OpenLDAP安装与配置

系统：ubuntu 14.04

安装：

　　1. sudo apt-get install slapd ldap-utils

　　2. 在1的过程中会让你输了admin密码

配置：

　　如果安装过，只是想配置OpenLDAP，可以运行 sudo dpkg-reconfigure slapd

配置分三种，1使用LDIF配置，2使用slapd.conf配置，3使用目录中的/etc/ldap/slapd.d/配置

　　1. LDIF配置，格式如下：

# global configuration settings
dn: cn=config
objectClass: olcGlobal
cn: config
<global config settings>
# schema definitions
dn: cn=schema,cn=config
objectClass: olcSchemaConfig
cn: schema
<system schema>
dn: cn={X}core,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: {X}core
<core schema>
# additional user-specified schema
...
# backend definitions
dn: olcBackend=<typeA>,cn=config
objectClass: olcBackendConfig
olcBackend: <typeA>
<backend-specific settings>
# database definitions
dn: olcDatabase={X}<typeA>,cn=config
objectClass: olcDatabaseConfig
olcDatabase: {X}<typeA>
<database-specific settings>
# subsequent definitions and settings
...

　　这里给出一个样例，如下：

### backend.ldif ###
# Load dynamic backend modules
dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulepath: /usr/lib/ldap
olcModuleload: back_hdb.la

# Database settings
dn: olcDatabase=hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {1}hdb
olcSuffix: dc=example,dc=com
olcDbDirectory: /var/lib/ldap
olcRootDN: cn=Manager,dc=example,dc=com
olcRootPW: secret
olcDbConfig: set_cachesize 0 2097152 0
olcDbConfig: set_lk_max_objects 1500
olcDbConfig: set_lk_max_locks 1500
olcDbConfig: set_lk_max_lockers 1500
olcDbIndex: objectClass eq
olcLastMod: TRUE
olcDbCheckpoint: 512 30
olcAccess: to attrs=userPassword by dn="cn=Manager,dc=example,dc=com" write by anonymous auth by self write by * none
olcAccess: to attrs=shadowLastChange by self write by * read
olcAccess: to dn.base="" by * read
olcAccess: to * by dn="cn=Manager,dc=example,dc=com" write by * read
### end backend.ldif ###

　　然后运行如下命令使配置生效：

ldapadd -Y EXTERNAL -H ldapi:/// -f backend.ldif

　　2. slapd.conf配置

　　/etc/ldap/slapd.d 是2.4.x版本新采用的配置文件目录，但手动编辑slapd.d目录下ldif是非常痛苦的，如果你不习惯新的配置目录格式，你可以通过修改/etc/default/slapd中的SLAPD_CONF=为SLAPD_CONF="/etc/ldap/slapd.conf"。

slapd.conf配置形式官方已经废弃了但依然支持，你还可以选择在编辑完熟悉的slapd.conf后使用openldap提供的slaptest工具将它转换成slapd.d配置目录：

mv /etc/ldap/slapd.d <path>/slapd.d     #备份原目录
cp /usr/share/slapd/slapd.conf /etc/ldap/
cd /etc/ldap/
vim slapd.conf        #配置ldap
slaptest -f /etc/ldap/slapd.conf -F /etc/ldap/slapd.d/      #把修改好的sldapd.conf转换成slapd.d/的配置形式
chown -R openldap:openldap /etc/ldap/slapd.d/     #修改转换好的slapd.d/的用户和组

　　slapd.conf配置修改样例：

 5.    # BDB definition for the example.com
  6.    database bdb
  7.    suffix "dc=example,dc=com"
  8.    directory /usr/local/var/openldap-data
  9.    rootdn "cn=Manager,dc=example,dc=com"
 10.    rootpw secret
 11.    # indexed attribute definitions
 12.    index uid pres,eq
 13.    index cn,sn pres,eq,approx,sub
 14.    index objectClass eq
 15.    # database access control definitions
 16.    access to attrs=userPassword
 17.        by self write
 18.        by anonymous auth
 19.        by dn.base="cn=Admin,dc=example,dc=com" write
 20.        by * none
 21.    access to *
 22.        by self write
 23.        by dn.base="cn=Admin,dc=example,dc=com" write
 24.        by * read

　　参考：The slapd Configuration File

上面例子中rootpw都是明文显示的，也可以加密存储：

$ slappasswd -h {SHA} -s secret
{SHA}5en6G6MezRroT3XKqkdPOmY/BfQ=

用{SHA}5en6G6MezRroT3XKqkdPOmY/BfQ=代替secret即可。

　

1. backend & database

ldap的后台进程slapd接收、响应请求，但实际存储数据、获取数据的操作是由Backends做的，而数据是存放在database中，所以你可以看到往往你可以看到backend和database指令是一样的值如 bdb 。一个 backend 可以有多个 database instance，但每个 database 的 suffix 和 rootdn 不一样。openldap 2.4版本的模块是动态加载的，所以在使用backend时需要moduleload back_bdb指令。

bdb是一个高性能的支持事务和故障恢复的数据库后端，可以满足绝大部分需求。许多旧文档里（包括官方）说建议将bdb作为首选后端服务（primary backend），但2.4版文档明确说hdb才是被首先推荐使用的，这从 2.4.40 版默认安装后的配置文件里也可以看出。hdb是基于bdb的，但是它通过扩展的索引和缓存技术可以加快数据访问，修改entries会更有效率，有兴趣可以访问上的链接或slapd.backends。

另外config是特殊的backend，用来在运行时管理slapd的配置，它只能有一个实例，甚至无需显式在slapd.conf中配置。