安装和配置OPENLDAP.doc

安装和配置OPENLDAP
必需的软件包
在大多数基于软件包的系统上(例如,在基于 RPM 的分发版(distribution)上,如 Red Hat、Mandrake 和 SuSE)安装和配置 OpenLDAP 是一个相对比较简单的过程。第一步先确定将哪些 OpenLDAP 组件(如果有的话)作为初始 Linux 设置的一部分进行安装。
从控制台窗口或命令行,输入:
[******@thor root]# rpm -qa | grep openldap
openldap-devel--4
openldap--4
openldap-servers--4
openldap-clients--4
[******@thor root]#
您应该看到类似上面的输出。注:Red Hat 分发版安装 OpenLDAP 客户机软件,但不安装 openldap-servers 软件包,即使您选择了服务器配置也是如此。要安装 RPM 软件包,在分发版媒质上找到所需文件的位置并输入:
rpm -ivh packagename
配置 OpenLDAP 服务器
安装了必需的软件之后,下一步是要配置服务器。首先,备份原始配置文件以供今后参考( cp /etc/openldap/ /etc/openldap/ )。现在,在您所喜爱的文本编辑器中打开/etc/openldap/ 文件,花几分钟时间通读注释。除了定义目录数据库类型、suffix、rootdn 和存储目录数据库的位置的几个项外, 中的大多数缺省设置都是适当的。
database        ldbm
suffix          "dc=syroidmanor,"
rootdn          "cn=root,dc=,"
rootpw          {CRYPT}05T/JKDWO0SuI
directory /var/lib/ldap
index   objectClass,uid,uidNumber,gidNumber,memberUid   eq
index   cn,mail,surname,givenname                       eq,subinitial
保护 rootdn
rootdn 项控制谁可以对目录数据库进行写操作,以及他们要这样做所必须提供的密码。请确保阅读“访问控制”一章结束部分的注释:
# if no access controls are present, the default is:
#       Allow read by all
#
# rootdn can always write!
“rootdn can always write!”(rootdn 总是可以写!)的意思正如它所表示的那样。您在 rootdn = 部分填充的任何项都是对数据库有完全读/写访问权的用户。另外,缺省配置文件使用“secret”作为密码,它以明文形式发送。如果只能从装了防火墙与外界隔离的内部网访问您的 LDAP 服务器,并且确信将访问 LDAP 服务器的用户不知道有关信息包嗅探的任何事