如何在 Debian 12 上安装 OpenLDAP

在现代 IT 基础架构错综复杂的环境中,有效管理用户数据和身份验证至关重要。OpenLDAP 是轻量级目录访问协议的开源实现,为集中用户信息提供了强大的解决方案。

如何在 Debian 12 上安装 OpenLDAP

在 Debian 12 上安装 OpenLDAP (bookworm)

第 1 步。在安装 OpenLDAP 之前,建议更新系统以确保所有软件包都是最新的。您可以通过在终端中运行以下命令来执行此操作:

sudo apt update
sudo apt install curl gnupg apt-transport-https

此命令将刷新存储库,允许您安装最新版本的软件包。

第 2 步。在 Debian 12 上安装 OpenLDAP。

使用以下命令安装 OpenLDAP 服务器和相关实用程序:

sudo apt install slapd ldap-utils

在安装过程中,系统会提示您设置 LDAP 管理员密码。

通过检查服务状态来确认 OpenLDAP 的成功安装:

sudo systemctl status slapd

第 3 步。配置OpenLDAP。

现在OpenLDAP已经安装,让我们继续它的配置:

sudo nano /etc/ldap/ldap.conf

根据需要修改行:

BASE dc=example,dc=com
URI ldap://localhost

使用该实用程序为 LDAP 管理员创建散列密码:slappasswd

slappasswd

复制生成的哈希并在配置文件中更新管理员的密码:

sudo nano /etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif

第 4 步。网络配置和端口设置。

确保 OpenLDAP 可通过网络访问。调整防火墙规则以允许 LDAP 流量:

sudo ufw allow ldap

第5步。创建 LDAP 目录结构。

准备 LDIF 文件以定义目录的结构。例如,创建一个名为 :base.ldif

dn: dc=example,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: Example Organization
dc: example

dn: ou=people,dc=example,dc=com
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=example,dc=com
objectClass: organizationalUnit
ou: groups

将 LDIF 文件中的条目添加到目录中:

ldapadd -x -D "cn=admin,dc=example,dc=com" -W -f base.ldif

第5步。填充目录。

通过使用 LDIF 文件添加条目来扩展目录。例如,创建一个文件:user.ldif

dn: uid=john,ou=people,dc=example,dc=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
cn: Meilana Maria
sn: Joe
givenName: Meilana
uid: Meilana
mail: Meilana@example.com
userPassword: {SSHA}lQfb6GEQzrqxzJLR4Wx2t8qefjSny5hE

添加条目:

ldapadd -x -D "cn=admin,dc=example,dc=com" -W -f user.ldif

第 6 步。实施访问控制。

访问控制列表定义谁可以访问目录的哪些部分。修改文件中的 ACL。例如,要授予对“人员”OU 的只读访问权限,请按如下所示修改 ACL 部分:olcDatabase={2}hdb.ldif

olcAccess: {2}to dn.subtree="ou=people,dc=example,dc=com" by users read

步骤 7.启用 TLS/SSL 加密。

生成用于保护通信的自签名 SSL 证书:

sudo openssl req -new -x509 -nodes -out /etc/ldap/ssl/cert.pem -keyout /etc/ldap/ssl/key.pem -days 365

编辑文件以启用 TLS/SSL:slapd.conf

sudo nano /etc/ldap/slapd.conf

添加以下行:

TLSCACertificateFile /etc/ldap/ssl/cert.pem
TLSCertificateFile /etc/ldap/ssl/cert.pem
TLSCertificateKeyFile /etc/ldap/ssl/key.pem

第8步。将OpenLDAP与应用程序集成。

要启用基于 LDAP 的 SSH 身份验证,请更新文件:/etc/ssh/sshd_config

sudo nano /etc/ssh/sshd_config

添加行:

AuthorizedKeysCommand /usr/bin/ssh-ldap-helper

第9步。故障排除和常见问题。

  • 分析日志中的错误

使用以下命令检查日志:journalctl

sudo journalctl -u slapd
  • 处理连接问题

确保 LDAP 服务正在运行且可访问。如果需要,请检查防火墙设置。

感谢您使用本教程在 Debian 12 书虫上安装最新版本的 OpenLDAP。有关其他帮助或有用信息,我们建议您查看OpenLDAP官方网站

正文完
 0