ubuntu安装ldap

Lightweight Directory Access Protocol is a protocol developed for managing users, groups access, rights in a IT environment.  There are different protocols used for authentication and authorization but LDAP is most popular and compatible protocol.

轻型目录访问协议是为管理IT环境中的用户，组访问和权限而开发的协议。 认证和授权使用不同的协议，但是LDAP是最流行且兼容的协议。

LDAP can be used to integrate Windows Active Directory with Linux and other non Windows systems. Active directory also provides LDAP services too.

LDAP可用于将Windows Active Directory与Linux和其他非Windows系统集成。 活动目录也提供LDAP服务。

In this tutorial we will look how to install, configure and test LDAP server installed on Ubuntu.

在本教程中，我们将研究如何在Ubuntu上安装，配置和测试LDAP服务器。

安装 (Install)

There are different software that implements LDAP protocol. In this tutorial we will use popular tool suite named OpenLDAP. We will install all OpenLDAP related packages with the following command.

有多种实现LDAP协议的软件。 在本教程中，我们将使用流行的工具套件OpenLDAP。 我们将使用以下命令安装所有与OpenLDAP相关的软件包。

$ sudo apt install ldap*

设置管理员密码 (Set Admin Password)

We will set password for the admin suer in LDAP directory.

我们将在LDAP目录中为admin设置密码。

验证管理员密码(Verify Admin Password)

设置LDAP URI(Set LDAP URI)

为域名设置搜索基础 (Set Search Base For Domain Name)

设定版本(Set Version)

设置密码更改PAM(Set Password Change PAM)

设置登录以检索条目 (Set Login To Retrieve Entries)

设置根或管理员帐户(Set Root or Admin Account)

LDIF文件格式(LDIF File Format)

LDAP Data Interchange Format or LDIF is a standard plain text data exchange format used mainly LDAP protocol. LDIF format is defined with RFC 2849 . LDIF is used for the following operations to provide data and configuration.

LDAP数据交换格式或LDIF是主要用于LDAP协议的标准纯文本数据交换格式。 LDIF格式由RFC 2849定义。 LDIF用于以下操作以提供数据和配置。

• Add
  加
• Modify
  修改
• Delete
  删除
• Rename
  改名

Here is simple LDIF example

这是简单的LDIF示例

 dn: cn=ismail,dc=poftut,dc=com
 ou=admin
 objectClass: organizationalRole
 cn: The Postmaster

There are some important LDIF fields. Let’s look them.

有一些重要的LDIF字段。 让我们看看它们。

dn (dn)

dn specifies distinguished name and used to indentify entry in the directory.

dn指定专有名称，并用于标识目录中的条目。

直流电 (dc)

dc specifies domain component and used to identify domain name like poftut.com which is equal

dc指定域组件，并用于识别域名，例如poftut.com

dc=poftut,dc=com

ou (ou)

ou specifies organizational unit and used for set the group. Following example specifies group admin

ou指定组织单位并用于设置组。 以下示例指定组管理员

ou=admin

cn (cn)

cn specifies common name and used to set data about dn like user name , recipe name , job title

cn指定通用名称，用于设置有关dn的数据，例如用户名，配方名，职务

LDAP配置文件(LDAP Configuration Files)

Ldap provides a lot of configurations files. But we will look most important configuration files where we will interact and change them.

Ldap提供了许多配置文件。 但是，我们将在最重要的配置文件中进行交互并进行更改。

• config.ldif is the default and main configuration file which is read and applied by ldap service. It is located at /etc/ldap/slap.d/cn=config.ldif .

  config.ldif是ldap服务读取和应用的默认主配置文件。 它位于/etc/ldap/slap.d/cn=config.ldif 。

• olcDatabase{2}bdb.ldif file is used to store form information about the domain. It is LDAP database file. This file also stores LDAP root user and the base Domain Name or DN.

  olcDatabase{2}bdb.ldif文件用于存储有关域的表单信息。 它是LDAP数据库文件。 此文件还存储LDAP根用户和基本域名或DN。

创建LDAP管理员用户 (Create LDAP Admin User)

The best practice to manage the LDAP services is creating an admin user with full permissions. In order to create admin user we need to set the user name  with DN.

管理LDAP服务的最佳实践是创建具有完全权限的admin用户。 为了创建管理员用户，我们需要使用DN设置用户名。

The admin user is specified with olcRootDN line in the configuration file named olcDatabase . We can find related olcDatabase file with grep like below.

在名为olcDatabase的配置文件中，使用olcRootDN行指定管理员用户。 我们可以使用grep找到相关的olcDatabase文件，如下所示。

$ grep -r "olcRootDN" /etc/ldap/

The database file is located at /etc/ldap/slapd.d/cn=config/olcDatabase={1}.mdb.lif this location and file may have minor changes according to your distributions and version. We change this line according to fully qualified domain name like below.

数据库文件位于/etc/ldap/slapd.d/cn=config/olcDatabase={1}.mdb.lif该位置和文件可能会根据您的发行版和版本进行较小的更改。 我们根据完全合格的域名更改此行，如下所示。

olcRootDN: cn=admin,dc=poftut,dc=com

Here our domain name is poftut.com and name admin . We need to change the olcSuffix too which is in the same file. Our new olcSuffix line is like below.

在这里，我们的域名是poftut.com ，名称是admin 。 我们也需要更改同一文件中的olcSuffix 。 我们的新olcSuffix行如下所示。

olcSuffix: dc=poftut,dc=com

设置LDAP管理员用户密码 (Set LDAP Admin User Password)

Previously we have set our user admin. Now we need to set password for this user. The password line is located in the same file with username. The password line is specified with olcRootDN .

以前，我们已将用户设置为admin。 现在我们需要为此用户设置密码。 密码行与用户名位于同一文件中。 密码行由olcRootDN指定。

As we see this value is stored as a hash so we need to convert our password into hash value. Hopefully there is a tool named slappasswd used for creating password hash values. We enter the password we want to use twice.

如我们所见，此值存储为哈希值，因此我们需要将密码转换为哈希值。 希望有一个名为slappasswd的工具可用于创建密码哈希值。 我们输入要使用两次的密码。

$ slappasswd

We add created value accordingly like below.

我们将相应添加创建的值，如下所示。

olcRootPW: {SSHA}Ru8OVQ9nCyts/LjYFj1SJ+va2f78YRmQ

验证配置文件 (Verify Configuration Files)

As configuring LDAP with text files is tedious job we can make mistakes. This mistakes generally results the LDAP services do not starts. We can check the configuration files and verify syntax before taking any serious action. We will use tool named slaptest like below.

由于使用文本文件配置LDAP是一项繁琐的工作，因此我们可能会犯错误。 此错误通常会导致LDAP服务无法启动。 在采取任何严重措施之前，我们可以检查配置文件并验证语法。 我们将使用如下所示的名为slaptest工具。

$ sudo slaptest -u

We can se the message config file testing succeeded .

我们可以确定消息config file testing succeeded 。

重新启动LDAP服务 (Restart LDAP Service)

In previous step we have set the password value. Setting password value will not effect to the LDAP configuration immediately. We need to restart the LDAP service to make new configuration effective. We restart the service with systemctl command.

在上一步中，我们设置了密码值。 设置密码值不会立即影响LDAP配置。 我们需要重新启动LDAP服务以使新配置生效。 我们使用systemctl命令重新启动服务。

$ sudo systemctl restart slapd.service

And check if it is started correctly

并检查它是否正确启动

$ sudo systemctl status slapd.service

验证LDAP搜索(Verify LDAP Search)

Now it seems everything is OK. We can check our LDAP service by sending some example queries. We will use ldapsearch command to list our domain entries as count.

现在看来一切正常。 我们可以通过发送一些示例查询来检查我们的LDAP服务。 我们将使用ldapsearch命令列出我们的域条目作为计数。

$ ldapsearch -x -b "dc=poftut,dc=com"

We can se that there are two search results

我们可以确定有两个搜索结果

翻译自: https://www.poftut.com/install-configure-test-open-ldap-server-ubuntu/

ubuntu安装ldap