswd
命令來生成一個密碼,並使用 LDIF(LDAP 數據交換格式)文件將其導入到 LDAP 中來配置管理員密碼:
[root@localhost ~]# slappasswdNew password: Re-enter new password: {SSHA}KS/bFZ8KTmO56khHjJvM97l7zivH1MwG [root@localhost ~]# vim chrootpw.ldif # specify the password generated above for "olcRootPW" section dn: olcDatabase={0}config,cn=config changetype: modify add: olcRootPW olcRootPW: {SSHA}KS/bFZ8KTmO56khHjJvM97l7zivH1MwG [root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 modifying entry "olcDatabase={0}config,cn=config"
第三步,咱們須要向 LDAP 中導入一些基本的 Schema。這些 Schema 文件位於 /etc/openldap/schema/
目錄中,定義了咱們之後建立的條目能夠使用哪些屬性:
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=cosine,cn=schema,cn=config" [root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=nis,cn=schema,cn=config" [root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "cn=inetorgperson,cn=schema,cn=config"
第四步,咱們須要配置 LDAP 的頂級域(以 dc=xinhua,dc=org
爲例)及其管理域:
[root@localhost ~]# slappasswdNew password: Re-enter new password: {SSHA}z/rsbmAjVtLlWeUB0xS5itLPI0VA1akD [root@localhost ~]# vim chdomain.ldif # replace to your own domain name for "dc=***,dc=***" section # specify the password generated above for "olcRootPW" section dn: olcDatabase={1}monitor,cn=config changetype: modify replace: olcAccess olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=xinhua,dc=org" read by * none dn: olcDatabase={2}hdb,cn=config changetype: modify replace: olcSuffix olcSuffix: dc=xinhua,dc=org dn: olcDatabase={2}hdb,cn=config changetype: modify replace: olcRootDN olcRootDN: cn=Manager,dc=xinhua,dc=org dn: olcDatabase={2}hdb,cn=config changetype: modify add: olcRootPW olcRootPW: {SSHA}z/rsbmAjVtLlWeUB0xS5itLPI0VA1akD dn: olcDatabase={2}hdb,cn=config changetype: modify add: olcAccess olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=Manager,dc=xinhua,dc=org" write by anonymous auth by self write by * none olcAccess: {1}to dn.base="" by * read olcAccess: {2}to * by dn="cn=Manager,dc=xinhua,dc=org" write by * read [root@localhost ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 modifying entry "olcDatabase={1}monitor,cn=config" modifying entry "olcDatabase={2}hdb,cn=config" modifying entry "olcDatabase={2}hdb,cn=config" modifying entry "olcDatabase={2}hdb,cn=config"
第五步,在上述基礎上,咱們來建立一個叫作 Xinhua News Agency 的組織,並在其下建立一個 Manager 的組織角色(該角色內的用戶具備管理整個 LDAP 的權限)和 People 和 Group 兩個組織單元:
[root@localhost ~]# vim basedomain.ldif # replace to your own domain name for "dc=***,dc=***" section dn: dc=xinhua,dc=org objectClass: top objectClass: dcObject objectclass: organization o: Xinhua News Agency dc: xinhua dn: cn=Manager,dc=xinhua,dc=org objectClass: organizationalRole cn: Manager dn: ou=People,dc=xinhua,dc=org objectClass: organizationalUnit ou: People dn: ou=Group,dc=xinhua,dc=org objectClass: organizationalUnit ou: Group [root@localhost ~]# ldapadd -x -D cn=Manager,dc=xinhua,dc=org -W -f basedomain.ldif Enter LDAP Password: # directory manager's passwordadding new entry "dc=xinhua,dc=org" adding new entry "cn=Manager,dc=xinhua,dc=org" adding new entry "ou=People,dc=xinhua,dc=org" adding new entry "ou=Group,dc=xinhua,dc=org"
經過以上的全部步驟,咱們就設置好了一個 LDAP 目錄樹:其中基準 dn dc=xinhua,dc=org
是該樹的根節點,其下有一個管理域 cn=Manager,dc=xinhua,dc=org
和兩個組織單元 ou=People,dc=xinhua,dc=org
及 ou=Group,dc=xinhua,dc=org
。
接下來,咱們來建立一個叫做 Ada Catherine 的員工並將其分配到 Secretary 組來驗證上述配置是否生效。
[root@localhost ~]# slappasswdNew password: Re-enter new password: {SSHA}HTGqAd4p6fOOIVHm7VZYUSorWGfnrqAA [root@localhost ~]# vim ldapuser.ldif # create new # replace to your own domain name for "dc=***,dc=***" section dn: uid=ada,ou=People,dc=xinhua,dc=org objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: ada cn: Ada Catherine sn: Catherine userPassword: {SSHA}HTGqAd4p6fOOIVHm7VZYUSorWGfnrqAA loginShell: /bin/bash uidNumber: 1000 gidNumber: 1000 homeDirectory: /home/users/ada dn: cn=Secretary,ou=Group,dc=xinhua,dc=org objectClass: posixGroup cn: Secretary gidNumber: 1000 memberUid: ada [root@localhost ~]# ldapadd -x -D cn=Manager,dc=xinhua,dc=org -W -f ldapuser.ldif Enter LDAP Password: adding new entry "uid=ada,ou=People,dc=xinhua,dc=org" adding new entry "cn=Secretary,ou=Group,dc=xinhua,dc=org"
咱們也能夠使用 ldapsearch
命令來查看 LDAP 目錄服務中的全部條目信息:
[root@localhost ~]# ldapsearch -x -b "dc=xinhua,dc=org" -H ldap://127.0.0.1 # extended LDIF # # LDAPv3 # base <dc=xinhua,dc=org> with scope subtree # filter: (objectclass=*) # requesting: ALL # # xinhua.orgdn: dc=xinhua,dc=org objectClass: top objectClass: dcObject objectClass: organization o: Xinhua News Agency dc: xinhua...
若是要刪除一個條目,能夠按下面的命令操做:
[root@localhost ~]# ldapdelete -x -W -D 'cn=Manager,dc=xinhua,dc=org' "uid=ada,ou=People,dc=xinhua,dc=org"
經過 LDIF 文件能夠在終端上管理起整個 LDAP,可是咱們都喜歡圖形化界面。phpLDAPadmin 正是一個能夠經過瀏覽器來管理 LDAP 服務的 Web 工具。
在安裝 phpLDAPadmin 以前,要確保服務器上已經啓動了 Apache httpd 服務及 PHP 2。準備就緒後,咱們按下面的操做來安裝和配置 phpLDAPadmin:
[root@localhost ~]# yum -y install epel-release [root@localhost ~]# yum --enablerepo=epel -y install phpldapadmin [root@localhost ~]# vim /etc/phpldapadmin/config.php # line 397: uncomment, line 398: comment out $servers->setValue('login','attr','dn'); // $servers->setValue('login','attr','uid'); [root@localhost ~]# vim /etc/httpd/conf.d/phpldapadmin.conf Alias /phpldapadmin /usr/share/phpldapadmin/htdocs Alias /ldapadmin /usr/share/phpldapadmin/htdocs <Directory /usr/share/phpldapadmin/htdocs> <IfModule mod_authz_core.c> # Apache 2.4 Require local # line 12: add access permission ip range Require ip 10.0.0.0/24 [root@localhost ~]# systemctl restart httpd
安裝成功的話,在瀏覽器中訪問 http://localhost:8000/phpldapadmin/
便會進入 phpLDAPadmin 管理頁面:
按上面的方式進行登陸後,就能夠查看、新建、編輯和刪除 dc=xinhua,dc=org
域下的全部條目了。
隨着容器化技術和 Docker 的快速發展,打包和部署應用程序變得更加簡單和靈活。OpenLDAP 和 phpLDAPadmin 也有本身的 Docker 鏡像,使用下面的命令,能夠快速的安裝 OpenLDAP 和 phpLDAPadmin 環境:
[root@localhost ~]# docker run --name ldap_core -p 389:389 -p 636:636 --env LDAP_ORGANISATION="XINHUA.IO" --env LDAP_DOMAIN="xinhua.io" --env LDAP_ADMIN_PASSWORD="Passw0rd" --detach osixia/openldap [root@localhost ~]# docker run --name ldap_web -p 80:80 -p 443:443 --link ldap_core:ldap_core --env PHPLDAPADMIN_
在生產環境中,咱們使用 Docker 的方式來部署 OpenLDAP。
每個 LDAP 條目的區別名 dn 都是由兩個部分組成的:相對區別名 rdn 以及該條目在 LDAP 目錄中的位置。 ↩
關於如何安裝這兩個服務,請參考 Install and start Apache httpd 和 Install PHP。 ↩