在现代 it 基础架构错综复杂的环境中,有效管理用户数据和身份验证至关重要。openldap 是轻量级目录访问协议的开源实现,为集中用户信息提供了强大的尊龙游戏旗舰厅官网的解决方案。
在 debian 12 上安装 openldap (bookworm)
第 1 步。在安装 openldap 之前,建议更新系统以确保所有软件包都是最新的。您可以通过在终端中运行以下命令来执行此操作:
sudo apt update sudo apt install curl gnupg apt-transport-https
此命令将刷新存储库,允许您安装最新版本的软件包。
第 2 步。在 debian 12 上安装 openldap。
使用以下命令安装 openldap 服务器和相关实用程序:
sudo apt install slapd ldap-utils
在安装过程中,系统会提示您设置 ldap 管理员密码。
通过检查服务状态来确认 openldap 的成功安装:
sudo systemctl status slapd
第 3 步。配置openldap。
现在openldap已经安装,让我们继续它的配置:
sudo nano /etc/ldap/ldap.conf
根据需要修改行:
base dc=example,dc=com uri ldap://localhost
使用该实用程序为 ldap 管理员创建散列密码:slappasswd
slappasswd
复制生成的哈希并在配置文件中更新管理员的密码:
sudo nano /etc/ldap/slapd.d/cn=config/olcdatabase={0}config.ldif
第 4 步。网络配置和端口设置。
确保 openldap 可通过网络访问。调整防火墙规则以允许 ldap 流量:
sudo ufw allow ldap
第5步。创建 ldap 目录结构。
准备 ldif 文件以定义目录的结构。例如,创建一个名为 :base.ldif
dn: dc=example,dc=com objectclass: top objectclass: dcobject objectclass: organization o: example organization dc: example dn: ou=people,dc=example,dc=com objectclass: organizationalunit ou: people dn: ou=groups,dc=example,dc=com objectclass: organizationalunit ou: groups
将 ldif 文件中的条目添加到目录中:
ldapadd -x -d "cn=admin,dc=example,dc=com" -w -f base.ldif
第5步。填充目录。
通过使用 ldif 文件添加条目来扩展目录。例如,创建一个文件:user.ldif
dn: uid=john,ou=people,dc=example,dc=com objectclass: top objectclass: person objectclass: organizationalperson objectclass: inetorgperson cn: meilana maria sn: joe givenname: meilana uid: meilana mail: meilana@example.com userpassword: {ssha}lqfb6geqzrqxzjlr4wx2t8qefjsny5he
添加条目:
ldapadd -x -d "cn=admin,dc=example,dc=com" -w -f user.ldif
第 6 步。实施访问控制。
访问控制列表定义谁可以访问目录的哪些部分。修改文件中的 acl。例如,要授予对“人员”ou 的只读访问权限,请按如下所示修改 acl 部分:olcdatabase={2}hdb.ldif
olcaccess: {2}to dn.subtree="ou=people,dc=example,dc=com" by users read
步骤 7.启用 tls/ssl 加密。
生成用于保护通信的自签名 ssl 证书:
sudo openssl req -new -x509 -nodes -out /etc/ldap/ssl/cert.pem -keyout /etc/ldap/ssl/key.pem -days 365
编辑文件以启用 tls/ssl:slapd.conf
sudo nano /etc/ldap/slapd.conf
添加以下行:
tlscacertificatefile /etc/ldap/ssl/cert.pem tlscertificatefile /etc/ldap/ssl/cert.pem tlscertificatekeyfile /etc/ldap/ssl/key.pem
第8步。将openldap与应用程序集成。
要启用基于 ldap 的 ssh 身份验证,请更新文件:/etc/ssh/sshd_config
sudo nano /etc/ssh/sshd_config
添加行:
authorizedkeyscommand /usr/bin/ssh-ldap-helper
第9步。故障排除和常见问题。
- 分析日志中的错误
使用以下命令检查日志:journalctl
sudo journalctl -u slapd
- 处理连接问题
确保 ldap 服务正在运行且可访问。如果需要,请检查防火墙设置。
感谢您使用本教程在 debian 12 书虫上安装最新版本的 openldap。有关其他帮助或有用信息,我们建议您查看。
未经允许不得转载:尊龙游戏旗舰厅官网 » 如何在 debian 12 上安装 openldap