xdays

OpenLDAP构建统一认证之管理工具

自带工具

注意: 如果服务器的ssl证书是自签名的,那么在客户端的ldap.conf文件加入一行TLS_REQCERT never,否则认证会不通过。

安装

ubuntu执行:

apt-get install -y ldap-utils

centos执行:

yum install -y openldap-clients

使用

ldapsearch

ldapsearch,搜索目录树,示例如下:

ldapsearch -v -x -H ldaps://example.com -D "cn=admin,dc=example,dc=com" -W -W -b "dc=xdays,dc=info" -LL

简单解释下选项的作用:

  • -H 指定服务器url
  • -x 使用简单认证
  • -D 绑定的DN
  • -W 提示输入密码
  • -b 指定搜索的baseDN
  • -LL 输出LDIF格式
  • -v 显示详细信息

ldapadd

ldapadd,添加数据,要输入标准LDIF文件,示例如下:

ldapadd -v -x -H ldaps://example.com -D "cn=admin,dc=example,dc=com" -W -f data.ldif

选项与ldapsearch类似, -f 指定文件路径

ldapdelete

ldapdelete,删除数据,要输入标准LDIF文件,示例如下:

ldapdelete -v -x -H ldaps://example.com -D "cn=admin,dc=example,dc=com" -W -f data.ldif

ldapmodify

ldapdelete,修改数据,要输入标准LDIF文件,示例如下:

ldapmodify -v -x -H ldaps://example.com -D "cn=admin,dc=example,dc=com" -W -f data.ldif

LAM

简介

一个简单的DLAP账号管理工具,PHP编写,配置写静态文件,安装简单方便。

安装

下载程序源码:

wget -SO ldap-account-manager-4.5.tar.bz2 "http://downloads.sourceforge.net/project/lam/LAM/4.5/ldap-account-manager-4.5.tar.bz2?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Flam%2F&ts=1400145174&use_mirror=jaist"

解压放置web服务器目录下,修改权限(因为配置信息要写到文件里):

tar xzf ldap-account-manager-4.5.tar.bz2 && mv ldap-account-manager-4.5 /web/www/lam
chown -R www-data.www-data lam

php与web服务器配置这里略过

配置

首先,拷贝样本配置文件:

cd config
cp -a config.cfg_sample config.cfg
cp -a lam.conf_sample lam.conf

然后,访问web界面,点击右上侧的lam configuration,默认密码是lam。在general setting里修改系统的master密码;在server profile里配置要连接的LDAP服务器信息。这里有两点需要说明:

  • 如果服务器为tls加密的那么需要指定ldaps://example.com
  • 在general setting里要下载服务器的证书,下载完后保存,然后重启php进程。

最后返回登陆界面,用LDAP的账号信息登陆系统,第一次登陆会提示你创建对应的ou等条目,创建完成后创建一个用户组,就可以添加账号了。

优化

默认lam用cn来作为RDN,但是好多系统认证的时候都是找uid,所以需要修改为uid,具体配置在tools的user profile里,修改RDN identifier为uid即可。

Comments