共计 3722 个字符,预计需要花费 10 分钟才能阅读完成。
可以说 LDIF 文件是 OpenLDAP 操作数据或修改配置的一切来源,下面是实际通过客户端工具操作的具体示例。(openldap 安装及配置过程见这里)。
1. 添加组织或条目
创建一个 Marketing 部门,添加一个 dn 记录:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 | # cat add_entry.ldif dn: ou=Marketing, dc=example,dc=com changetype: add objectclass: top objectclass: organizationalUnit ou: Marketing dn: cn=Pete Minsky,ou=Marketing,dc=example,dc=com changetype: add objectclass: person objectclass: organizationalPerson objectclass: inetOrgPerson cn: Pete Minsky sn: Pete ou: Marketing description: sb, sx description: sx uid: pminsky |
1 2 3 4 5 | 或去掉 changetype 后 |
2. 修改组织或条目
添加 mail 属性,修改 sn 的值,删除一个 description 属性:
1 2 3 4 5 6 7 8 9 10 11 | # cat modify_entry.ldif dn: cn=Pete Minsky,ou=Marketing,dc=example,dc=com changetype: modify add: mail mail: pminsky@example.com – replace: sn sn: Minsky – delete: description description: sx |
1 2 | # ldapmodify -xWD ‘cn=admin,dc=example,dc=com’ -f modify_entry.ldif # ldapsearch -xD ‘cn=admin,dc=mydomain,dc=net’ -b ‘ou=People,dc=mydomain,dc=net’ -s sub ‘objectclass=*‘ -w tplink -LLL |
3. 重命名条目
1 2 3 4 | dn: cn=Pete Minsky,ou=Marketing,dc=example,dc=com changetype: modrdn newrdn: cn=Susan Jacobs deleteoldrdn: 1 |
modrdn只允许修改 dn 最左边的部分,且不能重命名带叶子或分支的子树,如果要将一个用户移动到另一个部门下,只能在新部门创建 dn,然后删除旧的 dn。
4. 删除组织或条目
LDAP 协议只能删除无分支的叶子 dn:
1 2 3 4 5 6 | # cat delete_entry.ldif dn: cn=Susan Jacobs,ou=Marketing,dc=example,dc=com changetype: delete 或 # ldapdelete -xWD “cn=admin,dc=example,dc=com” -h localhost -p 389 “cn=Susan Jacobs,ou=Marketing,dc=example,dc=com” |
5. LDIF 配置 backend
OpenLDAP 的配置采用以 cn=config 为根的目录树的形式组织起来,采用 config 作为 database,默认情况下包括 admin 或 root 用户都没有访问权限,需要赋予读写权限,然而赋予修改权限要求首先要提供认证信息,初始化安装后的 cn=config 是没有 credentials
1 2 3 4 5 6 | # ldapmodify -Y EXTERNAL -H ldapi:/// -f modify_config.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,=peercred,=external,=auth SASL SSF: 0 modifying “olcDatabase={0}config,cn=config” ldap_modify: Insufficient access (50) |
所以这里不得不手动编辑 olcDatabase={0}config.ldif 文件,获得最初认证权限(虽然官方不推荐手动修改配置):
1 2 | # vi /etc/ldap/slapd.d/cn\=config/olcDatabase\=\{0\}config.ldif olcRootPW: {SSHA}your_slappasswd_secret |
重启 slapd 后 (不是说不用重启吗) 便可以修改 config:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 | # ldapwhoami -x -D cn=config -W 修改示例: # ldapmodify -xWD ‘cn=config’ Enter LDAP Password: dn: olcDatabase={0}config,cn=config changetype: modify replace: olcRootDN olcRootDN: cn=config – replace: olcRootPW olcRootPW: {SSHA}your_slappasswd_secret modifying entry “olcDatabase={0}config,cn=config” |
在 /etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif 中olcRootDN变成 base64 加密后的值(两个”:”)。
最后,如果要在 slapd 服务未启动的情况下修改配置可以通过以下命令转换成 ldif 中间文件:
1 2 3 | # slapcat -n0 -F /etc/ldap/slapd.d/ > /tmp/config-in-portable-format.ldif 编辑 ldif 文件后,重新 shengc slapd.d 目录 # slapadd -n0 -F /tmp/slapd.d -l /tmp/config-in-portable-format.ldif |
使用这类命令行工具有助于对 LDAP concept 理解,如果要达到快速配置的效果,可以使用 ldapbrowser 或 Apache Directory Studio 图形化工具,特别是 Apache Directory Studio 不仅提供了 LDAP Browser/Editor 的功能,还能编辑 LDIF 文件和自定义 schema,智能提示非常友好。
Liferay Portal 配置使用 Oracle 和 OpenLDAP http://www.linuxidc.com/Linux/2012-07/66928.htm
在 CentOS 6.5 上安装 OpenLDAP 并配置 LDAP 方式用户登录 http://www.linuxidc.com/Linux/2015-04/116536.htm
RHEL7 中 OpenLDAP 的安装与配置 http://www.linuxidc.com/Linux/2015-03/115524.htm
Ubuntu 下 OpenLDAP 服务器的部署步骤 http://www.linuxidc.com/Linux/2014-12/110775.htm
Axigen+OpenLDAP+BerkeleyDB+ejabberd 多域 +JWchat 详细配置 http://www.linuxidc.com/Linux/2012-06/61598.htm
CentOS 部署 OpenLDAP 认证 http://www.linuxidc.com/Linux/2012-04/57932.htm
CentOS Linux 安装 OpenLDAP 服务器 http://www.linuxidc.com/Linux/2014-03/98087.htm
Ubuntu 安装 OpenLDAP 之配置 LDAP http://www.linuxidc.com/Linux/2016-05/130998.htm
OpenLDAP 双主搭建 http://www.linuxidc.com/Linux/2017-07/145437.htm
OpenLDAP 安装及设置普通用户修改自己密码 http://www.linuxidc.com/Linux/2017-07/145436.htm
Ubuntu 下 OpenLDAP 的安装及配置 http://www.linuxidc.com/Linux/2017-05/143762.htm
OpenLDAP 的详细介绍:请点这里
OpenLDAP 的下载地址:请点这里
本文永久更新链接地址:http://www.linuxidc.com/Linux/2017-10/147559.htm
