LDAP服务器搭建新手指南[通俗易懂]

大家好，又见面了，我是你们的朋友全栈君。

安装

1.       这里使用的文件和版本如下（在google上搜索一下，应该能够找到下载）：

a)         OPENLDAP服务器：openldap-2.2.29-db-4.3.29-openssl-0.9.8a-win32_Setup.exe

b)         OPENLDAP客户端工具（不用安装）：LdapAdminExe-0.9.96.zip

2.       直接安装OPENLDAP服务器程序软件，安装后，请尽量保证服务处于关闭状态，因为还有一些设置需要调整，有可能会对服务器有所影响。

服务器基本配置及数据导入

1.       打开安装目录，默认路径为：C:/ Program Files/OpenLDAP

2.       找到服务器配置文件slapd.conf，用记事本或者UE打开，找到如下的段落：

 

#######################################################################

# BDB database definitions

#######################################################################

 

// 数据库类型，无需修改

database          bdb 

// 根目录后缀，可修改等号右边内容，建议在不熟悉实体类的情况，先不要修改等号左边的内容                    

suffix                  “O=FOUNDER,C=CN” 

// 用户的登录名，请先保证含有完整的suffix，否则可能不能启动服务    

rootdn              “CN=DOC,O=FOUNDER,C=CN”       

# Cleartext passwords, especially for the rootdn, should

# be avoid.  See slappasswd(8) and slapd.conf(5) for details.

# Use of strong authentication encouraged.

// 用户的登录密码

rootpw             1      

# The database directory MUST exist prior to running slapd AND

# should only be accessible by the slapd and slap tools.

# Mode 700 recommended.

// 数据保存文件路径

directory ./data     

# Indices to maintain

index         objectClass      eq

 

3.       修改完毕，打开桌面上的快捷cmd方式或者通过运行找到安装有openldap服务的安装目录，默认为C:/ Program Files/OpenLDAP，并输入net start OpenLDAP-slapd命令来启动服务。

4.       打开我们的客户端工具LdapAdmin，其界面和输入内容如下：

 

 

输入完毕，请点击“测试连接”，查看连接是否正常，如果此时连接正常的话，即可看到如下的界面：

 

 

并提示，没有任何实体内容！这是正常的，下面我们就需要创建根节点啦：

 

5.       我们通过命令行的方式来进行创建，这也是一种批量插入数据的方式，当然也可以通过客户端来进行设置，但貌似客户端经常会出现一些比较奇怪的问题，所以这里以执行命令文件的方式来添加数据，具体步骤如下：

a)         在安装程序目录中，新建一个空的txt文件，并将其文件类型修改为“*.ldif”，这里修改为“ldap.ldif”，并输入如下内容：

dn: O=FOUNDER,C=CN

objectClass: top

objectClass: organization

o: FOUNDER

b)         保存完毕，打开命令行工具，执行如下命令：

ldapadd -x -D “CN=DOC,O=FOUNDER,C=CN” -W -f ldap.ldif

会提示请输入密码，输入密码后回车，即会提示“添加节点O=FOUNDER,C=CN成功”

c)         然后我们再使用客户端登陆，会发现如下的情况：

d)         我们可以通过客户端来进行实体的添加，也仍旧可以通过批量执行文件的方式来操作，下面我们继续通过命令文件添加一些内容，但在这之前，请我们再次打开配置文件slapd.conf，找到如下段落：

#

# See slapd.conf(5) for details on configuration options.

# This file should NOT be world readable.

#

ucdata-path     ./ucdata

include               ./schema/core.schema

include              ./schema/cosine.schema

include              ./schema/corba.schema

include              ./schema/dyngroup.schema

include              ./schema/inetorgperson.schema

include              ./schema/java.schema

include              ./schema/misc.schema

include              ./schema/nis.schema

include              ./schema/openldap.schema

 

将粗体部分拷贝到文件中，这都是一些实体类，服务器默认已经为我们提供了非常多的数据类，也基本能够满足我们日常的使用需要，但是如果我们的数据类型实在太过特殊，无法通过搭配已有数据类来进行描述，我们可以自己编写实体类，但在没有熟悉其概念之前，还请不要贸然下手，因为里面牵扯的概念很多，而且一个不注意，或者是空格，有的是时候，甚至是编码的格式，都会导致服务器无法正常启动的问题，尤其是在windows平台下，还请慎重！

e)         扩充完我们的实体类后，我们需要重新启动服务，然后，继续编写如下的代码到脚本文件中：

 

dn: cn=DOC,O=FOUNDER,C=CN

objectClass: organizationalRole

cn: DOC

 

dn: cn=Certificate,cn=DOC,O=FOUNDER,C=CN

objectClass: top

objectClass: organizationalRole

cn: Certificate

 

dn: cn=CRL,cn=DOC,O=FOUNDER,C=CN

objectClass: top

objectClass: organizationalRole

cn: CRL

 

dn:cn=Cert_01,cn=Certificate,cn=DOC,O=FOUNDER,C=CN

objectClass:person

objectClass:inetOrgPerson

cn:Cert_01

sn:8B4FB21E4588C29F3D4CDE2EB0B33E877A2D9C92

userCertificate;binary::MIIFJzCCBA+gAwIBAgIKEUaJgQAAAAAAAjANBgkqhkiG9w0BAQUFADBaMRMwEQYKCZImiZPyLGQBGRYDQ09NMRcwFQYKCZImiZPyLGQBGRYHRk9VTkRFUjEUMBIGCgmSJomT8ixkARkWBEhPTEQxFDASBgNVBAMMC+aWueato0FwYWJpMB4XDTA2MDgwODA1NTQzNVoXDTA3MDgwODA2MDQzNVowgZExCzAJBgNVBAYTAkNOMRIwEAYDVQQIDAnljJfkuqzluIIxDzANBgNVBAcMBuWMl+S6rDEOMAwGA1UEChMFQXBhYmkxEDAOBgNVBAsTB1Byb2R1Y3QxEjAQBgNVBAMMCeadqOahguaelzEnMCUGCSqGSIb3DQEJARYYZ3VpbGluX2dhdmluQGhvdG1haWwuY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDbQKD/GFW/RsnxESA9WFZtXn4ihLBddsv6BrXMvpfuUDzbiyaIP/zkuFha7zquHtsyDP7zxrcqpG73szRRZuQltI9cfUJakxmxbpPMGSfdZfQTPOop1oQCLTshcg1txLQJbHUPWaW89kCLyalDtsGCaPziQbbp7MZCu9RgM21vWQIDAQABo4ICOTCCAjUwDgYDVR0PAQH/BAQDAgTwMEQGCSqGSIb3DQEJDwQ3MDUwDgYIKoZIhvcNAwICAgCAMA4GCCqGSIb3DQMEAgIAgDAHBgUrDgMCBzAKBggqhkiG9w0DBzAdBgNVHQ4EFgQU/cqm57cTWYBfcS12OgrZOUssXtwwEwYDVR0lBAwwCgYIKwYBBQUHAwIwHwYDVR0jBBgwFoAUHS4GWMc5SZMJrRUiYYAlFi2Nu/kwgZwGA1UdHwSBlDCBkTCBjqCBi6CBiIZBaHR0cDovL3lhbmdndWlsaW4uaG9sZC5mb3VuZGVyLmNvbS9DZXJ0RW5yb2xsLyE2NWI5ITZiNjNBcGFiaS5jcmyGQ2ZpbGU6Ly9cXHlhbmdndWlsaW4uSE9MRC5GT1VOREVSLkNPTVxDZXJ0RW5yb2xsXCE2NWI5ITZiNjNBcGFiaS5jcmwwgegGCCsGAQUFBwEBBIHbMIHYMGkGCCsGAQUFBzAChl1odHRwOi8veWFuZ2d1aWxpbi5ob2xkLmZvdW5kZXIuY29tL0NlcnRFbnJvbGwveWFuZ2d1aWxpbi5IT0xELkZPVU5ERVIuQ09NXyE2NWI5ITZiNjNBcGFiaS5jcnQwawYIKwYBBQUHMAKGX2ZpbGU6Ly9cXHlhbmdndWlsaW4uSE9MRC5GT1VOREVSLkNPTVxDZXJ0RW5yb2xsXHlhbmdndWlsaW4uSE9MRC5GT1VOREVSLkNPTV8hNjViOSE2YjYzQXBhYmkuY3J0MA0GCSqGSIb3DQEBBQUAA4IBAQBdH2cuKuT+xa125TNSkHo+WEsI1rvwwIGYG+c1wWjDp2tzh8u1ioaPJ+WIC5ViG4bc7r3rPZ6vUWaC0TIWE1//S87W5eEHc8ScARvfd/jz+62FocTcJEvEQ/xGoXeGx+vTf6tR1a+w0dn7AzIxjqaCIZr0wY1oxX3P3GVr2ZwOD3AK73gTUa9w3JDhHCsXsrJ3Ib/An9IXTdxD9Je+9hq/2PLJyM2kD5LhVCDbtPGxSvIB8LzlKEcDW37ZRXh+W/pWXZnMNVNjmVu1cvA96BnsDrPh3b9Nr52S5hzKnkIGd+gMhctCXH2e8u2jGaDlLlrxFN2yBXHiKNeMWLB+jrro

 

dn:cn=CRL_01,cn=CRL,cn=DOC,O=FOUNDER,C=CN

objectClass: organizationalRole

objectClass:pkiCA

cn: CRL_01

certificateRevocationList;binary::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

f)          保存后，重复步骤b中的命令，进行节点添加，之所以把完整的代码给出，也是方便大家进行直接动手实验，因为这里添加了证书文件和证书吊销列表文件的数据，这两种数据需要首先进行base64加密后，通过这种方式进行添加，而且要注意，其在文件中，必须保证中间没有任何多余字符，尤其注意在赋值的时候的具体写法，因为这两部分数据在LDAP服务器中是以二进制的形式进行保存的。

g)         在应用中，我们如果需要使用一些实体类的话，必须首先关注其关键字段都是那些，因为这些字段在实例化的时候，都是必须赋值的，也是DN关键索引中必须要标明的，所以一定要慎重选择。

h)         好了，我们可以打开客户端查看一下目前的数据结构了，图示如下：

 

 

客户端提供了很多的功能，如果打算深入学习的话，请多多尝试，毕竟图形化界面比较容易学习，但是命令行模式下，也是很方便的一种方式，如果我们有数据脚本的话。