[hermit auto="0" loop="1" unexpand="1" fullheight="0"]collect#:193025074[/hermit]

《Linux就该这么学》最新正式版已出版上市，同学们可在线上京东网、当当网、?#21592;?#32593;及亚马逊等电商?#25945;?#36141;买。

*亦可就近在新华书店购买*

章节概述：

本章节将理解目录服务的概念，学习OpenLdap服务程序与TLS?#29992;?#21327;议的部署方法，并自动挂载用户目录。

通过部署目录服务实现对系统帐户的集中式管理，相比于X.500协议具有更快的查询速?#21462;?#26356;少的消耗资源等优势。

23.1 ?#31169;?#30446;录服务

回忆前面所学的章节，我们发现其实目录可?#21592;?#29702;解成是一种为查询、浏览或搜索的数据库，但数据库又分为了目录数据库和关系数据库，目录数据库主要用于存储较小的信息（如姓名、电话、主机名等），同时具有很好的读性能，但在写性能方面比较差，所以不适合存放那些需要经常修改的数据。

目录服务则是由目录数据库和一套能?#29615;?#38382;和处理数据库信息的协议组成的服务协议，用于集中的管理主机帐号密码，员工名?#20540;?#25968;据，大大的提升了管理工作效率。轻量级目录访问协议LDAP(Lightweight Directory Access Protocol)是在目录访问协议X.500的基础上研发?#27169;?#20027;要的优势是：

X.500目录协议功能非常?#20998;祝?#28040;耗大量资源，无法做到快速查询且不支持TCP/IP协议网络。

LDAP采用树状结构存储数据（类似于前面学习的DNS服务程序），用于在IP网络层面实现对分布式目录的访问和管理操作，条目是LDAP协议中最基本的元素，可以想象成?#20540;?#20013;的单词或者数据库中的记录，通常对LDAP服务程序的添加、?#22659;?#26356;改、搜索都是以条目为基本对象的。

LDAP树状结构存储数据

dn:每个条目的唯一标识符，如上图中linuxprobe的dn值是：

cn=linuxprobe,ou=marketing,ou=people,dc=mydomain,dc=org

rdn:一般为dn值中最左侧的部分，如上图中linuxprobe的rdn值是：

cn=linuxprobe

base DN:此为基准DN值，表示顶层的根部，上图中的base DN值是：

dc=mydomain,dc=org

而每个条目可以有多个属性（如姓名、地址、电话等），每个属性中会保存着对象名称与对应值，LDAP已经为运维人员对常见的对象定义了属性，其中有：

属性名称	属?#21592;?#21517;	语法	描述	值（举例）
commonName	cn	Directory String	名字	sean
surname	sn	Directory String	?#24080;?/td>	Chow
organizationalUnitName	ou	Directory String	单位（部门）名称	IT_SECTION
organization	o	Directory String	组织（公司）名称	linuxprobe
telephoneNumber		Telephone Number	电话号码	911
objectClass			内置属性	organizationalPerson

出现问题?大胆提问!

因读者们硬件不同或操作错误都可能导致实验配置出错，请耐心再仔细看看操作步骤吧，不要气馁~

Linux技术交流请加A群：560843(满)，B群：340829(推荐)，C群：463590（推荐），点此查看全国群。

*本群特色：通过口令验证确保每一个群员都是《Linux就该这么学》的读者，答疑更有针对性，不定期免费领取定制礼品。

23.2 目录服务实验

OpenLdap是基于LDAP协议?#30446;?#28304;程序，它的程序名?#24179;?#20570;slapd，本次实验需要用到?#25945;?#20027;机：

主机名称	操作系统	IP地址
LDAP服务端 (instructor.linuxprobe.com)	红帽RHEL7操作系统	192.168.10.10
LDAP客户端	红帽RHEL7操作系统	192.168.10.20

23.2.1 配置LDAP服务端

安装openldap与相关的软件包：

[[email protected] ~]# yum install -y openldap openldap-clients openldap-servers migrationtools
Loaded plugins: langpacks, product-id, subscription-manager
………………省略部分安装过程………………
Installing:
 migrationtools          noarch        47-15.el7             rhel7         26 k
 openldap-clients        x86_64        2.4.39-3.el7          rhel7        183 k
 openldap-servers        x86_64        2.4.39-3.el7          rhel7        2.1 M
………………省略部分安装过程………………
Complete!

生成密钥文件（记下生成出的值，后面要用）：

[[email protected] ~]# slappasswd -s linuxprobe -n > /etc/openldap/passwd
[[email protected] ~]# cat /etc/openldap/passwd 
{SSHA}v/GJvGG8SbIuCxhfTDVhkmWEuz2afNIR

写入一条主机与IP地址的解析记录：

[[email protected] ~]# echo "192.168.10.10 instructor.linuxprobe.com" >> /etc/hosts

因为LDAP目录服务是以明文的方式在网络?#20889;?#36755;数据?#27169;?#21253;括密码），这样真的很不安全，所以我们采用TLS?#29992;?#26426;制来解决这个问题，使用openssl工具生成X509格式的证书文件（有效期为365天）：
[cc lang="bash"]
[[email protected] ~]# openssl req -new -x509 -nodes -out /etc/openldap/certs/cert.pem -keyout /etc/openldap/certs/priv.pem -days 365
Generating a 2048 bit RSA private key
..........................................+++
..............................................................+++
writing new private key to '/etc/openldap/certs/priv.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:敲击回车
State or Province Name (full name) []:敲击回车
Locality Name (eg, city) [Default City]:敲击回车
Organization Name (eg, company) [Default Company Ltd]:敲击回车
Organizational Unit Name (eg, section) []:敲击回车
Common Name (eg, your name or your server hostname) []:instructor.linuxprobe.com
Email Address []:敲击回车
[/cc]
修改证书的所属与权限：

[[email protected] ~]# cd /etc/openldap/certs/
[[email protected] certs]# chown ldap:ldap *
[[email protected] certs]# chmod 600 priv.pem
[[email protected] certs]# ls -al
total 8
drwxr-xr-x. 2 root root 36 Oct 5 13:41 .
drwxr-xr-x. 5 root root 100 Oct 5 13:39 ..
-rw-r--r--. 1 ldap ldap 1318 Oct 5 13:41 cert.pem
-rw-------. 1 ldap ldap 1704 Oct 5 13:41 priv.pem

复制?#29615;軱DAP的配置模板：

[[email protected] ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

生成数据库文件（不用担心报错信息）：

[[email protected] ~]# slaptest 
5610aaa9 hdb_db_open: database "dc=my-domain,dc=com": db_open(/var/lib/ldap/id2entry.bdb) failed: No such file or directory (2).
5610aaa9 backend_startup_one (type=hdb, suffix="dc=my-domain,dc=com"): bi_db_open failed! (2)
slap_startup failed (test would succeed using the -u switch)

修改LDAP数据库的所属主与组：

[[email protected] ~]# chown ldap:ldap /var/lib/ldap/*

启动slapd服务程序并设置为开机启动：
[cc lang="bash"]
[[email protected] ~]# systemctl restart slapd
[[email protected] ~]# systemctl enable slapd
ln -s '/usr/lib/systemd/system/slapd.service' '/etc/systemd/system/multi-user.target.wants/slapd.service'
[/cc]

在LDAP目录服务中使用LDIF(LDAP Interchange?Format)格式来保存信息，而LDIF是一种标准的文本文件且可以随意的导入导出，所以我们需要有一种“格式”标准化LDIF文件的写法，这中格式叫做“schema?#20445;瑂chema用于指定一个目录中所包含对象的类型，以及每一个类型中?#30446;?#36873;属性，我们可以将schema理解为面向对象程序设计中的“类?#20445;?#36890;过“类”定义出具体的对象，因此其实LDIF数据条目则都是通过schema数据模型创建出来的具体对象：

ldapadd命令用于将LDIF文件导入到目录服务数据库中，格式为：“ldapadd [参数] LDIF文件”。

参数	作用
-x	进行简单认证。
-D	用于绑定服务器的dn。
-h：	目录服务的地址。
-w：	绑定dn的密码。
-f：	使用LDIF文件进行条目添加的文件。

添加cosine和nis模块：

[[email protected] ~]# cd /etc/openldap/schema/
[[email protected] schema]# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f cosine.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=cosine,cn=schema,cn=config"
[[email protected] schema]# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f nis.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=nis,cn=schema,cn=config"

创建/etc/openldap/changes.ldif文件，并将下面的信息复?#24179;?#21435;（注意有一处要修改的地方）：

[[email protected] ~]# vim /etc/openldap/changes.ldif
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=linuxprobe,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=linuxprobe,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: 此处输入之前生成的密码（如{SSHA}v/GJvGG8SbIuCxhfTDVhkmWEuz2afNIR）

dn: cn=config
changetype: modify
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/certs/cert.pem

dn: cn=config
changetype: modify
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/certs/priv.pem

dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: -1

dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=linuxprobe,dc=com" read by * none

将新的配置文件更新到slapd服务程序：

[[email protected] ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/changes.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={1}monitor,cn=config"

创建/etc/openldap/base.ldif文件，并将下面的信息复?#24179;?#21435;：

[[email protected] ~]# vim /etc/openldap/base.ldif
dn: dc=linuxprobe,dc=com
dc: linuxprobe
objectClass: top
objectClass: domain

dn: ou=People,dc=linuxprobe,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit

dn: ou=Group,dc=linuxprobe,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit

创建目录的结构服务：
[cc lang="bash"]
[[email protected] ~]# ldapadd -x -w linuxprobe -D cn=Manager,dc=linuxprobe,dc=com -f /etc/openldap/base.ldif
adding new entry "dc=linuxprobe,dc=com"
adding new entry "ou=People,dc=linuxprobe,dc=com"
adding new entry "ou=Group,dc=linuxprobe,dc=com"
[/cc]
创建测试用的用户：

[[email protected] ~]# useradd -d /home/ldap ldapuser

设置帐户的迁移（修改第71与74行）：

[[email protected] ~]# vim /usr/share/migrationtools/migrate_common.ph
$DEFAULT_MAIL_DOMAIN = "linuxprobe.com";
$DEFAULT_BASE = "dc=linuxprobe,dc=com";

将当前系统中的用户迁移至目录服务：
[cc lang="bash"]
[[email protected] ~]# cd /usr/share/migrationtools/
[[email protected] migrationtools]# grep ":10[0-9][0-9]" /etc/passwd > passwd
[[email protected] migrationtools]# ./migrate_passwd.pl passwd users.ldif
[[email protected] migrationtools]# ldapadd -x -w linuxprobe -D cn=Manager,dc=linuxprobe,dc=com -f users.ldif
adding new entry "uid=linuxprobe,ou=People,dc=linuxprobe,dc=com"
adding new entry "uid=ldapuser,ou=People,dc=linuxprobe,dc=com"
[/cc]
将当前系统中的用户组迁移至目录服务：
[cc lang="bash"]
[[email protected] migrationtools]# grep ":10[0-9][0-9]" /etc/group > group
[[email protected] migrationtools]# ./migrate_group.pl group groups.ldif
[[email protected] migrationtools]# ldapadd -x -w linuxprobe -D cn=Manager,dc=linuxprobe,dc=com -f groups.ldif
adding new entry "cn=linuxprobe,ou=Group,dc=linuxprobe,dc=com"
adding new entry "cn=ldapuser,ou=Group,dc=linuxprobe,dc=com"
[/cc]
测试linuxprobe用户的配置文件：

[[email protected] ~]# ldapsearch -x cn=ldapuser -b dc=linuxprobe,dc=com
# extended LDIF
#
# LDAPv3
# base <dc=linuxprobe,dc=com> with scope subtree
# filter: cn=ldapuser
# requesting: ALL
#

# ldapuser, People, linuxprobe.com
dn: uid=ldapuser,ou=People,dc=linuxprobe,dc=com
uid: ldapuser
cn: ldapuser
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword:: e2NyeXB0fSQ2JFdtcXFveHFIJFFNaU1pZDAuL01KLnBrR1ZKLkdVSVlWalguTXh
 xLlB5Uk1IeGJseGdkVTBwOUxwcTBJT2huYnkwNFkzdXh1Zi9QaWFpUUtlLk0wUHdQNFpxRXJQV0cv
shadowLastChange: 16713
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/ldapuser

# ldapuser, Group, linuxprobe.com
dn: cn=ldapuser,ou=Group,dc=linuxprobe,dc=com
objectClass: posixGroup
objectClass: top
cn: ldapuser
userPassword:: e2NyeXB0fXg=
gidNumber: 1001

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

安装httpd服务程序：

[[email protected] ~]# yum install httpd
Loaded plugins: langpacks, product-id, subscription-manager
………………省略部分安装过程………………
Installing:
 httpd               x86_64         2.4.6-17.el7            rhel7         1.2 M
Installing for dependencies:
 apr                 x86_64         1.4.8-3.el7             rhel7         103 k
 apr-util            x86_64         1.5.2-6.el7             rhel7          92 k
 httpd-tools         x86_64         2.4.6-17.el7            rhel7          77 k
 mailcap             noarch         2.1.41-2.el7            rhel7          31 k
………………省略部分安装过程………………
Complete!

将密钥文件上传至网站目录：

[[email protected] ~]# cp /etc/openldap/certs/cert.pem /var/www/html

将httpd服务程序重启，并添加到开机启动项：
[cc lang="bash"]
[[email protected] ~]# systemctl restart httpd
[[email protected] ~]# systemctl enable httpd
ln -s '/usr/lib/systemd/system/httpd.service' '/etc/systemd/system/multi-user.target.wants/httpd.service'
[/cc]
清空防火墙的规则并保存状态：

[[email protected] ~]# iptables -F
success
[[email protected] ~]# service iptables save
success

在日志记录服务的配置文件中追加下面语句，并重启日志服务：

[[email protected] ~]# vim /etc/rsyslog.conf
local4.* /var/log/ldap.log
[[email protected] ~]# systemctl restart rsyslog

出现问题?大胆提问!

因读者们硬件不同或操作错误都可能导致实验配置出错，请耐心再仔细看看操作步骤吧，不要气馁~

Linux技术交流请加A群：560843(满)，B群：340829(推荐)，C群：463590（推荐），点此查看全国群。

*本群特色：通过口令验证确保每一个群员都是《Linux就该这么学》的读者，答疑更有针对性，不定期免费领取定制礼品。

23.2.2 配置LDAP客户端

将LDAP服务端主机名与IP地址的解析记录写入：

[[email protected] ~]# echo "192.168.10.10 instructor.linuxprobe.com" >> /etc/hosts

安装相关的软件包：

[[email protected] Desktop]#  yum install openldap-clients nss-pam-ldapd authconfig-gtk pam_krb5
Loaded plugins: langpacks, product-id, subscription-manager
………………省略部分的安装过程………………
Installing:
 authconfig-gtk          x86_64        6.2.8-8.el7            rhel        105 k
 nss-pam-ldapd           x86_64        0.8.13-8.el7           rhel        159 k
 openldap-clients        x86_64        2.4.39-3.el7           rhel        183 k
 pam_krb5                x86_64        2.4.8-4.el7            rhel        158 k
Installing for dependencies:
 nscd                    x86_64        2.17-55.el7            rhel        250 k
………………省略部分的安装过程………………
Complete!

运行系统认证工具，并填写LDAP服务信息：

[[email protected] ~]# system-config-authentication

填写证书地址：

稍等片刻后，验证本地是否已经有了ldapuser用户：

[[email protected] ~]# id ldapuser
uid=1001(ldapuser) gid=1001(ldapuser) groups=1001(ldapuser)

此时?#24471;?#24050;经可以通过LDAP服务端验证了，并且ldapuser用户的帐号信息也不会保存在您本地的/etc/passwd文件中~

23.3 自动挂载用户目录

虽然在客户端已经能够使用LDAP验证帐户了，但是当切换到ldapuser用户?#34987;?#25552;示没有该用户的家目录：

[[email protected] ~]# su - ldapuser
su: warning: cannot change directory to /home/ldapuser: No such file or directory
mkdir: cannot create directory '/home/ldapuser': Permission denied

原因是本机并没有该用户的家目录，我们需要配置NFS服务将用户的家目录自动挂载过来：

在LDAP服务端添加共享信息（NFS服务程序已经默认安装，我们之前学过还记得吗？）：

[[email protected] ~]# vim /etc/exports
/home/ldap 192.168.10.20 (rw,sync,root_squash)

重启nfs-server服务程序：

[[email protected] ~]# systemctl restart nfs-server

在LDAP客户端查看共享信息：

[[email protected] ldap]# showmount -e 192.168.10.10
Export list for 192.168.10.10:
/home/ldap 192.168.10.20

将共享目录挂载到本地：

[[email protected] ~]# mkdir /home/ldap
[[email protected] ldap]# mount -t nfs 192.168.10.10:/home/ldap /home/ldap

再次尝试切换到ldapuser用户，这样非常顺利：

[[email protected] ldap]# su - ldapuser
Last login: Tue Oct  6 11:51:25 CST 2015 on pts/3
[[email protected] ~]$

设置为开机自动挂载：

[[email protected] ~]# vim /etc/fstab
192.168.10.10:/home/ldap /home/ldap nfs defaults 0 0

出现问题?大胆提问!

因读者们硬件不同或操作错误都可能导致实验配置出错，请耐心再仔细看看操作步骤吧，不要气馁~

Linux技术交流请加A群：560843(满)，B群：340829(推荐)，点此查看全国群。

*本群特色：通过口令验证确保每一个群员都是《Linux就该这么学》的读者，答疑更有针对性，不定期免费领取定制礼品。

本章节的复习作业(答案就在问题的下一?#20449;叮?#29992;鼠标选中即可看到的~)

1:LDAP目录服务的特点是？

答案:消耗资源少，适合存储较小的信息、具有很好的读性能以及支持TCP/IP协议网络。

2:目录服务的唯一标识符dn的作用是？

答案:用于定义某个条目或属性的唯一性。

3:为什么需要启用TLS?#29992;埽?/p>

答案:因为openldap服务程序默认使用明文传送数据（包括密码）。

4:ldapadd命令的作用是？

答案:ldapadd命令用于将LDIF文件导入到目录服务数据库中。

5:部署目录服务后配置nfs服务的作用是？

答案:挂载用户的家目录。

本文原创地址：http://www.52437949.com/chapter-23.html编辑：刘遄，审核员：暂无