CentOS下LDAP服務配置指南

1. LDAP服務器端配置

2. LDAP客戶端配置

3. LDAP服務器復制

4. LDAP服務器安全通信

一LDAP服務器端配置管理

1. LDAP服務器軟件包安裝

CentOS系統中要實現openLDAP的功能必須要安裝openldap,openldap-servers,openldap-c

Lients三個軟件包。CentOS安裝光盤中提供LDAP服務器的RPM安裝包版本為2.3.27。其中openldap包已經默認安裝，用來提供LDAP服務的基本文件目錄。Openldap-servers提供

服務端功能，openldap-clients提供客戶端的搜索工具，這兩個包必須手動安裝。

#rpm –ivh openldap-servers-2.3.27-8.e15-1.3.i386.rpm

#rpm –ivh openldap-clients-2.3.27-8.e15-1.3.i386.rpm

2. 創建復制BDB數據庫配置文件

LDAP服務器默認采用BDB（伯克利）數據庫作為後台，CentOS中已經默認安裝(如沒有也可以RPM或者tar包安裝).需要先將/etc/openldap/目錄下的DB-CONFIG.example文件復

制到/var/lib/ldap/目錄下並更名為DB-CONFIG並更改權限為ldap所有。

#cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

#chown ldap:ldap /var/lib/ldap/DB_CONFIG

3服務器文件配置.

LDAP服務器的主配置文件為/etc/openldap/slapd.conf,包含了復制功能。

(1) 找到

suffix “dc=my-domain,dc=com”

rootdn “cn=Manager,dc=my-domain,dc=com” 兩行。

根據實際情況修改為

suffix “dc=boy,dc=com” 設定域名後綴

rootdn “cn=Manager,dc=boy,dc=com ” 超級管理員

（2）哈希密碼 : rootpw是管理員的密碼，但是明文密碼存放有很大的安全隱患，可以用哈希散列的方式存儲提高安全度。

#slappasswd –h {SSHA} > 1.txt

將哈希後產生的散列值添加進slapd.conf文件

rootpw {SSHA} 散列值

(3)手動添加日志功能

LDAP服務器需要手動添加日志功能。/etc/openldap/slapd.conf中末行添加“loglevel 296 ”。這是一個比較詳細的日志級別。/etc/syslog.conf中添加“local4.* /var/log/ldap.log ”

確定LDAP服務器的日志位置。

(4)配置slapd.conf文件使客戶端以MD5方式改變密碼

sample security restrictions 下添加

password—hash {MD5}

(5)重啟日志服務

#service syslog restart

(6)開啟LDAP服務。

LDAP服務器的配置文件是slapd.conf,但是啟動服務文件名/etc/init.d/ldap,所以啟動命令

為：

# service ldap restart

#/etc/init.d/ldap restart

查看服務器進程：

#ps aux | grep ldap

查看端口：

#netstat –an | grep 389

如果啟動正常應該有“389”端口信息。普通LDAP服務開放389端口。查看日志文件/var/log/ldap.log(系統隨系統日志服務重啟時自動創建)應該有啟動信息。

設置系統在3，5級別啟動時自動開啟服務

#chkconfig —level 3 5 ldap on