OpenLDAP配置
在OpenLDAP 2.4版本中,配置OpenLDAP的方法有兩種:一種通過修改配置文件實現配置,另一種通過修改數據庫的形式完成配置。
通過配置數據庫完成各種配置,屬於動態配置且不需要重新啓動slapd進程服務。此配置數據庫(cn=config)包含一個基於文本的集合LDIF文件(位於/etc/openldap/slapd.d目錄下)。當前仍然可以使用傳統的配置文件(slapd.conf)方式進行配置,通過配置文件來實現slapd的配置方式。slapd.conf可以通過編輯器進行配置,但cn=config不建議直接編輯修改,而是採用ldap命令進行修改。
openldap相關信息
配置文件路徑包含以下幾個。
- /etc/openldap/slapd.conf :openldap主配置文件,記錄根域名稱、管理員名稱、密碼、日誌、權限等相關信息。
- /var/lib/ldap/* :openldap數據文件存儲位置,可以根據需求進行調準。但爲了保證數據的安全。建議放到存儲設備或獨立的分區上 。
- /etc/openldap/slapd.d/*
- /usr/share/openldap-servers/slapd.conf.obsolete :模板配置文件
- /usr/share/openldap-servers/DB_CONFIG.example :模板數據庫配置文件schema路徑
- /etc/openldap/schema/* :openldap schema規範存放位置
OpenLDAP監聽的端口有以下兩個。
- 監聽端口:389 明文數據傳輸
- 監聽端口:636 密文數據傳輸
slapd.conf配置文件參數
OpenLDAP主配置文件爲/etc/openldap/slapd.conf。此文件默認不存在,需要複製安裝OpenLDAP軟件包安裝所產生的配置文件模版並重命名它爲slapd.conf文件,這同樣可以通過修改數據庫文件實現配置。
include /etc/openldap/schema/corba.schema :include行代表當前OpenLDAP服務包含的schema文件。schema是整個OpenLDAP目錄樹的標準規範,標識數據和類型的關係。
allow bind_v2 :OpenLDAP服務允許連接的客戶端版本
pidfile /var/run/openldap/slapd.pid :OpenLDAP進程啓動時,PID文件存放的路徑
argsfile /var/run/openldap/slapd.args :OpenLDAP參數文件存放的路徑
moduleload ppolicy.la :OpenLDAP指定需要加載額外的模塊
modulepath /usr/lib/openldap :32bit的模塊文件路徑
modulepath /usr/lib64/openldap :64bit的模塊文件路徑- OpenLDAP加密傳輸所加載的配置文件
- TLSCACertificatePath /etc/openldap/certs
- TLSCertificateFile ""OpenLDAP Server""
- TLSCertificateKeyFile /etc/openldap/certs/password
database bdb :OpenLDAP數據庫類型
suffix "dc=example,dc=com" :指定OpenLDAP服務域名(DN)
rootdn "cn=Manager,dc=example,dc=com" :指定OpenLDAP服務管理員信息
- 密碼添加
- 明文密碼添加:root password
- 密文添加,建議使用:rootpw {SSHA}dXWd........XW
directory /var/lib/ldap :指定OpenLDAP數據庫文件的存放目錄
OpenLDAP索引:index objectClass eq,pres
loglevel -1 :OpenLDAP日誌配置