OpenLDAP安装使用

1、编译安装
   下载源文件：openldap-2.4.45.tgz 可以使用wget命令，如：
    wget ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/openldap-2.4.45.tgz   
   解压到目录：openldap-2.4.45，如：
   tar -zxf openldap-2.4.45.tgz
   
   执行如下命令完成编译和安装：
   configure
   make && make install 

2、配置

  配置OpenLDAP可以使用静态slapd.conf文件，也可以通过使用cn=config库，进行动态配置（OLC），OLC是2.4以后推荐使用的方式。

  静态配置，每次在修改完成slapd.conf文件后，都需要重启slapd服务。动态配置，不需要启停slapd服务。

  使用动态配置，过程如下：

  建议通过修改配置文件slapd.conf，然后使用slaptest工具转换成slapd.d。
  a）增加schema，在conf文件中添加类似如下内容，许多objectclass定义在这些schema文件中     
    include         /usr/local/etc/openldap/schema/core.schema
    include         /usr/local/etc/openldap/schema/cosine.schema
    include         /usr/local/etc/openldap/schema/inetorgperson.schema
    include         /usr/local/etc/openldap/schema/nis.schema
  b）增加日志输出：添加如下行，具体级别设置，参考官网说明
    loglevel        256
     
  c）数据库及管理用户配置
    database        mdb
    maxsize         1073741824
    suffix          "dc=sinowel,dc=com"
    rootdn          "cn=admin,dc=sinowel,dc=com"
    # Cleartext passwords, especially for the rootdn, should
    # be avoid.  See slappasswd(8) and slapd.conf(5) for details.
    # Use of strong authentication encouraged.

    rootpw          secret

d）要通过LDAPBrowser等GUI工具或slapadd、slapmodify管理配置，需要在conf文件中所有数据库(database)定义之前，添加如下几行：

    database        config

    #注意：suffix已经硬编码为cn=config，不能再在此处添加suffix属性

    #rootdn必须在cn=config之下
    rootdn          "cn=manager,cn=config"
    # Cleartext passwords

    rootpw          config

e）转换成OLC模式
    使配置生效：
    删除已有配置文件：
    rm -rf /usr/local/etc/openldap/slapd.d/*
    重新生成：
    slaptest -f /usr/local/etc/openldap/slapd.conf -F /usr/local/etc/openldap/slapd.d/

3、启动与停止
   启动：/usr/local/libexec/slapd
   停止：ps -aux|grep slapd
         kill -9 <slapd-process-id> or killall slapd

4、OpenLDAP客户端的安装

客户机访问OpenLDAP，需要安装的Client工具：

yum install nss-pam-ldapd pam_ldap openldap-clients -y

5、使用phpLDAPadmin工具

   这是一个开源的图形化管理LDAP的软件。（也可以安装Apache Directory Studio）
   a)安装之前，先安装EPEL仓库,该rpm地址有多个，可以网上搜

     可以用 yum install epel-release 直接进行安装，或者网上搜索其它方式。然后运行：

      yum clean all

     yum makecache

   b)安装phpLDAPAdmin
     yum install -y phpldapadmin
   c)修改配置文件
     vim /etc/httpd/conf.d/phpldapadmin.conf
     
        Alias /phpldapadmin /usr/share/phpldapadmin/htdocs
        Alias /ldapadmin /usr/share/phpldapadmin/htdocs

        <Directory /usr/share/phpldapadmin/htdocs>
          <IfModule mod_authz_core.c>
            # Apache 2.4
            Require local
          </IfModule>
          <IfModule !mod_authz_core.c>
            # Apache 2.2
            Order Deny,Allow
            Deny from all
            Allow from 127.0.0.1 192.168.0.0/16
            Allow from ::1
          </IfModule>
        </Directory>

     vim /etc/phpldapadmin/config.php

     $servers->setValue('login','attr','dn');      //拿掉此行注释
     // $servers->setValue('login','attr','uid');  //注释掉此行

     d)使用
     重启httpd服务：
     service httpd restart
     在浏览器输入访问地址，如下，然后使用管理员cn登录即可。
     192.168.71.196/ldapadmin/cmd.php
     
6、OpenLDAP使用

  1）OpenLDAP配置完成后，需要通过ldapadd或其它GUI工具，添加诸如下面的目录以进行初始化：

dn:dc=sinowel,dc=com

objectclass:dcObject

objectclass:organization

o:sinowel,Inc.

dc:sinowel

dn:cn=manager,dc=sinowel,dc=com

objectclass:organizationalRole

cn:manager

  2）创建posixAccount账号的时候，需要先在同级base下创建一个posixGroup，否则会提示gidNumber找不到。