把自己的学习经历简单的记录下来,以便以后参考。:)
一,安装
这个不用写什么了,配置apache,可以正常访问页面,启动mysql数据库。
然 后把下载的mediawiki-1.9.3cn.zip解压到/var/www/html/目录下,更名为wiki(方便)。
进入wiki目录执 行
在 浏览器里输入 开始安装。
主要是填写信息,如果出错的话,会显示红色提示信息。如果正确安装 也会有提示成功。
安装成功后,把config下的LocalSettings.php移动到父母里。然后执行
二,常用配置
1. 开放图片上传功能:
#chmod a+w wiki/images
#vi wiki/LocalSettings.php,
把$wgEnableUploads = false; 改为 $wgEnableUploads = true;
|
2. 更改网站左上角的logo
把自己的135x135象素的png图片放到wiki/skins/common/images 下,并命名为wiki.png
3.常用的提示信息更改
特殊页面->系统界面
4.左侧工具条的定制
到 系统界面
在搜寻栏中输入: sidebar, 然后编辑
* navigation ** mainpage|mainpage ** portal-url|portal ** currentevents-url|currentevents ** recentchanges-url|recentchanges ** randompage-url|randompage ** helppage|help ** sitesupport-url|sitesupport
|
第 一行(一个前导*)表示导航栏的名称,其提示文本在“mediawiki:navigation”页面中修改,也可以直接输入文字信息(文字不能与内部 mediawiki参数页面重名)。
後续行(两个前导*)表示实际导航栏的内容,其格式为“链接网址|显示文本”。其中,链接网址有三种 类型:
* 直接输入http网址,例如直接输入“”
* 文章页面标题,例如输入“天下维客”代表站内文章“{天下维客}”的网址
* mediawiki名字空间的参数页,例如输入“mainpage”代表文字信息参数页面“[[mediawiki:mainpage]]”的网址。此类 字串还有helppage、portal-url等,请到special:allmessages里面查看更多的此类字串。
显示文本的 设定与导航栏名称设定类似,可以:
* 直接输入文字信息
* 使用mediawiki名字空间参数页的标题缩写,例如上文默认文本中的“randompage”、“sitesupoort”分别代表 “[[mediawiki:randompage]]”和“[[mediawiki:sitesupport]]”。
用户可根据需求删 除/增加mediawiki:sidebar页面中的项目,修改後左侧导航栏就会发生相应改变。(本方法适用于mediawiki默认的monobook 皮肤风格)
举例示范如下:
* 导航文字
** 文章标题|文章标题项
** |直接网址项
5.Mediawiki增加友情链接侧栏
想在 mediawiki工具栏下方添加友情链接,请打开skins/Monobook.php,找到如下两行:
data['language_urls'] ) { ?>
msg('otherlanguages') ?>
|
在 前面添加:
请 根据需要,修改上面内容中的链接、图片网址和alt字串(文字提示)。
* 注意:①上述内容必须使用UTF-8格式进行存盘,否则汉字显示乱码;②本修改只针对默认的monobook风格。
6.关于网站提速
很 多人感到MediaWiki的运行速度非常之慢,其实这里面有很多原因是页面样式的问题。请到“参数设置→皮肤”中选择“科隆香水蓝44”,体会迅捷如飞 的感觉!
7.时间显示设置
在LocalSetting.php的倒数第三行加入:
$wgLocaltimezone = "Asia/Shanghai"; putenv("TZ=$wgLocaltimezone"); $wgLocalTZoffset = date("Z") / 60;
|
8. 阻止新用户注册
更改LocalSetting.php,添加
$wgGroupPermissions['*' ]['createaccount'] = false;
|
注 意:阻止新用户注册,此时管理员可以到特殊页面上的用户登录页面(Special:UserLogin)里,输入希望为其建立帐户的某人的用户名与电子邮 件地址,然后点击通过eMail(by email)按钮递交,系统将创建帐号并将随机生成的密码发送到指定email里。
9.禁止匿名 用户编辑
在LocalSetting.php里添加
$wgGroupPermissions['*' ]['createaccount'] = false; $wgGroupPermissions['*' ]['read'] = true; $wgGroupPermissions['*' ]['edit'] = false;
|
10. 设置匿名用户可读内容
$wgWhitelistRead = array( "Main Page", "Special:Userlogin" ); $wgGroupPermissions['*' ]['read'] = false;
|
注 意:具体需要对应自己的站点链接,而对于多字节语言的MediaWiki,例如中文首页链接index.php?title=%E9%A6%96%E9 %A1%B5,这首页中文字符PHP可能无法正确解码。需要利用urldecode()函数转换一下,写为:
$wgWhitelistRead = array( urldecode("%E9%A6%96%E9%A1%B5") ;
|
11.对没有登录的 用户移除页面顶部的讨论页链接
在LocalSetting.php里添加
$wgShowIPinHeader = false;
|
12. 在数据库中手工改变用户组
用户权限包含在user_groups表中,该表有两个字段,分别是ug_user和ug_group。对用户所属的每 一个组,都必须有一行插入。您必须从用户表(users)中获知用户的ID。以下的SQL查询语句将能完成此功能。在下例中将 1 替换为从users表中得到的ID号.
INSERT INTO user_groups (ug_user, ug_group) VALUES ('1', 'bureaucrat'); INSERT INTO user_groups (ug_user, ug_group) VALUES ('1', 'sysop');
|
13. 其它登陆用户不能编辑,只有DB2组的用户可以编辑
在LocalSetting.php里添加
$wgGroupPermission['DB2']['read'] = true; $wgGroupPermissions['DB2']['edit']= true; $wgGroupPermissions['user']['edit']=false;
|
三,LDAP 认证我用的plug版 本是LdapAuthentication.php 1.1g。 把文件LdapAuthentication.php放在extension目录下。
由 于我想配置成域帐户登陆时,自动在wiki里创建用户的配置一直没有成功。所以就有一个麻烦的问题,需要手工在wiki创建好域账户。:(
我 们的AD(Active Dirctory 活动目录)环境如下:
域名:exchange.com(EXCHANG1)
域服务 器:rs.exchange.com
在LocalSetting.php里添加
# Setup ldap authentication
require_once("extensions/LdapAuthentication.php"); $wgAuth= new LdapAuthenticationPlugin();
$wgLDAPDomainNames = array( "EXCHANG1" ); $wgLDAPServerNames = array( "EXCHANG1"=>"rs.exchange.com" ); $wgLDAPSearchStrings = array( "EXCHANG1"=>"EXCHANG1\\USER-NAME" );
$wgLDAPUseLocal = false; $wgLDAPUpdateLDAP = false; $wgLDAPMailPassword = false;
$wgMinimalPasswordLength = 1; $wgLDAPEncryptionType = array("EXCHANG1"=>"clear");
注:这里的“EXCHANG1"可以替换成 你喜欢的字,它将显示在登陆页面的域名条目里
|
由 于先前域账户已经在wiki里添加(就是用wiki页面创建用户),现在就可以域验证了,登陆的用户必须输入域名和域密码才能正确登陆。
注:之前 在wiki里创建域用户时设置的密码现在已经不能起作用。
四,LDAP SSL 补充上面的LDAP验证是明文的,即当wiki服务器和AD服务器交换信息的时候没有加 密的,那么你一定希望使用加密的方法了。meidawiki提供了使用SSL与AD交互的方式,但是我始终没有配置成功,比较郁闷:(
把自己的一 些实验写下来,也许对会对其他的朋友有帮助
介绍一下环境:AD server的地址是192.168.0.117, 主机名是exchangetest,域名是exchangetest.umtest.local(EXCHANGETEST1)。
LocalSetting.php 里写入
#add LDAP Auth config
require_once("extensions/LdapAuthentication.php"); $wgAuth= new LdapAuthenticationPlugin(); $wgLDAPDomainNames = array( "exchangetest" ); $wgLDAPServerNames = array( "exchangetest"=>"192.168.0.117" ); $wgLDAPSearchStrings = array( "exchangetest"=>"EXCHANGETEST1\\USER-NAME" ); $wgLDAPUseSSL = false; (这 里的值换成true,我的环境也能工作,但是好像是应该在装php的时候加入php-ldap的功能) $wgLDAPUseLocal = false; $wgLDAPUpdateLDAP = false; $wgLDAPMailPassword = false; $wgLDAPRetrievePrefs = false; $wgMinimalPasswordLength = 1;
|
通 过上面的配置后,用户登陆时,登陆的用户名必须满足三点(1.必须在AD中存在,2.必须输入正确域密码,3.必须在meidawiki里存在此用户 名),只有这样才能正确登陆wiki。
本以为
$wgLDAPUseSSL 这个选项会控制是否使用SSL,
$wgLDAPUseSSL=array
后来
才 发现$wgLDAPUseSSL=true/false或者写成("exchangetest"=>"ssl")
这个选项其实是没有用处,它并没有使用的SSL,而是使用程序默认的TLS。为什么这么说呢?
在配置文件后面添加
得 到的debug信息如下:
Entering authenticate Entering Connect Using TLS or not using encryption. Using servers: ldap://192.168.0.117 Using TLS Connected successfully Entering getSearchString Doing a straight bind
|
看到了吧,是 TLS。
那怎么才能是SSL生效呢? 添加:
$wgLDAPEncryptionType = array("exchangetest"=>"ssl");
|
这 个选项才是使用SSL的关键。
好了,继续,下面把配置文件里关于LDAP认证的部分改为:
#ADD LDAP Auth Config
$require_once("extensions/LdapAuthentication.php"); $wgAuth= new LdapAuthenticationPlugin();
$wgLDAPDomainNames = array( "exchangetest" ); $wgLDAPServerNames = array( "exchangetest"=>"exchangetest.exchangetest.umtest.local" ); $wgLDAPProxyAgent = array("exchangetest"=>"cn=administrator,cn=users,dc=exchangetest,dc=umtest,dc=local"); $wgLDAPProxyAgentPassword = array("exchangetest"=>"Password"); $wgLDAPSearchAttributes = array ("exchangestest"=>"sAMAccountName"); $wgLDAPBaseDNs = array("exchangetest"=>"dc=exchangetest,dc=umtest,dc=local"); $wgLDAPEncryptionType = array("exchangetest"=>"ssl"); $wgMinimalPasswordLength = 1; $wgLDAPDebug = 3;
|
理论上该成功了,可是当我尝试在wiki页面登陆 时,得到了如下信息:
Entering validDomain
User is using a valid domain.
Setting domain as: exchangetest
Entering getCanonicalName
Username isn't empty.
Munged username: Jma
Entering authenticate
Entering Connect
Using SSL
Using servers: ldaps://exchangetest.exchangetest.umtest.local
Connected successfully
Entering getSearchString
Doing a proxy bind
Failed to bind as cn=administrator,cn=users,dc=exchangetest,dc=umtest,dc=local
Failed to bind
User DN is blank
Entering strict.
Returning true in strict().
Entering modifyUITemplate
绑定用户错误。为什么会这样呢?我在 AD的服务器上,使用ldp.exe的绑定功能,分别填写下面的信息:
user:cn=Administrator,cn=Users,dc=exchangetest,dc=umtest,dc=local Password:R0ck1t Domian: exchangetest.umtest.local |
然后绑定,得到了如 下的信息:
----------- res = ldap_bind_s(ld, NULL, &NtAuthIdentity, 1158); // v.3 {NtAuthIdentity: User='cn=Administrator,cn=Users,dc=exchangetest,dc=umtest,dc=local'; Pwd= ; domain = 'exchangetest.umtest.local'.} Error <49>: ldap_bind_s() failed: Invalid Credentials. Server error: 8009030C: LdapErr: DSID-0C09043E, comment: AcceptSecurityContext error, data 0, vece 0x31 = ldap_unbind(ld)
|
从倒数第三行可以看 到,有个无效的证书,我想绑定错误,就是应为这个原因吧!
当用ldap.exe绑定的时候去掉域信息,只添绑定用户和密码,就可以正常绑 定。 原因????
总结:我想我失败的原因是因为 缺乏正确的数字证书,所以导致我的AD服务器SSL没有正确开启。
一定要确定自己的AD服务器是否启用SSL(默 认是启用的),如何验证呢?
为了验证自己的AD是否可以通过SSL连接,我用ldp.exe来测试。(ldp.exe一般如果装上了AD服务,它 会被装上)
(1)填入域名:exchangetest.exchangetest.umtest.local, 端口389,不选择其它的选项,然后连接,可以显示一些AD的配置信息:
ld = ldap_open("exchangetest.exchangetest.umtest.local", 389);
Established connection to exchangetest.exchangetest.umtest.local.
Retrieving base DSA information...
Result <0>: (null)
Matched DNs:
Getting 1 entries:
>> Dn:
1> currentTime: 10/22/2007 10:5:44 China Standard Time China Standard Time;
(2)把端口改为636(这事 AD启用ssl后使用的端口),选项里选上SSL,然后再连接,如果成功那说明SSL功能正常,否则会提示错误。
注:在为 LDAP 请求启用 SSL 之前,DC(Dmain Control) 必须安装数字证书,且数字证书的格式必须正确,以确保 LDAP 应用程序正常运行。
如果哪位大侠配置成功了,也一定要 写篇心得啊,好让小弟们学习一下。
五.参考 Extension:LDAP Authentication Extension:LDAP Authentication/Configuration Examples Extension:LDAP Authentication/Smartcard Configuration Examples