OPENLDAP部署手册.doc

部署OPENLDAP手册 编 写： 贺 承 玮日 期：2007年9月20日星期四1 安装OPENLDAP操作系统：LINUX AS3.01) 查看已经安装的OPENLDAPrpm aq | grep openldap显示结果：openldap-2.0.27-17openldap-devel-2.0.27-172) 下载并安装openldap-servers-2.0.27-17.i386.rpmrpm ivh openldap-servers-2.0.27-17.i386.rpm - -force3) 上传格尔提供的koalca.schema文件cp koalca.schema /etc/openldap/schema2 建立数据库2.1 设置配置文件在配置文件/etc/openldap/slapd.conf中进行如下修改：1、引入schemainclude /etc/openldap/schema/koalca.schema2、增加根节点suffix o=koalca3、设置dnrootdn cn=Manager,dc=koal,dc=com4、设置登陆密码rootpw 123456785、其他设置suffix dc=koal,dc=com（如果有就设置，按你之前做的应该不用）2.2 建库roottestCA-01 openldap# pwd/etc/openldap（即在openldap在安装目录下执行以下内容） roottestCA-01 openldap# slapadd -l initdata2.ldif -f /etc/openldap/slapd.conf（你需要把initdata2.ldif中的o项改成你需要的根节点名称）roottestCA-01 openldap# chown ldap.ldap /var/lib/ldap/*重启生效roottestCA-01 openldap# /etc/init.d/ldap restart停止 slapd： 确定 启动 slapd： 确定 3 主从Ldap同步3.1 搭建从机从机的安装过程同主机，不用作slapd.conf的设置和建库。 文件拷贝覆盖把主服务器上/var/lib/ldap目录下的所有数据库文件全部拷贝到从服务器的同目录中，覆盖原有文件。把主服务器上的/etc/openldap/schema目录下的所有schema文件拷贝到从服务器的同目录中，覆盖原有文件。把主服务器上/etc/openldap/slapd.conf文件拷贝到从服务器的同目录中，覆盖原有文件。3.2 修改主机配置# Where to store the replica logs for database #1replogfile /var/lib/ldap/replog增加replica指令，如：#replace config#有两种方式设置replica#方法1（适用于较新版本2.1之后）replica uri=ldap:/95:389 #指定从服务器主机名和端口号 binddn=cn=admin,dc=com #指定需同步的DN的管理员 bindmethod=simple credentials=123456 #指定验证方式和需同步的DN的管理员密码#方法2（适用于2.1版本之前）replica host=58:389binddn=cn=Manager,dc=koal,dc=combindmethod=simple credentials=12345678注意：按上述例子来结合实际环境配置，列列之间互相对齐。（我建议把此部分放到配置文件的最下面。）3.3 修改从机配置Updatedn cn=admin,dc=com #与主服务器的binddn对应在从服务器的配置文件中，不要包含replica和replogfile指令。 在从服务器的配置文件中，不要包含replica和replogfile指令。 先启动主服务器的slapd和slurpd，再启动从服务器的slapd。 配置完成后，测试一下，在主服务器上修改一个目录项，在从服务器上可查看目录项的数据已同步4 数据迁移4.1 南开创元 LDAP数据的导出A：设置客户端程序的简单认证，匿名用户无权限执行导出数据操作。B：设置客户端程序的条目数限制为0C：确定南开创元LDAP的许可协议是否被替换。D：导出之前查询数据总数。4.2 OPENLDAP数据的导入A：利用ldapbrowser工具，登陆openldap服务器。B：选择LDIFimport工具将南开创元LDAP数据导入到OPENLDAP服务器中。5 访问控制设置一些基本的访问控制，Redhat 将ACL添加到slapd.conf文件里： #define ACLs access control definitions access to dn=“.* , dc=buct, dc=” attr=password by dn=“cn=root, dc=buct, dc=” write by self write by * read access to dn=“.* , dc=buct, dc=” by * read 最后在重起一下ldap服务器，就ok了。#ACL configure以下内容定义访问控制access to attr=userPassworduserPassword#只能由自已修改，有效验证用户查询。 by self write by anonymous authaccess to attr=mail by dn=cn=root,dc=it,dc=tigerhead writemail#只能由自已修改，有效验证用户查询。 by self write by anonymous authaccess to dn=.*,dc=it,dc=tigerhead#允许所有人查询没受控制访问限制的信息。 by self write by * read常见问题start：检查的配置文件：config file testing succeeded 启动 slapd： 失败? 执行slapd -d 256(#) $OpenLDAP: slapd 2.2.13 (Aug 22 2005 18:44:05) $ buildcentosbuild1-i386:/home/buildcentos/rpmbuild/BUILD/openldap-2.2.13/openldap-2.2.13/build-servers/servers/slapdbdb_initialize: Sleepycat Software: Berkeley DB 4.2.52: (December3, 2003)bdb_initialize: Sleepycat Software: Berkeley DB 4.2.52: (December3, 2003)bdb_db_init: Initializing BDB databaseTLS: could not load client CA list (file:,dir:/etc/openldap/cacerts).TLS: error:0200A002:system librarypendir:No such file or directory ssl_cert.c:750TLS: error:140D7002:SSL routines:SSL_add_dir_cert_subjects_to_stack:system lib ssl_cert.c:752main: TLS init def ctx failed: -1slapd stopped.connections_destroy: nothing to destro