openldap安装配置以及用户家目录的自动挂载手册

OpenLDAP安装指南OpenLDAP 安装指南本⼿册仅⽤于配置Ubuntu9.10中的OpenLDAP，其他版本的OpenLDAP可能有所不同。

⾸先，安装 OpenLDAP:步骤 1运⾏如下命令,将slapd包中带的LDAP schema全部添加到 cn=config中 (默认只有core schema 被添加):步骤 2创建⼀个db.ldif⽂件，其内容如下所⽰，此步骤将为域dc=home,dc=local (即 home.local)安装配置⼀个database。

并且，只有cn=admin,dc=hoome,dc=local可以管理这个数据库（密码：admin）。

代码:# Load modules for database typedn: cn=module,cn=configobjectclass: olcModuleListcn: moduleolcModuleLoad: back_/doc/be86a984b9d528ea81c779c8.html# Create directory databasedn: olcDatabase=bdb,cn=configobjectClass: olcDatabaseConfigobjectClass: olcBdbConfigolcDatabase: bdb# Domain name (e.g. home.local)olcSuffix: dc=home,dc=local# Location on system where database is storedolcDbDirectory: /var/lib/ldap# Manager of the databaseolcRootDN: cn=admin,dc=home,dc=localolcRootPW: admin# Indices in database to speed up searchesolcDbIndex: uid pres,eqolcDbIndex: cn,sn,mail pres,eq,approx,subolcDbIndex: objectClass eq# Allow users to change their own password# Allow anonymous to authenciate against the password# Allow admin to change anyone's passwordolcAccess: to attrs=userPasswordby self writeby anonymous authby dn.base="cn=admin,dc=home,dc=local" writeby * none# Allow users to change their own record# Allow anyone to read directoryolcAccess: to *by self writeby dn.base="cn=admin,dc=home,dc=local" writeby * read对上述⽂件，使⽤如下命令将数据库添加到LDAP server上. 需要知道的是 Karmic使⽤EXTERNAL SASL 和LDAP server通信. 这⾥没有admin user或者password:步骤 3创建另⼀个⽂件，该⽂件包含所有你想要添加的⽤户，这⾥以people.ldif命名之。

部署OPENLDAP手册编写：贺承玮日期：2007年9月20日星期四操作系统：LINUX AS3.01)查看已经安装的OPENLDAPrpm –aq | grep openldap显示结果：openldap-2.0.27-17openldap-devel-2.0.27-172)下载并安装openldap-servers-2.0.27-17.i386.rpmrpm –ivh openldap-servers-2.0.27-17.i386.rpm - -force3)上传格尔提供的koalca.schema文件cp koalca.schema /etc/openldap/schema2.1设置配置文件在配置文件/etc/openldap/slapd.conf中进行如下修改：1、引入schemainclude /etc/openldap/schema/koalca.schema 2、增加根节点suffix "o=koalca"3、设置dnrootdn "cn=Manager,dc=koal,dc=com"4、设置登陆密码rootpw 123456785、其他设置suffix "dc=koal,dc=com"（如果有就设置，按你之前做的应该不用）2.2建库[root@testCA-01 openldap]# pwd/etc/openldap（即在openldap在安装目录下执行以下内容）[root@testCA-01 openldap]# slapadd -l initdata2.ldif -f /etc/openldap/slapd.conf（你需要把initdata2.ldif中的o项改成你需要的根节点名称）[root@testCA-01 openldap]# chown ldap.ldap /var/lib/ldap/*重启生效[root@testCA-01 openldap]# /etc/init.d/ldap restart停止slapd：[ 确定] 启动slapd：[ 确定]3.1搭建从机从机的安装过程同主机，不用作slapd.conf的设置和建库。

Windows下安装使用openldapopenldap 比起其他商业目录服务器(比如 IBM Directory Server)，特别的轻巧，十分适合于本地开发测试用，在产品环境中的表现也很优秀。

openldap 软件在它的官方网站, 不过下载过来是源代码，并没有包含 win32 下的 Makefile 文件，只提供了在 Unix/Linux 下编译用的 Makefile。

所以相应的在网上介绍在 windows 下安装使用 openldap 的资料比较少，而在 Unix/Linux 下应用文档却很丰富。

本文实践了在 Windows 下安装配 openldap，并添加一个条目，LdapBrowser 浏览，及 Java 程序连接 openldap 的全过程。

1. 下载安装 openldap for windows，当前版本2.2.29下载地址：/openldap/openldap-2.2.29/openldap-2.2.29-db-4.3.29-openssl-0.9.8a-win32_Setup.exe相关链接：/hacks/openldap/安装很简单，一路 next 即可，假设我们安装在 c:\openldap2. 配置 openldap，编辑 sldap.conf 文件1) 打开 c:\openldap\sldap.conf，找到include C:/openldap/etc/schema/core.schema，在它后面添加include C:/openldap/etc/schema/cosine.schemainclude C:/openldap/etc/schema/inetorgperson.schema接下来的例子只需要用到以上三个 schema，当然，如果你觉得需要的话，你可以把其他的 schema 全部添加进来include C:/openldap/etc/schema/corba.schemainclude C:/openldap/etc/schema/dyngroup.schemainclude C:/openldap/etc/schema/java.schemainclude C:/openldap/etc/schema/misc.schemainclude C:/openldap/etc/schema/nis.schemainclude C:/openldap/etc/schema/openldap.schema2) 还是在 sldap.conf 文件中，找到suffix "dc=my-domain,dc=com"rootdn "cn=Manager,dc=my-domain,dc=com"把这两行改为suffix "o=tcl,c=cn"rootdn "cn=Manager,o=tcl,c=cn"suffix 就是看自己如何定义了，后面步骤的 ldif 文件就必须与它定义了。

Openldap在windows下的安装及配置准备工作Openldap官网只提供了linux平台相关安装文件，windows平台的安装包可以在以下网站下载：erbooster.de/download/openldap-for-windows.aspx(本文使用：2.4.34)/projects/openldapwindows/files/http://sourceforge.jp/projects/openldapwin32/releases/安装过程按照提示一直next，直到安装完成：安装完成后，在系统服务中，找到openldap service，根据自己的需要将启动类型修改为自动或手动。

配置过程安装目录：E:\servers\OpenLDAP编辑文件：E:\servers\OpenLDAP\slapd.conf 修改如下内容suffix "dc=maxcrc,dc=com"rootdn "cn=Manager,dc=maxcrc,dc=com"修改为：suffix "dc=merit "rootdn "cn=Manager,dc=merit"新建一个文件：E:\servers\OpenLDAP\merit.ldif 内容如下dn: dc=meritobjectClass: domainobjectClass: topdc: meritdn: ou=erds,dc=meritobjectclass: topobjectclass: organizationalUnitou: erdsdn: ou=tim,dc=meritobjectclass: topobjectclass: organizationalUnitou: tim在系统服务中，找到openldap service，停止服务再控制台中切换到openldap安装目录下执行命令：Slapadd–v –l merit.ldif运行结果如下：在系统服务中再启动openldap service即可。

OpenLDAP安装及配置OpenLDAP安装及配置折腾了好多天总算是折腾出些眉⽬来了，openldap在linux下的安装与⽂件的配置估计令好多⼈都⽐较头疼吧？我就遇到了这样的问题。

下⾯我就⼤致说⼀下openldap的安装过程以及所遇到的⼀些问题的处理办法。

1.安装BerkeleyDB我选⽤的数据库是BerkeleyDB-4.8.26，在安装openldap之前需要把BDB先装好。

安装步骤如下：1）⾸先把下载好的⽂件db-4.8.26.tar解压，⽣成⽂件夹db-4.8.26，# cd db-4.8.26/build_unix# ../dist/configure# make# make install这个过程⼀般没什么问题，默认安装到了/usr/local下，⽬录名，BerkeleyDB.4.8,2) 接下来应该把BerkeleyDB.4.8下include和lib⽂件夹下的⽂件都考到usr⽂件夹下相应的include和lib⽂件下。

也可以通过以下命令来实现#cp /usr/local/ BerkeleyDB.4.8/include/* /usr/include#cp /usr/local/ BerkeleyDB.4.8/lib/* /usr/lib注意：*后边要有空格，这是cp命令的格式2.安装openldap同样，先解压，我⽤的是openldap-2.4.13，安装步骤如下#cd openldap-2.4.13#env CPPFLAGS=”-I/usr/local/ BerkeleyDB.4.8/include” LDFLAGS=”-L/usr/local/ BerkeleyDB.4.8/lib”./configure --prefix=/usr/local/openldap出现Making servers/slapd/backends.cAdd config…Add ldif…Add monitor…Add bdb…Add hdb…Add relay…Make servers/slapd/overlays/statover.cAdd syncprov…Please run “make depend” to build dependencies就可以进⾏下⼀步了，# make depend#make#make test# make install这样openldap就基本上安装完成了，但在这⼀步容易出现⼀些问题。

LDAP完全配置管理用户组服务器端一：安装相关软件yum -y install openldap* db4*二：安装配置1 创建复制BDB数据库配置文件LDAP服务器默认采用BDB（伯克利）数据库作为后台，CentOS中已经默认安装，需要先将/etc/openldap/目录下的DB-CONFIG.example文件复制到/var/lib/ldap/目录下并更名为DB-CONFIG并更改权限为ldap所有。

#cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG#useradd -s /sbin/nologin ldap#chown ldap:ldap /var/lib/ldap/DB_CONFIG2 LDAP服务器的主配置文件为/etc/openldap/slapd.conf,找到suffix “dc=my-domain,dc=com”rootdn “cn=Manager,dc=my-domain,dc=com” 两行。

根据实际情况修改为：suffix “dc=langtaojin,dc=com” 设定域名后缀rootdn “cn=Manager,dc= langtaojin,dc=com ” 超级管理员密码设为简单的明码，把rootpw secret这行前面的注释去掉，注意此行前面一定不要留空格。

将secret替换成123456（自定义密码）（或者用slappasswd -h{SSHA} -s 123456生成你的暗文密码）找到access配置部分，添加如下语句：access to attrs=shadowLastChange,Userpasswordby self writeby * authaccess to *by * readLDAP服务器需要手动添加日志功能。

/etc/openldap/slapd.conf中末行添加directory /var/lib/ldaploglevel 296cachesize 1000checkpoint 2048 10local4.* /var/log/ldap.log (說明：local0-7为syslog的facilities，具体的程序应用的facility不一样，每一个facility都有它的数字代码，由这些代码加上错误信息的程度syslog 可以判断出信息的优先权。

OPENLDAP在REDHA T8.0下的安装和配置笔记最近一直在安装opneldap-2.0.25，现在终于搞定了，所以拿来和大家分享一下，如果有什么意见，可以共同讨论一下：1) 一般需要安装以下四个rpm包：openldap-2.0.25-1.i386.rpmopenldap-servers-2.0.25-1.i386.rpmopenldap-clients-2.0.25-1.i386.rpmopenldap-devel -2.0.25-1.i386.rpmOpenldap-2.0*是必要套件，一定要先安装；Openldap-servers*是服务器套件；openldap-clients*是操作程序套件；openldap-devel*是开发工具套件.如果需要用ldap做一些高级应用，还需要加装如下套件：auth_ldap*nss_ldap*php_ldap*2)下一步就是配置了配置文件一般在/etc/openldap/下：ldapfilter.conf ldap.confldapsearchprefs.conf schema ldaptemplates.conf slapd.conf文件slapd.conf是设置ldap服务器连接，进入文件，修改相应的部分：在include /etc/openldap/schema/……部分添加完整的方案，即schema目录下的所有方案。

在“ldbm database definitions”部分，用suffix命令设置ldap服务器的基础搜索路径（BDN）:suffix “dc=buct, dc=”rootdn “cn=root, dc=buct, dc=”rootpw 123456其它大多数的缺省设置都是适当的。

然后检查两个文件，以保证可以在同一台机器上实现服务器与客户端同机操作：/etc/hosts :127.0.0.1 localhost.localdomain localhost202.xxx.xxx.xxx /etc/openldap/ldap.conf:HOST 202.4.155.91BASE dc=buct , dc=3)测试服务器：#service ldap start#ldapsearch –x –b …‟ -s base …(objectclass=*)‟namingContexts如果正确配置了，应该出现下面输出：version :2#filter(objectclass=*)#requesting: namingContextsdn:namingContexts: dc=buct, dc=#search resultsearch :2result :0 success# numResponses: 2# numEntries: 1如果出现错误消息，则返回并检查配置。

1.避免重复的数据，从而无需在不同地点同时保存数据。

2.通过使用单一系统代替不同的数据管理系统和技术，简化数据的管理。

3.通过单点访问数据和实施一致的访问控制方法，提高数据安全性。

4.通过消除多种存储格式和系统，降低成本。

1、Directory Services(目录服务)能做什么？当局域网的规模变的越来越大时，为了方便主机管理，我们使用DHCP来实现IP地址、以太网地址、主机名和拓扑结构等的集中管理和统一分配。

同样，如果一个局域网内有许多的其它资源时，如打印机、共享文件夹等等，为了方便的定位及查找它们，一种集中定位管理的方式或许是较好的选择，DNS和NIS都是用来实现类似管理的方法。

对于局域网内的一个用户来讲，工作等其它应用需要，我们必须凭帐号登录主机、用帐号收发E-mail，甚至为了管理需要公司还需要维护一个电子号码簿来存储员工的姓名、地址、电话号码等信息。

随着时间的增长，我们会为这些越来越多的帐号和密码弄的头晕脑胀。

同时，如果一个员工离开，管理员就不得不翻遍所有的记录帐号信息的文件把离职员工的信息删除。

这些将是一个繁琐而效率低下的工作。

那么，如果能将此些帐号信息等统一到一个文件中进行管理，无疑会大大提高员工及管理员的工作效率。

目录服务（LDAP是其实现的一种）正是基于这些应用实现的。

2、什么是LDAP？LDAP是Lightweight Directory Access Protocol的缩写，顾名思义，它是指轻量级目录访问协议（这个主要是相对另一目录访问协议X.500而言的；LDAP略去了x.500中许多不太常用的功能，且以TCP/IP协议为基础）。

目录服务和数据库很类似，但又有着很大的不同之处。

数据库设计为方便读写，但目录服务专门进行了读优化的设计，因此不太适合于经常有写操作的数据存储。

同时，LDAP只是一个协议，它没有涉及到如何存储这些信息，因此还需要一个后端数据库组件来实现。

这些后端可以是bdb(BerkeleyDB)、ldbm、shell和passwd等。

Windows下OpenLDAP的安装与配置本文主要参考官方文档：/doc/admin24/quickstart.html和网上流传的教程：/?p=462OpenLDAP下载地址：/openldap/openldap-2.2.29/openldap-2.2.29-db-4.3.29-openssl-0.9.8a-win32_Setup.exe下载后点击安装即可。

配置sldap.conf ：在安装目录下找到sldap.conf ，修改配置如下：suffix "dc=example,dc=com"rootdn "cn=Manager,dc=example,dc=com"rootpw secret启动OpenLDAP：进入cmd命令行，跳转到OpenLDAP安装目录下，运行：slapd -d 1用可以看到控制台下打印一片信息，openldap 默认是用的 Berkeley DB 数据库存储目录数据的。

再开一个cmd，跳转到OpenLDAP安装目录下。

测试OpenLDAP是否正常启动：ldapsearch -x -s base (objectclass=*) namingContexts官方文档里，这一条命令加了些单引号，但带单引号的命令在Windows环境下跑不通。

后面的命令也都避免使用引号。

如果返回：dn:namingContexts: dc=example,dc=com则说明OpenLDAP成功启动增加一个条目：1.做一个LDIF文件2.使用ldapadd命令1.在安装目录下，新建文件example.ldif，输入如下内容：dn: dc=example,dc=comobjectclass: dcObjectobjectclass: organizationo: Example Companydc: exampledn: cn=Manager,dc=example,dc=comobjectclass: organizationalRolecn: Manager注意：在文档每一行的开头和结尾不要有空格，文档最后最好也别回车。

一．Openldap的安装1.利用yum方式安装openldapyum install openldapopenldap-servers openldap-clients openldap-develcompat-openldap2.配置日志mkdir /var/log/slapdchmod 755 /var/log/slapd/chownldap:ldap /var/log/slapd/sed -i "/local4.*/d" /etc/rsyslog.confcat >> /etc/rsyslog.conf<< EOFlocal4.* /var/log/slapd/slapd.logEOFservice rsyslog restart3. 创建管理员密码，尽量使用高强度密码这里我设置的密码为3329728,ssha加密后生成的{SSHA}DOS0VOBzmvD3beMsuFllLBOi6CAt4Kcj 一会配置文件要用[root@openldap-master~]#slappasswdNew password:Re-enter new password:{SSHA}DOS0VOBzmvD3beMsuFllLBOi6CAt4Kcj4.修改slapd.conf配置为了使用默认的slapd.conf这种配置方式，我们移除slapd.d这个目录，并复制默认的slapd.conf文件。

命令如下Cp/usr/share/openldap-servers/slapd.conf.obsolete/etc/openldap/slapd.confmv /etc/openldap/slapd.d{,.bak}（备份slapd.d为slapd.bak）然后我们用vi修改/etc/openldap/spapd.conf这个文件修改suffix和rootdn，rootpw这几个的值其中rootpw后面是上面生成的sha密码!.Suffix后面可以是一级域名也可以是二级域名，这里我们用的是一级域名。