一．环境

组件名称	版本	IP地址
OpenLDAP	2.4.4	192.168.48.132
berkeley-db	5.1.29	192.168.48.132
ldapadmin

二．软件获取

OpenLDAP

OpenLDAP 官网下载地址：http://www.openldap.org/software/download/

OpenLDAP 2.4.44：ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/openldap-2.4.44.tgz

BDB

berkeley-db-5.1.29 (OpenLDAP**当前与6.x版本不兼容，READEME中明确写出兼容4.4-4.8或5.0-5.1)**：

http://download.oracle.com/berkeley-db/db-5.1.29.tar.gz

LDAP Administrtor

ldapadmin 2015.2：

官网下载地址：http://www.ldapbrowser.com/download.htm

64-bit：http://softerra-downloads.com/ldapadmin/ldapadmin-4.13.16704.0-x64-eng.msi

三．准备

关闭selinux；
打开防火墙tcp 389 / 636端口。

tcp 389 是openldap 明文传输端口，tcp 636是ssl加密传输的端口。
centos7默认自带firewalld服务，可以停用之后安装iptables。

四．安装OpenLDAP

4.1 依赖包

1 2	# 涉及libtool-ltdl与libtool-ltdl-devel，如不安装，在编译时报错：configure: error: could not locate libtool ltdl.h [root@localhost ~]# yum install ltdl gcc gcc-c++ -y

4.2 安装BDB

#必须在解压包的build_unix目录中编译安装，否则会报错
[root@localhost ~]# cd downloads/
[root@localhost src]# tar -zxvf db-5.1.29.tar.gz
[root@localhost src]# cd db-5.1.29/build_unix/
[root@localhost build_unix]# ../dist/configure --prefix=/work/admin/berkeleydb-5.1.29
[root@localhost build_unix]# make
[root@localhost build_unix]# make install

4.3 更新lib库

1
2
3

#保证在后面编译openldap时能找到lib和include下的库
[root@localhost src]# echo "/work/admin/berkeleydb-5.1.29/lib/" > /etc/ld.so.conf
[root@localhost src]# ldconfig -v

4.4 安装OpenLDAP

安装依赖

1	[root@localhost ~]# yum -y install openldap-devel

#编译选项可以通过./configure --help查看；
#其中make test一步时间较长；
#如果未设置CPPFLAGS，configure过程可能会提示configure: error: BDB/HDB: BerkeleyDB not available 或 configure: error: BerkeleyDB version incompatible with BDB/HDB backends
[root@localhost ~]# cd downloads/
[root@localhost src]# tar -zxvf openldap-2.4.44.tgz
[root@localhost src]# cd openldap-2.4.44
[root@localhost openldap-2.4.44]# ./configure --prefix=/work/admin/openldap-2.4.44 --enable-syslog --enable-modules --enable-debug --with-tls CPPFLAGS=-I/work/admin/berkeleydb-5.1.29/include/ LDFLAGS=-L/work/admin/berkeleydb-5.1.29/lib/
[root@localhost openldap-2.4.44]# make depend
[root@localhost openldap-2.4.44]# make
[root@localhost openldap-2.4.44]# make test
[root@localhost openldap-2.4.44]# make install

4.5 设置可执行命令

1
2
3

#对openldap客户端（bin）与服务器端（sbin）相关执行档添加软链接，也可以通过增加环境变量的方式设置
[root@localhost openldap-2.4.44]# ln -s /work/admin/openldap-2.4.44/bin/* /usr/local/bin/
[root@localhost openldap-2.4.44]# ln -s /work/admin/openldap-2.4.44/sbin/* /usr/local/sbin/

五．简单配置

5.1 安装完成的openldap-2.4.44目录结构

openldap安装完成后相关目录承载的功能如下：
bin/ –客户端工具如ldapadd、ldapsearch
etc/ –包含主配置文件slapd.conf、schema、DB_CONFIG等
include/
lib/
libexec/ –服务端启动工具slapd
sbin/ –服务端工具如slappasswd
share/
var/ –bdb数据、log存放目录

5.2 配置rootdn密码(optional)

#设置rootdn密码，这里设置为123456；
#这样rootdn密码为密文方式，复制输出密文到主配置文件rootdn对应的位置即可，如果不想麻烦，可以忽略此步，在主配置文件中使用明文即可。
[root@localhost ~]# cd /work/admin/openldap-2.4.44/
[root@localhost openldap-2.4.44]# slappasswd
New password:
Re-enter new password:
{SSHA}wMKKQPGtbqDq4imRsPG2zn3ZC04LdDGW

5.3 主配置文件slapd.conf

root@localhost openldap-2.4.44]# cd /work/admin/openldap-2.4.44/etc/openldap/
[root@localhost openldap]# vim slapd.conf
#以下修改紫红色字体是未做修改的部分，红色字体是有修改部分，蓝色字体表示新增部分

#schema默认只有core.schema，各级需要添加，这里将同配置文件一个目录的schema目录中有的schema文件都加到配置文件中;
include         /work/admin/openldap-2.4.44/etc/openldap/schema/core.schema
include /work/admin/openldap-2.4.44/etc/openldap/schema/collective.schema
include /work/admin/openldap-2.4.44/etc/openldap/schema/corba.schema
include /work/admin/openldap-2.4.44/etc/openldap/schema/cosine.schema
include /work/admin/openldap-2.4.44/etc/openldap/schema/duaconf.schema
include /work/admin/openldap-2.4.44/etc/openldap/schema/dyngroup.schema
include /work/admin/openldap-2.4.44/etc/openldap/schema/inetorgperson.schema
include /work/admin/openldap-2.4.44/etc/openldap/schema/java.schema
include /work/admin/openldap-2.4.44/etc/openldap/schema/misc.schema
include /work/admin/openldap-2.4.44/etc/openldap/schema/nis.schema
include /work/admin/openldap-2.4.44/etc/openldap/schema/openldap.schema
include /work/admin/openldap-2.4.44/etc/openldap/schema/pmi.schema
include /work/admin/openldap-2.4.44/etc/openldap/schema/ppolicy.schema

pidfile        /work/admin/openldap-2.4.44/var/run/slapd.pid
argsfile    /work/admin/openldap-2.4.44/var/run/slapd.args

#新增日志文件级别与路径，需要在编译时--enable-debug，否则日志文件输出，不影响调试模式;
loglevel    256
logfile    /work/admin/openldap-2.4.44/var/slapd.log

#这里使用mdb做后端数据库，也可修改为"bdb"参数，在OpenLDAP 官方文档" 11.4. LMDB"章节中有介绍mdb是推荐使用的后端数据库;
database    mdb

#使用mdb做后端数据库时，根据官方文档中说明需要设置一个空间值，" In addition to the usual parameters that a minimal configuration requires, the mdb backend requires a maximum size to be set. This should be the largest that the database is ever anticipated to grow (in bytes). The filesystem must also provide enough free space to accommodate this size."；如果使用bdb做后端数据库，需要将此项参数注释;
maxsize        1073741824

#修改域名及管理员账户名;
suffix        "dc=sys,dc=com"
rootdn        "cn=admin,dc=sys,dc=com"

#使用密文密码，即前面使用slappasswd生成的密文;
rootpw        {SSHA}wMKKQPGtbqDq4imRsPG2zn3ZC04LdDGW

#openldap数据目录，采用mdb时，在相应目录生成" data.mdb"与" lock.mdb"文件；采用bdb时，在相应目录生成" dn2id.bdb"与" id2entry.bdb"，及多个" __db.00*"文件。
directory    /work/admin/openldap-2.4.44/var/openldap-data

index    objectClass    eq

5.4 初始化OpenLADP(optional)

#如果采用mdb做后端数据库，此步可忽略，DB_CONFIG是 bdb/hdb数据库使用的；
#与主配置文件中的配置有关，主配置文件确定使用bdb与数据存放路径。
[root@localhost openldap]# cd /work/admin/openldap-2.4.44/var/openldap-data/
[root@localhost openldap-data]# cp DB_CONFIG.example DB_CONFIG

5.5 启动OpenLADP

#直接在后台工作;
#非root用户不能监听端口1~1024，如果是非root用户，有可能需要重新定义服务端口
[root@localhost ~]# /work/admin/openldap-2.4.44/libexec/slapd

#在前端工作，输出debug信息
[root@localhost ~]# /work/admin/openldap-2.4.44/libexec/slapd -d 256

5.6 验证

[root@localhost ~]# ldapsearch -x -b '' -s base'(objectclass=*)'
#或者
[root@localhost ~]# ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts
#或者使用
[root@localhost ~]# netstat -tunlp | grep 389，ps -ef | grep slapd，ps aux | grep slapd
#等也可。
如图示，说明openldap已经启动运行成功：

六．简单使用(示例)

61 创建1个管理员账号

编辑ldif文件

#注意与slapd.conf文件中保持一致，下面的命令同理，
[root@localhost ~]# vim test.ldif
dn: dc=sys,dc=com
objectclass: dcObject
objectclass: organization
o: SYS.Inc
dc: sys

dn: cn=admin,dc=sys,dc=com
objectclass: organizationalRole
cn: admin

插入数据库

1	[root@localhost ~]# ldapadd -x -D "cn=admin,dc=sys,dc=com" -W -f test.ldif

可以看到账号已经加入到ldap中：

验证

1	[root@localhost ~]# ldapsearch -x -b 'dc=sys,dc=com' '(objectClass=*)'

6.2 创建1个具有部门属性的员工

编辑ldif文件

#这里其实是先创建1个部门”it”，再在”it”部门创建了1个员工，实际上是两条命令
[root@localhost ~]# vim test2.ldif 

dn: ou=it,dc=sys,dc=com
ou: it
objectClass: organizationalUnit

dn: cn=test1,ou=it,dc=sys,dc=com
ou: it
cn: test1
sn: t1
objectClass: inetOrgPerson
objectClass: organizationalPerson

插入数据库

1	[root@localhost ~]# ldapadd -x -D "cn=admin,dc=sys,dc=com" -W -f test2.ldif

可以看到已经员工账号加入到ldap中：

验证

1	[root@localhost ~]# ldapsearch -x -b 'dc=sys,dc=com' '(objectClass=*)'

6.3 ldapadmin

运行ldapadmin

创建数据库文件

New—>New Profile，或者在主界面中Ctrl+P；

输入Profile名字，名字任意，下一步；

输入Host地址，Port默认为389(注意iptables是否开放389端口)；

BaseDN处默认为空，标示在根节点上，如果不想显示根节点，可在后方下拉列表中选择具体的一级数据库，下一步；

选择”Other credenti”，

Mechanism选择”Simple”，

Princip处输入”cn=admin,dc=sys,dc=com”，

Password处填写相应密码，保存密码，点击”完成”即创建成功。

验证

其它ldapadmin管理工具：http://www.ldapadmin.org/download/index.html

七．附录

7.1 常见对象属性

LDAP为人员组织机构中常见的对象都设计了属性(比如commonName，surname)。下面有一些常用的别名：

属性名称	属性别名	语法	描述	值（举例）
commonName	cn	Directory String	名子	sean
surname	sn	Directory String	姓氏	Chow
organizationalUnitName	ou	Directory String	单位（部门）名称	IT_SECTION
organization	o	Directory String	组织（公司）名称	linuxprobe
telephoneNumber		Telephone Number	电话号码	131`********`
objectClass			内置属性	organizationa

7.2 ldif文件示例

http://seanlook.com/2015/01/22/openldap_ldif_example/