在现代 IT 基础架构错综复杂的环境中,有效管理用户数据和身份验证至关重要。OpenLDAP 是轻量级目录访问协议的开源实现,为集中用户信息提供了强大的解决方案。
在 Debian 12 上安装 OpenLDAP (bookworm)
第 1 步。在安装 OpenLDAP 之前,建议更新系统以确保所有软件包都是最新的。您可以通过在终端中运行以下命令来执行此操作:
sudo apt update
sudo apt install curl gnupg apt-transport-https
此命令将刷新存储库,允许您安装最新版本的软件包。
第 2 步。在 Debian 12 上安装 OpenLDAP。
使用以下命令安装 OpenLDAP 服务器和相关实用程序:
sudo apt install slapd ldap-utils
在安装过程中,系统会提示您设置 LDAP 管理员密码。
通过检查服务状态来确认 OpenLDAP 的成功安装:
sudo systemctl status slapd
第 3 步。配置OpenLDAP。
现在OpenLDAP已经安装,让我们继续它的配置:
sudo nano /etc/ldap/ldap.conf
根据需要修改行:
BASE dc=example,dc=com
URI ldap://localhost
使用该实用程序为 LDAP 管理员创建散列密码:slappasswd
slappasswd
复制生成的哈希并在配置文件中更新管理员的密码:
sudo nano /etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif
第 4 步。网络配置和端口设置。
确保 OpenLDAP 可通过网络访问。调整防火墙规则以允许 LDAP 流量:
sudo ufw allow ldap
第5步。创建 LDAP 目录结构。
准备 LDIF 文件以定义目录的结构。例如,创建一个名为 :base.ldif
dn: dc=example,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: Example Organization
dc: example
dn: ou=people,dc=example,dc=com
objectClass: organizationalUnit
ou: people
dn: ou=groups,dc=example,dc=com
objectClass: organizationalUnit
ou: groups
将 LDIF 文件中的条目添加到目录中:
ldapadd -x -D "cn=admin,dc=example,dc=com" -W -f base.ldif
第5步。填充目录。
通过使用 LDIF 文件添加条目来扩展目录。例如,创建一个文件:user.ldif
dn: uid=john,ou=people,dc=example,dc=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
cn: Meilana Maria
sn: Joe
givenName: Meilana
uid: Meilana
mail: Meilana@example.com
userPassword: {SSHA}lQfb6GEQzrqxzJLR4Wx2t8qefjSny5hE
添加条目:
ldapadd -x -D "cn=admin,dc=example,dc=com" -W -f user.ldif
第 6 步。实施访问控制。
访问控制列表定义谁可以访问目录的哪些部分。修改文件中的 ACL。例如,要授予对“人员”OU 的只读访问权限,请按如下所示修改 ACL 部分:olcDatabase={2}hdb.ldif
olcAccess: {2}to dn.subtree="ou=people,dc=example,dc=com" by users read
步骤 7.启用 TLS/SSL 加密。
生成用于保护通信的自签名 SSL 证书:
sudo openssl req -new -x509 -nodes -out /etc/ldap/ssl/cert.pem -keyout /etc/ldap/ssl/key.pem -days 365
编辑文件以启用 TLS/SSL:slapd.conf
sudo nano /etc/ldap/slapd.conf
添加以下行:
TLSCACertificateFile /etc/ldap/ssl/cert.pem
TLSCertificateFile /etc/ldap/ssl/cert.pem
TLSCertificateKeyFile /etc/ldap/ssl/key.pem
第8步。将OpenLDAP与应用程序集成。
要启用基于 LDAP 的 SSH 身份验证,请更新文件:/etc/ssh/sshd_config
sudo nano /etc/ssh/sshd_config
添加行:
AuthorizedKeysCommand /usr/bin/ssh-ldap-helper
第9步。故障排除和常见问题。
- 分析日志中的错误
使用以下命令检查日志:journalctl
sudo journalctl -u slapd
- 处理连接问题
确保 LDAP 服务正在运行且可访问。如果需要,请检查防火墙设置。
感谢您使用本教程在 Debian 12 书虫上安装最新版本的 OpenLDAP。有关其他帮助或有用信息,我们建议您查看OpenLDAP官方网站。