CentOS下LDAP服务配置指南

1.     LDAP服务器端配置

2.     LDAP客户端配置

3.     LDAP服务器复制

4.     LDAP服务器安全通信

一LDAP服务器端配置管理

1.     LDAP服务器软件包安装

CentOS系统中要实现openLDAP的功能必须要安装openldap,openldap-servers,openldap-c

Lients三个软件包。CentOS安装光盘中提供LDAP服务器的RPM安装包版本为2.3.27。其中openldap包已经默认安装，用来提供LDAP服务的基本文件目录。Openldap-servers提供

服务端功能，openldap-clients提供客户端的搜索工具，这两个包必须手动安装。

#rpm –ivh openldap-servers-2.3.27-8.e15-1.3.i386.rpm

#rpm –ivh openldap-clients-2.3.27-8.e15-1.3.i386.rpm

2.     创建复制BDB数据库配置文件

LDAP服务器默认采用BDB（伯克利）数据库作为后台，CentOS中已经默认安装(如没有也可以RPM或者tar包安装).需要先将/etc/openldap/目录下的DB-CONFIG.example文件复

制到/var/lib/ldap/目录下并更名为DB-CONFIG并更改权限为ldap所有。

#cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

#chown ldap:ldap /var/lib/ldap/DB_CONFIG

3服务器文件配置.

   LDAP服务器的主配置文件为/etc/openldap/slapd.conf,包含了复制功能。

(1)    找到  

      suffix “dc=my-domain,dc=com”

      rootdn “cn=Manager,dc=my-domain,dc=com” 两行。

根据实际情况修改为

      suffix  “dc=boy,dc=com”   设定域名后缀

      rootdn  “cn=Manager,dc=boy,dc=com ” 超级管理员

（2）哈希密码 : rootpw是管理员的密码，但是明文密码存放有很大的安全隐患，可以用哈希散列的方式存储提高安全度。

#slappasswd –h {SSHA} > 1.txt

将哈希后产生的散列值添加进slapd.conf文件

rootpw    {SSHA}   散列值

(3)手动添加日志功能

LDAP服务器需要手动添加日志功能。/etc/openldap/slapd.conf中末行添加“loglevel 296 ”。这是一个比较详细的日志级别。/etc/syslog.conf中添加“local4.*  /var/log/ldap.log ”

确定LDAP服务器的日志位置。

(4)配置slapd.conf文件使客户端以MD5方式改变密码

sample  security  restrictions 下添加

password—hash  {MD5}

(5)重启日志服务

#service  syslog  restart

(6)开启LDAP服务。

   LDAP服务器的配置文件是slapd.conf,但是启动服务文件名/etc/init.d/ldap,所以启动命令

为：

# service ldap restart

#/etc/init.d/ldap restart

查看服务器进程：

#ps aux | grep ldap

查看端口：

#netstat –an | grep 389

如果启动正常应该有“389”端口信息。普通LDAP服务开放389端口。查看日志文件/var/log/ldap.log(系统随系统日志服务重启时自动创建)应该有启动信息。

设置系统在3，5级别启动时自动开启服务

#chkconfig —level 3 5 ldap on