Linux系統下安裝配置 OpenLDAP + phpLDAPadmin
實驗環境:
作業系統:Centos 7.4
伺服器ip:192.168.3.41
執行使用者:root
網路環境:Internet
LDAP (輕量級目錄訪問協議)是一個能實現提供被稱為目錄服務的資訊服務,也是一套使用者認證體系系統;一般在大型企業、學校、政府單位使用的比較多,LDAP是由4部分組成,這4部分分別是slapd(獨立LDAP守護程式)、slurpd(獨立的LDAP更新複製守護程式)、LDAP協議庫、工具軟體和示例客戶端(phpLDAPadmin),目錄服務是一種特殊的資料庫系統,用來儲存使用者資訊的資料庫,讀寫速度非常快,擴充套件性非常強,可以實現與地方系統直接對接整合起來統一管理使用者資訊。
LDAP 說起來也不簡單,但是ALDP在 應用範圍是比較廣泛的,如果想要深入的瞭解LDAP,建議去看下劉遄老師 這本教程,裡面解釋的非常詳細,也可以在百度輸入此書名去官網看,想要在Linux部署還是推薦這本書去系統的學習,對初學者還是很有版本的,這篇文章搭建ldap+phpldapadmin也是在Linux環境下執行的,所以還是需要Linux基礎才能看懂下面的配置步驟。
1 、安裝OpenLDAP
[root@centos7 ~]# yum install openldap-servers openldap-clients -y
[root@centos7 ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@centos7 ~]# ll /var/lib/ldap/DB_CONFIG
-rw-r--r--. 1 root root 845 Aug 1 10:04 /var/lib/ldap/DB_CONFIG
[root@centos7 ~]# chown ldap. /var/lib/ldap/DB_CONFIG // 授權配置檔案
[root@centos7 ~]# more /etc/passwd|grep ldap
ldap:x:55:55:OpenLDAP server:/var/lib/ldap:/sbin/nologin
[root@centos7 ~]# systemctl start slapd.service // 啟動slapd服務
[root@centos7 ~]# systemctl enable slapd.service // 設定開機自動啟動slapd服務
2 、設定OpenLDAP管理員密碼
[root@centos7 ~]# slappasswd
New password: //password
Re-enter new password:
{SSHA}d5pkA0TU6b+8/kEoMIxJ59QofCLV
為“olcRootPW”指定上面生成的密碼
[root@centos7 ~]# vim chrootpw.ldif
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}d5pkA0TU6b+8/kEokgQeMIxJ59QofCLV
[root@centos7 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"
3 、匯入基本模式
[root@centos7 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=cosine,cn=schema,cn=config"
[root@centos7 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=nis,cn=schema,cn=config"
[root@centos7 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=inetorgperson,cn=schema,cn=config"
4 、在LDAP DB上設定域名 ,生成目錄管理器密碼
[root@centos7 ~]# slappasswd
New password:
Re-enter new password:
{SSHA}Oq61fgUFW9+ItZboTaW1+VbLuAYst7zw
注意:下面配置檔案這裡得注意每一個屬性: 後必須有空格,但是值的後面不能有任何空格
[root@centos7 ~]# vim chdomain.ldif
# replace to your own domain name for "dc=***,dc=***" section
# specify the password generated above for "olcRootPW" section
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
read by dn.base="cn=Manager,dc=srv,dc=world" read by * none
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=srv,dc=world
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=srv,dc=world
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}Oq61fgUFW9+ItZboTaW1+VbLuAYst7zw
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
dn="cn=Manager,dc=srv,dc=world" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=Manager,dc=srv,dc=world" write by * read
[root@centos7 ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
[root@centos7 ~]# vim basedomain.ldif
# replace to your own domain name for "dc=***,dc=***" section
dn: dc=srv,dc=world
objectClass: top
objectClass: dcObject
objectclass: organization
o: Server World
dc: Srv
dn: cn=Manager,dc=srv,dc=world
objectClass: organizationalRole
cn: Manager
description: Directory Manager
dn: ou=People,dc=srv,dc=world
objectClass: organizationalUnit
ou: People
dn: ou=Group,dc=srv,dc=world
objectClass: organizationalUnit
ou: Group
[root@centos7 ~]# ldapadd -x -D "cn=Manager,dc=srv,dc=world" -W -f basedomain.ldif
Enter LDAP Password: // 輸入上面設定的目錄管理器密碼 password
adding new entry "dc=srv,dc=world"
adding new entry "cn=Manager,dc=srv,dc=world"
adding new entry "ou=People,dc=srv,dc=world"
adding new entry "ou=Group,dc=srv,dc=world"
[root@centos7 ~]# ldapsearch -x -b "cn=Manager,dc=srv,dc=world"
# extended LDIF
#
# LDAPv3
# base <cn=Manager,dc=srv,dc=world> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# Manager, srv.world
dn: cn=Manager,dc=srv,dc=world
objectClass: organizationalRole
cn: Manager
description: Directory Manager
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1
5 、設定Firewalld,如果未啟用防火牆關閉,忽略
[root@centos7 ~]# firewall-cmd --add-service=ldap --permanent
[root@centos7 ~]# firewall-cmd --reload
6 、安裝並配置Apache
[root@centos7 ~]# yum install httpd-devel.x86_64 httpd.x86_64 -y
[root@centos7 ~]# mv /etc/httpd/conf.d/welcome.conf /etc/httpd/conf.d/welcome.conf.bak
[root@centos7 ~]# vim /etc/httpd/conf/httpd.conf
# line 86: change to admin's email address
ServerAdmin root@srv.world
# line 95: change to your server's name
ServerName
# line 151: change
AllowOverride All
# line 164: add file name that it can access only with directory's name
DirectoryIndex index.html index.cgi index.php
# add follows to the end // 在尾部新增
# server's response header
ServerTokens Prod
# keepalive is ON
KeepAlive On
[root@centos7 ~]# systemctl start httpd.service
[root@centos7 ~]# systemctl enable httpd.service
[root@centos7 ~]# firewall-cmd --add-service=http --permanent // 防火牆排除httpd服務,如果沒有啟用防火牆,此步驟可以忽略。
success
[root@centos7 ~]# firewall-cmd --reload // 重新載入firewall
success
[root@centos7 ~]# vim /var/www/html/index.html // 測試apache服務
<html>
<body>
<div style="width: 100%; font-size: 40px; font-weight: bold; text-align: center;">
Test Page
</div>
</body>
</html>
測試:http://192.168.3.41/index.html
7 、安裝PHP
[root@centos7 ~]# yum -y install php php-mbstring php-pear
[root@centos7 ~]# vim /etc/php.ini
# 修改時區 878行
date.timezone = Asia/Shanghai
[root@centos7 ~]# systemctl restart httpd.service
[root@centos7 ~]# vim /var/www/html/index.php
<html>
<body>
<div style="width: 100%; font-size: 40px; font-weight: bold; text-align: center;">
<?php
print Date("Y/m/d");
?>
</div>
</body>
</html>
php 列印日期
測試:http://192.168.3.41/index.php
可以不安裝phpLDAPadmin工具,直接下載Windows系統下的LdapAdmin應用程式
8 、安裝phpLDAPadmin
[root@centos7 ~]# yum install phpldapadmin.noarch -y
[root@centos7 ~]# vim /etc/phpldapadmin/config.php
397 $servers->setValue('login','attr','dn'); # 取消397行註釋
398 //$servers->setValue('login','attr','uid'); # 註釋398
[root@centos7 ~]# vim /etc/httpd/conf.d/phpldapadmin.conf
#
# Web-based tool for managing LDAP servers
#
Alias /phpldapadmin /usr/share/phpldapadmin/htdocs
Alias /ldapadmin /usr/share/phpldapadmin/htdocs
<Directory /usr/share/phpldapadmin/htdocs>
<IfModule mod_authz_core.c>
# Apache 2.4
# 只允許本地請求訪問
# Require local
# 允許所有的請求訪問
Require all granted
# 允許IP段訪問
#Require ip 10.0.0.0/24
</IfModule>
<IfModule !mod_authz_core.c>
# Apache 2.2
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
Allow from ::1
</IfModule>
</Directory>
[root@centos7 ~]# systemctl restart httpd.service
[root@centos7 ~]# systemctl status httpd.service
測試:http://192.168.3.41/ldapadmin/
如果是按照上面配置執行的操作,登入一直提示失敗,需要執行
[root@centos7 ~]# setsebool -P httpd_can_connect_ldap on
cn=Manager,dc=srv,dc=world
9 、基本操作和使用
9.1 、新增組
9.2 、新增使用者
9.3 、phpldapadmin的網站的apache配置檔案
# vim /etc/httpd/conf.d/phpldapadmin.conf
#
# Web-based tool for managing LDAP servers
#
Alias /phpldapadmin /usr/share/phpldapadmin/htdocs
Alias /ldapadmin /usr/share/phpldapadmin/htdocs
# 注意:/usr/share/phpldapadmin/htdocs 是phpldapadmin根目錄
<Directory /usr/share/phpldapadmin/htdocs>
<IfModule mod_authz_core.c>
# Apache 2.4
# 只允許本地請求訪問
# Require local
# 允許所有的請求訪問
Require all granted
# 允許IP段訪問
#Require ip 192.168.3.0/24
</IfModule>
<IfModule !mod_authz_core.c>
# Apache 2.2
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
Allow from ::1
</IfModule>
</Directory>
這裡可以直接訪問phpldapadmin後臺,最好是透過apache做密碼驗證才能登入,這樣比較安全。
參考文獻:
10 、禁止匿名使用者登入
# vim /root/ldap_disable_bind_anon.ldif
angetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
[root@centos7 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f ldap_disable_bind_anon.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
[root@centos7 ~]# systemctl restart slapd.service
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2644620/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 安裝和配置OPENLDAP(轉)LDA
- phpLDAPadmin 安裝PHPLDA
- CentOS6下OpenLDAP+PhpLdapAdmin基本安裝及主從/主主高可用模式部署記錄CentOSLDAPHP模式
- ubuntu下OpenLDAP安裝與初始化UbuntuLDA
- VirtualBox下安裝Linux系統Linux
- Linux系統Tomcat安裝與配置。LinuxTomcat
- 小白都能看懂的Linux系統下安裝配置ZabbixLinux
- windows系統下GCC的安裝與配置WindowsGC
- Linux下ODBC安裝配置Linux
- Linux下ejabberd安裝配置Linux
- Linux下安裝配置RedisLinuxRedis
- linux下安裝配置svnLinux
- windows下openldap的安裝與java操作測試WindowsLDAJava
- Linux系統下載mysql與安裝LinuxMySql
- linux系統下window字型安裝方法Linux
- 在 linux 系統下安裝 perl(轉)Linux
- Linux下安裝java及配置(yum安裝)LinuxJava
- Linux下怎麼安裝.deb格式的安裝包?Linux系統下.deb格式安裝包的安裝教程Linux
- Linux下rsync安裝與配置Linux
- Linux下Redis的安裝配置LinuxRedis
- Linux下ftp的安裝配置LinuxFTP
- Linux下SNMP的安裝配置Linux
- CUnit在Linux下安裝配置Linux
- 【配置上線】Oracle資料庫Linux系統下安裝(圖形介面)Oracle資料庫Linux
- Linux系統下安裝配置JDK(rpm方式及tar.gz方式)LinuxJDK
- Linux作業系統下乙太網卡的安裝及配置(轉)Linux作業系統
- windows10下安裝linux雙系統WindowsLinux
- Linux系統下安裝Apache伺服器LinuxApache伺服器
- Linux系統下安裝使用anaconda教程。Linux
- linux系統安裝jdk,配置環境變數LinuxJDK變數
- win10下linux kali系統安裝教程_win10下linux kali系統安裝步驟【圖文】Win10Linux
- Linux系統安裝Linux
- CentOS 6.5系統安裝配置CentOS
- Linux系統安裝01-centos7系統安裝LinuxCentOS
- Linux系統安裝——Centos 7.6安裝LinuxCentOS
- solaris8下安裝openldap2.2.30 & db-4.2.50LDA
- Linux環境下nginx安裝配置LinuxNginx
- Linux下安裝mantis配置指南【轉】Linux