OpenLDAP 服务端配置(一): 基本配置

本文基于 OpenLDAP 的安装后整理。

需要注意的是， 在 slaptest 命令生成的文件为 root 用户所有 ， 需要用 chown 命令修改其属主, 然后再重启 slapd 服务

可以借助开源工具 migrationtools 将已有的 用户、密码以及用户组添加到openldap中。具体方式如下：

先安装工具

根据实际域名，修改 /usr/share/migrationtools/migrate_common.ph 配置文件中的如下字段

使用工具 migrate_base.pl 生成根域条目并导入到OpenLDAP中：

输入前面设置的 admin 密码即可将根域条目导入。

默认情况下， OpenLDAP 服务端与客户端之间使用明文进行验证、查询等 *** 作。 由于互联网上数据传输存在不安全的因素， 所以需要配置OpenLDAP来支持加密传输数据。

自己创建 CA 证书的基本步骤如下：

其中以下字段需要根据实际情况填写：

并在该路径下生成以下密钥

根据前面 CA 签发自身密钥的输入信息，填入下面的字段

修改配置文件 /etc/openldap/slapd.conf 中的下列配置项

您好，如果你需要openldap在互连网上使用的话，安全方面一定做好，否则攻击者获取到ldap用户的，他可以登录无限制的openldap客户端，这是很危险的 *** 作，如果你对openldap不熟悉，我建议你先在内网实现。

而且objectclass也不需要进行购买，openldap是php开源项目。

objectClass是个属性，例如：

他们之间是有依赖关系的，而且定义好objectClass之后，你需要使用此objectClass的必需属性，例如

cat <<EOF | l dapadd -Y EXTERNAL -H ldapi:///

dn: dc=example,dc=com

objectClass: top

objectClass: dcObject

dc: example

EOF

当你定义objectClass为dcObject的时候，你必须要包含dc，否则有语法错误。

不知道lz所说的区分大小写是什么意思.

如果是配置属性的大小写敏感,可以通过配置属性定义来实现.例如下面的属性定义

attributetype ( 1.1.2.1.1 NAME 'myName'

DESC 'myName'

EQUALITY caseExactMatch

SUBSTR caseExactSubstringsMatch

SYNTAX 1.3.6.1.4.1.1466.115.121.1.15

SINGLE-VALUE )

就定义了一个新的属性,可以区分大小写的UTF-8编码的单值属性字符串.

在Linux下属性配置文件在/etc/openldap/schema下,LZ可以在修改内置属性的配置.也可以自己建立自己的schema定义文件定义新属性(需要在slapd.conf中把新的文件加进去,LZ看下缺省的slapd.conf就知道了)

建议还是使用新的自定义属性比较好,具体配置可以查看openldap官网的schema设计文档.

希望能帮到LZ

---