一、服务器操作系统

CentsOS8.2

二、软件获取

2.1、OpenLDAP

官网下载OpenLDAP

2.2、BDB

berkeley-db-5.1.29 (OpenLDAP当前与6.x版本不兼容，READEME中明确写出兼容4.4_4.8或5.05.1)：

BerkeleyDB下载

2.3、LDAP Administrtor

LDAP Administrtor是LDAP远程连接管理工具
ldapadmin 2015.2：

64-bit下载地址：http://softerra-downloads.com/ldapadmin/ldapadmin-4.13.16704.0-x64-eng.msi

三、准备

1. 关闭selinux；
2. 打开防火墙tcp 389 / 636端口。

tcp 389 是openldap 明文传输端口，tcp 636是ssl加密传输的端口。
centos7默认自带firewalld服务，可以停用之后安装iptables。

四．安装OpenLDAP

1、依赖包

# 涉及libtool-ltdl与libtool-ltdl-devel，如不安装，在编译时报错：configure: error: could not locate libtool ltdl.h
#服务器联网时直接执行以下命令下载
yum install *ltdl* -y

服务器未联网时需要自己找到依赖下载
清华大学CentOS依赖下载：https://mirrors.tuna.tsinghua.edu.cn/centos/7/os/x86_64/Packages/

将上述rpm包上传至linux服务器指定文件夹

#在指定文件夹执行
rpm -ivh *.rpm

#如果出错执行一下
rpm -Uvh *.rpm

#如果仍然不行的话，执行
rpm --nodeps -ivh *.rpm

2、安装BDB

#必须在解压包的build_unix目录中编译安装，否则会报错

[root@localhost ~]# cd /usr/local/src/

[root@localhost src]# tar -zxvf db-5.1.29.tar.gz

[root@localhost src]# cd db-5.1.29/build_unix/

[root@localhost build_unix]# ../dist/configure --prefix=/usr/local/berkeleydb-5.1.29

[root@localhost build_unix]# make

[root@localhost build_unix]# make install

3、更新lib库

#保证在后面编译openldap时能找到lib和include下的库

[root@localhost build_unix]# cd /usr/local/src/

[root@localhost src]# echo "/usr/local/berkeleydb-5.1.29/lib/" > /etc/ld.so.conf

[root@localhost src]# ldconfig -v

4、安装OpenLDAP

#编译选项可以通过./configure --help查看；

#其中make test一步时间很长，大概需要半个小时左右；

#如果未设置CPPFLAGS，configure过程可能会提示configure: error: BDB/HDB: BerkeleyDB not available 或 configure: error: BerkeleyDB version incompatible with BDB/HDB backends

[root@localhost ~]# cd /usr/local/src/

[root@localhost src]# tar -zxvf openldap-2.4.44.tgz

[root@localhost src]# cd openldap-2.4.44

[root@localhost openldap-2.4.44]# ./configure --prefix=/usr/local/openldap-2.4.44 --enable-syslog --enable-modules --enable-debug --with-tls CPPFLAGS=-I/usr/local/berkeleydb-5.1.29/include/ LDFLAGS=-L/usr/local/berkeleydb-5.1.29/lib/

[root@localhost openldap-2.4.44]# make depend

[root@localhost openldap-2.4.44]# make

[root@localhost openldap-2.4.44]# make test

[root@localhost openldap-2.4.44]# make install

出现下图证明make test成功

5. 设置可执行命令

#对openldap客户端（bin）与服务器端（sbin）相关执行档添加软链接，也可以通过增加环境变量的方式设置

[root@localhost openldap-2.4.44]# cd /usr/local/openldap-2.4.44

[root@localhost openldap-2.4.44]# ln -s /usr/local/openldap-2.4.44/bin/* /usr/local/bin/

[root@localhost openldap-2.4.44]# ln -s /usr/local/openldap-2.4.44/sbin/* /usr/local/sbin/

五．简单配置

1、安装完成的openldap-2.4.44目录结构

openldap安装完成后相关目录承载的功能如下：

bin/ --客户端工具如ldapadd、ldapsearch

etc/ --包含主配置文件slapd.conf、schema、DB_CONFIG等

include/

lib/

libexec/ --服务端启动工具slapd

sbin/ --服务端工具如slappasswd

share/

var/ --bdb数据、log存放目录

2. 配置rootdn密码(optional)

#设置rootdn密码；

#这样rootdn密码为密文方式，复制输出密文到主配置文件rootdn对应的位置即可，如果不想麻烦，可以忽略此步，在主配置文件中使用明文即可。

[root@localhost ~]# cd /usr/local/openldap-2.4.44/

[root@localhost openldap-2.4.44]# slappasswd

New password:

Re-enter new password:

{SSHA}K9+WK/t1e0V0K6pUMOyTsaTwkDBNEDiP

[root@localhost openldap-2.4.44]# cd /usr/local/openldap-2.4.44/etc/openldap/

[root@localhost openldap]# vim slapd.conf

#以下修改紫红色字体是未做修改的部分，红色字体是有修改部分，蓝色字体表示新增部分

#schema默认只有core.schema，各级需要添加，这里将同配置文件一个目录的schema目录中有的schema文件都加到配置文件中;
include 	/usr/local/openldap-2.4.44/etc/openldap/schema/collective.schema
include 	/usr/local/openldap-2.4.44/etc/openldap/schema/corba.schema
include 	/usr/local/openldap-2.4.44/etc/openldap/schema/cosine.schema
include 	/usr/local/openldap-2.4.44/etc/openldap/schema/duaconf.schema
include 	/usr/local/openldap-2.4.44/etc/openldap/schema/dyngroup.schema
include 	/usr/local/openldap-2.4.44/etc/openldap/schema/inetorgperson.schema
include 	/usr/local/openldap-2.4.44/etc/openldap/schema/java.schema
include 	/usr/local/openldap-2.4.44/etc/openldap/schema/misc.schema
include 	/usr/local/openldap-2.4.44/etc/openldap/schema/nis.schema
include 	/usr/local/openldap-2.4.44/etc/openldap/schema/openldap.schema
include 	/usr/local/openldap-2.4.44/etc/openldap/schema/pmi.schema
include 	/usr/local/openldap-2.4.44/etc/openldap/schema/ppolicy.schema

pidfile        /usr/local/openldap-2.4.44/var/run/slapd.pid

argsfile    /usr/local/openldap-2.4.44/var/run/slapd.args

#新增日志文件级别与路径，需要在编译时--enable-debug，否则日志文件输出，不影响调试模式;

loglevel    256

logfile    /usr/local/openldap-2.4.44/var/slapd.log

#这里使用mdb做后端数据库，也可修改为"bdb"参数，在OpenLDAP 官方文档" 11.4. LMDB"章节中有介绍mdb是推荐使用的后端数据库;

database    mdb

#使用mdb做后端数据库时，根据官方文档中说明需要设置一个空间值，" In addition to the usual parameters that a minimal configuration requires, the mdb backend requires a maximum size to be set. This should be the largest that the database is ever anticipated to grow (in bytes). The filesystem must also provide enough free space to accommodate this size."；如果使用bdb做后端数据库，需要将此项参数注释;

maxsize        1073741824

#修改域名及管理员账户名;

suffix        "dc=sys,dc=com"

rootdn        "cn=admin,dc=sys,dc=com"

#使用密文密码，即前面使用slappasswd生成的密文;

rootpw        {SSHA}K9+WK/t1e0V0K6pUMOyTsaTwkDBNEDiP

#openldap数据目录，采用mdb时，在相应目录生成" data.mdb"与" lock.mdb"文件；采用bdb时，在相应目录生成" dn2id.bdb"与" id2entry.bdb"，及多个" __db.00*"文件。

directory    /usr/local/openldap-2.4.44/var/openldap-data

index    objectClass    eq

4、 初始化OpenLADP(optional)

#如果采用mdb做后端数据库，此步可忽略，DB_CONFIG是 bdb/hdb数据库使用的；

#与主配置文件中的配置有关，主配置文件确定使用bdb与数据存放路径。

[root@localhost openldap]# cd /usr/local/openldap-2.4.44/var/openldap-data/

[root@localhost openldap-data]# cp DB_CONFIG.example DB_CONFIG

5、启动OpenLADP

#直接在后台工作;

#非root用户不能监听端口1~1024，如果是非root用户，有可能需要重新定义服务端口

[root@localhost ~]# /usr/local/openldap-2.4.44/libexec/slapd

#在前端工作，输出debug信息

[root@localhost ~]# /usr/local/openldap-2.4.44/libexec/slapd -d 256

6、验证

[root@localhost ~]# ldapsearch -x -b '' -s base'(objectclass=*)'

#或者[root@localhost ~]# ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts

#或者使用netstat -tunlp | grep 389，ps -ef | grep slapd，ps aux | grep slapd等也可。

如图示，说明openldap已经启动运行成功：

六．简单使用(示例)

1、创建1个用户
编辑ldif文件

vim test.ldif

dn: dc=sys,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: Example Organization
dc: sys

ldapadd -x -D "cn=admin,dc=sys,dc=com" -W -f test.ldif

验证：

ldapsearch -x -b 'dc=sys,dc=com' '(objectClass=*)'

2、创建一个部门

编辑ldif文件

vim test2.ldif

dn: ou=it,dc=sys,dc=com
objectClass: organizationalUnit
ou: it

ldapadd -x -D "cn=admin,dc=sys,dc=com" -W -f test2.ldif

验证

ldapsearch -x -b 'dc=sys,dc=com' '(objectClass=*)'

七、LDAPSoft Ldap Browser 6.10工具连接LDAP服务器