OpenLDAP企业应用方案-PPT认识LDAP+熟悉操作LDAP命令

Posted by Yancy on 2017-03-03

认识LDAP熟悉LDAP配置

LDAP目录中可以存储各种类型的数据:电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表,等等
但是不是关系型数据库。不象被设计成每分钟需要处理成百上千条数据变化的数据库
可以把数据“推”到远程的办公室,以增加数据的安全性
复制功能,数据库产商就会要你支付额外的费用,而且也很难管理

LDAP组织-目录树的结构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
LDAP目录中的所有记录项都有一个唯一的“Distinguished Name”
现在为公司的员工设置一个DN。可以用基于cn或uid(User ID),作为典型的用户帐号
用uid表示“User ID”,不要把它和UNIX的uid号混淆了 ,大多数公司都会给每一个员工唯一的登录名,因此用这个办法可以很好地保存员工的信息
LDIF文件格式例子:一个普通用户都要存哪些信息?
你可以用LDAP存储各种类型的数据对象,只要这些对象可以用属性来表示,下面这些是可以在LDAP中存储的一些信息:
员工信息:员工的姓名、登录名、口令、员工号、他的经理的登录名,邮件服务器,等等。
lDAP默认端口:端口为389
LDAP同步配置:
# Where to store the replica logs for database #1
#replogfile     /var/lib/ldap/master-slapd.replog
replogfile /var/lib/ldap/master-slapd.replog
replica         host=192.168.7.108:389
                binddn="cn=admin,dc=ldap,dc=monkey,dc=com,dc=de"
                bindmethod=simple credentials='password'
OpenLDAP 包在服务器上安装了很多程序:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
守护进程:
- slapd:主 LDAP 服务器
- slurpd:负责与复制 LDAP 服务器保持同步的服务器
- 对网络上的目录进行操作的客户机程序。下面这两个程序是一对儿:
- ldapadd:打开一个到 LDAP 服务器的连接,绑定、修改或增加条目
- ldapsearch:打开一个到 LDAP 服务器的连接,绑定并使用指定的参数进行搜索
- 对本地系统上的数据库进行操作的几个程序:
- slapadd:将以 LDAP 目录交换格式(LDIF)指定的条目添加到 LDAP 数据库中
- slapcat:打开 LDAP 数据库,并将对应的条目输出为 LDIF 格式
Openldap命令操作总结:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
解读配置文件:
vim /etc/openldap/slapd.conf
例子
创建用户
ldapadd -x -D "cn=Manager,dc=jollychic,dc=com" -w secret -f /root/test.ldif
ldapadd -x -D "cn=Manager,dc=jollychic,dc=com" -w secret (这样写就是在命令行添加条目)
-x 进行简单认证
-D 用来绑定服务器的DN
-w 绑定DN的密码
-b 指定要查询的根节点
-H 制定要查询的服务器
-S 提示的输入密码
-s pass 把密码设置为pass
-a pass 设置old passwd为pass
-A 提示的设置old passwd
-I 使用sasl会话方式
这样可以访问整个的活动目录结构.
ldapsearch -x -W -D "cn=Manager,dc=jollychic,dc=com" -b "dc=jollychic,dc=com"
se12pa
ldapsearch -x -W -D "uid=764,ou=users,dc=jollychic,dc=com" -b "uid=764,ou=users,dc=jollychic,dc=com"
使用简单认证,用 "ou=users,dc=jollychic,dc=com" 进行绑定,要查询的根是 "dc=jollychic,dc=com"。这样会把绑定的用户能访问"uid=764,ou=users,dc=jollychic,dc=com"下的
所有数据显示出来。
ldapdelete -x -D "cn=Manager,dc=jollychic,dc=com" -W "uid=900,ou=users,dc=jollychic,dc=com" -S
ldapmodify命令,在changetype时输入:delete
修改用户密码:
ldappasswd -x -D "cn=Manager,dc=jollychic,dc=com" -W "uid=900,ou=users,dc=jollychic,dc=com" -S
New password:
Re-enter new password:
Enter LDAP Password:
就可以更改密码了,如果原来记录中没有密码,将会自动生成一个userPassword。
##Enter LDAP password" 是 "cn=Manager,dc=jollychic,dc=com"管理员的密码.
管理员密码更改
#slappasswd
New password
Re-enter new password