简介

OpenLDAP是轻型目录访问协议(Lightweight Directory Access Protocol，LDAP)的缩写， OpenLDAP的开源并已经被包含在众多流行的Linux发行版中。

LDAP 其实是一种目录服务, 类似于我们在文件系统中所使用的目录, 类似于我们查询电话号码使用的电话号码簿, 也类似于你在花园中所看到的树木。一句话：数据集中存放，方便使用和管理

LDAP目录树

目录服务是一种在分布式环境中发现目标的方法。目录具有两个主要组成部分：

• 第一部分是数据库，数据库是分布式的，且拥有一个描述数据的规划。

• 第二部分则是访问和处理数据的各种协议。

      LDAP的基本模型是建立在“条目”（Entry）的基础上。一个条目是一个或多个属性的集合，并且具有一个全局唯一的“可区分名称”（用dn表示）。与关系型数据（后面简称数据库）进行类比，一个条目相当于数据库中的一条记录，而dn相当于数据库中记录的关键字，属性相当于数据库中的字段。提示：dn必须是全局唯一的。 

      LDAP中，将数据组织成一个树形结构，这与现实生活中的很多数据结构可以对应起来，而不像设计关系型数据库的表，需要进行多种变化。例如，图1-1所示就是一个树形结构的数据。

名称解释

• dn： Distinguished Name （一条记录的位置）基准DN

• cn： Common Name（一条记录的名字）

• ou： Organization Unit（一条记录的组织）

• dc： domain component（一条记录的区域）

• sn： surname姓

• givenname： GivenName名

• uid： User ID

• o： (organizationName)组织名

• c： 国家

• mail： 电子信箱地址

ldif (LDAP Interchange Format)

objectclass：LDAP server要想启动必须能够识别每个对象的 Attribute

LDAP 中，一条记录必须包含一个 objectclass 属性，且其需要赋予至少一个值。每

一个值将用作一条 LDAP 记录进行数据存储的模板；模板中包含了一条记录中数个必须

被赋值的属性和一系列可选的是属性。

objectclass 有严格的等级之分，最顶层的类是 top 和 alias。

objectclass 分三大类：结构型的（person 和 organizaionUnit）

辅助型的（extensibeobject）

抽象型的 (这类不直接使用)

objectclass: person

objectclass: organizationalPerson

objectclass: inetOrgPerson

objectclass: fff

可以为任何一个对象根据需要分配多个对象类型。

person 对象类型要求 cn（common name）和sn（surname）这两个域不能为空。

persion 对象类型允许有其它的可选域，包括givenname、telephonenumber，等等。

organizationalPerson给person 加入更多的可选域

inetOrgPerson 又加入更多的可选域（包括电子邮件信息）。

fff 是为定制的对象类型，加入了很多定制的属性。

LDIF文件

对上图进行分析，该目录结构分为3层，有4个结点。根据上图可创建LDIF文件如下：

提示：每个结点可用一个dn表示，对于每个结点，又可继续添加新的结点。如在根结点中可添加其他部门ou，在ou=managers结点也可继续添加其他管理人员的信息。

ccxx.ldif

# root node

dn: dc=ccxx,dc=com

dc: ccxx

objectClass: dcObject

objectClass: organizationalUnit

ou: ccxx Dot com

LDAP协议

LDAP是一个目录服务协议，目前存在众多版本的LDAP，而最常见的则是V2和V3两个版本，它们分别于1995年和1997年首次发布。

LDAP协议的特点

• LDAP是一种目录服务，保存在特殊的数据库中，数据的读取速度远高于写入速度。

• LDAP对查询做了优化，读取速度优于普通关系数据库。

• LDAP不支持事务、不能进行回滚，需要进行这些操作的应用只有选择关系数据库。

• LDAP采用服务器/客户端模式，支持分布式结构。

• LDAP中的条目以树形结构组织和存储。

• LDAP基于Internet协议，直接运行在简单和通用的TCP/IP或其他可靠的传输协议层上，使连接的建立和包的处理简单、快捷，对于互联网和企业网应用都很方便。

• LDAP协议简单，通过使用查找操作实现列表操作和读操作。

• LDAP通过引用机制实现分布式访问，通过客户端API实现分布式操作（对于应用透明），平衡了负载。

• LDAP实现具有低费用、易配置和易管理的特点，并提供了满足应用程序对目录服务所需求的特性。

安装环境

硬件要求

• 标准配置：

CPU： 8核心2.0GHz

内存： 16GB

硬盘： 100GB

网卡： 2*1000Mbps

• 最低配置：

CPU： 4核心2.0GHz

内存： 4GB

硬盘： 50GB

网卡： 100Mbps

系统要求

Linux

• CentOS 6.9

• CentOS 7.4

网络要求

• 准备一个块网卡

• 公网：支持路由器NAT模式和路由模式

OpenLDAP 安装

服务端的安装

• yum安装OpenLDAP

# yum install -y openldap openldap-clients openldap-servers migrationtools

• centos7.4安装的rpm包

# rpm -qa |grep openldap

openldap-devel-2.4.44-15.el7_5.x86_64

openldap-clients-2.4.44-15.el7_5.x86_64

openldap-2.4.44-15.el7_5.x86_64

openldap-servers-2.4.44-15.el7_5.x86_64

compat-openldap-2.3.43-5.el7.x86_64

openldap-servers-sql-2.4.44-15.el7_5.x86_64

• 查看OpenLDAP版本，使用如下命令：slapd -V

配置OpenLDAP

官方不推荐使用 slapd.conf 作为配置文件

【有两种配置方法：1、通过slapd.conf(centos6)，2、通过hdb文件(centos7)】

注意:从OpenLDAP2.4.23版本开始所有配置数据都保存在/etc/openldap/slapd.d/中，建议不再使用slapd.conf作为配置文件。

• OpenLDAP的管理员密码:

# slappasswd -s 123456

• 修改olcDatabase={2}hdb.ldif文件

• 修改olcDatabase={1}monitor.ldif文件

• 验证OpenLDAP的基本配置，使用如下命令：# slaptest -u

服务启动

• Centos6.9.下启动OpenLDAP

# service slapd start

• Centos7.4下启动OpenLDAP

# systemctl enable slapd

# systemctl start slapd

OpenLDAP数据库

配置OpenLDAP数据库，使用如下命令：

# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

# chown ldap:ldap -R /var/lib/ldap

# chmod 700 -R /var/lib/ldap

注意：OpenLDAP默认使用的数据库是BerkeleyDB，/var/lib/ldap/就是BerkeleyDB数据库默认存储的路径

• 导入基本 Schema（可以有选择的导入）

# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif

• 导入OpenLDAP数据库

# ldapadd -x -D "cn=Manager,dc=ccxx,dc=com" -W -f /tmp/ccxx.ldif导入基础数据库

# ldapadd -x -D "cn=Manager,dc=ccxx,dc=com" -W -f /tmp/my.ldif导入用户到数据库

LDAP常用命令

• ldapadd 

-x   进行简单认证

-D   用来绑定服务器的DN

-h   目录服务的地址

-w   绑定DN的密码

-f   使用ldif文件进行条目添加的文件

ldapadd -x -D "cn=root,dc=ccxx,dc=com" -w secret -f /root/test.ldif ldapadd -x -D "cn=root,dc=ccxx,dc=com" -w secret (这样写就是在命令行添加条目)

• ldapsearch

-x   进行简单认证

-D   用来绑定服务器的DN

-w   绑定DN的密码

-b   指定要查询的根节点

-H   制定要查询的服务器

#linux 查询方法

# ldapsearch -LLL -w syswin -x -H ldap://192.168.18.250 -D "cn=admin,dc=dev,dc=com" -b "dc=dev,dc=com" "(uid=user1)"

#windows 查询方法

# ldapsearch -LLL -x -h 172.28.4.103 -D "administrator@xx.com" -W -b "dc=ccxx,dc=com" "*"

• ldapdelete 

ldapdelete -x -D "cn=Manager,dc=test,dc=com" -w secret "uid=test1,ou=People,dc=test,dc=com" 

• ldappasswd 

-x   进行简单认证

-D   用来绑定服务器的DN

-w   绑定DN的密码

-S   提示的输入密码

-s pass 把密码设置为pass

-a pass 设置old passwd为pass

-A   提示的设置old passwd

-H   是指要绑定的服务器

-I   使用sasl会话方式

# ldappasswd -x -D 'cm=root,dc=it,dc=com' -w secret 'uid=zyx,dc=it,dc=com' -S

• ldapmodify

-a 添加新的条目.缺省的是修改存在的条目

-x 使用简单认证

-D binddn指定搜索的用户名(一般为一dn 值)

-W 该参数,提示入用户的密码

-H ldapuri 指定连接到服务器uri(ip 地址和端口号,常见格式为

   ldap://hostname:port).如果使用了-H 就不能使用-h 和-p 参数

-h ldaphost 指定要连接的主机的名称/ip 地址.它和-p 一起使用

-p ldapport 指定要连接目录服务器的端口号.它和-h 一起使用

# ldapmodify -x -D "cn=root,dc=it,dc=com" -W -f modify.ldif   

LDAP常见错误码

LDAP常见错误码

LDAP_SUCCESS = 0 成功

LDAP_OPERATIONS_ERROR = 1 操作错误

LDAP_PROTOCOL_ERROR = 2 协议错误

LDAP_TIME_LIMIT_EXCEEDED = 3 超过最大时间限制

LDAP_SIZE_LIMIT_EXCEEDED = 4 超过最大返回条目数

LDAP_COMPARE_FALSE = 5 比较不匹配

LDAP_COMPARE_TRUE = 6 比较匹配

LDAP_AUTH_METHOD_NOT_SUPPORTED = 7 认证方法未被支持

LDAP_STRONG_AUTH_REQUIRED = 8 需要强认证

LDAP_PARTIAL_RESULTS = 9 null

LDAP_REFERRAL = 10 Referral

LDAP_ADMIN_LIMIT_EXCEEDED = 11 超出管理员权限

LDAP_UNAVAILABLE_CRITICAL_EXTENSION = 12 Critical扩展无效

LDAP_CONFIDENTIALITY_REQUIRED = 13 需要Confidentiality

LDAP_SASL_BIND_IN_PROGRESS = 14 需要SASL绑定

LDAP_NO_SUCH_ATTRIBUTE = 16 未找到该属性

LDAP_UNDEFINED_ATTRIBUTE_TYPE = 17 未定义的属性类型

LDAP_INAPPROPRIATE_MATCHING = 18 不适当的匹配

LDAP_CONSTRAINT_VIOLATION = 19 约束冲突

LDAP_ATTRIBUTE_OR_value_EXISTS = 20 属性或值已存在

LDAP_INVALID_ATTRIBUTE_SYNTAX = 21 无效的属性语法

LDAP_NO_SUCH_OBJECT = 32 未找到该对象

LDAP_ALIAS_PROBLEM = 33 别名有问题

LDAP_INVALID_DN_SYNTAX = 34 无效的DN语法

LDAP_IS_LEAF = 35 null

LDAP_ALIAS_DEREFERENCING_PROBLEM = 36 Dereference别名有问题

LDAP_INAPPROPRIATE_AUTHENTICATION = 48 不适当的认证

LDAP_INVALID_CREDENTIALS = 49 无效的Credential

LDAP_INSUFFICIENT_ACCESS_RIGHTS = 50 访问权限不够

LDAP_BUSY = 51 遇忙

LDAP_UNAVAILABLE = 52 无效

LDAP_UNWILLING_TO_PERform = 53 意外问题

LDAP_LOOP_DETECT = 54 发现死循环

LDAP_NAMING_VIOLATION = 64 命名冲突

LDAP_OBJECT_CLASS_VIOLATION = 65 对象类冲突

LDAP_NOT_ALLOWED_ON_NON_LEAF = 66 不允许在非叶结点执行此操作

LDAP_NOT_ALLOWED_ON_RDN = 67 不允许对RDN执行此操作

LDAP_ENTRY_ALREADY_EXISTS = 68 Entry已存在

LDAP_OBJECT_CLASS_MODS_PROHIBITED = 69 禁止更改对象类

LDAP_AFFECTS_MULTIPLE_DSAS = 71 null

LDAP_OTHER = 80 其它