OpenLDAP部署及管理維護

前言

本安裝過程參考LDAP落地實戰（一）：OpenLDAP部署及管理維護。
本文環境是Ubuntu18.04LTS。Ubuntu是安裝在虛擬機上。

安裝OpenLDAP

安裝命令如下:

#sudo apt install -y slapd

安裝完成之後，會自動生成一個OpenLDAP的系統賬號:

//查看賬號
#cat /etc/passwd
//賬號顯示如下
#openldap:x:122:127:OpenLDAP Server Account,,,:/var/lib/ldap:/bin/false

生成OpenLDAP管理員賬號的密碼（後邊修改配置文件需要使用）:

#slappasswd
New password: 
Re-enter new password: 
{SSHA}0ZZfVWee1lPHpgSWoLJRAniYiqPWXYN7

新建OpenLDAP配置文件

#cp /usr/share/slapd/slapd.conf /etc/ldap/
//將@BACKEND@修改爲bdb,將@SUFFIX@修改爲dc=example,dc=com
//打開rootdn配置
//在這之後增加一行rootpw={SSHA}0ZZfVWee1lPHpgSWoLJRAniYiqPWXYN7，這個是剛剛通過slappasswd得到的。
//修改@ADMIN@,改爲cn=admin,dc=example,dc=com
//測試修改是否正確
#slaptest -u -f /etc/ldap/slapd.conf
5ccfac58 slapd.conf: line 104: rootdn is always granted unlimited privileges.
5ccfac58 slapd.conf: line 122: rootdn is always granted unlimited privileges.
config file testing succeeded

配置文件重要參數說明（需要自己修改的，其他未提到的可以不修改）：
database bdb：定義使用的後端數據存儲格式，數據庫默認採用了berkeley db，其後可以跟的值有bdb、ldbm、passwd、shell。bdb指使用Berkley DB 4數據庫

suffix “dc=163,dc=com”：suffix是"LDAP基準名"，它是LDAP名字空間在這裏的根。設置想要創建的子樹的根DN

rootdn “cn=admin,dc=163,dc=com”：設置管理LDAP目錄的超級用戶的DN。這個用戶名不要出現在/etc/passwd文件裏

rootpw {SSHA}0ZZfVWee1lPHpgSWoLJRAniYiqPWXYN7：設置這個數據庫的超級用戶的口令驗證方式。也就是上邊rootdn設置的用戶的密碼。一定要用加密的口令存儲，可以使用的加密方式有：CRYPT、MD5、SMD5、SHA和SSHA，就是我們第三步生成的密碼

directory /var/lib/ldap：設置LDAP數據庫和索引文件所在的目錄

access to：權限配置下邊詳細說明

刪除原有配置，生成新配置

#rm -rf /etc/ldap/slapd.d/*
#slaptest -u -f /etc/ldap/slapd.conf -F /etc/ldap/slapd.d/
//給新生成的配置文件賦予OpenLdap的權限
#chown -R openldap.openldap /etc/ldap/slapd.d/
#​chown -R openldap.openldap /var/lib/ldap/​

重啓OpenLDAP

# /etc/init.d/slapd restart