Redhat RHEL6 配置LDAP服务端(后附Autofs配置)

Redhat RHEL6配置LDAP服务端

后附Autofs配置

文档说明：

网上的很多LDAP文档，描写的不够细致，很难参考配置成功。

我参考了一些文档，测试成功后详细记录了这份文档，即使新手参考也能一次配置成功。祝你好运！！

实验环境：

我的测试域名是https://www.sodocs.net/doc/0a16882426.html,，这也是我的博客域名。

你也可以设置成自己的域名，比如https://www.sodocs.net/doc/0a16882426.html,

欢迎讨论：

我的博客：https://www.sodocs.net/doc/0a16882426.html,

新浪微博：https://www.sodocs.net/doc/0a16882426.html,/oscarfeng

腾讯微博：https://www.sodocs.net/doc/0a16882426.html,/oscarfeng

如果你的配置中有什么问题，可以给我微博留言。

1.安装LDAP相关软件

你现在准备安装软件;需要超级用户权限:

#yum list openldap*

#yum install -y openldap*

2.配置LDAP的域信息

#cd /etc/openldap

#ls

/etc/openldap/slapd.conf

#mv slapd.d ~/slapd.d-bak //移动到/root下

#mv slapd.conf.bak slapd.conf

然后，修改配置文件slapd.conf

#vi slapd.conf 找到并修改如下内容：

suffix "dc=https://www.sodocs.net/doc/0a16882426.html," //设置主机名前缀

rootdn "cn=Manager,dc=https://www.sodocs.net/doc/0a16882426.html," //设置域

rootpw https://www.sodocs.net/doc/0a16882426.html, //后面ldapadd命令要用的密码，中间必须用俩TAB键分割。保存修改并退出。

3.创建数据库文件（从模板复制产生）

#cd /var/lib/ldap

复制模板文件，不然重启的时候会报错valid（49）说是不合法的密码的错误。

#cp /usr/share/doc/openldap-servers-2.4.19/DB_CONFIG.example ./

#mv DB_CONFIG.example DB_CONFIG

#chown ldap.ldap DB_CONFIG* //这里要添加*，否则后面启动服务会有警告

4.启动LDAP服务

#/etc/init.d/slapd start

或用如下命令：

#service slapd start

#chkconfig slapd on //服务加入启动管理器中

5.检查搜索域

#ldapsearch –x -b "dc=https://www.sodocs.net/doc/0a16882426.html,"

-b 指定用作搜索起始点的专有名称。使用引号来指定该值

Minor code may provide more information (Credentials cache file '/tmp/krb5cc_0' not found)

6.创建待认证的用户

#useradd ldapuser1

#echo "123456" | passwd --stdin ldapuser1

#useradd ldapuser2

#echo "123456" | passwd --stdin ldapuser2

#useradd ldapuser3

#echo "123456" | passwd --stdin ldapuser3

7.安装迁移工具migrationtools

安装成功之后会在/usr/share下出现migrationtools

可以看到，有一组 Perl 脚本被安装到 /usr/share/openldap/migration/ 中执行迁移。这些Perl 脚本的配置信息包含在 migrate_common.ph 文件的开头。对于我们来说，只需要修改命名前缀的变量来使用条目的识别名就足够了，如下所示：

#vi migrate_common.ph

修改如下内容：

# Default DNS domain

$DEFAULT_MAIL_DOMAIN = "https://www.sodocs.net/doc/0a16882426.html,";

# Default base

$DEFAULT_BASE ="dc=https://www.sodocs.net/doc/0a16882426.html,";

#define(`confLDAP_DEFAULT_SPEC',`-h "ldap. https://www.sodocs.net/doc/0a16882426.html, "')dnl

在进行这些修改之后，请运行脚本 migrate_base.pl，它会创建根项，并为 Hosts、Networks、Group 和 People 等创建低一级的组织单元。

8.创建认证账户文件

几个主要的概念

dn：一条记录的位置

dc：一条记录所属区域

ou：一条记录所属组织

cn/uid：一条记录的名字/ID

创建基本的数据库文件

#./migrate_base.pl > base.ldif

编辑修改刚才产生的文件：

#vim base.ldif

删除除下面之外的所有条目：

dn: dc=https://www.sodocs.net/doc/0a16882426.html,

dc: https://www.sodocs.net/doc/0a16882426.html,

objectClass: top

objectClass: domain

dn: ou=People,dc=https://www.sodocs.net/doc/0a16882426.html,

ou: People

objectClass: top

objectClass: organizationalUnit

dn: ou=Group,dc=https://www.sodocs.net/doc/0a16882426.html,

ou: Group

objectClass: top

objectClass: organizationalUnit

创建用户数据库文件

#./migrate_passwd.pl /etc/passwd ./user.ldif 编辑user.ldif

#vim user.ldif

删除除下面之外的所有条目：

dn: uid=ldapuser1,ou=People,dc=https://www.sodocs.net/doc/0a16882426.html, uid: ldapuser1

cn: ldapuser1

..........

homeDirectory: /home/ldapuser1

dn: uid=ldapuser2,ou=People,dc=https://www.sodocs.net/doc/0a16882426.html, uid: ldapuser2

cn: ldapuser2

............

homeDirectory: /home/ldapuser2

dn: uid=ldapuser3,ou=People,dc=https://www.sodocs.net/doc/0a16882426.html, uid: ldapuser3

cn: ldapuser3

............

homeDirectory: /home/ldapuser3

然后执行如下命令进行检测：

创建组账户文件

#./migrate_group.pl /etc/group groups.ldif 编辑groups.ldif

#vim groups.ldif

删除除下面之外的所有条目

dn: cn=ldapuser1,ou=Group,dc=https://www.sodocs.net/doc/0a16882426.html, objectClass: posixGroup

objectClass: top

cn: ldapuser1

userPassword: {crypt}x

gidNumber: 601

dn: cn=ldapuser2,ou=Group,dc= https://www.sodocs.net/doc/0a16882426.html, .............

gidNumber: 602

dn: cn=ldapuser3,ou=Group,dc= https://www.sodocs.net/doc/0a16882426.html, .........

gidNumber: 603

执行如下命令进行测试：

#ldapadd -D "cn=Manager,dc=https://www.sodocs.net/doc/0a16882426.html," -W -x -f base.ldif

提示输入密码的时候，输入前面cd /etc/openldap/slapd.conf中配置的rootpw处配置的密码chenggefeng，如果出现错误：

Enter LDAP Password:(输入你刚才设置的前面配置的rootpw密码)，正确之后会显示：

adding new entry "dc=https://www.sodocs.net/doc/0a16882426.html,"

adding new entry "ou=People,dc=https://www.sodocs.net/doc/0a16882426.html,"

adding new entry "ou=Group,dc=https://www.sodocs.net/doc/0a16882426.html,"

#ldapadd -D "cn=Manager,dc=https://www.sodocs.net/doc/0a16882426.html," -W -x -f user.ldif

Enter LDAP Password:(输入你刚才设置的密码)，正确之后会显示：

adding new entry "uid=ldapuser1,ou=People,dc=https://www.sodocs.net/doc/0a16882426.html,"

adding new entry "uid=ldapuser2,ou=People,dc=https://www.sodocs.net/doc/0a16882426.html,"

adding new entry "uid=ldapuser3,ou=People,dc=https://www.sodocs.net/doc/0a16882426.html,"

#ldapadd -D "cn=Manager,dc=https://www.sodocs.net/doc/0a16882426.html," -W -x -f groups.ldif

Enter LDAP Password:(输入你刚才设置的密码)，正确之后会显示：

adding new entry "cn=ldapuser1,ou=Group,dc=https://www.sodocs.net/doc/0a16882426.html,"

adding new entry "cn=ldapuser2,ou=Group,dc=https://www.sodocs.net/doc/0a16882426.html,"

adding new entry "cn=ldapuser3,ou=Group,dc=https://www.sodocs.net/doc/0a16882426.html,"

此时运行：

# ldapsearch -x -b "dc=https://www.sodocs.net/doc/0a16882426.html," //(查询命令)

输出如下内容：

===================================================

# extended LDIF

#

# LDAPv3

# base with scope subtree

# filter: (objectclass=*)

# requesting: ALL

#

# https://www.sodocs.net/doc/0a16882426.html,

dn: dc=https://www.sodocs.net/doc/0a16882426.html,

dc: https://www.sodocs.net/doc/0a16882426.html,

objectClass: top

objectClass: domain

# People, https://www.sodocs.net/doc/0a16882426.html,

dn: ou=People,dc=https://www.sodocs.net/doc/0a16882426.html,

ou: People

………………………………………………

# numResponses: 10

# numEntries: 9

===================================================

9.打开服务器端防火墙的389号端口

如果你关闭了防火墙，就不必具体设置防火墙规则，否则，设置下面内容。

可以用如下命令检测某个服务的端口：

#cat /etc/services |grep ldap //通过该命令查看ldap服务的端口是什么

#iptables -I INPUT -p tcp --dport 389 -j ACCEPT

#iptables -I INPUT -p udp --dport 389 -j ACCEPT

#service iptables save

#service iptables restart

用如下命令检测某个服务器上的某个端口是否打开：

#telnet 服务器IP 端口号

一旦窗口没有任何信息或者出现服务器的服务信息，则表示端口打开。使用^+]断开测试，进入telnet 的命令行模式，输入quit可以退出。

10.用GUI界面查看LDAP用户（需安装phpldapadmin包）

如果不想通过GUI界面控制，可以忽略这些内容。

#cd /var/www/html

下载phpldapadmin-1.2.2.tgz //(版本不要下错啊！否则可能造成无法使用)

#tar zxf phpldapadmin-1.2.2.tgz

#cd phpldapadmin-1.2.2

#cd ../

#mv phpldapadmin-1.2.2 myldap

#cd myldap/config

#cp config.php.example config.php

还有记得要装php-ldadp包和php包：

#yum install php-ldap php -y

#/etc/init.d/httpd restart //如果httpd服务没安装，要先安装

#ifconfig|grep cas //查看本地IP地址

inet addr:172.16.0.6 Bcast:172.16.255.255 Mask:255.255.0.0

inet addr:10.8.22.19 Bcast:10.8.22.255 Mask:255.255.255.0

inet addr:192.168.100.1 Bcast:192.168.100.255 Mask:255.255.255.0

然后打开浏览器可以类似的用http://10.8.22.19/myldap访问LDAP。界面如下：

如果http服务启动，但无法显示页面，可能是防火墙的问题，执行如下命令：

#iptables -I INPUT -p tcp -m tcp --dport 80 -j ACCEPT

#iptables -I INPUT -p tcp -m tcp --dport 389 -j ACCEPT //LDAP 端口

#service iptables save

#service iptables restart

登录的时候：DN框输入：cn=Manager,dc=https://www.sodocs.net/doc/0a16882426.html,，密码框输入123456。

11.客户端配置（在另外一台电脑上进行，要求两台电脑网络联通！！！）下面以RHEL6为例，介绍LDAP客户端的配置。

1)打开LDAP配置界面

#setup

然后选择第一项，或者用如下命令，将会看到配置界面：

#authchonfig-tui

2)配置选项

具体配置项目依照右侧的图像选择即可：

左侧选择：useLDAP

右侧选择：use MD5 …；use shadow…；use LDAP …和 Local auth…四项。

然后，点击NEXT后，在新出现的窗口中根据需要填写，具体如下：

在Server框中输入LDAP服务的地址：LDAP://服务器IP

在基本DN中输入dc=https://www.sodocs.net/doc/0a16882426.html, //这里要和前面的配置一致。

如果要采用加密的认证方式（考试时候要求），则要选择上方的TLS复选框，并且要将服务器端配置好的数字签名（如上右图提示）下载到/etc/openldap/cacerts目录下。在RHCE认证考试中，会提供证书下载链接的。

配置完成后，可以通过查看ldap客户端配置文件进行检查：

#vi /etc/openldap/ldap.conf

查看/etc/nsswitch.conf的配置，可以看到与LDAP认证的相关变化。

3)测试配置

执行如下命令测试是否可以从LDAP服务器活动账户信息：

#getent passwd | grep ldapuser //ldapuserX是前面配置好的账户

如果返回类似如下信息，说明正常！

如果没有返回信息，或返回错误，请检查配置，重新进行测试。如果检查配置没有错误，可以做如下修改，重新进行测试。

将/etc/sssd/sssd.conf文件中的#enumerate=false，修改为：enumerate=true，这样修改完后，getent就会从LDAP查找账户信息。

并重新执行如下命令：

#service sssd restart

4)尝试切换用户测试

#su - ldapuser1

显示如上说明账户可以登录，但没找到用户主目录。这需要在本地配置autofs挂载路径。见下面内容。

12.实现基于NFS的LDAP用户主目录（以下在LDAP服务器端配置）

1)安装NFS服务器

#yum install -y nfs

2)配置nfs服务器

在nfs服务器上输出/home目录，注意，输出的目录上必须有用户登录的目录！

#vi /etc/exports

输入如下内容并保存：

/home *(rw,sync)//根据需要，可能要修改*，限制访问的网络

查找SELinux中关于nfs的配置项目，找到关于nfs主目录的项目:

#getsebool -a | grep nfs

use_nfs_home_dirs --> on

上行就是允许远程挂载用户主目录的选项，如果不是on则远程用户无权限进入自己的目录。

用如下的命令修改选项：

#setsebool -P use_nfs_home_dirs on //-P表示重新启动依然有效

设置完后，重启nfs服务器：

#service nfs restart

#chkconfig nfs on

检查nfs输出：

#showmount -e

Export list for RHCE01:

/home *

可能报错：

clnt_create:RPC:Unknownhost

#/etc/init.d/rpcsvcgssdstatus

rpc.svrgssdisstopped

#/etc/init.d/rpcsvrgssdstart

#chkconfig rpcsvrgssd on

#service nfs restart

配置防火墙，允许远程挂载：

#iptables -I INPUT -p tcp -m tcp --dport 2049 -j ACCEPT

#service iptables save //保存防火墙配置项

#service iptables restart //重新启动防火墙

如果关闭防火墙，可以忽略上面防火墙规则设置

可以在LDAP客户端用如下命令测试端口是否可连接：

#telnet nfs-sever-ip 2049

如果出现如下内容，则表示端口可以连接，并按ctrl+]断开，并输入quit推出Telnet。

3)配LDAP客户端(以下在客户端进行)

a)确保已经安装了autofs服务

#rpm -qa | grep autofs

b)配置autofs服务

#vi /etc/auto.master

最后加入如下行并保存：

/home auto.nfs //表示挂载到本地的位置和配置文件

#vi /etc/auto.nfs

输入如下内容并保存：

* -fstype=nfs,rw,sync 172.16.0.6:/home/&

说明，上面的*表示要挂载的某用户的目录，后面的&表示用户名。

c)测试登录

用如下命令测试：

#su - ldapuser1

出现如下结果，即表示成功！注意，这时候，登录的ldapuser1帐号不在本地，而是在LDAP服务器上。

欢迎讨论：

我的博客：https://www.sodocs.net/doc/0a16882426.html,/

新浪微博：https://www.sodocs.net/doc/0a16882426.html,/oscarfeng

腾讯微博：https://www.sodocs.net/doc/0a16882426.html,/oscarfeng

openldap在Redhat8.0下的安装和配置笔记

OPENLDAP在REDHA T8.0下的安装和配置笔记 最近一直在安装opneldap-2.0.25，现在终于搞定了，所以拿来和大家分享一下，如果有什么意见，可以共同讨论一下： 1) 一般需要安装以下四个rpm包： openldap-2.0.25-1.i386.rpm openldap-servers-2.0.25-1.i386.rpm openldap-clients-2.0.25-1.i386.rpm openldap-devel -2.0.25-1.i386.rpm Openldap-2.0*是必要套件，一定要先安装；Openldap-servers*是服务器套件；openldap-clients*是操作程序套件；openldap-devel*是开发工具套件. 如果需要用ldap做一些高级应用，还需要加装如下套件： auth_ldap* nss_ldap* php_ldap* 2)下一步就是配置了 配置文件一般在/etc/openldap/下： ldapfilter.conf ldap.conf ldapsearchprefs.conf schema ldaptemplates.conf slapd.conf 文件slapd.conf是设置ldap服务器连接，进入文件，修改相应的部分： 在include /etc/openldap/schema/…… 部分添加完整的方案，即schema目录下的所有方案。 在“ldbm database definitions”部分，用suffix命令设置ldap服务器的基础搜索路径（BDN）: suffix “dc=buct, dc=https://www.sodocs.net/doc/0a16882426.html,”

LDAP配置

LDAP 中的访问控制列表 本节介绍Senior Level Linux Professional (LPIC-3) 301 考试的303.2 主题的内容。此主题的权值是2。 在本节中，学习如何： ?计划LDAP 访问控制列表 ?了解访问控制语法 ?授予和撤消LDAP 访问权限 LDAP 树中可以存储各种数据，包括电话号码、出生日期和工资表信息。其中一些数据可能是公开的，一些数据可能只能由由特定的人访问。根据用户的不同，同样的信息可能有不同的限制。例如，也许只有记录的所有者和管理员可以更改电话号码，但是每个人都可以读取这些号码。访问控制列表(ACL) 处理这些限制的配置。 计划LDAP 访问控制列表 在开始编写配置之前，应该确定要实现的目标。树的哪部分包含敏感信息？哪些属性需要保护，保护其不被谁访问？如何使用树？ ACL 的组件 ACL 条目提供三条信息： 1.ACL 指定what条目和属性 2.ACL 应用于who 3.授予的access级别

指定 “what” 子句时，可以选择根据对象的区分名（distinguished name ，DN ）、LDAP 风格的查询筛选器、属性列表或以上三者的 组合来进行筛选。最简单的子句允许一切内容，但也可以有很多限制。 根据 DN 筛选允许您指定精确匹配，比如 ou=People,dc=ertw,dc=com 或正则表达式 （参阅 “正则表达式”） 查询筛选器可以匹配特定的 objectClass 或其他属性。属性列表中的属性名称用逗号分隔。更复杂的匹配条件可以是 “身份是管理员的 ou=People,dc=ertw,dc=com 下的所有密码条目”。 可以灵活地确定将 ACL 应用于 who 。用户一般由绑定到树上的 DN 来识别，这称为 bindDN 。每个 LDAP 条目可以具有一个 userPassword 属性，用于对特定的用户进行身份验证。在一些上下文中，您可以将当前登录的用户称为自己， 这有利于允许用户编辑自己的详细信息。 如果用户没有绑定，则被视为匿名用户。默认情况下，匿名用户可以 读取树，所以您必须决定是否需要更改此行为。可以通过 IP 地址或 用于连接的方法（比如明文和加密的方法）来对匿名用户（或任何用户）进行分割。 一旦确定了 what 和 who ，必须确定访问级别。访问权限可以是无 一直到写 访问。还可以指定用户可以验证条目，但不可以读取；或可以允许用户读取、搜索和比较访问。 无论如何配置您的 ACL ，任何已配置的 rootDN 用户可以完全控制其数据库。不可以对此进行更改，除非将 rootDN 配置从 slapd.conf 中移除。 了解访问控制语法 ACL 的基本格式使用 Backus-Naur Form 表示，也就是： access to [ by [ ] [ ] ]+ 描述 what what 描述 ACL 强制的属性和条目。实现此目标的 BNF 表示法如清单 1 所示。 清单 1. ACL 的 what 部分的 BNF 描述

Linux服务器搭建之十四：LDAP服务器

Linux服务器搭建之十四：LDAP服务器 Linux操作系统平台：Xubuntu 用户：root 主要软件包：slapd， ldap-utils ，db-util，phpldapadmin ,apache2 LDAP服务器搭建流程： 我没有选择Fedora 14系统，原因是：安装成功了BerkeleyDB数据库，但是OpenLDAP服务器找不到BerkeleyDB数据库，没有办法就改用Xubuntu安装BerkeleyDB和OpenLDAP，关键的就是BerkeleyDB安装失败，缺少一些类库，这些类库文件我也不清楚，上网查了些资料，Ubuntu使用的是slapd+ldap-utils+db-util+phpldapadmin的组合，完全可以在apt-get里安装。成功率就不用多说了。 【注意：这个搭建有问题，是失败的，但是我想向大家求解】 0.使用apt-get install安装下面这些软件包：如：【apt-get install slapd】 slapd， ldap-utils ，db-util，phpldapadmin ，apache2 1.【slappasswd】命令创建ldap账户和密码： （注意一会要使用SSHA加密的那窜密码）

2.进入【/etc/ldap】目录编辑ldap.conf文件： 主要就是添加最后那四行，【rootpw {SSHA}.....】就是刚才执行【slapdpasswd】命令生成的经过加密的密码： 3.【service slapd restart】重启ladp服务器：（或者【service slapd start】启动ldap服务器） 【pstree |grep "slapd"】查看ldap服务器是否启动成功：

apachedsldap配置使用说明

ApacheDS LDAP 配置使用说明 Apache LDAP包括ApacheDS服务和Apache Directory Studio RCP工具。下面的内容主要介绍ApacheDS服务和ApacheDS工具。 ApacheDS服务下载地址： https://www.sodocs.net/doc/0a16882426.html,/apacheds/2.0/downloads.html 下载独立的 Apache Directory Studio 的RCP 程序： https://www.sodocs.net/doc/0a16882426.html,/studio/ 安装 Eclipse 插件： https://www.sodocs.net/doc/0a16882426.html,/studio/update/2.x/

一、安装ApacheDS服务 安装ApacheDS服务器，在ApacheDS官网下载最新的服务器，目前的版本是ApacheDS 2.0.0-M8 ，可以根据需要下载适合自己的版本： 如Windows系统： 1、可以下载“Download Windows installer” 安装版，ApacheDS的安装比较简单，没有什么特殊的设置。在ApacheDS 安装完成后要启动ApacheDS服务。路径如下：控制面板---à 管理工具---à服务--àApache Directory server，ApacheDS的监听端口默认为10389。 2、还可以下载 “Download Archive zip/tar.gz",解压apacheds-2.0.0-M8.tar包，然后在apacheds-2.0.0-M8目录下的bin目录，点击ApacheDS.bat 可启动服务。也可以将此服务设置成系统服务。在每次机器启动时会自动开启。

LDAP认证方式

LDAP认证方式，https加密传输 他们用的是WSS3.0 + LDAP认证方式，https加密传输，主要用于做文档管理，没有任何自己开发的代码在其中。 首先是关于崩溃问题（笔记记载如下）： 前两天出了一点小故障，问题描述要比解决方案复杂得多。。 开始可以出现登录页面，但是登录上去就抱错，说找不到default页面，然后看到winows update里面有个sharepoint的升级，就运行了。重启了机器后sharepoint的务就挂了。。。 唯一能想到的修复方法就是运行那个sharepoint配置向导，但是第9步会说spadmin服务没有起，十分伤心。就扔下不管了。 今天有人要用了，只好硬着头皮看看，发现这次配置向导竟然通过了。唉，微软的东西就是搞不懂，不过网站还是起不来，就乱改了一通iis配置，然后又用配置向导修复了好几次，终于可以出现登录页面了，但总说我登录不上。研究了半天估计是ldap配置出了问题，果然一检查是把上面2的web.config给覆盖了，于是恢复了就好了。。。 现在想一想当初可能就是升级后把一些配置给我覆盖了吧。。 然后是关于WSS3.0如何使用LDAP认证的问题： 基本按照网上的一些步骤配置，不过有些改动，详细内容可以参考这个网页： https://www.sodocs.net/doc/0a16882426.html,/helloitsliam/archive/2006/08/15/10027.aspx 这里只说一下具体做法 1. 从一个装了moss2007的机器上copy一个microsoft.office.server.dll文件放在桌面上，在 C:\Program Files\Common Files\Microsoft Shared\web server extensions\12\ISAPI目录，然后将这个文件拖进c:\WINDOWS\assembly目录，注意一定要拖进。。 2. 修改sharepoint管理中心网站和web网站的web.config文件，默认在 c:\Inetpub\wwwroot\wss\VirtualDirectories\80(和另一个管理端口) 在这行和之间加入： 保存关闭。注意useDNAttribute="false"一句比较重要，搜索的资料很多没有说，否则会连不上。3. 打开sharepoint的管理中心（可以从开始->管理工具->）,应用程序管理，验证提供程序，编辑现有的默认验证，验证类型选中表单，这里要打开一下匿名的权限（注意稍后再给禁掉），成员身份提供程序要和前面添加的一致，如LdapDemoMembership，角色管理不用填，最下面启用客户端集成，然后保存。

sonic wall 配置图解 HOW-TO --- LDAP Authentication--CHS

SonicOS Enhanced HOW-TO: Microsoft AD 认证 Date created: 11 January 2006 Last modified: 11 January 2006 目 标 1. 使用Microsoft AD 对内网访问internet进行认证 2. 使用Microsoft AD 对GVC用户进行认证 TZ 或者PRO系列安全设备需求 1. TZ 170 3.0.x.x增强版以上版本 2. PRO 系列 3.0.x.x增强版以上版本 3. SonicOS 标准版不支持AD/LDAP认证 背 景 1. 已安装microsoft 域控制器 2. 很多公司已经部署了域控制器来进行用户认证 3. 活动目录作为网络认证的一部分，可以同SonicWALL SonicOS 3.0.x.x增强版以上版本良好的协同工作

网络图表 Microsoft Server 2003 配置 1. 默认Microsoft Server 2003安装 2. 激活AD (Active Directory)服务

PRO 4060 LDAP配置 1. 假定网络已经配置好并且运行起来并且用户能访问internet 2. 登陆到PRO 4060 3. 进入Users?Settings 设置界面 4. 从下拉菜单里选择LDAP,点击APPLY按钮 5.点击Configure按钮来配置LDAP 6. 参照下面的配置参数填写

7. Login user name是拥有系统管理员权限的帐户名 8. 取消Use TLS (SSL) 前面的钩. TLS (SSL) 需要数字证书. 为直观起见,我们在本文档里不使用 数字证书 9. 点Schema选项卡 10. 从下拉菜单里选择 Microsoft Active Directory

OpenLDAP Directory Server安装部署

步骤一、安装、配置OpenLDAP Directory Server服务器； LDAP 简单介绍： LDAP(轻量级目录服务访问协议，Lightweight Directory Access Protocol)基于X.500标准，支持TCP/IP，使用简单方便。现在越来越多的网络应用系统都支持LDAP。OpenLDAP是LDAP的一种开源实现！ 录是一个为查询、浏览和搜索而优化的专业分布式数据库，它成树状结构组织数据，就好象Linux/Unix系统中的文件目录一样。目录数据库和关系数据库不同，它有优异的读性能，但写性能差，并且没有事务处理、回滚等复杂功能，不适于存储修改频繁的数据。所以目录天生是用来查询的，就好象它的名字一样。目录服务是由目录数据库和一套访问协议组成的系统。 现在市场上有关LDAP的产品已有很多，各大软件公司都在他们的产品中集成了LDAP服务，如Microsoft的ActiveDirectory、Lotus的Domino Directory、IBM的TivoliDirectory Server。LDAP的开源实现是OpenLDAP，它比商业产品一点也不差，而且源码开放。

配置OpenLDAP Directory Server服务器主机为局域网内的时间服务器； 在配置时间服务器之前，检查您的系统内是否已经安装ntp 相关Package，在文本终端中输入： 详细操作： # rpm -qa | grep ntp chkfontpath-1.10.1-1.1 Ntp-4.2.2p1-7.el5

在文本终端中输入： 详细操作： # gedit /etc/ntp.conf 打开/etc/目录中的ntp.conf文件，主要说明修改的关键部分： 详细配置参数： # restrict 192.168.1.0 mask 255.255.255.0 notrust nomodify notrap 更改为： restrict 192.168.1.0 mask 255.255.255.0 notrust nomodify notrap

LDAP服务器配置

LDAP服务器配置 1.实验拓扑图 2.实验准备wuliji Setenforce 是Linux的selinux防火墙配置命令执行setenforce 0 表示关闭linux防火墙。 Iptables -F 清空防火墙规则。 service NetworkManager stop关闭NetworkManager功能。chkconfig NetworkManager off禁止它开机启动。 service network restart 重启网络服务 3.虚拟机（客户端）设置 3.1建立虚拟机与物理机之间的桥接模式（虚拟机必须是关机状态）进行桥接模式的设置,点击Edit菜单选项，选择Connection Details，选择eth0网卡，点击＋号，进入Configure network interface选项卡，Interface type选择Bridge（桥接）模式，点击Forward进行下一步配置 3.2Start mode(启动模式)选择onboot(开机启动)，activate now（现在激活）点勾，choose interface to Bridge，选择eth0网卡，点击Finish

3.3打开VM虚拟机rhel6选择硬件设置，点击NIC选项设置网卡，Source device 选择 host device eth0（bridge“br0”），device model （刚才建立的桥接模式的网卡）选择 hypervisor default （默认程序管理模式） 3.4点击power键开启虚拟机 输入指令 setenforce 0 Iptables -F service NetworkManager stop chkconfig NetworkManager off ping 192.168.1.xxx 测试是否能连通服务器 4服务器设置 4.1配置NFS服务器 在服务器上配置exports文件，Vim /etc/exports，共享挂载目录，并授权挂载IP客户端地址为192.168.1.0/24，rw参数为读写权限，sync保持同步， no_root_squash防止ROOT降级为普通用户。 /home 192.168.1.0/24(rw,sync,no_root_squash) 4.2 输入指令“service rpcbind restart , service nfs restart”,重启服务（要先重启rpcbind，后重启nfs，否则出现错误），失败时重启两次NFS 4.3在客户端（当前为虚拟机）验证 输入showmount -e 192.168.1.152（服务器地址）,验证成功后挂载

WAS中如何配置LDAP

在WAS使用实践中，LDAP服务器经常会被作为用户注册表来使用。这里主要针对WAS中如何配置LDAP给出相关说明。配置主要分为三步： 1. 选择使用LDAP协议作为活动用户注册表。 活动用户注册表中选中使用“轻量级目录访问协议（LDAP）用户注册表”并保存。?配置-?a) 在全局安全性 LDAP）?用户注册表-?2. 配置LDAP服务器基本信息（全局安全性 在这部分中主要需要的配置项有： a) 服务器用户标识：设置服务器的管理用户，一般在这里指定一个LDAP上的有效完整专有名称（DN），例如cn=wasadmin, ou=Shanghai, o=IBM, c=CN。 b) 服务器用户标识: 指定与服务器标识相对应的密码。 c) 类型：根据真实使用的LDAP服务器类型进行选择 d) 主机：指定LDAP服务器的IP地址或者主机名 e) 端口：指定LDAP服务器的端口，一般默认为389 f) 基本专有名称（DN）：指定目录服务的基本专有名称，表示LDAP搜索操作的起始点。假定LDAP服务器的后缀为o=IBM, c=CN，那么对于cn=wasadmin, ou=Shanghai, o=IBM, c=CN这个DN，这里可以指定基本专有名称为ou=Shanghai, o=IBM, c=CN或者o=IBM, c=CN g) 绑定专有名称（DN）:绑定是LDAP客户端连接服务端时所必须的操作，在服务器端可以配置为匿名或者非匿名，如果是匿名，那么这里与步骤h均可以设为空。如果不是，那么必须指定一个LDAP上有效的用户DN h) 绑定密码：如果是非匿名访问，那么需要指定对应于绑定专有名称（DN）的密码 高级轻量级目录访问协议（LDAP）用户注册表设置）?LDAP?用户注册表-?3. 配置LDAP服务器高级信息（全局安全性 a) 用户过滤器: 该过滤器用于通过短名称（%v）在服务器上进行条目查找用户。例如 (&(uid=%v)(objectclass=inetOrgPerson)表示在LDAP服务器上查找类为inetOrgPerson，属性uid 等于%v的条目。这里需要根据LDAP的设置进行适当修改。 b) 组过滤器：该过滤器用于通过短名称（%v）在服务器上进行条目查找组。例如 (&(cn=%v)(|(objectclass=groupOfNames)(objectclass=groupOfUniqueNames)))表示查找属性cn等于%v并且类是groupOfNames或者是groupOfUniqueNames的条目。这里需要根据LDAP的设置进行适当修改。 c) 用户标识映射：此过滤器将用户的短名称映射至LDAP 条目并指定使用用户的短名称显示这些用户时表示用户的一段信息。比如用户在登录时使用了uid，但是在页面上希望显示其电子邮件，那么则这里需要指定为*:mail，mail是该用户的一个属性。 d) 组标识映射: 修改组标识映射过滤器。此过滤器将组的短名称映射至LDAP 条目并指定显示组时表示组的一段信息，使用方法与用户标识映射类似。

linux 环境 部署 ldap

OpenLDAP 打包后可能会运行的很好（或者产生不可知的后果）。我只求方便??如果你的其他版本能够提供一个容易的方法，就用它好了。RPM 也可从https://www.sodocs.net/doc/0a16882426.html,处获得，https://www.sodocs.net/doc/0a16882426.html,详细地列出了所有需要的附带软件包。 当然Debian运行的也很好。apt-get做这个工作也不错；聪明的 bit能够找到软件包的名字。 Debian用户希望ldap-utils；slapd，即OpenLDAP；以及libdb4.1获得Sleepycat DB。这三个组件足够你用的了。apt-get可带你完成最小配置，并且自动启动slapd，即LDAP服务器监控程序。 从源代码安装 基本安装至少需要两个tarball： ?Berkeley Sleepycat DB ?OpenLDAP tarball Berkeley DB必须在OpenLDAP之前安装。OpenLDAP没有它不能建立。(如何安装Berkeley DB请看Resources) OpenLDAP tarball 不足2兆，那就是说即使我们拨号下载，也是很轻松的。本文中使用的稳定版为openldap-stable-20030709.tgz。我喜欢将它放在 /usr/src/目录下，并在此解包： root@windbag:/usr/src# tar xfz openldap-stable-20030709.tgz 这就创建了openldap-2.1.22 目录： root@windbag:/usr/src# cd openldap-2.1.22 现在就有了README、INSTALL、 LICENSE、 ANNOUNCEMENT、以及COPYRIGHT 文档。先花点时间看看这些文档，看他们里面有什么重要信息。要快速查看编译选项，请键入： root@windbag:/usr/src# ./configure --help 这个阅读相当吸引人，它的默认项标记清楚，选项能够自我说明。现在我们来看看默认项。输入下列三个命令： # ./configure # make depend # make 每个命令输入完都会出现许多东西；放心的等待吧。等他们都完成之后，运行简单的内建测试脚本对他们进行校验： # make test 如果出错的话，我建议你放弃它，另外向你推荐https://www.sodocs.net/doc/0a16882426.html, (见 Resources)。如果运行良好，最后一个步骤就是真正的安装新创建的二进制文件和man界面。在OpenLDAP根目录下运行： # make install 请注意'make install'的输出；它包含许多有用信息。为了详细阅读，将它导入文件内： # make install | tee openldap-install.txt 配置slapd.conf 这是用于我们新OpenLDAP 服务器的主要配置文件。它可以放在任何层数的虚拟目录内??我个人喜欢在安装软件后运行updatedb，这样我能迅速的找到需要的东西。在我的Libranet 系统上，它是/etc/ldap/slapd.conf。 小心保护该文件。最好备份一下。原来的文件包含有用的默认值。为了安全起见，默认许可为600（只有root用户才能读写该文件）。 slapd.conf 定义了三种类型的信息：整体设置，与指定后端相关的设置，与指定数据库相关的设置。这个bit相当重要，如果运行正确的话能够帮你减少麻烦：后端和数据库指令优先于整体设置，数据库指令优先于后端指令。 空白行和注释可以忽略。以空白开头的行是上一行的继续??这个小技巧可让你浏览时不至于毫无头绪。 更多的空白可用于指令中：指令可以有参数，甚至多个参数。这些参数使用空白隔开。带有空白的参数必须附上双引号：如"loud argument." 包含双引号或者反斜线符号的参数退出时必须使用反斜线：如

Apache中配置连接Ldap数据心得

（8.0系统上）修改Apache连接Ldap配置 先到Apache的目录下，运行 E:\ptc\Windchill_9.0\Windchill\ant\bin\ant -f webAppConfig.xml addAuthProvider -DappName=Windchill -DproviderName=Windchill-AAA -DldapUrl=" ,cn=Windchill_8.0,cn=Application%20Services,o=ptc" -DapacheWebApp.docBase=E:\ptc\Windchill_9.0\Windchill\codebase (红色加粗部分为空格，一定要用%20代替) 运行该命令时 1.会先在E:\ptc\Windchill_9.0\Apache\conf\extra\app-Windchill-AuthProvider.xml 中增加或修改一条记录（如果providerName= Windchill-AAA与文件中的有重复就是修改） Exp: 系统默认有如下两条记录 Windchill-EnterpriseLdap ,cn=EnterpriseLdap,cn=Windchill_9.0,o=ptc cn=Manager ldapadmin Windchill-AdministrativeLdap ,cn=AdministrativeLdap,cn=Windchill_9.0,o=ptc cn=Manager ldapadmin 若运行上面的命令，则会增加一条记录 Windchill-AAA ,cn=Windchill_8.0,cn=Application%20Services,o=ptc cn=Manager ldapadmin 2.然后再修改E:\ptc\Windchill_9.0\Apache\conf\extra\app-Windchill-Auth.conf 将app-Windchill-AuthProvider.xml中的条目重新配置到app-Windchill-Auth.conf中 结果如下 AuthLDAPURL ,cn=EnterpriseLdap,cn=Windchill_9.0,o=ptc AuthLDAPBindDN "cn=Manager" AuthLDAPBindPassword "ldapadmin" AuthLDAPURL ,cn=AdministrativeLdap,cn=Windchill_9.0,o=ptc AuthLDAPBindDN "cn=Manager"

openldap安装配置以及用户家目录的自动挂载手册

LDAP完全配置管理用户组 服务器端 一：安装相关软件 yum -y install openldap* db4* 二：安装配置 1 创建复制BDB数据库配置文件 LDAP服务器默认采用BDB（伯克利）数据库作为后台，CentOS中已经默认安装，需要先将/etc/openldap/目录下的DB-CONFIG.example文件复制到/var/lib/ldap/目录下并更名为DB-CONFIG并更改权限为ldap所有。 #cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG #useradd -s /sbin/nologin ldap #chown ldap:ldap /var/lib/ldap/DB_CONFIG 2 LDAP服务器的主配置文件为/etc/openldap/slapd.conf,找到 suffix “dc=my-domain,dc=com” rootdn “cn=Manager,dc=my-domain,dc=com” 两行。 根据实际情况修改为： suffix “dc=langtaojin,dc=com” 设定域名后缀 rootdn “cn=Manager,dc= langtaojin,dc=com ” 超级管理员 密码设为简单的明码，把rootpw secret这行前面的注释去掉，注意此行前面一定不要留空格。将secret替换成123456（自定义密码）（或者用slappasswd -h{SSHA} -s 123456生成你的暗文密码） 找到access配置部分，添加如下语句： access to attrs=shadowLastChange,Userpassword by self write by * auth access to * by * read LDAP服务器需要手动添加日志功能。/etc/openldap/slapd.conf中末行添加 directory /var/lib/ldap

ApacheDS-ldap客户端操作配置及注意事项

版本：ApacheDS2.0 操作说明： 1，新建分区：在你的客户端，也就是Apache Directory Studio上，新建一个连接，连接到你的ApacheDS所在的服务器，连通后，右击你的连接，选择Open Configuration，会在右上侧面板上出现一个可编辑的面板，在这个面板的底下，有一行选项卡，选择Partions，你就会看见，add和delete，以及分居两侧的显示窗，点击add，就会有一个新的partion生成，详细信息会出现在右侧的面板，可以进行配置，配置成你自己想要的即可，然后保存。 2，重启ApacheDS2.0：首先，查看apcheds所占的进程号 ps -ef|grep apcheds 然后，杀死进程，kill -9 （进程号）， 之后，修改apacheds.pid文件，删除掉pid， 最后，进入到安装目录执行/etc/init.d/apacheds-2.0.0-M14-default start 即可完成。 3，再次打开你的客户端，就会看到你改的东西都出现了。很惊喜吧。图示：1，新建连接：

2，打开配置 3，进行配置：

4，配置完成： 5，重启服务（参照重启ApacheDS2.0）6，完成 注意事项： 1.密码必须设置为：Relaxed（见下图）

2.配置索引： 在ADS中右键选择Open Configuration选项，然后按照如下图配置需要添加索引的选项即可。（见下图）

3.数据备份： Ldap数据路径为： /var/lib/apacheds-2.0.0-M12/default/partitions/ 该目录下面的文件夹里面的数据就是LDAP中的数据，请注意保存！

LDAP安装说明(windows)

一、安装准备 1、下载openldap for windows 2、下载JDK安装包； 3、下载LdapBrowser浏览工具 二、安装于配置OpenLDAP 1、安装OpenLDAP 双击OpenLDAP安装包，一路点击next，(路径选择可以自己设定eg.d:/OpenLDAP)； 2、配置OpenLDAP 1）用记事本方式打开D:/OpenLDAP/slapd.conf，找到include ./schema/core.schema 在其后面添加： include ./schema/cosine.schema include ./schema/inetorgperson.schema （如果需要的话，可以把其他的schema全部添加进来： include ./schema/corba.schema include ./schema/dyngroup.schema include ./schema/java.schema include ./schema/misc.schema include ./schema/nis.schema

include ./schema/openldap.schema ） 2）下面我们做一个示例：在中国（cn）的tt公司添加一个系统管理员sa. 需要在slapd.conf 配置文件中，找到 su “dc=my-domain,dc=com” rootdn “cn=Manager,dc=my-domain,dc=com” 把这两行改为 suffix “o=tt,c=cn” rootdn “cn=Manager,o=tt,c=cn” suffix 就是看自己如何定义了，后面步骤的 ldif 文件就必须与它定义了。还要注意到这个配置文件中有一个rootpw secret，这个secret 是cn=Manager 的密码，以后会用到，不过这里是明文密码，你可以用命令：slappasswd -h {MD5} -s mysecret (“mysecret“是自定义的密码，可以随便设置)算出加密的密码{MD5}BsIZ5byDePOoo/g7S35GSQ== 替换配置中的 secret。 3、启动OpenLDAP CMD进入到d:/OpenLDAP下 1）启动OpenLDAP-slapd服务 slapd install OpenLDAP-slapd “OpenLDAP Directory Service” auto net start OpenLDAP-slapd NOTE: the “slapd install” is only needed if you didn’t choose the “create NT service” option during installation.

openLDAP在windows上的安装配置

图文介绍openLDAP在windows上的安装配置 作者: Michael 日期: 2012 年 5 月31 日发表评论(18)查看评论 目录 ?概述 ?测试环境 ?安装过程 ?配置启动 ?客户端介绍 ?多级DC的ldif文件的配置 [一]、概述 什么叫LDAP呢，概念的东西这里就不多讲了，网上搜索下有很多，本文的重点是介绍如何在windows平台上安装和配置openLDAP软件。 openLDAP官方网站：https://www.sodocs.net/doc/0a16882426.html,/ openLDAP官网只提供了linux平台的相关安装文件，windows平台的安装包可以到以下一些网站下载： ?https://www.sodocs.net/doc/0a16882426.html,erbooster.de/download/openldap-for-windows.aspx（本文所用的版本） ?https://www.sodocs.net/doc/0a16882426.html,/projects/openldapwindows/files/ ?http://sourceforge.jp/projects/openldapwin32/releases/ [二]、测试环境 ?window7 – 64位 ?openLDAP 版本：2.4.30 （https://www.sodocs.net/doc/0a16882426.html,erbooster.de/download/openldap-for-windows.aspx） [三]、安装过程 按照提示一直next ，直到安装完成：

安装完成后，在系统服务中，找到OpenLDAP Service，先停止服务，再把启动类型修改成手动，便于自己的测试。 [四]、配置启动 安装目录：D:\Program Files (x86)\OpenLDAP 编辑文件：D:\Program Files (x86)\OpenLDAP\slapd.conf找到如下内容： suffix "dc=maxcrc,dc=com" rootdn "cn=Manager,dc=maxcrc,dc=com" 修改成： suffix "dc=micmiu,dc=com" rootdn "cn=Manager,dc=micmiu,dc=com" 打开控制台，切换到openLDAP安装目录下，启动openLDAP，命令如下：

LDAP 安装配置

LDAP安装与配置 一、LDAP简介 LDAP 轻量级目录访问协议默认端口：TCP 389 Open Ldap是一个开源软件 官方网址 https://www.sodocs.net/doc/0a16882426.html,建议大家可以到上面找更详细的相关资料 二、LDAP安装 openldap-servers-2.3-27-5.i386.rpm (iso中提供) libtool-ltd1-1.5.22-6.1.i386.rpm (iso 中提供) openldap-clients-2.3.27-5.i386.rpm(iso 中提供) nss_ldap-253-3 ( iso中提供) berkeley DB数据库安装包 db4-devel-4.3.29-9.fc6 db4-4.3.29-9.fc6 db4-utils-4.3.29-9.fc6 安装openldap安装包与berkeley数据包后开通iptables中389端口iptables -I INPUT -p tcp --dport 389 -j ACCEPT service iptables save 启动ldap服务 /etc/rc.d/init.d/ldap start 查看ldap进程 ps -eaf|grep ldap 查看ldap默认端口是否处于监听状态 netstat -anp|grep :389 三、LDAP配置配置文件详解 1、增加ldap模式文件 openldap 配置文件：/etc/openldap/slapd.conf include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema

Windows下安装使用OpenLDAP完整版

LDAP：（轻量级目录访问协议，Lightweight Directory Access Protocol）它是基于 X.500标准的，但是简单多了并且可以根据需要定制。与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。 目录是一个为查询、浏览和搜索而优化的专业分布式数据库，它成树状结构组织数据，就好象Linux/Unix系统中的文件目录一样。目录数据库和关系数据库不同，它有优异的读性能，但写性能差，并且没有事务处理、回滚等复杂功能，数据修改使用简单的锁定机制实现All-or-Nothing,不适于存储修改频繁的数据。所以目录天生是用来查询的，就好象它的名字一样。现在国际上的目录服务标准有两个，一个是较早的X.500标准，一个是较新的LDAP标准。 LDAP诞生的目标是快速响应和大容量查询并且提供多目录服务器的信息复制功能，它为读密集型的操作进行专门的优化。因此，当从LDAP服务器中读取数据的时候会比从专门为OLTP优化的关系型数据库中读取数据快一个数量级。 LDAP常用术语解释： DN：distinguished name。在LDAP目录中的所有记录项都有一个唯一的DN CN,OU,DC都是LDAP连接服务器的端字符串中的区别名称; LDAP连接服务器的连接字串格式为：ldap://servername/DN 其中DN有三个属性，分别是CN,OU,DC LDAP是一种通讯协议，如同HTTP是一种协议一样的！在LDAP目录中。 uid(User ID) CN (Common Name) DC (Domain Component) OU (Organizational Unit) SN （surname) An LDAP 目录类似于文件系统目录.下列目录: DC=redmond,DC=wa,DC=microsoft,DC=com 如果我们类比文件系统的话，可被看作如下文件路径: Com/Microsoft/Wa/Redmond 例如：CN=test,OU=developer,DC=domainname,DC=com 在上面的代码中cn=test代表一个用户名，ou=developer代表一个active directory中的组织单位。 这句话的含义是test这个对象处在https://www.sodocs.net/doc/0a16882426.html,域的developer组织单元中。