OpenLDAP应用之帐号集中管理.docVIP

前言:最近在网上找了很多关于LDAP的文档(感谢广大网友的无私奉献),借鉴这些文档顺利完成了关于OpenLDAP帐号集中管理的配置,写下如下内容,方便以后回顾. 声明:内容参考与/developerworks/cn/linux/l-openldap/ 简介: Linux 发行版中提供的 OpenLDAP 软件按照一个C/S模型实现了轻量级目录访问协议（LDAP）。LDAP 的设计目的是提供一种有效的方法来查找和管理信息。OpenLDAP 软件和包提供了创建目录信息树（一个主要进行读操作的数据库）的工具。如何存储用户的帐号信息，并修改身份验证服务来使用 LDAP 获取所需要的信息。内部细节并不重要，因为这些工具可以将数据库的内容以文本格式（LDAP 数据交换格式，LDIF）呈现在您的面前。 LDAP 信息被组织成属性和值的组合，称为 条目（entry）。条目可能会具有必须的属性或可选属性。一个条目的属性必须要遵循 /etc/openldap/schema/ 模式文件中定义的规则。规则包含在条目的 objectclass 属性中。看一下下面的关系，我们可以看出 posixAccount objectclass 中包含了密码文件条目的信息（posixAccount userPassword 是文件条目的 base64 编码）。 LDAP 目录条目和 Linux 密码文件之间的关系 配置 LDAP 服务器：1,软件包的安装：[root@station1 ~]# rpm -qa | grep openldapopenldap-2.3.43-3.el5????????? #包含 OpenLDAP 配置文件、库和文档openldap-clients-2.3.43-3.el5? #包含客户端程序，用来访问和修改 OpenLDAP 目录openldap-servers-2.3.43-3.el5? #包含 slapd 和 slurpd 服务器、迁移脚本和相关文件[root@station1 ~]#2,OpenLDAP 相关程序简介：守护进程：slapd：主 LDAP 服务器slurpd：负责与复制 LDAP 服务器保持同步的服务器对网络上的目录进行操作的客户端程序：ldapadd：打开一个到 LDAP 服务器的连接，绑定、修改或增加条目ldapsearch：打开一个到 LDAP 服务器的连接，绑定并使用指定的参数进行搜索对本地系统上的数据库进行操作的几个程序：slapadd：将以 LDAP 目录交换格式（LDIF）指定的条目添加到 LDAP 数据库中slapcat：打开 LDAP 数据库，并将对应的条目输出为 LDIF 格式OpenLDAP 的主要服务器配置文件是 /etc/openldap/slapd.conf。slapd.conf 文件中包括一系列全局配置选项，它们作为一个整体应用到 slapd 上面，后面是包含数据库特有信息的数据库后端定义。如果一行内容是以空格开始的，就认为它是上一行的延续。空行和以 “#” 字符开头的注释行都会被忽略。3,全局配置信息段的设置：信息被组织成属性和值的组合，称为条目。条目属性必须遵循的规则是使用 objectclass 专用属性进行组织的，可以在 /etc/openldap/schema/ 模式文件中找到。对于身份验证来说，需要使用在 nis.schema 中定义的 posixAccount 和 shadowAccount如下：[root@station1 ~]# vim /etc/openldap/slapd.confinclude???????? /etc/openldap/schema/nis.schema[root@station1 ~]# vim /etc/openldap/schema/nis.schema# Object Class Definitionsobjectclass ( . NAME posixAccount??????? DESC Abstraction of an account with POSIX attributes??????? SUP top AUXILIARY??????? MUST ( cn $ uid $ uidNumber $ gidNumber $ homeDirectory )??????? MAY ( userPassword $ loginShell $ gecos $ description ) )objectclass ( . NAME shadowAccount??????? DESC Additional attributes for shadow passwords