LDAP配置指南(絕對原創)
LDAP Replication配置指南說明
平台:Solaris 8.0
LDAP Server:Netscape Directory Server 4.1
Replication Overview
複製是用來把一個目錄伺服器上的資料結構自動的拷貝到另一個目錄伺服器上去。通過複製您可以在兩個伺服器之間複製整個目錄數包括其下的子目錄。
通過複製,在一個目錄伺服器上的任何形式的增加、修改或刪除操作均可以自動鏡像到與之相關聯的其他目錄伺服器上去。
Managing Supplier-Initiated Replication (SIR)
Configuring Servers for SIR
首先您必須指定哪一台機器是供應者(supplier),哪一台是接收者(consumer)。
然後進行「供應者啟始化複製」(SIR)設定:
1、 為了能和供應者伺服器進行綁定,在您的接收者伺服器上輸入一個唯一名稱(DN)和相應的密碼。唯一名稱與供應者伺服器上的名稱一致。
例如:DN cn=LDAPAdmin,ou=Directory Administrators,o=3382.net
2、 在供應者伺服器上,設定一個更新日誌目錄,然後重新啟動供應者伺服器的Directory Server。
Configuring the Supplier DN for SIR
1、 在接收者伺服器上的目錄服務控制台上,選項Configuration標籤,再選項Replication Agreements資料夾。
2、 在視窗的右邊,選項Consumer Server Settings標籤。
3、 選項simple authentication,然後輸入一個DN和相應的密碼。
DN與供應者伺服器上的名稱一致。以下是一個DN的例子。
cn=LDAPAdmin,ou=Directory Administrators,o=3382.net
Configuring the Change Log for SIR
1、 在供應者伺服器上的目錄服務控制台上,選項Configuration標籤,再選項Replication Agreements資料夾。
2、 在視窗的右邊,選項Supplier Server Settings標籤。
3、 在Changelog Database Directory文本框裡輸入存放change log的全路徑。這裡我們選項下方的Use Default按鈕。
4、 在Changelog Suffix文本框中輸入:cn=changelog。
5、 設定Changelog文件存放的記錄數,選項Unlimited。
6、 設定Changelog文件存放的記錄的時間,選項Unlimited。
7、 按下Save。
8、 重新啟動Directory Server。
Creating a SIR Agreement
1、 在目錄伺服器控制台上,選項Configuration標籤。
2、 用滑鼠右鍵按下Replication Agreements資料夾(不要鬆開滑鼠右鍵),在出現的功能表中選項New Replication Agreement。出現Replication Agreements嚮導。
3、 在嚮導對話視窗中選項Supplier Initiated Agreement,再按下Next。
4、 出現對話視窗,請輸入Replication的名稱,按下下一步。
5、 出現Replication Agreement表格,在Consumer的下拉列表框中選項Consumer,或者也可以手動輸入Consumer位址和連接埠號。
6、 選項Simple Authentication,然後輸入元件服務的DN和密碼。
7、 選項你要複製的資料夾,你也可以通過瀏覽選項。
8、 在你結束以上操作後,按下Next。
9、 在Replication Schedule表格中,確定複製的時間表。選項Sync on the following days,然後輸入每天01:00—02:00進行複製。
在這裡請特別注意,要使當Supplier Server端目錄結構一有改變,Consumer Server端能馬上做相應的改變的話,請到Directory Server的安裝目錄下,找到slapd.conf文件,用vi編輯器開啟並增加如下一行內容:
orcauto on
儲存退出。
10、 完成複製的時間表之後,按下Next,出現Consumer Initialization對話視窗。選項Initialize Consumer Now,馬上進行複製。
11、 按下Next,出現summary對話視窗。請確定顯示的顯示的信息的正確性,如果有錯誤,請按下Back進行修改。如果驗證完成,按下Done,開始進行複製。
Monitoring Replication Status
你可以通過是用Directory Server 控制台監視複製狀態。
檢視複製狀態的小結:
1、 在Directory Server Console上,選項Status標籤,並從左邊的導航樹中選項Replication Agreements。這是在視窗的右邊,設定這個伺服器複製的信息內容。
2、 按下Refresh更新內容。
Unixware LDAP 安裝說明(絕對原創)
1.安裝 Unixware (包括LDAP).
2.以root登入, 啟動sco admin -> network -> ldap manager.
3.選項」Daemon」 -> 」Add」, 在」Identifier」中輸入」Fuyun LDAP」.
「Port number」使用預設的」389」.
將」Start at boot」選為」on」.
將」Schema checking」選為」on」.
在功能表上選項」backend database」 -> 「Add」 -> 「ldbm」,
點擊」config」.
選項」Database」 -> 「Generate Database from ldif file」.
選項所附文件」unixware_ldap_init.ldif」所在的路徑.
點擊」OK」.
再點擊」OK」.
在」SupervisorDN」中輸入」cn=LDAPAdmin,ou=Directory Administrators,o=3382.net」.
點擊」password」修改管理員密碼.
在Suffixes欄選」o=org, c=country」,在功能表上選」Suffixes」 -> 「delete」 刪除」o=org, c=country」.
在功能表上選」Suffixes」 -> 「add」 增加一條suffix, 輸入」o=3382.net」.點」OK」.
點擊」OK」.
在功能表選項」Option」 -> 「Schema object classes」, 點擊」Edit」, 在文件最後輸入新增的object class. 祥見所附文件」unixware_slapd.oc.add」.儲存文件. 點」OK」.
點擊」OK」.
選剛新增的」Fuyun LDAP」, 在功能表上選」Daemom」 -> 「Start」 啟動LDAP服務.
LDAP For Solaris安裝配置使用手冊
1. 安裝 LDAP for Solaris版本
插入光碟,進入DS/DS411目錄,執行setup程序
安裝程序中須修改輸入項:
license: y
Computer name[ultra51.online.sh.cn]: ultra51.3382.net
admin password: *****
suffic[o=sh.cn]: o=3382.net
Directory Manager DN password: ********
其它項以預設狀態Enter鍵
(註:斜體字為用戶輸入部分)
2. 配置LDAP
進入/usr/netscape/server4/slapd-ultra51,執行./start-slapd
進入/usr/netscape/server4,執行./start-admin
進入/usr/netscape/server4,執行./startconsole
出現Netscape Console控制台視窗
增加內容:
在Netscape Console控制台視窗的左邊選Console標籤,並用滑鼠選3382.net,接著選其ultra51.3382.net:389分支,雙按Server Group ,再雙按Server Group的分支Directory Server(ultra51)。
出現Netscape Directory Server視窗,選項Configuration標籤,並按如下順序展開ultra51.3382.net:389目錄:Database à Schema 。
這時選項右邊視窗的Attributes標籤,按下下方的Create按鈕,出現Create Attribute視窗。
在對應的Attribute Name欄的右邊輸入certificatechain;Attribute OID(optional)欄的右邊保持為空;Syntax欄的右邊的下拉框中選項binary;並在Multi-valued前的小方框中打勾。按OK按鈕儲存設定退回到上一級目錄(Schema)。
增加對像和目錄:
在前面的狀態下(Schema),選項右邊視窗的Object Classes標籤,按下下方的Create按鈕,彈出Create object Class視窗。
在Create object Class視窗中的Name右邊空格處填寫certificate,然後選Available Attributes列表中的cn、displayname、usercertificate,並按上面的Add按鈕增加到Required Attributes下的列表中去;
再從Available Attributes列表中選項mail,並按下面的Add按鈕增加到Allowed Attributes下的列表中去。
按OK按鈕儲存設定退回到上一級目錄(Schema)。
接著用同樣的方法增加certchain和crl這兩個對象。
其中certchain的Required Attributes選項Available Attributes列表中的cn和certificatechain;Allowed Attributes取預設值。
crl的Required Attributes選項Available Attributes列表中的cn和certificaterevocationlist;Allowed Attributes取預設值。
現在返回到Netscape Directory Server視窗。選項視窗左邊的Directory標籤,展開ultra51.3382.net:389目錄,雙按3382.net,選項Object功能表newàOrganizational Unit選項,在彈出的Create New Organizational Unit視窗的左邊選項Unit標籤,在Name空格處輸入Fuyun Certificate,然後按OK儲存退出。
用同樣的方法增加Fuyun Certificate Chain和Fuyun CRL這兩個目錄。
通過選項View功能表的Refresh選項檢視3382.net的目錄變化。
用滑鼠選Fuyun CRL目錄,選項Object功能表newàOrganizational Unit選項,在彈出的Create New Organizational Unit視窗的左邊選項Unit標籤,在Name空格處輸入RA0001。用同樣的方法給Fuyun CRL增加多個子目錄。
現在返回到Netscape Directory Server視窗。
選項視窗左邊的Directory標籤,展開ultra51.3382.net:389目錄,雙按3382.net,再選Directory Administrators。
選項Object功能表newàOther選項;
彈出的New Object視窗,在choose a new object列表框中選person,按下OK按鈕;
彈出Property Editor – New 視窗,在Full name 和Last name 空格處輸入LDAPAdmin,然後選項Edit功能表欄的Add Attribute選項,彈出Add Attribute視窗;
在彈出的視窗的列表框中選項userpassword,然後按下OK返回到Property Editor – New 視窗;在剛產生的Password右邊的空格處輸入密碼(大於等於8),按下OK退出。
設定目錄訪問權限
在Netscape Directory Server視窗,選項視窗左邊的Fuyun Certificate目錄,接著選項Object功能表Set Access Permissions選項,彈出Multi-value ACI Selector視窗。
按下視窗右邊的New按鈕,彈出Set Access Permissions
u=Fuyun Certificate,o=3382.net視窗。
在視窗下面的列表框中按下deny,在出現的下拉列表框中選項allow。
再雙按anyone,出現Select Users and Groups: ou=Fuyun Certificate,o=3382.net視窗。
按下Find Users and Groups按鈕出現Search Users and Groups視窗。
按下Directory按鈕,出現Change Directory視窗。在User Directory Subtree的左邊欄中,把ou=Fuyun Certificate,o=3382.net更改為o=3382.net,再按下OK按鈕回到Search Users and Groups視窗。
按下Search按鈕,在下面出現的搜尋結果框中選LDAPAdmin,按下OK回到Select Users and Groups視窗,再按下OK回到Set Access Permissions視窗,再按下OK完成Fuyun Certificate目錄訪問權限的設定。
用同樣的方法對Fuyun Certificate Chain和Fuyun CRL的目錄進行訪問權限的設定。
(備註:本配置假定機器名:ultra51,域名:3382.net)
OpenLDAP安裝配置使用Replication手冊
平台:Linnux RedHat 7.1
一、在Linux上安裝OpenLDAP步驟:
1、下載軟體:從http://www.openldap.org/software/download下載OpenLDAP 2.0.11來源碼。
2、解壓縮下載的文件:
# tar xzvf openldap-2.0.11.tgz
3、執行configure:
# cd openldap-2.0.11
# ./configure
4、編譯:
# make depend
# make
# make test
5、測試版本
# make test
6、安裝:
# make install
7、修改配置文件:
修改 /usr/local/etc/openldap/slapd.conf,參考內容如下:
include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/Fuyun.schema
pidfile /usr/local/var/slapd.pid
argsfile /usr/local/var/slapd.args
database ldbm
suffix "o=3382.net"
rootdn "cn=root,o=3382.net"
rootpw LDAPAdmin
directory /usr/local/var/openldap-ldbm
replogfile /usr/local/etc/openldap/slapd.replog
replica host=192.168.2.250:389
binddn="cn=root,o=3382.net"
bindmethod=simple credentials=LDAPAdmin
index objectClass eq
二、OpenLDAP的管理:
1、啟動OpenLDAP
簡單模式:
# /usr/local/libexec/slapd
偵錯模式:
# /usr/local/libexec/slapd -f /usr/local/etc/openldap/slapd.conf -d 255
2、測試slapd是否在執行
#ps -ef | grep -i slapd | grep -v grep
root 15479 1 0 10:42 ? 00:00:00 slapd
root 15483 15479 0 10:42 ? 00:00:00 slapd
root 15484 15483 0 10:42 ? 00:00:00 slapd
root 15491 15483 0 10:43 ? 00:00:00 slapd
root 15492 15483 0 10:43 ? 00:00:00 slapd
3、測試LDAP預設連接埠是否被監聽
#netstat –an | grep 389
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN
4、增加初始信息到LDAP資料庫
#ldapadd –x –D 「cn=root,o=3382.net」 –W –v –f didms.ldif
使用-D參數和無限制的cn來元件服務目錄,這樣允許寫信息到目錄中。
-W參數導致伺服器需要密碼才能訪問。
預設的密碼是在slapd.conf文件中的rootpw來設定的。
使用-v參數來進行詳細輸出以判斷是否及如何修正出現的錯誤。
啟始化信息文件Didms.ldif請參見附錄。
5、測試LDAP服務
搜尋所有的目錄:
# ldapsearch –x –b 『o=3382.net』 『(objectclass=*)』
搜尋Fuyun Certificate Chain目錄:
# ldapsearch –x –b 『ou=Fuyun Certificate Chain,o=3382.net』 『(objectclass=*)』
6、停止LDAP服務
# kill –INT `cat /usr/local/var/slapd.pid`
三、OpenLDAP Replication
為了實現一個複製功能的slapd實例,我們必須首先配置主從LDAP服務的slapd實例,然後停止主LDAP服務的slapd,接著把主LDAP服務下面的資料庫信息(/usr/local/var/openldap-ldbm/*)複製到從LDAP服務下面,這樣,你就完成了OpenLDAP Replication。
以下,我們詳細探討次配置程序。
1、配置主LDAP服務的slapd;
在slapd.conf(usr/local/etc/openldap/slapd.conf)中增加複製標示:binddn和updatedn。注意這兩個表示應與從LDAP服務slapd.conf中定義的一致。
在slapd.conf中增加replogfile標示,指明主LDAP服務內容變更日誌的存放的位置。
有關主LDAP服務的slapd.conf模版請參考附錄。
2、配置從LDAP服務的slapd;
在slapd.conf中不可以出現replica和replogfile標示。
必須出現updatedn標示,並且這裡的binddn和updatedn應與主LDAP服務slapd.conf中定義的一致。
驗證updatedn具有寫資料庫的權限。
有關從LDAP服務的slapd.conf模版請參考附錄。
3、停止主LDAP服務的slapd;
# kill –INT `cat /usr/local/var/slapd.pid`
4、複製主LDAP服務slapd的資料庫到從LDAP伺服器;
請把主LDAP服務/usr/local/var/openldap-ldbm目錄下所有的文件複製到從LDAP服務/usr/local/var/openldap-ldbm目錄下。
5、配置具有複製功能的主LDAP服務的slapd;
為了使主LDAP服務能產生複製的日誌文件(replication logfile),所以要在slapd.conf中增加replica配置選項。比如:
replica host=192.168.2.250:389
binddn="cn=root,o=3382.net"
bindmethod=simple credentials=LDAPAdmin
6、啟動主從LDAP服務的slapd;
# /usr/local/libexec/slapd -f /usr/local/etc/openldap/slapd.conf -d 255
# /usr/local/libexec/slapd -f /usr/local/etc/openldap/slapd.conf -d 255
7、啟動主LDAP服務的slurpd。
# /usr/local/libexec/slurpd -f /usr/local/etc/openldap/slapd.conf -d 255