基於 CentOS 8 搭建 openLDAP 伺服器
轉載請註明原文地址:基於 CentOS 8 搭建 openLDAP 伺服器
環境
OS: CentOS 8.4.2105
PHP: 7.4.21
注意
CentOS 7 中可能預設提供了 openLDAP-servers 包,本文中部分流程可能不適用
文中針對 openLDAP 的所有配置中,請將 dc 中的 example、com(例如 dc=example,dc=cn) 根據實際情況修改為自己的域(例如 dc=leviatan,dc=cn)
文中由使用者手動建立的 *.ldif 檔案不要放在 /etc/openldap/slapd.d 目錄下,本文中儲存在 ~/openldap 目錄下
線上大多數文件在 dn
olcDatabase={2}hdb,cn=config,但筆者經過測試發現 /etc/openldap/slapd.d/cn=config 目錄下只存在 olcDatabase={2}mdb,故進行了相應更改
安裝 openLDAP
由於 CentOS 8 的倉庫中取消了對 openLDAP-servers 包的支援,這裡使用 Symas 提供的第三方倉庫
wget -q https://repo.symas.com/configs/SOFL/rhel8/sofl.repo -O /etc/yum.repos.d/sofl.repo dnf clean all dnf makecache dnf install symas-openldap-servers symas-openldap-clients
啟動 openLDAP
systemctl start slapd
自啟動
systemctl enable slapd
openLDAP 基礎配置
生成並設定 openLDAP 管理員密碼
openLDAP 中使用 slappasswd 來生成密碼雜湊,將雜湊寫入配置檔案來修改密碼
執行命令後輸出如下
New password:
Re-enter new password:
{SSHA}xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
建立 chrootpw.ldif 檔案,寫入如下配置
dn: olcDatabase={0}config,cn=config changetype: modify add: olcRootPW olcRootPW: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
dn配置檔案,這裡指定為/etc/openldap/slapd.d/cn=config/olcDatabase={0}config檔案changetype指定型別為modify,更改add表示新增olcRootPw配置項- 指定
olcRootPW配置項的值
執行如下命令將配置中的操作動態載入 openLDAP 伺服器
ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
輸出如下,表示操作成功
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"
匯入基本 schema
openLDAP Server 預設提供了一些基本 schema 位於 /etc/openldap/schema 目錄下,這些 schema 控制著條目擁有哪些物件類和屬性,可以自行選擇需要的進行匯入,這裡將所有 schema 都匯入進去
ls /etc/openldap/schema/*.ldif | xargs -I {} ldapadd -Y EXTERNAL -H ldapi:/// -f {}
修改域並建立域管理賬戶
使用 slappasswd 命令為域管理員賬戶建立密碼,記錄雜湊
建立 chdomain.ldif 檔案並寫入如下配置
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to *
by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read
by dn.base="cn=admin,dc=example,dc=com" read
by * none
dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=example,dc=com
dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=example,dc=com
dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
dn: olcDatabase={2}mdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange
by dn="cn=admin,dc=example,dc=com" write
by anonymous auth
by self write
by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to *
by dn="cn=admin,dc=example,dc=com" write
by * read
載入修改
ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif
輸出如下,表示操作成功
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"
modifying entry "olcDatabase={2}mdb,cn=config"
modifying entry "olcDatabase={2}mdb,cn=config"
modifying entry "olcDatabase={2}mdb,cn=config"
modifying entry "olcDatabase={2}mdb,cn=config"
啟用 memberof 模組
這個模組的作用是當你建一個組的時候,把一些使用者新增到這個組裡去,它會自動給這些使用者新增一個 memberOf 屬性,有很多應用需要檢查這個屬性。
建立 add_memberof.ldif 檔案並寫入如下配置
dn: cn=module{0},cn=config
cn: modulle{0}
objectClass: olcModuleList
objectclass: top
olcModuleload: memberof.la
olcModulePath: /usr/lib64/openldap
dn: olcOverlay={0}memberof,olcDatabase={2}mdb,cn=config
objectClass: olcConfig
objectClass: olcMemberOf
objectClass: olcOverlayConfig
objectClass: top
olcOverlay: memberof
olcMemberOfDangling: ignore
olcMemberOfRefInt: TRUE
olcMemberOfGroupOC: groupOfUniqueNames
olcMemberOfMemberAD: uniqueMember
olcMemberOfMemberOfAD: memberOf
建立 refint1.ldif 檔案並寫入如下配置
dn: cn=module{0},cn=config
add: olcmoduleload
olcmoduleload: refint
建立 refint2.ldif 檔案並寫入如下配置
dn: olcOverlay=refint,olcDatabase={2}mdb,cn=config
objectClass: olcConfig
objectClass: olcOverlayConfig
objectClass: olcRefintConfig
objectClass: top
olcOverlay: refint
olcRefintAttribute: memberof uniqueMember manager owner
依次執行如下命令
ldapadd -Q -Y EXTERNAL -H ldapi:/// -f add_memberof.ldif
ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f refint1.ldif
ldapadd -Q -Y EXTERNAL -H ldapi:/// -f refint2.ldif
依次返回如下
# ldapadd -Q -Y EXTERNAL -H ldapi:/// -f add_memberof.ldif
adding new entry "cn=module{0},cn=config"
adding new entry "olcOverlay={0}memberof,olcDatabase={2}mdb,cn=config"
# ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f refint1.ldif
modifying entry "cn=module{0},cn=config"
# ldapadd -Q -Y EXTERNAL -H ldapi:/// -f refint2.ldif
adding new entry "olcOverlay=refint,olcDatabase={2}mdb,cn=config"
建立組織及管理角色
在上述基礎上,我們來建立一個叫做 WindSpirit 的組織,並在其下建立一個 admin 的組織角色(該組織角色內的使用者具有管理整個 LDAP 的許可權)和 People 和 Group 兩個組織單元
建立 wsorg.ldif 檔案並寫入如下配置
dn: dc=example,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: WindSpirit Company
dc: example
dn: cn=admin,dc=example,dc=com
objectClass: organizationalRole
cn: admin
dn: ou=People,dc=example,dc=com
objectClass: organizationalUnit
ou: People
dn: ou=Group,dc=example,dc=com
objectClass: organizationalRole
cn: Group
載入修改
ldapadd -x -D cn=admin,dc=example,dc=com -W -f wsorg.ldif
輸入密碼後輸出如下
adding new entry "dc=example,dc=com"
adding new entry "cn=admin,dc=example,dc=com"
adding new entry "ou=People,dc=example,dc=com"
adding new entry "ou=Group,dc=example,dc=com"
關閉匿名訪問
建立 disabled_anon.ldif 檔案並新增如下配置
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
載入修改
ldapadd -Y EXTERNAL -H ldapi:/// -f disabled_anon.ldif
執行成功後輸出如下
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
安裝 phpLDAPadmin
該業務需要增加 php-ldpa 模組支援
作者使用的 PHP 是由 Remi 提供的倉庫,使用如下命令安裝模組
dnf install php74-php-ldap
還是由於 CentOS 8 中預設不提供 openLDAP-servers 包,phpLDAPadmin 包也預設不提供
可以直接在 Release - leenooks/phpLDAPadmin - GitHub 下載 Release 包
目前最新版本號為 1.2.6.2
wget https://github.com/leenooks/phpLDAPadmin/archive/refs/tags/1.2.6.2.tar.gz
將下載好的包移動到 Nginx 的 web 根目錄下,解壓並重命名為 pla
tar zxvf 1.2.6.2.tar.gz
mv phpLDAPadmin-1.2.6.2 pla
本次配置中使用二級域名 pla 訪問該業務,設定好 DNS 解析後在 Nginx 中根據實際情況增加配置
server {
listen 443 ssl;
server_name pla.example.com;
root html/pla;
location / {
index index.php;
location ~ \.php(.*)$ {
fastcgi_pass php-handler;
fastcgi_index index.php;
fastcgi_split_path_info ^(.+\.php)(.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param PATH_TRANSLATED $document_root$fastcgi_path_info;
fastcgi_param HTTPS on;
include fastcgi_params;
}
}
}
進入 phpLDAPadmin 目錄下的 config 目錄,將 config.php.example 複製為 config.php
配置 DN 登入
預設使用 uid 登入,修改為 dn
$servers->setValue('login','attr','dn');
關閉匿名登入
$servers->setValue('login','anon_bind',false);
設定使用者屬性的唯一性,這裡使用了 cn 和 sn,以確保使用者名稱的唯一性
$servers->setValue('unique','attrs',array('mail','uid','uidNumber','cn','sn'));