第一部分 OpenLDAP简介及应用场景

OpenLDAP是一个开源的LDAP（轻量级目录访问协议）服务器，它提供了一个健壮、高性能的目录服务，适用于多种应用场景。

1.1 OpenLDAP简介

OpenLDAP项目起始于1999年，是OpenLDAP2.0的后续版本。它由OpenLDAP社区维护，是一个功能丰富的目录服务器，支持LDAPv3协议，并且兼容LDAPv2。 OpenLDAP支持多种后端存储方式，包括但不限于Berkley DB、HDB（Hierarchical Database）、MDB（Memory-Mapped Database）以及Monitor backend。此外，OpenLDAP还提供了丰富的客户端库，允许开发者在各种编程语言中实现对LDAP服务器的操作。

1.2 OpenLDAP的特点

• 高性能：OpenLDAP能够处理大量的并发访问，适合作为大型企业或服务的目录服务。
• 可扩展性：OpenLDAP支持多种存储后端，可以根据实际需求灵活选择。
• 安全性：提供了多种安全机制，包括TLS/SSL加密、SASL认证等，确保数据传输的安全性。
• 灵活性：OpenLDAP支持LDAPv3协议，允许通过扩展来实现更多的特性。
• 开源：OpenLDAP遵循开源协议，拥有活跃的社区支持，可以免费使用和修改。

1.3 OpenLDAP的应用场景

• 身份验证和授权：OpenLDAP可以作为企业内部的用户认证中心，为各种应用和服务提供统一的认证机制。通过LDAP协议，应用可以查询用户信息，实现登录验证、权限控制等功能。
• 目录服务：OpenLDAP可以存储组织结构信息，如员工信息、部门结构等，供内部或外部应用查询使用。例如，企业邮箱系统可以使用LDAP来查找和解析邮件地址。
• 单点登录（SSO）：利用OpenLDAP可以实现单点登录，用户只需登录一次，就可以访问所有集成了LDAP的应用和服务，提高了用户体验和安全性。
• 网络服务管理：OpenLDAP可以管理网络设备和资源，如打印机、文件服务器等，通过LDAP可以方便地查询和控制这些资源的访问权限。
• 开发和测试：开发者可以在开发和测试阶段使用OpenLDAP，模拟真实的目录服务环境，验证应用程序的LDAP接口实现。

第二部分 OpenLdap安装

2.1 CentOS准备

下载地址：https://www.centos.org/download/，根据自己的需求下载合适的系统版本，本文使用CentOS-7-x86_64-Minimal-2009.iso，因为仅做演示使用，Minimal版本安装包最小。

CentOS7可以安装在物理机上，也可以作为虚拟机运行。如使用虚拟机，可以选择常用的虚拟机软件，例如：

• VirtualBox：https://www.virtualbox.org/
• VMware：https://www.vmware.com/

CentOS系统的安装过程不在本文讨论的范围，需要读者自行处理，安装完后可通过cat /etc/os-release查看系统的版本发布信息。

NAME="CentOS Linux"
VERSION="7 (Core)"
ID="centos"
ID_LIKE="rhel fedora"
VERSION_ID="7"
PRETTY_NAME="CentOS Linux 7 (Core)"
ANSI_COLOR="0;31"
CPE_NAME="cpe:/o:centos:centos:7"
HOME_URL="https://www.centos.org/"
BUG_REPORT_URL="https://bugs.centos.org/"

CENTOS_MANTISBT_PROJECT="CentOS-7"
CENTOS_MANTISBT_PROJECT_VERSION="7"
REDHAT_SUPPORT_PRODUCT="centos"
REDHAT_SUPPORT_PRODUCT_VERSION="7"

2.2 安装Libtool

Libtool安装步骤如下：

1. 下载安装包：http://ftp.gnu.org/gnu/libtool/libtool-2.2.6a.tar.gz
2. 上传安装包：将第一步中下载的软件包上传至服务器指定位置，比如：/opt/soft。如使用wget等工具在服务器上直接下载则本步骤可忽略
3. 执行如下命令进行安装

shell
cd /opt/soft # 以实际目录为准
tar -zxvf libtool-2.2.6a.tar.gz
cd libtool-2.2.6
./configure
make
make install

## ------------------------- ##
## Configuring libtool 2.2.6 ##
## ------------------------- ##

checking for a BSD-compatible install... /usr/bin/install -c
checking whether build environment is sane... yes
checking for a thread-safe mkdir -p... /usr/bin/mkdir -p
checking for gawk... gawk
checking whether make sets $(MAKE)... yes
checking whether subdir libobjs are useable... yes
checking for gcc... no
checking for cc... no
checking for cl.exe... no
configure: error: no acceptable C compiler found in $PATH
See `config.log' for more details.

shell
yum -y install gcc gcc-c++ gcc-gfortran

4. 修改/etc/ld.so.conf文件，在其中添加一行/usr/local/lib，修改后的文件内容参考如下：

include ld.so.conf.d/*.conf
/usr/local/lib

5. 执行/sbin/ldconfig -v

shell
sudo apt-get install libtool

shell
sudo yum install libtool

2.3 安装/升级openssl

openssl安装升级步骤如下：

1. 下载安装包：https://www.openssl.org/source/openssl-1.1.1t.tar.gz
2. 上传安装包：将第一步中下载的软件包上传至服务器指定位置，比如：/opt/soft。如使用wget等工具在服务器上直接下载则本步骤可忽略
3. 执行如下命令进行安装

shell
cd /opt/soft # 以实际目录为准
tar -zxvf openssl-1.1.1t.tar.gz
cd openssl-1.1.1t
./config --prefix=/usr/local/openssl
make
make install

4. 修改/etc/ld.so.conf.d/ssl.conf文件，在其中添加一行/usr/local/openssl/lib，修改后的文件内容参考如下：

/usr/local/openssl/lib

5. 继续执如下命令:

shell
ldconfig -v
mv /usr/bin/openssl /usr/bin/openssl_bak
ln /usr/local/openssl/bin/openssl /usr/bin/openssl

6. 执行openssl version查看openssl是否安装/升级成功

2.4 安装OpenLdap

OpenLdap安装步骤如下：

1. 下载安装包：https://www.openldap.org/software/download/OpenLDAP/openldap-release/openldap-2.5.16.tgz
2. 上传安装包：将第一步中下载的软件包上传至服务器指定位置，比如：/opt/soft。如使用wget等工具在服务器上直接下载则本步骤可忽略
3. 执行如下命令进行安装

shell
cd /opt/soft # 以实际目录为准
tar -zxvf openldap-2.5.16.tgz
cd openldap-2.5.16
./configure --prefix=/opt/openLDAP --enable-debug --enable-dynamic \
  --enable-cleartext --enable-crypt --enable-modules --enable-passwd \
  --enable-overlays --enable-accesslog --enable-autoca=no \
  --with-tls=openssl CPPFLAGS="-I/usr/local/openssl/include" \
  LDFLAGS="-L/usr/local/openssl/lib"
make depend
make
make install

2.5 配置日志

# LDAP logs
local4.*       -/var/log/slapd.log

配置日志时需要注意系统中使用的日志系统，根据不同的日志系统进行配置，常用的日志系统为rsyslog和syslog，二者在配置上有些许差异，请注意甄别，在现代系统中一般会使用rsyslog替代syslog。

2.5.1 rsyslog

1. 修改/etc/rsyslog.conf文件，在其中添加一行local4.* -/var/log/slapd.log
2. 重启rsyslog服务

shell
service rsyslog restart

2.5.2 syslog

1. 修改/etc/syslog.conf文件，在其中添加一行local4.* /var/log/slapd.log
2. 重启syslog服务

shell
service syslog restart

2.6 防火墙配置

OpenLdap在运行后会使用389端口，如果操作系统启用了防火墙，则需要添加该端口，避免其他主机无法正常连接。参考命令如下：

shell
firewall-cmd --zone=public --add-port=389/tcp --permanent
systemctl restart firewalld.service

2.7 启动与测试

至此OpenLdap已经安装完成，在本节中，我们将启动OpenLdap的服务进行测试验证。

2.7.1 启动服务

OpenLdap安装完成后，会生成一个默认的配置文件/opt/openLDAP/etc/openldap/slapd.conf，在验证阶段可以直接基于该文件启动服务。

在启动OpenLdap的服务之前，需要先检查数据文件存储的文件夹是否存在，如不存在则需要新创建，否则服务会启动失败。默认数据文件存储路径为/opt/openLDAP/var/openldap-data，可通过如下命令创建对应的文件夹：

shell
cd /opt/openLDAP/var/
mkdir openldap-data

准备工作完成后，执行如下命令启动OpenLdap服务：

shell
cd /opt/openLDAP/libexec && ./slapd

若配置了日志，则可通过日志查看OpenLdap的启动状态。

shell
tail -500f /var/log/slapd.log

成功启动的参考日志如下：

Mar 30 16:53:11 MiWiFi-R3-srv slapd[6055]: @(#) $OpenLDAP: slapd 2.5.16 (Mar 30 2024 16:08:56) $#012#011root@MiWiFi-R3-srv:/opt/soft/openldap-2.5.16/servers/slapd
Mar 30 16:53:11 MiWiFi-R3-srv slapd[6056]: slapd starting

除了通过日志判断外，还可以通过进程以及端口信息判断OpenLdap的服务是否正常启动。

• 进程：ps -aux | grep slapd
• 端口：netstat -an|grep :389

shell
yum -y install net-tools psmisc

2.7.2 生成配置

OpenLdap的服务启动后，对于首次安装的OpenLdap需要基于slapd.conf文件生成配置信息以验证配置文件是否正常，可通过如下命令生成配置：

shell
cd /opt/openLDAP/etc/openldap/
mkdir slapd.d
cd /opt/openLDAP/sbin/
./slaptest -f /opt/openLDAP/etc/openldap/slapd.conf -F /opt/openLDAP/etc/openldap/slapd.d/

若输出config file testing succeeded则表示配置正常，然后重启OpenLdap的服务。

shell
kill -9 $(cat /opt/openLDAP/var/run/slapd.pid)
cd /opt/openLDAP/libexec && ./slapd

2.7.4 测试连接

在OpenLdap中内置了一些常用的工具，比如ldapsearch可用于搜索OpenLdap中的数据，可以使用该工具进行连接测试。

shell
cd /opt/openLDAP/bin
./ldapsearch -x -D "cn=Manager,dc=my-domain,dc=com" -W -b "cn=config"

执行命令后会要求输入密码，因为使用默认配置，在配置文件中的密码为secret，可以使用该密码进行认证，认证通过后返回参考数据如下则表示测试正常

# extended LDIF
#
# LDAPv3
# base <cn=config> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# search result
search: 2
result: 32 No such object

# numResponses: 1

第三部分 附录

3.1 arm环境编译

在arm架构下安装OpenLdap，整体步骤一致，在执行某些命令时可能会出现configure: error: cannot guess build type; you must specify one错误，则需要在执行的命令最后面加上--build=arm，比如：

shell
./configure --build=arm

3.2 安装BerkeleyDB

OpenLdap2.4.x版本中可以选择使用BDB作为数据库引擎，BDB的安装步骤如下：

1. 下载安装包：http://download.oracle.com/berkeley-db/db-5.2.36.tar.gz
2. 上传安装包：将第一步中下载的软件包上传至服务器指定位置，比如：/opt/soft。如使用wget等工具在服务器上直接下载则本步骤可忽略
3. 执行如下命令进行安装

shell
cd /opt/soft # 以实际目录为准
tar -zxvf db-5.2.36.tar.gz
cd db-5.2.36
./dist/configure --prefix=/opt/BerkeleyDB
make
make install

3.3 安装OpenLdap2.4.x

OpenLdap2.4.x安装步骤如下：

1. 下载安装包：https://www.openldap.org/software/download/OpenLDAP/openldap-release/openldap-2.4.59.tgz
2. 上传安装包：将第一步中下载的软件包上传至服务器指定位置，比如：/opt/soft。如使用wget等工具在服务器上直接下载则本步骤可忽略
3. 执行如下命令进行安装

shell
cd /opt/soft # 以实际目录为准
tar -zxvf openldap-2.4.59.tgz
cd openldap-2.4.59
LD_LIBRARY_PATH="/opt/BerkeleyDB/lib" ./configure --prefix=/opt/openLDAP \
  --enable-debug --enable-dynamic --enable-cleartext --enable-crypt \
  --enable-modules --enable-monitor --enable-passwd --enable-overlays \
  --enable-accesslog CPPFLAGS="-I/opt/BerkeleyDB/include" \
  LDFLAGS="-L/opt/BerkeleyDB/lib"
make depend
make
make install

3.4 BerkeleyDB优化

BDB数据库在默认情况下存在性能问题，所以使用BDB数据库存储数据时需要对其进行性能优化。在配置完slapd.conf文件后，启动OpenLdap之前，需要在数据库所在文件夹中添加DB_CONFIG文件对BDB数据进行优化以提升其性能（对已生成的BDB数据库文件夹中添加该文件无效），参考配置文件如下：

# $OpenLDAP$
# Example DB_CONFIG file for use with slapd(8) BDB/HDB databases.
#
# See the Oracle Berkeley DB documentation
#   <http://www.oracle.com/technology/documentation/berkeley-db/db/ref/env/db_config.html>
# for detail description of DB_CONFIG syntax and semantics.
#
# Hints can also be found in the OpenLDAP Software FAQ
#       <http://www.openldap.org/faq/index.cgi?file=2>
# in particular:
#   <http://www.openldap.org/faq/index.cgi?file=1075>

# Note: most DB_CONFIG settings will take effect only upon rebuilding
# the DB environment.

# one 0.25 GB cache
set_cachesize 0 268435456 1

# Data Directory
#set_data_dir db

# Transaction Log settings
set_lg_regionmax 262144
set_lg_bsize 2097152
#set_lg_dir logs

# Note: special DB_CONFIG flags are no longer needed for "quick"
# slapadd(8) or slapindex(8) access (see their -q option). 

3.5 Operating system: x86_64-whatever-linux2 You need Perl 5.

在编译openssl时，若出现Operating system: x86_64-whatever-linux2 You need Perl 5.错误，则可通过如下步骤安装perl：

1. 下载安装包：https://www.cpan.org/src/5.0/perl-5.34.0.tar.gz
2. 上传安装包：将第一步中下载的软件包上传至服务器指定位置，比如：/opt/soft。如使用wget等工具在服务器上直接下载则本步骤可忽略
3. 执行如下命令进行安装

shell
cd /opt/soft # 以实际目录为准
tar -zxvf perl-5.34.0.tar.gz
cd perl-5.34.0
./Configure -des -Dprefix=$HOME/localperl
make
make test
make install

3.6 麒麟国防版系统安装OpenLdap2.5

操作系统发版信息如下：

NAME="Kylin Linux Advanced Server"
VERSION="V10 (GFB)"
ID="kylin"
VERSION_ID="V10"
PRETTY_NAME="Kylin Linux Advanced Server V10 (GFB)"
ANSI_COLOR="0;31"

在麒麟国防版系统中安装OpenLdap2.5，可以简化上述安装流程，无需手动安装libtool与openssl。本文中2.4 安装OpenLdap（含）步骤可以合并为如下步骤：

1. 下载安装包：https://www.openldap.org/software/download/OpenLDAP/openldap-release/openldap-2.5.16.tgz
2. 上传安装包：将第一步中下载的软件包上传至服务器指定位置，比如：/opt/soft。如使用wget等工具在服务器上直接下载则本步骤可忽略
3. 执行如下命令进行安装

shell
yum -y install make gcc gcc-c++ gcc-gfortran libtool libtool-ltdl libtool-ltdl-devel openssl-devel
cd /opt/soft # 以实际目录为准
tar -zxvf openldap-2.5.16.tgz
cd openldap-2.5.16
./configure --prefix=/opt/openLDAP --enable-debug --enable-dynamic \
  --enable-cleartext --enable-crypt --enable-modules --enable-passwd \
  --enable-overlays --enable-accesslog --enable-autoca=no \
  --with-tls=openssl
make depend
make
make install

编译安装完成后，后续配置步骤与上述内容一致，无需特殊调整。