• 返回
  • 最后更新
  • 2020-10-07 20:11:35 +0800 CST

OpenLdap 的安装配置

LDAP 全称轻量级目录访问协议(英文:Lightweight Directory Access Protocol),是一个运行在 TCP/IP 上的目录访问协议。

目录是一个特殊的数据库,它的数据经常被查询,但是不经常更新。其专门针对读取、浏览和搜索操作进行了特定的优化。

目录一般用来包含描述性的,基于属性的信息并支持精细复杂的过滤能力。比如 DNS 协议便是一种最被广泛使用的目录服务。

第一步

切换到 root 账号来安装 OpenLDAP 相关程序包,并启动服务

$ yum install -y openldap-servers openldap-clients
$ cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
$ chown ldap. /var/lib/ldap/DB_CONFIG
$ systemctl enable slapd
$ systemctl start slapd

第二步

我们使用 slappasswd 命令来生成一个密码,并使用 LDIF(LDAP 数据交换格式)文件将其导入到 LDAP 中来配置管理员密码:

$ slappasswd

New password:
Re-enter new password:
{SSHA}ZQnsvYcVp5XoXHq538FZCUkAljubXTlp

$ vim chrootpw.ldif

# specify the password generated above for "olcRootPW" section
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}ZQnsvYcVp5XoXHq538FZCUkAljubXTlp

$ ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif

第三步

我们需要向 LDAP 中导入一些基本的 Schema。这些 Schema 文件位于 /etc/openldap/schema/ 目录中,定义了我们以后创建的条目可以使用哪些属性:

$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/core.ldif
$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

由于我们要对接 RADIUS, 所以我们需要把RADIUS的属性文件加入进去, 可以从我们的网站直接下载这个文件

$ curl https://estatic.toughstruct.net/radius.ldif > /etc/openldap/schema/radius.ldif
$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/radius.ldif

第四步

我们需要配置 LDAP 的顶级域(以 dc=toughstruct,dc=com 为例)及其管理域:

$ slappasswd
New password:
Re-enter new password:
{SSHA}ZQnsvYcVp5XoXHq538FZCUkAljubXTlp

$ vim chdomain.ldif
# replace to your own domain name for "dc=***,dc=***" section
# specify the password generated above for "olcRootPW" section
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
  read by dn.base="cn=admin,dc=toughstruct,dc=com" read by * none

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=toughstruct,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=toughstruct,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}ZQnsvYcVp5XoXHq538FZCUkAljubXTlp

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
  dn="cn=admin,dc=toughstruct,dc=com" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=toughstruct,dc=com" write by * read

$ ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif

第五步

在上述基础上,我们来创建一个组织,并在其下创建一个 Manager 的组织角色(该角色内的用户具有管理整个 LDAP 的权限)和 People 和 Group 两个组织单元:

$ vim basedomain.ldif

# replace to your own domain name for "dc=***,dc=***" section
dn: dc=toughstruct,dc=com
objectClass: top
objectClass: dcObject
objectclass: organization
o: TOUGHSTRUCT.COM
dc: toughstruct

dn: cn=admin,dc=toughstruct,dc=com
objectClass: organizationalRole
cn: Manager

dn: ou=people,dc=toughstruct,dc=com
objectClass: organizationalUnit
ou: people

dn: ou=group,dc=toughstruct,dc=com
objectClass: organizationalUnit
ou: group

$ ldapadd -x -D cn=admin,dc=toughstruct,dc=com -W -f basedomain.ldif

通过以上的所有步骤,我们就设置好了一个 LDAP 目录树:其中基准 dn dc=toughstruct,dc=com 是该树的根节点,

其下有一个管理域 cn=admin,dc=toughstruct,dc=com 和两个组织单元 ou=people,dc=toughstruct,dc=com 及 ou=group,dc=toughstruct,dc=com。

接下来,我们来创建一个员工并将其分配到 Develop 组来验证上述配置是否生效。

$ slappasswd
New password:
Re-enter new password:
{SSHA}BCxXdhHMsLP25F43RSoFL3XBZ9altoqO

$ vim ldapuser.ldif

# create new
# replace to your own domain name for "dc=***,dc=***" section

dn: uid=wjt,ou=people,dc=toughstruct,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: radiusprofile
uid: wjt
cn: Wang Juntao
sn: Juntao
userPassword: {SSHA}BCxXdhHMsLP25F43RSoFL3XBZ9altoqO
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/wjt
radiusReplyItem: UpRate=10000
radiusReplyItem: DownRate=1000
radiusReplyItem: ActiveNum=1


dn: cn=Develop,ou=group,dc=toughstruct,dc=com
objectClass: posixGroup
cn: Develop
gidNumber: 1000
memberUid: wjt


$ ldapadd -x -D cn=admin,dc=toughstruct,dc=com -W -f ldapuser.ldif

注意,这里我们加入了三个自定义的属性信息 radiusReplyItem, 这是 ToughRADIUS 支持的属性格式 radiusReplyItem= 用在认证成功后的授权下发

完整的属性列表

radiusReplyItem: UpRate=10000   // 上行速率  kbps
radiusReplyItem: DownRate=1000  // 下行速率  kbps
radiusReplyItem: ActiveNum=1    // 同时在线数
radiusReplyItem: Status=enabled // 用户状态 enabled | disabled
radiusReplyItem: MfaSecret=xxxxx // OTP 动态密码秘钥
radiusReplyItem: MfaStatus=disabled // OTP 动态认证是否启用 enabled|disabled
radiusReplyItem: Domain=xxx // 特定设备支持,域属性
radiusReplyItem: AddrPool=xxx // 地址池, 此属性将被下发至设备,由 NAS 设备根据地址池分配 IP
radiusReplyItem: IpAddr=x.x..  // IP地址,设置此属性后会下发静态IP, 优先级高于地址池
radiusReplyItem: LimitPolicy=xxx  // 特定设备(爱立信)支持的限速策略
radiusReplyItem: UpLimitPolicy=xxx // 特定设备(思科)支持的上行限速策略
radiusReplyItem: DownLimitPolicy=xxx  // 特定设备(思科)支持的下行限速策略
radiusReplyItem: ExpireTime=2020-12-30  // 用户有效期, 如果为空或格式错误, 系统默认给用户一天的时长

属性的定义有很大的灵活性, 并不限于以上属性, 如果需要实现 MAC 认证, 我们可以加上属性

radiusCallingStationId: xx:xx:xx:xx:xx:xx

可以通过 ldapsearch 来搜索条目

$ ldapsearch -x -b "dc=toughstruct,dc=com" -H ldap://127.0.0.1 

# extended LDIF
#
# LDAPv3
# base <dc=toughstruct,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# toughstruct.com
dn: dc=toughstruct,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: TOUGHSTRUCT.COM
dc: toughstruct

# admin, toughstruct.com
dn: cn=admin,dc=toughstruct,dc=com
objectClass: organizationalRole
cn: Manager
cn: admin

# people, toughstruct.com
dn: ou=people,dc=toughstruct,dc=com
objectClass: organizationalUnit
ou: people

# group, toughstruct.com
dn: ou=group,dc=toughstruct,dc=com
objectClass: organizationalUnit
ou: group

# wjt, people, toughstruct.com
dn: uid=wjt,ou=people,dc=toughstruct,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: radiusprofile
uid: wjt
cn: Wang Juntao
sn: Juntao
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/wjt
radiusReplyItem: UpRate=10000
radiusReplyItem: DownRate=1000
radiusReplyItem: ActiveNum=1

# Develop, group, toughstruct.com
dn: cn=Develop,ou=group,dc=toughstruct,dc=com
objectClass: posixGroup
cn: Develop
gidNumber: 1000
memberUid: wjt

第三方 Ldap 管理工具

Apache Directory Studio