[原创] CentOS7 下 OpenLDAP Server 安装和配置及使用 phpLDAPadmin 和 Java LDAP 访问 LDAP Server

本文主要介绍在 CentOS7 下 OpenLDAP Server 安装及配置方法，以及如何使用 phpLDAPadmin 和 Java LDAP 访问 LDAP Server。
本人也是刚刚学习 LDAP，因此本文主要面向 LDAP 的初学者。**高手请绕行！**
学习前提：

1. 了解 Linux 常用命令及编辑工具的使用方法。
2. 了解 LDAP 的概念及基础知识点（百度即可）。
   系统环境：
   CentOS Linux release 7.2.1511 (Core) 64位
   Linux version 3.10.0-327.el7.x86_64
   gcc version 4.8.3 20140911 (Red Hat 4.8.3-9) (GCC)
   软件环境：
   openldap-clients-2.4.40-13
   openldap-devel-2.4.40-13
   openldap-2.4.40-13
   openldap-servers-2.4.40-13
   phpLDAPadmin 1.2.3（需要 LAMP 环境，该部分内容请自行百度，不需要安装 MySQL）
   请以 root 账号登录并执行以下所有命令。
   OpenLDAP Server 安装及配置
   Step 1：安装必要包
   首先使用如下命令查看是否已经安装 OpenLDAP：

   # rpm -qa | grep openldap
   openldap-2.4.40-13.el7.x86_64
   openldap-servers-2.4.40-13.el7.x86_64
   openldap-clients-2.4.40-13.el7.x86_64

   若已经安装过，可以忽略此步骤，否则请继续执行如下命令（可以根据需要选择是否安装迁移工具 migrationtools）：

   # yum install -y openldap openldap-clients openldap-servers migrationtools
   cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
   chown ldap. /var/lib/ldap/DB_CONFIG
   systemctl start slapd 
   systemctl enable slapd

   查看端口使用情况：

   # netstat -tlnp | grep slapd
   tcp        0      0 0.0.0.0:389             0.0.0.0:*               LISTEN      227/slapd           
   tcp6       0      0 :::389                  :::*                    LISTEN      227/slapd

   默认情况下， slapd 用户会占用 389 端口。
   Step 2：设置 OpenLDAP 的管理员密码
   首先要生成经处理后的明文密码：

   # slappasswd  
   New password: 
   Re-enter new password: 
   {SSHA}hnm8WDAp0mn2HgN26h6ZdbzFVtFATQhG

   其中 {SSHA}xxxxxxxxxxxxxxxxxxxxxxxx 就是加密处理后的明文密码，之后会用到这个密码。
   之后再新建如下文件:

   touch chrootpw.ldif
   echo "dn: olcDatabase={0}config,cn=config" >> chrootpw.ldif
   echo "changetype: modify" >> chrootpw.ldif
   echo "add: olcRootPW" >> chrootpw.ldif
   echo "olcRootPW: {SSHA}hnm8WDAp0mn2HgN26h6ZdbzFVtFATQhG" >> chrootpw.ldif

   最后导入该文件：

   # ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
   SASL/EXTERNAL authentication started
   SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
   SASL SSF: 0
   modifying entry "olcDatabase={0}config,cn=config"

   Step 3：导入基本 Schema（可以有选择的导入）

   cd /etc/openldap/schema/
   ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f cosine.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f nis.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f collective.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f corba.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f core.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f duaconf.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f dyngroup.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f inetorgperson.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f java.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f misc.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f openldap.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f pmi.ldif
   ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f ppolicy.ldif

   Step 4：设置自己的 Domain Name
   首先要生成经处理后的目录管理者明文密码：

   # slappasswd
   New password: 
   Re-enter new password: 
   {SSHA}ZhmO2UeH4tsyy5ly0fTwdkO10WJ69V6U

   之后，再新建如下文件：

   vim chdomain.ldif

   文件内容如下，注意，要使用你自己的域名替换掉文件中所有的 “dc=,dc=“，并且使用刚刚生成的密码，替换文中的 “olcRootPW” 部分：

   # replace to your own domain name for "dc=***,dc=***" section
   # specify the password generated above for "olcRootPW" section
   dn: olcDatabase={1}monitor,cn=config
   changetype: modify
   replace: olcAccess
   olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
     read by dn.base="cn=Manager,dc=ho1ho,dc=com" read by * none
   dn: olcDatabase={2}hdb,cn=config
   changetype: modify
   replace: olcSuffix
   olcSuffix: dc=ho1ho,dc=com
   dn: olcDatabase={2}hdb,cn=config
   changetype: modify
   replace: olcRootDN
   olcRootDN: cn=Manager,dc=ho1ho,dc=com
   dn: olcDatabase={2}hdb,cn=config
   changetype: modify
   add: olcRootPW
   olcRootPW: {SSHA}ZhmO2UeH4tsyy5ly0fTwdkO10WJ69V6U
   dn: olcDatabase={2}hdb,cn=config
   changetype: modify
   add: olcAccess
   olcAccess: {0}to attrs=userPassword,shadowLastChange by
     dn="cn=Manager,dc=ho1ho,dc=com" write by anonymous auth by self write by * none
   olcAccess: {1}to dn.base="" by * read
   olcAccess: {2}to * by dn="cn=Manager,dc=ho1ho,dc=com" write by * read

   之后再导入该文件：

   # ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif  
   SASL/EXTERNAL authentication started
   SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
   SASL SSF: 0
   modifying entry "olcDatabase={1}monitor,cn=config"
   modifying entry "olcDatabase={2}hdb,cn=config"
   modifying entry "olcDatabase={2}hdb,cn=config"
   modifying entry "olcDatabase={2}hdb,cn=config"
   modifying entry "olcDatabase={2}hdb,cn=config"

   然后再新建如下文件：

   vim basedomain.ldif

   文件内容如下，注意，要使用你自己的域名替换掉文件中所有的 “dc=,dc=“：

   # replace to your own domain name for "dc=***,dc=***" section
   dn: dc=ho1ho,dc=com
   objectClass: top
   objectClass: dcObject
   objectclass: organization
   o: Server World
   dc: ho1ho
   dn: cn=Manager,dc=ho1ho,dc=com
   objectClass: organizationalRole
   cn: Manager
   description: Directory Manager
   dn: ou=People,dc=ho1ho,dc=com
   objectClass: organizationalUnit
   ou: People
   dn: ou=Group,dc=ho1ho,dc=com
   objectClass: organizationalUnit
   ou: Group

   最后导入该文件：

   # ldapadd -x -D cn=Manager,dc=ho1ho,dc=com -W -f basedomain.ldif
   Enter LDAP Password: 
   adding new entry "dc=ho1ho,dc=com"
   adding new entry "cn=Manager,dc=ho1ho,dc=com"
   adding new entry "ou=People,dc=ho1ho,dc=com"
   adding new entry "ou=Group,dc=ho1ho,dc=com"

   Step 5：允许防火墙访问 LDAP 服务。开启 389/TCP 端口（根据你自己的防火墙进行设置）：
   若使用的是 firewall，修改方法如下：

   # firewall-cmd --add-service=ldap --permanent 
   success
   # firewall-cmd --reload 
   success

   若使用的是 iptables，修改方法如下：

   vim /etc/sysconfig/iptables

   追加如下内容：

   -A INPUT -p tcp -m state --state NEW -m tcp --dport 389 -j ACCEPT

   同样的，修改 ipv6 的防火墙文件，并追加相同的内容：

   vim /etc/sysconfig/ip6tables

   追加如下内容：

   -A INPUT -p tcp -m state --state NEW -m tcp --dport 389 -j ACCEPT

   最后重启防火墙：

   systemctl restart iptables
   systemctl restart ip6tables

   向 OpenLDAP Server 中添加用户
   [1] 添加用户
   首先要生成经处理后的明文密码：

   # slappasswd
   New password: 
   Re-enter new password: 
   {SSHA}8TEZlcfO0LLcnby7zDGYkNdd2fiysP4X

   之后再新建如下文件:

   vim ldapuser.ldif

   文件内容如下，注意，要使用你自己的域名替换掉文件中所有的 “dc=,dc=“，并且使用刚刚生成的密码，替换文中的 “userPassword” 部分：

   # create new
   # replace to your own domain name for "dc=***,dc=***" section
   dn: uid=cent,ou=People,dc=ho1ho,dc=com
   objectClass: inetOrgPerson
   objectClass: posixAccount
   objectClass: shadowAccount
   cn: Cent
   sn: Linux
   userPassword: {SSHA}8TEZlcfO0LLcnby7zDGYkNdd2fiysP4X
   loginShell: /bin/bash
   uidNumber: 1000
   gidNumber: 1000
   homeDirectory: /home/cent
   dn: cn=cent,ou=Group,dc=ho1ho,dc=com
   objectClass: posixGroup
   cn: Cent
   gidNumber: 1000
   memberUid: cent

   最后导入该文件：

   # ldapadd -x -D cn=Manager,dc=ho1ho,dc=com -W -f ldapuser.ldif  
   Enter LDAP Password: 
   adding new entry "uid=cent,ou=People,dc=ho1ho,dc=com"
   adding new entry "cn=cent,ou=Group,dc=ho1ho,dc=com"

   [2] 将 Linux 中已有的用户及用户组（也就是 passwd/group 文件）导入到 LDAP 中
   新建如下脚本文件：

   vim ldapuser.sh

   文件内容如下，注意，要使用你自己的域名替换掉 SUFFIX 变量：

   #!/bin/bash
   # extract local users and groups who have 1000-9999 digit UID
   # replace "SUFFIX=***" to your own domain name
   # this is an example
   SUFFIX='dc=ho1ho,dc=com'
   LDIF='ldapuser.ldif'
   echo -n > $LDIF
   GROUP_IDS=()
   grep "x:[1-9][0-9][0-9][0-9]:" /etc/passwd | (while read TARGET_USER
   do
       USER_ID="$(echo "$TARGET_USER" | cut -d':' -f1)"
       USER_NAME="$(echo "$TARGET_USER" | cut -d':' -f5 | cut -d' ' -f1,2)"
   [ ! "$USER_NAME" ] && USER_NAME="$USER_ID"
       LDAP_SN="$(echo "$USER_NAME" | cut -d' ' -f2)"
   [ ! "$LDAP_SN" ] && LDAP_SN="$USER_NAME"
       LASTCHANGE_FLAG="$(grep "${USER_ID}:" /etc/shadow | cut -d':' -f3)"
   [ ! "$LASTCHANGE_FLAG" ] && LASTCHANGE_FLAG="0"
       SHADOW_FLAG="$(grep "${USER_ID}:" /etc/shadow | cut -d':' -f9)"
   [ ! "$SHADOW_FLAG" ] && SHADOW_FLAG="0"
       GROUP_ID="$(echo "$TARGET_USER" | cut -d':' -f4)"
   [ ! "$(echo "${GROUP_IDS[@]}" | grep "$GROUP_ID")" ] && GROUP_IDS=("${GROUP_IDS[@]}" "$GROUP_ID")
       echo "dn: uid=$USER_ID,ou=People,$SUFFIX" >> $LDIF
       echo "objectClass: inetOrgPerson" >> $LDIF
       echo "objectClass: posixAccount" >> $LDIF
       echo "objectClass: shadowAccount" >> $LDIF
       echo "sn: $LDAP_SN" >> $LDIF
       echo "givenName: $(echo "$USER_NAME" | awk '{print $1}')" >> $LDIF
       echo "cn: $USER_NAME" >> $LDIF
       echo "displayName: $USER_NAME" >> $LDIF
       echo "uidNumber: $(echo "$TARGET_USER" | cut -d':' -f3)" >> $LDIF
       echo "gidNumber: $(echo "$TARGET_USER" | cut -d':' -f4)" >> $LDIF
       echo "userPassword: {crypt}$(grep "${USER_ID}:" /etc/shadow | cut -d':' -f2)" >> $LDIF
       echo "gecos: $USER_NAME" >> $LDIF
       echo "loginShell: $(echo "$TARGET_USER" | cut -d':' -f7)" >> $LDIF
       echo "homeDirectory: $(echo "$TARGET_USER" | cut -d':' -f6)" >> $LDIF
       echo "shadowExpire: $(passwd -S "$USER_ID" | awk '{print $7}')" >> $LDIF
       echo "shadowFlag: $SHADOW_FLAG" >> $LDIF
       echo "shadowWarning: $(passwd -S "$USER_ID" | awk '{print $6}')" >> $LDIF
       echo "shadowMin: $(passwd -S "$USER_ID" | awk '{print $4}')" >> $LDIF
       echo "shadowMax: $(passwd -S "$USER_ID" | awk '{print $5}')" >> $LDIF
       echo "shadowLastChange: $LASTCHANGE_FLAG" >> $LDIF
       echo >> $LDIF
   done
   for TARGET_GROUP_ID in "${GROUP_IDS[@]}"
   do
       LDAP_CN="$(grep ":${TARGET_GROUP_ID}:" /etc/group | cut -d':' -f1)"
       echo "dn: cn=$LDAP_CN,ou=Group,$SUFFIX" >> $LDIF
       echo "objectClass: posixGroup" >> $LDIF
       echo "cn: $LDAP_CN" >> $LDIF
       echo "gidNumber: $TARGET_GROUP_ID" >> $LDIF
       for MEMBER_UID in $(grep ":${TARGET_GROUP_ID}:" /etc/passwd | cut -d':' -f1,3)
       do
           UID_NUM=$(echo "$MEMBER_UID" | cut -d':' -f2)
   [ $UID_NUM -ge 1000 -a $UID_NUM -le 9999 ] && echo "memberUid: $(echo "$MEMBER_UID" | cut -d':' -f1)" >> $LDIF
       done
       echo >> $LDIF
   done
   )

   之后，执行该脚本，会生成 ldapuser.ldif 文件：

   sh ldapuser.sh

   最后导入该文件：

   # ldapadd -x -D cn=Manager,dc=ho1ho,dc=com -W -f ldapuser.ldif  
   Enter LDAP Password: 
   adding new entry "uid=ldapuser1,ou=People,dc=ho1ho,dc=com"
   adding new entry "uid=ldapuser2,ou=People,dc=ho1ho,dc=com"
   adding new entry "cn=ldapuser1,ou=Group,dc=ho1ho,dc=com"
   adding new entry "cn=ldapuser2,ou=Group,dc=ho1ho,dc=com"

   删除 LDAP 用户或组
   删除用户：

   ldapdelete -x -W -D 'cn=Manager,dc=ho1ho,dc=com' "uid=ldapuser1,ou=People,dc=ho1ho,dc=com"

   删除组：

   ldapdelete -x -W -D 'cn=Manager,dc=ho1ho,dc=com' "cn=ldapuser1,ou=Group,dc=ho1ho,dc=com"

   配置 LDAP 客户端，实现网络用户信息共享
   环境说明：
   客户端(192.168.21.177)
   LDAP Server(192.168.21.178)
   应用场景
   客户端需要共享 LDAP Server上的用户，希望以后任何一台机器(例如，192.168.21.189)，使用 LDAP Server 上的用户，就可以直接登录客户端。
   在客户端机器上执行如下命令
   首先安装必要包：

   yum install -y openldap-clients nss-pam-ldapd authconfig authconfig-gtk

   之后执行如下命令（注意，请使用自己的值替换 –ldapserver 和 –ldapbasedn 参数）：

   authconfig --enableldap \
   --enableldapauth \
   --ldapserver=192.168.21.178 \
   --ldapbasedn="dc=ho1ho,dc=com" \
   --enablemkhomedir \
   --update

   然后退出客户端控制台。之后就可以在任何一台机器上，使用 LDAP 用户登录客户端了。例如，在自己的机器(192.168.21.189)，使用 cent 用户（cent 为 LDAP 用户），登录客户端：

   # ssh cent@192.168.21.177  
   cent@192.168.21.177's password: 
   Creating directory '/home/cent'.

   请关闭 SELinux，否则可能无法自动创建用户目录，也就是用户的 home 目录。
   查询 LDAP 用户信息

   $ ldapsearch -x -b "dc=ho1ho,dc=com" -H ldap://172.17.0.6
   # extended LDIF
   #
   # LDAPv3
   # base <dc=ho1ho,dc=com> with scope subtree
   # filter: (objectclass=*)
   # requesting: ALL
   #
   # leovp.com
   dn: dc=ho1ho,dc=com
   objectClass: top
   objectClass: dcObject
   objectClass: organization
   ......
   ......

   安装 phpLDAPadmin
   安装 phpLDAPadmin 需要 LAMP 环境，安装方法请自行百度。（不需要安装 MySQL）
   为了方便安装 phpLDAPadmin，请将 YUM 源修改成 aliyun 源，方法自行百度

   yum install -y phpldapadmin

   修改配置：

   vim /etc/phpldapadmin/config.php

   修改内容，解除 397 行的注释，注释到 398 行。修改后的结果如下：

   $servers->setValue('login','attr','dn');
   // $servers->setValue('login','attr','uid');

   vim /etc/httpd/conf.d/phpldapadmin.conf

   修改内容如下：

   Alias /phpldapadmin /usr/share/phpldapadmin/htdocs
   Alias /ldapadmin /usr/share/phpldapadmin/htdocs
   <Directory /usr/share/phpldapadmin/htdocs>
     <IfModule mod_authz_core.c>
   # Apache 2.4
       Require local
   # 追加内容，设置允许访问 phpLDAPadmin 的 IP 段
       Require ip 192.168.21.0/8

   重新启动 Apache

   systemctl restart httpd

   访问地址：http://[your ip]/ldapadmin 或 http://[your ip]/phpldapadmin
   注意，登录时输入的是 DN，例如：cn=Manager,dc=ho1ho,dc=com
   登录后页面如下： **使用 Java LDAP 库访问 LDAP Server** Java LDAP 库 Maven 地址如下：

   <!-- https://mvnrepository.com/artifact/com.novell.ldap/jldap -->
   <dependency>
   	<groupId>com.novell.ldap</groupId>
   	<artifactId>jldap</artifactId>
   	<version>4.3</version>
   	<type>jar</type>
   	<scope>compile</scope>
   </dependency>

   完整工程详见附件（javaldap.zip）。 转载请注明出处： http://yhz61010.iteye.com/blog/2352672 **相关资料：** http://blog.chinaunix.net/uid-21926461-id-5676013.html http://www.server-world.info/en/note?os=CentOS_7&p=openldap http://jianshi-dlw.iteye.com/blog/1557846 http://qusthuanglong-163-com.iteye.com/blog/993406 http://www.micmiu.com/opensource/java-ldap-demo/ http://www.openldap.org/jldap/