1. LDAP概述

1.1. LDAP基本概念

LDAP的目的是为各种软件提供统一标准的认证机制，所有软件就可以不再用独有的用户管理方法，而是通过这种统一的认证机制进行用户认证。

1.2. LDAP的主要应用场景

• 网络服务：DNS服务
• 统一认证服务
• Linux PAM（ssh，login, cvs…）
• Apache访问控制
• 各种服务登录（ftpd， php based, perl based, python based…）
• 个人信息类，比如地址簿
• 服务器信息，如账号管理，邮件服务等

1.3. LDAP的用户管理示例

管理多台Linux服务器时，如果每台服务器都有自己独立的用户名和密码，那么记忆和维护这些信息就非常具有挑战性。举例： 每次学生上机的座位可能都不同，用户名和密码等相关的信息经常被修改。如果相互配合不好，就很容易造成有些人无法登录，并且学生的文件资料也难以保存。通过将老师使用的电脑配置成为LDAP和NFS服务器，为所有的学生提供密码验证服务来解决这个问题。

轻量级目录访问协议（LDAP）提供了安全、可靠的账号管理。Linux发行版中提供的OpenLDAP软件安装一个客户机/服务器模型实现了轻量级目录访问协议（LDAP）

1.4. LDAP的基本模型

LDAP的基本模型是建立在"条目"（Entry）的基础上。一个条目是一个或多个属性的集合，并且具有一个全局唯一的"可区分名称"（用dn表示）。与关系型数据（后面简称数据库）进行类比，一个条目相当于数据库中的一条记录，而dn相当于数据库中记录的关键字，属性相当于数据库中的字段。

温馨提示：dn必须是全局唯一的。

LDAP中，将数据组织成一个树形结构，这与现实生活中的很多数据结构可以对应起来，而不像设计关系型数据库的表，需要进行多种变化。如下图所展示的就是一个树形结构的数据。

在上图所示的树形结构中，树的根结点是一个组织的域名（node3.com，可以根据自己意愿配），其下分为2个部分，分别是ou=admin和dc=hdp，dc=hdp下面又分ou=people和ou=group。admin用来管理所有管理人员，people用来管理登录系统的用户，group用来管理系统中的用户组。当然，在该图中还可继续增加其他分支。

对于图中所示的树形结构，使用关系数据库来保存数据的话，需要设置多个表，一层一层分别保存，当需要查找某个信息时，再逐层进行查询，最终得到结果。

若使用目录来保存该图中的数据，则更直观。图中每个结点用一个条目来保存，不同类型的结点需要保存的数据可能不同，在LDAP中通过一个称为objectClass的类型来控制不同结点需要的数据（称为属性）。

1.5. LDAP的工作模型

openLDAP工作模型解释如下：

1. 客户端向OpenLDAP服务器发起验证请求；
2. 服务器接受用户请求后，并通过slapd进程向后端的数据库进行查询；
3. slapd将查询的结果返回给客户端即可。如果有缓存机制，服务器端会先将查询的条目进行缓存，然后再发给客户端。

2. OPENLDAP安装部署

这里，举例：有5台机器，选择其中一台安装openldap的服务端，然后在所有的机器都得安装openldap的客户端。

2.1. openldap服务端安装

2.1.1. openldap服务端必要软件安装

1.使用yum命令安装

# yum install -y openldap openldap-clients openldap-servers compat-openldap openldap-devel

2. 安装libdb相关依赖

# yum -y install libdb.x86_64 libdb-devel.x86_64

3. 复制一个默认配置到指定目录下，并授权，这一步一定要做，然后再启动服务，不然生成密码时会报错

# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

4. 授权给ldap用户，此用户yum安装时便会自动创建

# chown -R ldap. /var/lib/ldap/DB_CONFIG

5. 启动ldap server服务，先启动服务，配置后面再进行修改

# systemctl start slapd# systemctl enable slapd

6. 查看状态，正常启动则OK

# systemctl status slapd

2.1.2.  修改管理者密码

从openldap2.4.23版本开始，所有配置都保存在/etc/openldap/slapd.d目录下的cn=config文件夹内，不再使用slapd.conf作为配置文件。配置文件的后缀为ldif，且每个配置文件都是通过命令自动生成的，任意打开一个配置文件，在开头都会有一行注释，说明此为自动生成的文件，请勿编译，使用ldapmodify命令进行修改。

安装openldap后，会有三个命令用于修改配置文件，分别为ldapadd，ldapmodify，ldapdelete，顾名思义就是添加，修改和删除。而需要修改或增加配置时，则需要先写一个ldif后缀的配置文件，然后通过命令将写的配置更新到slapd.d目录下的配置文件中去，完整的配置过程如下：

1. 生成管理员密码，记录下这个密码，后面需要用到

# slappasswd -s 123456{SSHA}kUhPHG2ffoZKzwl/pUxQg6W+WaFwpjQ/

2. 新增修改密码文件，ldif为后缀，不要在/etc/openldap/slapd.d目录下创建类似文件，生成的文件为需要通过命令去动态修改ldap现有配置，如下，在用户目录~下，创建文件

# cd ~# vim changepwd.ldifdn: olcDatabase={
   0}config,cn=configchangetype: modifyadd: olcRootPWolcRootPW: {SSHA}kUhPHG2ffoZKzwl/pUxQg6W+WaFwpjQ/

密码修改配置文件内容解释：

第一行执行配置文件，这里就表示指定为 cn=config/olcDatabase={0}config文件。到/etc/openldap/slapd.d/目录下就能找到此文件。

第二行 changetype 指定类型为修改

第三行 add表示添加 olcRootPW 配置项

第四行指定 olcRootPW配置项的值

在执行下面的命令前，可以查看原本的olcDatabase={0}config文件，里面是没有olcRootPW这个项的，执行命令后，你再看就会新增olcRootPW项，而且内容是我们文件中指定的值加密后的字符串

3. 执行命令，修改ldap配置，通过-f 执行文件

# ldapadd -Y EXTERNAL -H ldapi:/// -f changepwd.ldif

4. 执行修改命令后，有如下输出则为正常：

查看olcDatabase={0}config内容，cat /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{0\}config.ldif，新增了一个olcRootPW项

2.1.3. 导入基本schema

我们需要向ldap中导入一些基本的schema。这些schema文件位于/etc/openldap/schema/目录中，schema控制着条目拥有哪些对象类和属性，可以自行选择需要的进行导入。依次执行下面的命令，导入基础的一些配置，我这里将所有的都导入一下，其中core.ldif是默认已经加载了的，不用导入。

# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/collective.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/corba.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/duaconf.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/java.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/misc.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/openldap.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/pmi.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif

2.1.4. 修改域名

修改域名，新增changedomain.ldif，这里自定义的域名为node1.com，管理员用户账号为admin。如果要修改，则修改文件中相应的dc=node3.com,dc=com为自己的域名。

# vim changedomain.ldifdn: olcDatabase={
   1}monitor,cn=configchangetype: modifyreplace: olcAccessolcAccess: {
    0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=admin,dc=node3,dc=com" read by * nonedn: olcDatabase={
   2}hdb,cn=configchangetype: modifyreplace: olcSuffixolcSuffix: dc=node3,dc=comdn: olcDatabase={
   2}hdb,cn=configchangetype: modifyreplace: olcRootDNolcRootDN: cn=admin,dc=node3,dc=comdn: olcDatabase={
   2}hdb,cn=configchangetype: modifyreplace: olcRootPWolcRootPW: {SSHA}w9g8YjPiphKbTeuTC0xTcVyrH6I6XXBedn: olcDatabase={
   2}hdb,cn=configchangetype: modifyadd: olcAccessolcAccess: {
    0}to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=node3,dc=com" write by anonymous auth by self write by * noneolcAccess: {
    1}to dn.base="" by * readolcAccess: {
    2}to * by dn="cn=admin,dc=node3,dc=com" write by * read

执行命令，修改配置

# ldapmodify -Y EXTERNAL -H ldapi:/// -f changedomain.ldif

最后这里有5个修改，所以执行会输出5行表示成功

2.1.5. 启用memberof功能

新增add-memberof.ldif，#开启memberof支持并新增用户支持memberof配置

# vim add-memberof.ldifdn: cn=module{
   0},cn=configcn: module{
    0}objectClass: olcModuleListobjectclass: topolcModuleload: memberof.laolcModulePath: /usr/lib64/openldapdn: olcOverlay={
   0}memberof,olcDatabase={
   2}hdb,cn=configobjectClass: olcConfigobjectClass: olcMemberOfobjectClass: olcOverlayConfigobjectClass: topolcOverlay: memberofolcMemberOfDangling: ignoreolcMemberOfRefInt: TRUEolcMemberOfGroupOC: groupOfUniqueNamesolcMemberOfMemberAD: uniqueMemberolcMemberOfMemberOfAD: memberOf

新增refint1.ldif文件

# vim refint1.ldifdn: cn=module{
   0},cn=configadd: olcmoduleloadolcmoduleload: refint

新增refint2.ldif文件

# vim refint2.ldifdn: olcOverlay=refint,olcDatabase={
   2}hdb,cn=configobjectClass: olcConfigobjectClass: olcOverlayConfigobjectClass: olcRefintConfigobjectClass: topolcOverlay: refintolcRefintAttribute: memberof uniqueMember  manager owner

依次执行下面命令，加载配置，顺序不能错

# ldapadd -Q -Y EXTERNAL -H ldapi:/// -f add-memberof.ldif# ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f refint1.ldif# ldapadd -Q -Y EXTERNAL -H ldapi:/// -f refint2.ldif

至此，配置修改完了。

2.1.6. 创建node3组织

在上述基础上，我们来创建一个node3 company的组织，node3为域名，并在其下创建一个admin的组织角色(该组织角色内的用户具有管理整个LDAP的权限)和People和Group两个组织单元：

# vim node3.ldifdn: dc=node3,dc=comdc: node3objectClass: topobjectClass: domaino: node3dn: cn=admin,dc=node3,dc=comobjectClass: organizationalRolecn: admindescription: LDAP admindn: dc=hdp,dc=node3,dc=comchangetype: adddc: hdpobjectClass: topobjectClass: dcObjectobjectClass: organizationo: hdpdn: ou=People,dc=hdp,dc=node3,dc=comou: PeopleobjectClass: organizationalUnitdn: ou=Group,dc=hdp,dc=node3,dc=comou: GroupobjectClass: organizationalUnit

执行命令，添加配置，这里要注意修改域名为自己配置的域名，然后需要输入上面我们生成的密码

# ldapadd -x -D cn=admin,dc=node3,dc=com -W -f node3.ldif

添加结果为：

 注：这里的LDAP密码为节点2.2.2.1配置的管理者密码

通过以上的所有步骤，我们就设置好了一个LDAP目录树：其中基准dc=node3,dc=com是该树的跟节点，其下有一个管理域cn=admin,dc=node3,dc=com和一个组织单元dc=hdp,dc=node3,dc=com, 其下有两个子属性ou=People,dc=hdp,dc=node3,dc=com及ou=Group,dc=hdp,dc=node3,dc=com。

2.1.7. 创建新用户和新用户组的ldif文件

先生成一个密码123456：

# slappasswd -s 123456{SSHA}32S2uLFahPZMqMzVYhT8fOKOp8RzremG

创建新用户的ldif文件

# vim ldapuser.ldif#这里testUser用户，我将其加入到testgroup组中# create new# replace to your own domain name for "dc=***,dc=***" sectiondn: uid=testldap,ou=People,dc=hdp,dc=node3,dc=comobjectClass: inetOrgPersonobjectClass: posixAccountobjectClass: shadowAccountuid: testldapcn: testgroupsn: testuserPassword: {SSHA}32S2uLFahPZMqMzVYhT8fOKOp8RzremGloginShell: /bin/bashuidNumber: 2000gidNumber: 3000homeDirectory: /home/testldap#这是添加一个用户组名为testgroup的cn，在名为Group的ou下dn: cn=testgroup,ou=Group,dc=hdp,dc=node3,dc=comobjectClass: posixGroupcn: testgroupgidNumber: 3000memberUid: testldap

向openldap服务端添加新用户testldap

# ldapadd -x -D cn=admin,dc=node3,dc=com -W -f ldapuser.ldif

为该用户修改密码为123456命令为：

# ldappasswd -x -H ldap://192.168.1.107:389 -D "cn=admin,dc=node3,dc=com" -W "uid=testldap,ou=People,dc=hdp,dc=node3,dc=com" -s 123456

注：

• ldap://192.168.1.107:389为openldap的服务端ip加端口；
• cn=admin,dc=node3,dc=com为openldap上面设置的管理者节点；
• uid=testldap,ou=People,dc=hdp,dc=node3,dc=com为用户id；
• 123456为修改指定的用户密码。

2.2. OpenLDAP客户端安装

2.2.1. OpenLDAP客户端安装必要软件

使用yum命令安装

# yum install -y openldap openldap-clients sssd nss-pam-ldapd

2.2.2.OpenLDAP客户端NSS服务配置

1. 修改/etc/nslcd.conf

# vim /etc/nslcd.confuid nslcdgid ldapuri ldap://192.168.1.107:389# ldap目录树的基准base dc=node3,dc=com# ldap的管理域binddn cn=admin,dc=node3,dc=com# ldap管理者密码bindpw 123456ssl notls_cacertdir /etc/openldap/cacerts

2. 启动服务并设置开机自启动

# chmod 600 /etc/nslcd.conf# systemctl start nslcd# systemctl enable nslcd

3. 配置/etc/nsswitch.conf

# vim /etc/nsswitch.conf#passwd:     files sss #shadow:     files sss#group:      files sss#initgroups: files ssspasswd:     files ldapshadow:     files ldapgroup:      files ldaphosts:      files dns myhostnamebootparams: nisplus [NOTFOUND=return] filesethers:     filesnetmasks:   filesnetworks:   filesprotocols:  filesrpc:        filesservices:   files sss#netgroup:   files sssnetgroup:   nisplus ssspublickey:  nisplusautomount:  files nisplus sssaliases:    files nisplus

4. 测试是否可用

# getent passwd | grep testldaptestldap:x:2000:3000:testgroup:/home/testldap:/bin/bash

2.2.3. OpenLDAP客户端SSSD服务配置

1. 修改/etc/sssd/sssd.conf文件，在执行authconfig命令时默认生成，如果文件不存在则新建，文件内容如下：

# vim /etc/sssd/sssd.conf[domain/default]autofs_provider = ldapldap_schema = rfc2307biskrb5_realm = REDPEAK.COMldap_search_base = dc=node3,dc=comkrb5_server = 192.168.1.107id_provider = ldap auth_provider = ldapchpass_provider = ldapldap_uri = ldap://192.168.1.107:389ldap_id_use_start_tls = Falsecache_credentials = Trueldap_tls_cacertdir = /etc/openldap/cacerts[sssd]services = nss, pam, autofsdomains = default[nss]homedir_substring = /home[pam][sudo][autofs][ssh][pac][ifp][secrets]

2. 修改sssd.conf文件权限

# chmod 600 /etc/sssd/sssd.conf

3. 启动sssd服务并加入系统自启动

# systemctl start sssd# systemctl enable sssd# systemctl status sssd

2.2.4. OpenLDAP与SSH集成

1. 修改配置文件/et    c/ssh/sshd_config，是ssh通过pam认证账号

PasswordAuthentication yesUsePAM yes

注意：默认使用的是密码认证方式，在集成SSH登录时需要确保PasswordAuthentication yes配置为yes。

2. 修改配置文件/etc/pam.d/sshd，以确认调用pam认证文件

# vim /etc/pam.d/sshd#%PAM-1.0auth       required     pam_sepermit.soauth       substack     password-authauth       include      postlogin# Used with polkit to reauthorize users in remote sessions-auth      optional     pam_reauthorize.so prepareaccount    required     pam_nologin.soaccount    include      password-authpassword   include      password-auth# pam_selinux.so close should be the first session rulesession    required     pam_selinux.so closesession    required     pam_loginuid.so# pam_selinux.so open should only be followed by sessions to be executed in the user contextsession    required     pam_selinux.so open env_paramssession    required     pam_namespace.sosession    optional     pam_keyinit.so force revokesession    include      password-authsession    include      postlogin#加入此行后确保登录成功后创建用户的home目录session    required     pam_mkhomedir.so# Used with polkit to reauthorize users in remote sessions-session   optional     pam_reauthorize.so prepare

3. 修改配置文件/etc/pam.d/password-auth

# vim /etc/pam.d/password-auth#%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth        required      pam_env.soauth        required      pam_faildelay.so delay=2000000auth        [default=1 ignore=ignore success=ok] pam_succeed_if.so uid >= 1000 quietauth        [default=1 ignore=ignore success=ok] pam_localuser.soauth        sufficient    pam_unix.so nullok try_first_passauth        requisite     pam_succeed_if.so uid >= 1000 quiet_success#auth        sufficient    pam_sss.so forward_passauth        sufficient    pam_ldap.so forward_passauth        required      pam_deny.soaccount     required      pam_unix.so broken_shadowaccount     sufficient    pam_localuser.soaccount     sufficient    pam_succeed_if.so uid < 1000 quiet#account     [default=bad success=ok user_unknown=ignore] pam_sss.soaccount     [default=bad success=ok user_unknown=ignore] pam_ldap.soaccount     required      pam_permit.sopassword    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok#password    sufficient    pam_sss.so use_authtokpassword    sufficient    pam_ldap.so use_authtokpassword    required      pam_deny.sosession     optional      pam_keyinit.so revokesession     required      pam_limits.so-session     optional      pam_systemd.sosession     optional      pam_mkhomedir.so umask=0077session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uidsession     required      pam_unix.so#session     optional      pam_sss.sosession     optional      pam_ldap.so

4. 修改配置文件/etc/pam.d/system-auth配置文件

# vim /etc/pam.d/system-auth#%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth        required      pam_env.soauth        required      pam_faildelay.so delay=2000000auth        sufficient    pam_fprintd.soauth        [default=1 ignore=ignore success=ok] pam_succeed_if.so uid >= 1000 quietauth        [default=1 ignore=ignore success=ok] pam_localuser.soauth        sufficient    pam_unix.so nullok try_first_passauth        requisite     pam_succeed_if.so uid >= 1000 quiet_success#auth        sufficient    pam_sss.so forward_passauth        sufficient    pam_ldap.so forward_passauth        required      pam_deny.soaccount     required      pam_unix.so broken_shadowaccount     sufficient    pam_localuser.soaccount     sufficient    pam_succeed_if.so uid < 1000 quiet#account     [default=bad success=ok user_unknown=ignore] pam_sss.soaccount     [default=bad success=ok user_unknown=ignore] pam_ldap.soaccount     required      pam_permit.sopassword    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok#password    sufficient    pam_sss.so use_authtokpassword    sufficient    pam_ldap.so use_authtokpassword    required      pam_deny.sosession     optional      pam_keyinit.so revokesession     required      pam_limits.so-session     optional      pam_systemd.sosession     optional      pam_mkhomedir.so umask=0077session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uidsession     required      pam_unix.so#session     optional      pam_sss.sosession     optional      pam_ldap.so

5. 重启ssh、sssd和nslcd

# systemctl restart sshd# systemctl restart sssd# systemctl restart nslcd

到此为止就完成了OpenLDAP与SSH的集成

2.2.5. 验证SSH登录

随便登录一台机器

1. 确认testldap用户只存在于OpenLDAP

# more /etc/passwd |grep testldap# id testldapuid=2000(testldap) gid=2000(testgroup) groups=2000(testgroup)

2. su切换至testldap用户

# su testldap# id testldapuid=2000(testldap) gid=2000(testgroup) groups=2000(testgroup)

3. ssh登录

# ssh testldap@node2testldap@node2's password: Last failed login: Mon Jan 20 17:16:03 CST 2020 from node2 on ssh:nottyThere were 3 failed login attempts since the last successful login.Last login: Mon Jan 20 17:14:51 2020 from node2

[testldap@node2 ~]$ pwd/home/testldap[testldap@node2 ~]$ iduid=2000(testldap) gid=3000(testgroup) groups=3000(testgroup)

3. 总结

【参考资料】

 配置Linux使用LDAP用户认证（本地登录成功示例）

  如何在RedHat7中实现OpenLDAP集成SSH登录并使用sssd同步用户 （ssh登录成功示例）

 失败案例

 搭建ldap

 php ldap扩展

 Linux下LDAP统一认证解决方案

 LDAP_ACCOUNT_MANAGER安装

 离线安装openldap，解决yum命令后出现libldap-2.4.so.2: cannot open shared object file

 centos7 限制ldap用户登陆主机

 Ubuntu 設定 LDAP + PAM + NFS 實現多台電腦單一帳號驗證

 Centos7.2下针对LDAP的完整部署记录

 使用OpenLDAP实现集中用户认证

 LINUX下基于LDAP集中系统用户认证系统

 linux 利用LDAP身份集中认证

 如何添加用户条目 Add Users 及如何将本地linux账户添加至ldap条目树中

  ldap 用户组和用户

 如何在OpenLDAP中实现将一个用户添加到多个组

 启用OpenLDAP的memberOf特性