OpenLDAP快速指南

　　mail: headhauncho@acme.com

　　localityName: Houston

　　能够定义另外一个组织单元：

　　dn: ou=Employees, o=Acme, c=US

　　objectClass: organizationalUnit

　　ou: Employees

　　并添加雇员信息如下：

　　dn: cn=Ray D. Jones, ou=Employees, o=Acme, c=US

　　objectClass: inetOrgPerson

　　cn: Ray D. Jones

　　sn: Jones

　　telephoneNumber: 444-555-6767

　　mail: jonesrd@acme.com

　　localityName: Houston

　　dn: cn=Eric S. Woods, ou=Employees, o=Acme, c=US

　　objectClass: inetOrgPerson

　　cn: Eric S. Woods

　　sn: Woods

　　telephoneNumber: 444-555-6768

　　mail: woodses@acme.com

　　localityName: Houston

　　安装配置

　　下一步需要配置OpenLDAP来接受刚才定义的目录结构的导入及提供访问Netscape中的地址薄。在OpenLDAP邮件列表中一个常见的问题是“我如何使Netscape地址薄来使用我的LDAP服务器？”保存地址薄信息是LDAP常见的一个应用方面，这是因为他具备快速的查询和读取功能。而且OpenLDAP支持例如SSL/TLS等会话加密和目录服务器复制等功能，这样就能够实现一个很好的研发源码解决方案。

　　下面的讨论都是基于openldap-2.0.7，其支持LDAP v2和LDAP v3。LDAP v3相对于LDAP v2最重要的是添加了对传输层安全(TLS,Transport Layer Security)的支持及增加了认证方法。OpenLDAP有两种安装方式：源代码方式和打包的deb/rpm模式。能够从http: //www.openldap.org/下载源代码方式或从http://rpmfind.net/及光盘上得到RPM包方式。源代码方式安装过程如下：

　　[root@radiusd src]# ar -xzvf openldap-2.0.7.tgz

　　[root@radiusd src]# cd openldap-2.0.7

　　[root@radiusd openldap-2.0.7]# ./configure --prefix=/usr/local

　　这里指示openldap被安装在/usr/local目录下，当这并不是必须的。

　　[root@radiusd openldap-2.0.7]# make depend;make

　　在安装结束以前进行测试：

　　[root@radiusd openldap-2.0.7]# make test

　　[root@radiusd openldap-2.0.7]# make install

　　若出现任何编译错误，应该到OpenLDAP邮件列表去寻求帮助。您也许需要在PATH环境变量中添加如下路径：/usr/local/libexec, /usr/local/bin及/usr/local/sbin。

　　PRM包方式的安装实例如下：

　　rpm －ivh openldap-2.0.7-14-i386.rpm

　　rpm －ivh openldap-devel-2.0.7-14-i386.rpm

　　下来需要编辑slapd.conf文档，其是slapd守护进程的配置文档。slapd进程负责响应客户应用访问目录服务请求。配置文档存放/usr/local/etc/openldap。

　　为了能使用Netscape地址薄属性，需要添加一些额外的"模式"配置信息。在slapd.conf文档的开头处添加如下include内容，但是根据安装路径的不同，模式目录路径可能也不大相同。

　　include

　　/usr/local/etc/openldap/schema/cosine.schema

　　include

　　/usr/local/etc/openldap/schema/inetorgperson.schema

　　在slapd.conf的定义的suffix和rootdn行修改为能反应您需要的DN：

　　suffix

　　"o=Acme, c=US"

　　rootdn

　　"cn=root, o=Acme, c=US"

　　这里cn=root条目是我们的管理DN，其不受任何访问控制或限制。其默认是cn=Manager，但是我希望root访问。在 slapd.conf文档的末端添加如下内容，实现给Netsacpe进行目录过滤和搜索操作的读权限。任何没有授权的访问目录服务的请求都被作为匿名用户对待。下面的DN条目被格式化处理，也就是任何的空格被去掉，并且其值被逗号隔开。在访问控制，必须格式化条目否则将不能工作。

　　access to dn=".*,o=Acme,c=US"

　　by anonymous

　　read

　　对目录的访问许能够进行精细的调节以适应各种需求。OpenLDAP 2.0管理指南有很好的配置访问许可的文档说明。这里为了测试目的，这样的访问控制级别是足够了。

　　下面我们就将启动slapd服务器。若系统的ldap是通过RPM/DEB格式进行安装的，根据使用的Linux发布版本不同，启动脚本可能是/etc/rc.d/init.d/ldap或/etc/init.d/ldap。当然也能够手工启动来进行测试。

　　slapd &

　　下面测试看slapd是否在运行 >

　　ps -ef | grep -i slapd | grep -v grep

　　root

　　15479

　　1

　　0 10:42 ?

　　00:00:00 slapd

　　root

　　15483 15479

　　0 10:42 ?

　　00:00:00 slapd

　　root

　　15484 15483

　　0 10:42 ?

　　00:00:00 slapd

　　root

　　15491 15483

　　0 10:43 ?

　　00:00:00 slapd

　　root

　　15492 15483

　　0 10:43 ?

　　00:00:00 slapd

　　下面测试ldap的默认端口389是否被监听：

　　netstat -an | grep 389

　　tcp

　　0

　　0 0.0.0.0:389

　　0.0.0.0:*

　　LISTEN

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!