安装和配置OPENLDAP教材.doc

安装和配置OPENLDAP必需的软件包在大多数基于软件包的系统上（例如，在基于 RPM 的分发版（distribution）上，如 Red Hat、Mandrake 和 SuSE）安装和配置 OpenLDAP 是一个相对比较简单的过程。第一步先确定将哪些 OpenLDAP 组件（如果有的话）作为初始 Linux 设置的一部分进行安装。从控制台窗口或命令行，输入：[root@thor root]# rpm -qa | grep openldapopenldap-devel-2.0.23-4openldap-2.0.23-4openldap-servers-2.0.23-4openldap-clients-2.0.23-4[root@thor root]#您应该看到类似上面的输出。注：Red Hat 分发版安装 OpenLDAP 客户机软件，但不安装 openldap-servers 软件包，即使您选择了服务器配置也是如此。要安装 RPM 软件包，在分发版媒质上找到所需文件的位置并输入：rpm -ivh packagename配置 OpenLDAP 服务器安装了必需的软件之后，下一步是要配置服务器。首先，备份原始配置文件以供今后参考（ cp /etc/openldap/slapd.conf /etc/openldap/slapd.conf.orig ）。现在，在您所喜爱的文本编辑器中打开 /etc/openldap/slapd.conf 文件，花几分钟时间通读注释。除了定义目录数据库类型、suffix、rootdn 和存储目录数据库的位置的几个项外，slapd.conf 中的大多数缺省设置都是适当的。database? ?? ???ldbmsuffix? ?? ?? ? dc=syroidmanor,dc=comrootdn? ?? ?? ? cn=root,dc=,dc=comrootpw? ?? ?? ? {CRYPT}05T/JKDWO0SuIdirectory /var/lib/ldapindex? ?objectClass,uid,uidNumber,gidNumber,memberUid? ?eqindex? ?cn,mail,surname,givenname? ?? ?? ?? ?? ?? ?? ???eq,subinitial保护 rootdnrootdn 项控制谁可以对目录数据库进行写操作，以及他们要这样做所必须提供的密码。请确保阅读“访问控制”一章结束部分的注释：# if no access controls are present, the default is: #? ?? ? Allow read by all## rootdn can always write!“rootdn can always write!”（rootdn 总是可以写！）的意思正如它所表示的那样。您在 rootdn 项的 cn= 部分填充的任何项都是对数据库有完全读／写访问权的用户。另外，缺省配置文件使用“secret”作为密码，它以明文形式发送。如果只能从装了防火墙与外界隔离的内部网访问您的 LDAP 服务器，并且确信将访问 LDAP 服务器的用户不知道有关信息包嗅探的任何事情，您大概可以以明文形式安全地发送 rootdn 密码（只要确保将密码“secret”稍加修改，使之不易被猜出）。但是，如果您打算存储在目录中的数据只有一点点机密性，则对密码进行散列处理。可以用 slappasswd 实用程序完成它，如下所示：[root@thor root]# slappasswd -h {crypt}?该程序将要求您输入密码，然后 slappasswd 将给出与所提供的项相对应的 crypt 字符串。将该字符串剪切并粘贴到 slapd.conf，如上一页所示。其它散列选项包含 SSHA（缺省值）、SMD5、MD5 和 SHA。输入 man slappasswd ，以获取更多信息。测试服务器现在是测试服务器的好时机了。这里的配置相对比较简单也容易对可能出现的问题进行故障诊断。在 Red Hat Linux 系统上，命令是：[root@thor root]# service ldap start? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 接下来，测试您访问目录的能力：[root@thor root]# ldapsearch -x -b -s base (objectclass=*) namingContexts如果正确配置了服务器，您应该看到类似于下面的输出（当然，有不同的 dc）：version: 2## filter: (obje