OpenLDAP在LINUX下的安装说明

                              张彦星
安装环境：
redhat9.0
安装所需软件(都是以源码的方式存在的)
openldap-2.1.29    hrrp://
Derkeley DB 4.2.52 


安装步骤：
（确认是用root用户登录）

1、由于openldap需要Berkeley DB来存放数据，所以先安装Berkeley DB 4.2.52。

   解压
   #tar -zxvf  db-4.2.52.NC.tar.gz
   解压完成后，会生成一个db-4.2.52.NC的目录，进入该目录下的build_unix目录，执行命令进行配置安装。
   #../dist/configure  --prefix=/usr/local/BerkeleyDB (将Derkeley DB安装到/usr/local/DerkeleyDB目录下)。
   #make
   #make install
   安装完成活，要把/usr/local/BerkeleyDB/lib的库路径加到/etc/ld.so.conf文件内，添加完成后执行一次ldconfig，使配置文件生效。
2、安装openLDAP

   解压
   #tar -zxvf openldap-2.1.29.tgz
   解压后生成一个openldap-2.1.29目录，进入该目录执行以下命令进行配置安装。
   #env CPPFLAGS="-I/usr/local/gdbm-1.8.3/include" LDFLAGS="-L/usr/local/gdbm-1.8.3/lib"
    ./configure --prefix=/usr/local/topldap --enable-ldbm  --enable-bdb=no
    (注意以上的配置语句，要配置资料库的include和lib路径，否则在配置到资料库、相关内容时会提示Berkeley DB版本不兼容，
    并中段配置。如果没有--enbale-ldbm＝选项，在make test时会提示ldbm找不到)
   #make depend
   #make
   #make test
   在make test 的时候如果没有出现错误，就可以安装了，如果有什么错误，去看看以上内容，有没有全部都作。
   开始安装
   #make install
   安装完成之后，在／usr/local/目录下将会出现openldap文件夹。
   
3、现在相关的软件已经安装完成了，现在可以进行配置了。
   配置文件在软件的安装目录的etc/openldap下，主要的是slapd.comf和ldap.conf。在进行配置之前最好先将要配置的文件备份一份。
   先配置slapd.conf文件。
   在配置文件中添加:
   include /usr/local/openldap/ete/openldap/schema/core.schema
   include /usr/local/openldap/ete/openldap/schema/corba.schema
   include /usr/local/openldap/ete/openldap/schema/cosine.schema
   include /usr/local/openldap/ete/openldap/schema/inetorgperson.schema
   include /usr/local/openldap/ete/openldap/schema/misc.schema
   include /usr/local/openldap/ete/openldap/schema/openldap.schema
   include /usr/local/openldap/ete/openldap/schema/nis.schema
   include /usr/local/openldap/ete/openldap/schema/java.schema
   （包含文件按一定顺序，因为文件里面的属性存在附属关系，如果顺序不对服务会出现问题）
  
   在argsfile    /usr/local/openldap/var/slapd.args下面添加
   loglevel 1
   增加了日志功能，需修改syslog配置文件，在文件中增加一项：local4.* /var/log/ldap.log
   日志的级别如下:
         Debugging Levels Level Description
              -1 enable all debugging
               0 no debugging
               1 trace function calls
               2 debug packet handling
               4 heavy trace debugging
               8 connection management
              16 print out packets sent and received
              32 search filter processing
              64 configuration file processing
             128 access control list processing
             256 stats log connections/operations/results
             512 stats log entries sent
            1024 print communication with shell backends
            2048 print entry parsing debugging
     默认的情况下是256
  
   将文件中的
   suffix        "dc=my-domain,dc=com"
   rootdn        "cn=Manager,dc=my-domain,dc=com"
   修改成自己的目录根，指定自己根的管理员。
   rootdw 是管理员的密码，默认密码是secret，这里可以使用MD5加密。
  
   现在已经能成功的启动服务了。但是没有对目录访问的权限进行设定：
   access to attr=userPassword
           by self write
           by  anonymous auth
   指的是：userPassword只能自己修改，有效验证用户查询，如果加上
          by dn="cn=root,dc=it,dc=com"
   那样cn=root,dc=it,dc=com也可以更改其他人的userPassword.
   access to *
           by self write
       by self read
  指的是所有的信息都可以自己查询，自己修改。
  access to dn=".*,dc=it,dc=com"
          by self write
      by * read
  允许用户访问所有没有被控制访问限制的信息。
  具体详细用法请查看。
 
 
  到现在openldap已经配置完成了，进入安装目录的libexec下，执行
  #./sladp (注意是sladp,不是sldap)
  如果没有提示什么出错信息，直接返回shell状态，就说明服务器正常启动了，
  你可以查询日志或用ps -aux查看。或用以下命令查询服务器。
 
  执行下面的命令来查看一下服务是不是正常启动了启动。
  ＃ldapsearch -x -b "dc=it,dc=com"(你在配置文件中定义的自己的根目录)，如果反悔一些信息那就
  是启动正常。
 
  用下面的、命令、来查看一下389端口是不是已经被监听了
  ＃netstat -an | grep 389
 
  如果没有提示什么错误，但是服务也没有启动，就可以用
  #./sladp -d 256
  可以看到提示的什么信息，一般都是配置文件错误，根据错误信息好好查看一下配置文件。
  一定要注意配置文件中的空格，该有的一定要有，有的时候看到整个配置文件没有什么错误，
  可就事启动不了，有可能是有的地方前面没有加上空格。
 
 
  配置ldap.conf文件。该文档相当简单，其实不和配置也能正常操作。
  只要将BASE dc=it,dc=com 设置成为自己的目录起点
 
4、现在服务器已经正常运作了，可以录入信息了。信息的录入方法有三种，一种是手工录入，一种是.ldif文件格式录入，一种是脚本
  自动录入。我们先从最基础的手工录入开始介绍，了解录入信息的格式。明白了手工录入的格式，其它两种方式都很容易明白。
  信息录入用到ldapadd这个程序，他存在于安装目录下的bin中，具体用法如下：
  第一步要建立DN：
  ＃ldapadd -x -D  'cn=root,dc=it,dc=com' -W   (-x 表示简单验证，-D表示指定目录，-W表示弹出密码输入提示)
  Enter LDAP Password              (提示输入管理员密码，在sladp.conf中已经配置的那个密码)
  dn: dc=it,dc=com
  objectClass: dcObject
  objectClass: organization
  dc:it
  o:Corportion
  description:d Corporation
  （注意：每行后面一定不要有空格）
 
  第二步是建立接点：
  ＃ldapadd -x -D 'cn=root,dc=it,dc=com' -W
  dn:uid=zyx2,dc=it,dc=com
  objectClass:person
  objectClass:organizationalPerson
  objectClass:inetOrgPerson
  uid:zyx2
  cn:zyx2
  sn:zyx2
  mail:zyx@zyx.com
  userPassword:zyx
  telephoneNumber:13913991399
  homePhone:01087788888.
 
  输入完所有的信息后，安Ctrl＋d结束存盘。如果出现错误信息，请查一下对象类和属性的对应关系有没有输入错误。
  这里面最容易出错的地方是对象类和属性的对应关系出错，对象类和属性是在schema文档中定义的。它们之间的关系是这样的，
  对象类中有些属性是必选的，有些属性是可选的。录入信息的属性必须在对象类中有定义才能用。
  比如：inetOrgPerson模式包括以下信息：
  departmentNumber
  employeeType
  givenName
  audio
  businessCategory
  carLicense
  displayName
  emlpyeeNumber
  homePhone
  homePostalAddress
  manager
  photo
  roomNumber
  等等，详见inetorgperson.schema。
  schema是openldap中的关键，一定要好好查看安装目录下的/etc/schema中的文件。掌握schema的格式和常用属性所对应的类。
 
 
  介绍完了手工录入的方法，现在介绍第二种方法，用.ldif文件格式录入。用文字编辑工具写好.ldif文件。
  下面是一个完成的test.ldif文件。

dn: dc=it,dc=com
dc: it
description: d Corporation
objectClass: dcObject
objectClass: organization
o: Corporation

dn: uid=zyx, dc=it,dc=com
telephoneNumber: 13810246737
mail: starxing@starxing.com
userPassword:: sssssssss
uid: zyx
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
homePhone: 12345678901
sn: zyx
cn: zyx

dn: ou=people, dc=it,dc=com
userPassword:: c3Rhcnhpbmc=
ou: people
description: User Info
objectClass: top
objectClass: organizationalUnit

dn: uid=1,ou=people, dc=it,dc=com
telephoneNumber: 13800000414
userPassword:: sssssssss
uid: 1
jpegPhoto:: MTIzNDU2Nzg5MA==
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
sn: hhh
cn: hhh

dn: cn=root, dc=it,dc=com
mail: root@root.com
userPassword:: secret
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
sn: root
cn: root

dn: uid=3,ou=people, dc=it,dc=com
telephoneNumber: 13810241111
mail: ddd@dd.com
userPassword:: sssssssss
uid: 3
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
sn: sss
cn: sss

dn: uid=qq, dc=it,dc=com
telephoneNumber: 65498732102
mail: qq@qq.com
userPassword::sssssssss
uid: qq
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
sn: qq
cn: qq

dn: uid=zyx,ou=people, dc=it,dc=com
telephoneNumber: 13810246737
mail: starxing@starxing.com
userPassword:: sssssssss
uid: zyx
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
homePhone: 12345678901
sn: 张彦星
cn: zyx

dn: ou=managers, dc=it,dc=com
userPassword:: sssssssss
ou: managers
description: mangers Info
objectClass: top
objectClass: organizationalUnit

dn: cn=starxing,ou=managers, dc=it,dc=com
mail: zyx1220@yahoo.com.cn
userPassword:: sssssssss
description: mananger for people
objectClass: person
objectClass: organizationalPerson
objectClass: top
objectClass: inetOrgPerson
sn: staring
cn: starxing

dn: ou=people,ou=managers, dc=it,dc=com
userPassword:: sssssssss
ou: people
objectClass: top
objectClass: organizationalUnit
description: User Info

dn: uid=1,ou=people,ou=managers, dc=it,dc=com
telephoneNumber: 13800000414
uid: 1
userPassword:: sssssssss
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
jpegPhoto:: MTIzNDU2Nzg5MA==
sn: hhh
cn: hhh

dn: uid=3,ou=people,ou=managers, dc=it,dc=com
telephoneNumber: 13810241111
mail: ddd@dd.com
uid: 3
userPassword:: sssssssss
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
sn: ssssss
cn: ssssss

dn: uid=zyx,ou=people,ou=managers, dc=it,dc=com
telephoneNumber: 13810246737
mail: starxing@starxing.com
uid: zyx
userPassword:: sssssssss
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
homePhone: 12345678901
sn: zyx
cn: zyx
   再次提醒一下，每行的最后不要有空格，并且不能存在同一个DN的记录，执行以下命令将test.ldif文件中的内容加载到
   openldap中。
   #ldapadd -x -D "cn=root,dc=it,dc=com" -W -f /root/test.ldif   (-f 表示用文件录入信息， /root/test.ldif指的是文件的存在地方)
  
   第三种是用脚本录入方式，需要自己编写脚本。也可以使用现有的工具，比如：phpldapadmin。
  
  
  
  
   下面介绍一下openldap的常用命令。
   1 ldapsearch
     查询本人记录
     ldapsearch -x -D 'cn=root,dc=it,dc=com' -W -b 'uid=zyx,dc=it,dc=com'
     查询一个ou记录(包含成员记录)
     ldapsearch -x -D 'cn=root,dc=it,dc=com' -W -b 'ou=people,dc=it,dc=com'
   2 ldapdelete
   #ldapdelete -x -D 'cn=root,dc=it,dc=com' -W 'uid=zyx,dc=it,dc=com'
   这样就可以删除'uid=zyx,dc=it,dc=com'记录了，应该注意一点，如果o或ou中有成员是不能删除的。
   3 ldappasswd
   #ldappasswd -x -D 'cm=root,dc=it,dc=com' -W 'uid=zyx,dc=it,dc=com' -S
   New password:
   Re-enter new password:
   Enter LDAP Password:
   就可以更改密码了，如果原来记录中没有密码，将会自动生成一个userPassword。
   4  ldapmodify
   #ldapmodify -x -D "cn=root,dc=it,dc=com" -W -f modify.ldif
   将modify.ldif中的记录更新原有的记录。
  
 启用sasl验证
 前提是你在系统中安装了sasl认证库，并在编译openldap时支持它，默认就支持了。到下载。
 安装好之后，需要在sasl中建立相应的帐号，用以下命令可完成。
 # saslpasswd2 -c test
 
 接着配置slapd.conf文件，加入以下内容。
  sasl-regexp
  uid=(.*),cn=.*,cn=auth
  uid=$1,dc=it,dc=com
 ok,重启服务器使配置文件生效。这个配置是最大权限的配置，如果要细化请查阅相关文档。
 用以下命令测试。
 # ldapsearch -U qq -b 'uid=qq,dc=it,dc=com' -D 'dc=it,dc=com' -Y DIGEST-MD5 采用digest-md5验证
 提示密码，输入saslpasswd2的密码。
 
 
 
 
 参考网站
 http:///doc/admin22/