Linux/UNIX OpenLDAP 實戰指南 Linux/UNIX OpenLDAP实战指南

<內容提要>

 

 

OpenLDAP是Linux操作系統中輕型目錄訪問協議（Lightweight Directory Access Protocol，LDAP）的一個自由和開源的實現。《Linux/UNIX OpenLDAP實戰指南》作為一本專門講解OpenLDAP的圖書，循序漸進地講解了LDAP協議以及OpenLDAP以及在企業中的應用。

《Linux/UNIX OpenLDAP實戰指南》分為基礎篇、高級篇和實戰篇，共計17章。基礎篇涵蓋了OpenLDAP的工作原理、OpenLDAP服務器的安裝與配置、OpenLDAP的命令詳解、OpenLDAP客戶端部署以及GUI管理。高級篇則介紹了OpenLDAP的高級主題，包括OpenLDAP權限、密碼策略控制、主機策略控制、加密傳輸、同步原理及配置、高可用負載均衡架構及實現。實戰篇主要介紹了OpenLDAP的具體應用，包括OpenLDAP的優化、故障解決方案，以及與各種應用架構進行集成，以實現用戶的統一管理及授權。

《Linux/UNIX OpenLDAP實戰指南》適合UNIX/Linux系統架構師、開發/運維/管理人員閱讀。

 

<目錄>

 

第1章 OpenLDAP介紹及工作原理詳解2

1.1 關於OpenLDAP3

1.1.1 OpenLDAP是什麽3

1.1.2 為什麽選擇OpenLDAP產品4

1.1.3 OpenLDAP目錄服務優點4

1.1.4 OpenLDAP功能5

1.1.5 OpenLDAP協議版本概述5

1.1.6 LDAP產品匯總6

1.1.7 OpenLDAP適用場景6

1.1.8 OpenLDAP支持的系統平臺6

1.1.9 OpenLDAP高級功能匯總7

1.2 OpenLDAP目錄架構7

1.2.1 OpenLDAP目錄架構介紹7

1.2.2 因特網命名組織架構7

1.2.3 企業級命名組織架構8

1.2.4 OpenLDAP的系統架構8

1.2.5 OpenLDAP的工作模型9

1.3 OpenLDAP schema概念9

1.3.1 schema介紹及用途9

1.3.2 獲取schema的途徑10

1.4 OpenLDAP目錄條目概述11

1.4.1 objectClass分類11

1.4.2 OpenLDAP常見的

objectClass11

1.4.3 objectClass詳解13

1.4.4 objectClass案例分析13

1.5 屬性14

1.5.1 屬性概述14

1.5.2 Attribute詳解14

1.6 LDIF詳解15

1.6.1 LDIF用途15

1.6.2 LDIF文件特點15

1.6.3 LDIF格式語法16

1.7 對象標識符講解16

1.8 自動化運維解決方案17

1.8.1 因特網面臨的問題17

1.8.2 自動化解決方案18

1.9 本章總結19

第2章 OpenLDAP服務器安裝與配置20

2.1 OpenLDAP平臺支持21

2.2 OpenLDAP安裝21

2.2.1 OpenLDAP安裝方式21

2.2.2 OpenLDAP安裝步驟21

2.3 Linux平臺安裝21

2.3.1 yum用途及語法21

2.3.2 以軟件包形式安裝23

2.3.3 通過源碼編譯安裝24

2.3.4 錯誤分析、解決27

2.4 OpenLDAP配置28

2.4.1 OpenLDAP相關信息28

2.4.2 slapd.conf配置文件28

2.5 OpenLDAP單節點配置案例31

2.5.1 安裝環境規劃31

2.5.2 主機名規劃配置32

2.5.3 時間同步配置32

2.5.4 防火牆、SELinux配置33

2.5.5 FQDN域名解析配置33

2.5.6 安裝OpenLDAP組件33

2.5.7 初始化OpenLDAP配置34

2.5.8 slaptest檢測、生成數據庫35

2.5.9 OpenLDAP日誌配置35

2.5.10 通過=config配置

OpenLDAP日誌36

2.5.11 OpenLDAP日誌切割配置37

2.5.12 加載slapd進程、埠狀態38

2.6 OpenLDAP目錄樹規劃38

2.6.1 規劃OpenLDAP目錄樹

組織架構38

2.6.2 故障分析39

2.7 OpenLDAP用戶以及與用戶組

相關的配置40

2.7.1 通過migrationtools實現

OpenLDAP用戶及用戶組

的添加40

2.7.2 自定義LDIF文件添加用戶

及用戶組條目42

2.8 OpenLDAP索引43

2.8.1 索引介紹43

2.8.2 創建索引44

2.9 OpenLDAP控制策略44

2.9.1 通過slapd.conf定義用戶

策略控制44

2.9.2 通過=config定義用戶

控制策略45

2.10 本章總結45

第3章 OpenLDAP命令詳解46

3.1 OpenLDAP命令介紹47

3.2 OpenLDAP命令講解及案例分析47

3.2.1 ldapsearch命令47

3.2.2 ldapadd命令48

3.2.3 ldapdelete命令49

3.2.4 ldapmodify命令50

3.2.5 ldapwhoami命令51

3.2.6 ldapmodrdn命令51

3.2.7 ldappare命令52

3.2.8 ldappasswd命令54

3.2.9 slaptest命令54

3.2.10 slapindex命令55

3.2.11 slapcat命令55

3.3 本章總結56

第4章 OpenLDAP客戶端部署57

4.1 服務器、存儲Web控制集成

OpenLDAP58

4.1.1 客戶端部署介紹58

4.1.2 服務器Web控制台集成

LDAP58

4.1.3 EMC Web控制台集成

LDAP59

4.2 UNIX系統部署OpenLDAP

客戶端60

4.2.1 本地目錄服務查詢流程60

4.2.2 系統發行版5.x/6.x/7.x的

部署區別60

4.2.3 賬號登錄系統流程講解60

4.2.4 5.x、6.x、7.x系統版本以及

配置文件介紹60

4.2.5 配置文件功能介紹61

4.2.6 三種部署方式介紹61

4.3 紅帽5.x系統版本部署62

4.3.1 圖形化部署OpenLDAP

客戶端62

4.3.2 故障分析之一64

4.3.3 故障分析之二65

4.4 紅帽6.x系統版本部署65

4.4.1 sssd與nslcd的區別66

4.4.2 配置文件部署66

4.5 命令行部署OpenLDAP客戶端69

4.5.1 authconfig命令介紹69

4.5.2 authconfig備份恢復案例70

4.5.3 部署實施步驟71

4.6 故障分析72

4.7 本章總結73

第5章 OpenLDAP GUI管理部署74

5.1 phpLDAPadmin概述75

5.2 部署phpLDAPadmin75

5.2.1 安裝phpLDAPadmin的

環境準備75

5.2.2 Apache部署75

5.2.3 故障分析76

5.2.4 驗證Apache功能77

5.2.5 PHP開發環境部署78

5.2.6 驗證當前系統是否支持

PHP環境79

5.2.7 安裝phpLDAPadmin GUI

管理軟件80

5.2.8 驗證phpLDAPadmin界面81

5.2.9 故障分析82

5.3 通過phpLDAPadmin管理

OpenLDAP83

5.3.1 用戶條目管理83

5.3.2 phpLDAPadmin用戶

登錄異常87

5.4 訪問phpLDAPadmin需要提供

Apache驗證87

5.4.1 配置Apache認證策略88

5.4.2 phpLDAPamdin驗證

認證策略89

5.5 LAM89

5.5.1 LAM軟件簡介89

5.5.2 LAM功能90

5.5.3 LAM安裝、配置90

5.5.4 驗證LAM平臺91

5.5.5 故障分析93

5.6 LDAP Admin管理94

5.6.1 LDAP Admin軟件介紹94

5.6.2 LDAP Admin安裝94

5.7 LDAP Admin管理條目96

5.7.1 條目管理96

5.7.2 ou管理97

5.7.3 objectClass管理97

5.8 本章總結99 

第6章 OpenLDAP權限、密碼策略控制102

6.1 sudo詳解103

6.1.1 sudo概念描述103

6.1.2 系統權限闡述103

6.2 sudo權限級別分類104

6.2.1 用戶級別概念104

6.2.2 組級別概念104

6.2.3 命令級別概念104

6.3 sudo執行流程講解105

6.4 OpenLDAP sudo權限講解105

6.5 sudo權限控制實戰106

6.5.1 sudo權限控制實戰拓撲圖106

6.5.2 通過本地sudo規則實現

OpenLDAP用戶提權配置106

6.5.3 在OpenLDAP服務端實現

用戶權限控制108

6.6 在客戶端配置OpenLDAP相關

sudo設置115

6.6.1 5.x、6.x部署sudo的區別115

6.6.2 RHEL 5.x系統配置

OpenLDAP的sudo規則115

6.6.3 RHEL 6.5系統配置

OpenLDAP的sudo規則116

6.7 OpenLDAP密碼策略、審計控制118

6.7.1 密碼策略118

6.7.2 通過本地配置實現密碼

策略介紹118

6.7.3 密碼策略屬性詳解119

6.8 OpenLDAP定製密碼策略119

6.8.1 OpenLDAP服務端定製

密碼策略119

6.8.2 定義密碼策略組121

6.8.3 定義用戶登錄修改密碼122

6.8.4 客戶端配置123

6.9 密碼審計控制124

6.9.1 加載審計模塊auditlog124

6.9.2 在客戶端驗證密碼

策略時效124

6.9.3 OpenLDAP用戶密碼跟蹤124

6.10 常見用戶密碼處理方法125

6.10.1 密碼被鎖解決方法125

6.10.2 如何提示修改初始密碼126

6.10.3 密碼過期解決方案127

6.11 本章總結127

第7章 OpenLDAP主機控制策略129

7.1 主機控制策略闡述130

7.2 通過Linux-PAM模塊實現控制130

7.2.1 Linux-PAM組織架構130

7.2.2 PAM配置文件語法講解130

7.3 通過access實現主機控制132

7.3.1 access模塊功能闡述132

7.3.2 access配置語法132

7.4 通過access控制用戶實戰演練132

7.4.1 加載pam_access.so模塊132

7.4.2 配置access.conf訪問規則133

7.4.3 客戶端驗證規則133

7.5 OpenLDAP服務端主機控制規則134

7.5.1 定義olcModuleList對象135

7.5.2 添加模塊路徑

/usr/lib64/openldap135

7.5.3 定義主機控制模塊135

7.5.4 定義主機objectClass對象136

7.5.5 定義ldapns的schema規範136

7.5.6 定義主機列表組136

7.5.7 定義用戶組137

7.6 OpenLDAP客戶端部署139

7.6.1 定義FQDN解析139

7.6.2 加載LDAP主機控制規則139

7.6.3 在客戶端驗證控制策略140

7.6.4 日誌分析141

7.7 6.x客戶端部署142

7.7.1 定義FQDN解析142

7.7.2 pam_ldap.conf參數規劃142

7.7.3 在客戶端驗證控制策略142

7.7.4 日誌分析143

7.8 LAM控制台管理143

7.8.1 定義用戶添加屬性144

7.8.2 在客戶端驗證146

7.9 本章總結147

第8章 OpenLDAP加密傳輸與證書

頒發機構148

8.1 OpenSSL149

8.1.1 SSL概述149

8.1.2 OpenSSL概述149

8.1.3 OpenSSL會話建立過程149

8.2 CA150

8.2.1 CA概述150

8.2.2 CA證書有效信息150

8.2.3 秘鑰交換原理151

8.3 加密算法講解151

8.3.1 對稱加密算法151

8.3.2 單向加密算法152

8.3.3 非對稱加密算法153

8.4 OpenSSL組件與命令155

8.4.1 OpenSSL組件155

8.4.2 OpenSSL命令講解155

8.5 通過OpenSSL構建證書頒發機構156

8.5.1 CA證書獲取途徑156

8.5.2 自建CA156

8.6 OpenLDAP與CA集成159

8.6.1 OpenLDAP證書獲取159

8.6.2 OpenLDAP TLS/SASL

部署160

8.6.3 客戶端部署164

8.7 phpLDAPadmin加密會話認證167

8.7.1 部署環境規劃167

8.7.2 phpLDAPadmin加密會話168

8.8 本章總結172

第9章 OpenLDAP同步原理及配置173

9.1 OpenLDAP同步174

9.1.1 OpenLDAP同步原理174

9.1.2 syncrepl、slurpd同步機制

優缺點175

9.1.3 OpenLDAP同步條件175

9.1.4 OpenLDAP同步參數175

9.2 OpenLDAP的5種同步模式176

9.2.1 syncrepl模式176

9.2.2 N-Way Multi-Master模式176

9.2.3 MirrorMode模式176

9.2.4 syncrepl Proxy模式177

9.2.5 Delta-syncrepl模式177

9.3 OpenLDAP主從同步實戰案例177

9.3.1 部署環境177

9.3.2 OpenLDAP服務器初始化178

9.3.3 配置主服務器同步策略179

9.3.4 OpenLDAP主從同步180

9.3.5 OpenLDAP主從同步驗證184

9.4 OpenLDAP MirrorMode同步

實戰案例186

9.4.1 部署環境186

9.4.2 為OpenLDAP主服務器A

部署mirrormode186

9.4.3 為OpenLDAP主服務器B

部署mirrormode187

9.4.4 OpenLDAP mirrormode

驗證188

9.5 OpenLDAP N-Way Multi-master

同步實戰操作189

9.5.1 部署環境189

9.5.2 OpenLDAP N-Way 

Multimaster部署189

9.5.3 客戶端驗證191

9.6 本章總結191

第10章 OpenLDAP負載均衡、高可用

系統架構193

10.1 負載均衡、高可用194

10.2 LVS介紹194

10.2.1 LVS調度算法194

10.2.2 LVS集群工作模式195

10.2.3 ipvsadm命令197

10.2.4 LVS持久連接闡述199

10.3 LVS與OpenLDAP集成案例200

10.3.1 編譯安裝ipvsadm200

10.3.2 前端負載均衡規劃201

10.3.3 後端realserver部署202

10.3.4 客戶端驗證203

10.4 realserver健康監測204

10.4.1 定義realserver監控腳本204

10.4.2 自動部署LVS、

realserver206

10.4.3 自動部署LVS206

10.4.4 自動部署realserver207

10.5 F5與OpenLDAP集成案例208

10.5.1 部署規劃208

10.5.2 F5 Big-IP配置208

10.5.3 客戶端部署驗證211

10.5.4 realserver故障案例211

10.6 A10 Networks與OpenLDAP

集成案例212

10.6.1 A10 Networks管理常識213

10.6.2 部署規劃214

10.6.3 A10 Networks配置215

10.6.4 獲取集群資源219

10.6.5 客戶端驗證220

10.6.6 realserver故障案例220

10.7 OpenLDAP開源負載高

可用架構221

10.7.1 部署規劃221

10.7.2 Keepalived部署222

10.7.3 客戶端驗證226

10.7.4 Keepalived異常檢測226

10.8 本章總結227 

第11章 FTP與OpenLDAP集成案例230

11.1 FTP服務器231

11.1.1 FTP簡介231

11.1.2 FTP功能231

11.1.3 FTP工作原理231

11.1.4 FTP連接模式231

11.1.5 FTP登錄方式232

11.1.6 FTP賬號驗證方式232

11.2 OpenLDAP與FTP集成案例233

11.2.1 OpenLDAP服務、FTP

服務認證機制233

11.2.2 部署規劃233

11.2.3 FTP服務端部署234

11.2.4 客戶端驗證測試236

11.2.5 配置OpenLDAP客戶端237

11.2.6 驗證OpenLDAP用戶

登錄FTP服務器238

11.3 故障處理240

11.3.1 500OP異常處理240

11.3.2 用戶權限控制240

11.4 本章總結240

第12章 Samba與OpenLDAP集成案例241

12.1 Samba242

12.1.1 Samba簡介242

12.1.2 Samba軟件功能模塊242

12.1.3 Samba共享資源語法242

12.1.4 Samba服務器安全243

12.2 Samba部署案例243

12.2.1 Samba組件243

12.2.2 Samba部署註意事項244

12.2.3 部署Samba服務端244

12.2.4 客戶端驗證共享資源246

12.3 OpenLDAP與Samba集成案例246

12.3.1 部署規劃247

12.3.2 定義Schema248

12.3.3 Samba服務器端配置

OpenLDAP驗證248

12.3.4 客戶端驗證249

12.3.5 Samba擴展——OpenLDAP

組訪問Samba資源251

12.4 通過LDAP Admin管理

Samba賬號251

12.4.1 登錄LDAP Admin252

12.4.2 添加Samba賬號252

12.4.3 授權Samba賬號253

12.5 本章總結253

第13章 Zabbix與OpenLDAP集成案例254

13.1 Zabbix255

13.1.1 Zabbix簡介255

13.1.2 Zabbix特點255

13.1.3 Zabbix安裝部署255

13.1.4 Zabbix配置256

13.1.5 Zabbix初始化規劃258

13.2 Zabbix與OpenLDAP集成案例261

13.2.1 Zabbix驗證模式介紹261

13.2.2 Zabbix基於OpenLDAP

的配置參數講解262

13.2.3 基於Zabbix實現

OpenLDAP驗證實戰262

13.2.4 Zabbix用戶管理264

13.2.5 Zabbix異常案例分析267

13.3 本章總結268

第14章 Apache與OpenLDAP集成驗證269

14.1 Apache270

14.1.1 Apache介紹270

14.1.2 Apache部署方式270

14.1.3 Apache部署實戰270

14.1.4 客戶端測試271

14.2 OpenLDAP與Apache集成272

14.2.1 OpenLDAP與Apache

部署案例272

14.2.2 限制OpenLDAP用戶

登錄Apache275

14.2.3 限制OpenLDAP組訪問

Apache277

14.3 本章總結279

第15章 Jumpserver開源跳板機

集成案例280

15.1 Jumpserver介紹281

15.1.1 認識Jumpserver281

15.1.2 Jumpserver原理詳解281

15.2 Jumpserver與OpenLDAP

集成案例283

15.2.1 環境部署規劃283

15.2.2 安裝epel源和依賴包283

15.2.3 MySQL數據庫部署283

15.2.4 Jumpserver安裝、部署286

15.2.5 驗證Jumpserver290

15.3 Jumpserver管理292

15.3.1 用戶管理292

15.3.2 資產管理294

15.3.3 授權管理296

15.3.4 審計管理299

15.3.5 用戶登錄驗證299

15.4 本章總結301

第16章 OpenLDAP服務器性能優化、

備份恢復、故障分析302

16.1 OpenLDAP服務器性能優化303

16.1.1 性能優化目標303

16.1.2 架構調整303

16.1.3 索引優化303

16.1.4 數據存儲優化304

16.1.5 調整條目緩存大小304

16.1.6 客戶端參數調整304

16.1.7 OpenLDAP服務端內核

參數優化305

16.2 OpenLDAP備份、恢復306

16.2.1 OpenLDAP備份機制306

16.2.2 OpenLDAP恢復機制308

16.3 OpenLDAP服務器故障分析308

16.3.1 網絡異常，賬號無法

正常登錄308

16.3.2 命令執行緩慢310

16.3.3 slapd啟動異常311

16.3.4 slaptest檢測失敗311

16.3.5 OpenLDAP條目異常312

16.3.6 OpenLDAP用戶連接

數過多312

16.3.7 服務器異常斷電處理313

16.4 本章總結313

第17章 OpenLDAP批量部署解決

方案——Puppet314

17.1 Puppet315

17.1.1 Puppet簡介315

17.1.2 Puppet工作流程圖315

17.1.3 Puppet如何工作316

17.1.4 Puppet工作模型316

17.1.5 Puppet資源316

17.1.6 Puppet資源引用318

17.1.7 Puppet數據類型319

17.1.8 Puppet資源間的應用鏈320

17.1.9 Puppet變量作用域320

17.1.10 Puppet條件判斷321

17.1.11 Puppet模塊、類、

資源323

17.2 Puppet服務端安裝、部署324

17.2.1 部署環境324

17.2.2 Puppet服務器安裝324

17.2.3 故障分析326

17.2.4 Puppet master自動簽署

客戶端證書327

17.3 Puppet客戶端部署328

17.3.1 Puppet agent安裝328

17.3.2 故障分析329

17.3.3 Puppet agent證書申請329

17.3.4 Puppet master端頒發

認證329

17.3.5 客戶端修改主機名的

解決方案330

17.4 Puppet agent資源驗證330

17.4.1 Puppet服務端定義

資源清單330

17.4.2 Puppet agent驗證331

17.5 Puppet kick模塊331

17.5.1 Puppet kick功能介紹331

17.5.2 Puppet kick部署331

17.5.3 Puppet master驗證332

17.5.4 故障分析333

17.6 OpenLDAP客戶端自動部署

解決方案——Puppet334

17.6.1 定義OpenLDAP模板334

17.6.2 規劃OpenLDAP資源

代碼334

17.6.3 客戶端驗證335

17.7 本章總結338

 

<作者介紹>

 

郭大勇（Sandy），系統架構師，從事Linux 系統運維管理工作近6 年。擅長領域有Linux 網站架構規劃、Linux 應用集群部署、Linux 系統安全、MySQL 架構設計、自動化運維管理、監控平臺架構、分佈式存儲、雲計算、存儲架構優化等。