系统环境: Centos 4.3

所需软件

openldap-2.2.13-4
openldap-servers-2.2.13-4
openldap-devel-2.2.13-4
openldap-clients-2.2.13-4

slapd.conf 是ldap 服务器最主要的一个配置文件

查看文件内除了以#开头的行, 以及空行


grep -v -E '^#|^$' slapd.conf
include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/nis.schema
allow bind_v2
pidfile         /var/run/slapd.pid
argsfile        /var/run/slapd.args
access to attrs=shadowLastChange,userPassword
      by self write
      by * auth
access to *
      by * read
database        bdb
suffix          "dc=prosten,dc=com,dc=cn"
rootdn          "cn=Manager,dc=prosten,dc=com,dc=cn"
rootpw {SSHA}MMT9ixbYvyiQsaBGWiN45ZW7atCqs8nj
directory       /var/lib/ldap
index objectClass                       eq,pres
index ou,cn,mail,surname,givenname      eq,pres,sub
index uidNumber,gidNumber,loginShell    eq,pres
index uid,memberUid                     eq,pres,sub
index nisMapName,nisMapEntry            eq,pres,sub

grep -v -E '^#|^$' ldap.conf
HOST 127.0.0.1
BASE dc=prosten,dc=com,dc=cn
TLS_CACERTDIR /etc/openldap/cacerts

service ldap restart
Stopping slapd:                                            [ OK ]
Checking configuration files for slapd: config file testing succeeded
Starting slapd:            


建立base.ldif,类似这样

dn: dc=prosten,dc=com,dc=cn
dc: prosten
objectClass: top
objectClass: domain

dn: ou=humen,dc=prosten,dc=com,dc=cn
ou: humen
objectClass: top
objectClass: organizationalUnit

dn: ou=group,dc=prosten,dc=com,dc=cn
ou: group
objectClass: top
objectClass: organizationalUnit

dn: cn=om,ou=group,dc=prosten,dc=com,dc=cn
cn: om
objectClass: posixGroup
gidNumber: 1000

dn: cn=mis,ou=group,dc=prosten,dc=com,dc=cn
cn: mis
objectClass: posixGroup
gidNumber: 1001

prosten.com.cn

下面有humen,group
humen下面是用户稍后添加, group 下面是组mis,om 当然还可以更多

ldapadd -x -D "cn=Manager,dc=prosten,dc=com,dc=cn" -W -f user.ldif
-x 只得是简单认证 -D 是binddn 也就是"cn=Manager,dc=prosten,dc=com,dc=cn"
Manager类似于系统的root,他是ldap的root
-W 是要求输入密码, -f 是从文件读取
这里的密码是sldap.conf 中的rootpw {SSHA}MMT9ixbYvyiQsaBGWiN45ZW7atCqs8nj
他是由slappaword 得来的SSHA加密的密码

然后添加用户

dn: uid=user1,ou=humen,dc=prosten,dc=com,dc=cn
uid: user1
cn: mis
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
userPassword: {crypt}$1$XI9zFM0U$Ft5Ws7UxwnZUx7.wosE2I/
shadowLastChange: 11108
shadowMax: 99999
shadowWarning: 7
shadowFlag: 0
loginShell: /bin/bash
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/user1
gecos: user1

dn: uid=user2,ou=humen,dc=prosten,dc=com,dc=cn
uid: user2
cn: om
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
userPassword: {crypt}$1$XI9zFM0U$Ft5Ws7UxwnZUx7.wosE2I/
shadowLastChange: 11108
shadowMax: 99999
shadowWarning: 7
shadowFlag: 0
loginShell: /bin/bash
uidNumber: 1004
gidNumber: 1000
homeDirectory: /home/user2
gecos: user2
host: BN-C

dn: uid=user3,ou=humen,dc=prosten,dc=com,dc=cn
uid: user3
cn: om
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
userPassword: {crypt}$1$XI9zFM0U$Ft5Ws7UxwnZUx7.wosE2I/
shadowLastChange: 11108
shadowMax: 99999
shadowWarning: 7
shadowFlag: 0
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/user3
gecos: user3
host: localhost

这里面的userPassword 你可以从/etc/password 中复制过来，密码就和你复制的那个用户的密码相同

host: 是访问的限制,这里user1谁也访问不了，user2可以访问BN-C,user3 可以访问localhost
这里的host是访问的主机名，也就是他能够访问的服务器的主机名
比如你的机器名字是localhost ,那么user3就可以访问它,user1,user2都不可以访问.

客户端的设置
执行
authconfig 选择ldap认证
这里是redhat的客户端，其他的类似
将/etc/ldap.conf的
pam_check_host_attr yes
注视掉
这个选项和你ldif中的host: 相关
如果不选他就起不到访问控制的作用

配置复制

在主(master)服务器上 添加下面内容到/etc/openldap/sldap.conf
replogfile /var/lib/ldap/replog
replica host=10.96.100.233:389
        binddn="cn=Manager,dc=prosten,dc=com,dc=cn"
        credentials=198218
        bindmethod=simple

在从(slave)服务器添加
updatedn "cn=Manager,dc=prosten,dc=com,dc=cn"
updateref ldap://10.96.100.234:389/

先启动slave 再