五月天美女视频,一区二区美女视频,美女视频素材哪里多

OpenLDAP學(xué)習(xí)筆記

LDAP(輕量級(jí)目錄服務(wù)訪問(wèn)協(xié)議，Lightweight Directory Access Protocol)基于X.500標(biāo)準(zhǔn)，支持TCP/IP，使用簡(jiǎn)單方便?，F(xiàn)在越來(lái)越多的網(wǎng)絡(luò)應(yīng)用系統(tǒng)都支持LDAP。OpenLDAP是LDAP的一種開(kāi)源實(shí)現(xiàn)，本筆記基于OpenLDAP2.1.29。

2.1. 源碼安裝

我的安裝方法是以源碼編譯的方式進(jìn)行的，以root用戶進(jìn)行安裝。安裝所需軟件如下：

openldap-2.1.29
Berkeley DB 4.2.52

具體的安裝步驟如下：

由于openldap需要Berkeley DB來(lái)存放數(shù)據(jù)，所以需先安裝Berkeley DB 4.2.52，可到它的網(wǎng)站下載，網(wǎng)址見(jiàn)上面。運(yùn)行下面的命令解壓：
```
# tar -zxvf db-4.2.52.tar.gz
    
```
解完壓后，會(huì)生成一個(gè)db-4.2.52目錄,進(jìn)行該目錄下的build_unix目錄。執(zhí)行以下命令進(jìn)行配置安裝。
```
# ../dist/configure
    # make
    # make install
    
```
也是按linux源碼安裝的三步曲完成，沒(méi)有什么好說(shuō)的了。該軟件默認(rèn)是安裝在/usr/local/BerkeleyDB.4.2目錄下。安裝完成后，要把/usr/local/BerkeleyDB.4.2/lib的庫(kù)路徑加到/etc/ld.so.conf文件內(nèi)，添加完成后執(zhí)行一次ldconfig，使配置文件生效。這樣編譯openldap時(shí)才能找到相應(yīng)的庫(kù)文件。這樣資料庫(kù)就安裝完成了，接下來(lái)可以安裝openldap了。 ld.so.conf是什么東西？它就是系統(tǒng)動(dòng)態(tài)鏈接庫(kù)的配置文件。此文件內(nèi),存放著可被LINUX共享的動(dòng)態(tài)鏈接庫(kù)所在目錄的名字(系統(tǒng)目錄/lib, /usr/lib除外)，各個(gè)目錄名間以空白字符(空格，換行等)或冒號(hào)或逗號(hào)分隔。一般的LINUX發(fā)行版中，此文件均含一個(gè)共享目錄/usr /X11R6/lib，為X window窗口系統(tǒng)的動(dòng)態(tài)鏈接庫(kù)所在的目錄。 ldconfig是它的管理命令，具體操作方法可查詢man手冊(cè)，這里就不細(xì)講了。
到openldap官方網(wǎng)站下載最新的穩(wěn)定版源碼，并解壓。查看INSTALLT 和README文檔，這個(gè)很重要，因?yàn)榘惭b方法和一些注意事項(xiàng)都在里面有介紹。認(rèn)真弄明白文檔內(nèi)容能節(jié)省你不少的安裝調(diào)試時(shí)間。這也是開(kāi)源軟件的一個(gè)特點(diǎn)，給用戶提供了最大的靈活性和可配置性。但也增加了系統(tǒng)安裝配置的難度，需要有相關(guān)的文檔配置說(shuō)明和指導(dǎo)。在官方網(wǎng)站上還有詳細(xì)的幫助文件，在整個(gè)系統(tǒng)配置中需要經(jīng)常查詢。
```
# tar -zxvf openldap-stable-20040329.tgz
    
```
解壓完成后，會(huì)生成一個(gè)openldap-2.1.29目錄。進(jìn)行該目錄，執(zhí)行以下命令進(jìn)行配置安裝。
```
# env CPPFLAGS="-I/usr/local/BerkeleyDB.4.2/include"
    LDFLAGS="-L/usr/local/BerkeleyDB.4.2/lib" ./configure --prefix=/usr/local/openldap
    --enable-ldbm
    
```
注意以上配置語(yǔ)句，要設(shè)置資料庫(kù)的include和lib路徑，否則在配置到資料庫(kù)相關(guān)內(nèi)容時(shí)會(huì)提示Berkeley DB版本不兼容，并中斷配置。如果沒(méi)有--enable-ldbm選項(xiàng)，在make test時(shí)會(huì)提示ldbm找不到。為了減少出錯(cuò)，還是加上為好。
```
#make depens
    #make
    #make test
    
```
在make test階段要花費(fèi)較長(zhǎng)時(shí)間進(jìn)行測(cè)試，好像有16項(xiàng)吧。你可以放松一下，上上網(wǎng)，聊聊天，聽(tīng)聽(tīng)歌，呵呵，開(kāi)玩笑了，這個(gè)時(shí)間應(yīng)該是最緊張的了。成與不成就看這下的了，如果沒(méi)問(wèn)題就可安裝了。
```
#make install
    
```
通過(guò)配置命令可以看出，我們把openldap安裝到/usr/local/openldap目錄下。建議以源碼安裝的軟件都放到獨(dú)立的目錄下，不要放到軟件默認(rèn)的目錄。好處是方便管理和控制，所有文件在統(tǒng)一的目錄下，卸載軟件只要?jiǎng)h除整個(gè)目錄就可以了。

安裝完相關(guān)軟件后就可以著手配置了。Berkeley DB資料庫(kù)沒(méi)什么好配置的。主要是配置openldap 服務(wù)。配置文件在軟件的安裝目錄的etc/openldap下，有四個(gè)文件，主要的是slapd.conf and ldap.conf，其它兩個(gè)是backup文件。首先，我們先來(lái)配置slapd.conf文檔。系統(tǒng)默認(rèn)的slapd.conf文件如下：

# $OpenLDAP: pkg/ldap/servers/slapd/slapd.conf,v 1.23.2.8 2003/05/24 23:19:14 kurt Exp $
    #
    # See slapd.conf(5) for details on configuration options.
    # This file should NOT be world readable.
    #
    include      /usr/local/openldap/etc/openldap/schema/core.schema
    #設(shè)置schema配置文檔包含
    # Define global ACLs to disable default read access.
    # Do not enable referrals until AFTER you have a working directory
    # service AND an understanding of referrals.
    #referral       ldap://root.openldap.org
    pidfile         /usr/local/openldap/var/slapd.pid
    #設(shè)置pid和args文檔位置
    argsfile        /usr/local/openldap/var/slapd.args
    # Load dynamic backend modules:
    # modulepath    /usr/local/openldap/libexec/openldap
    # moduleload    back_bdb.la
    # moduleload    back_ldap.la
    # moduleload    back_ldbm.la
    # moduleload    back_passwd.la
    # moduleload    back_shell.la
    # Sample security restrictions
    #       Require integrity protection (prevent hijacking)
    #       Require 112-bit (3DES or better) encryption for updates
    #       Require 63-bit encryption for simple bind
    # security ssf=1 update_ssf=112 simple_bind=64
    # Sample access control policy:
    #       Root DSE: allow anyone to read it
    #       Subschema (sub)entry DSE: allow anyone to read it
    #       Other DSEs:
    #       Subschema (sub)entry DSE: allow anyone to read it
    #       Other DSEs:
    #               Allow self write access
    #               Allow authenticated users read access
    #               Allow anonymous users to authenticate
    #       Directives needed to implement policy:
    # access to dn.base="" by * read
    # access to dn.base="cn=Subschema" by * read
    # access to *
    #       by self write
    #       by users read
    #       by anonymous auth
    #
    # if no access controls are present, the default policy is:
    #       Allow read by all
    #
    # rootdn can always write!
    #######################################################################
    # ldbm database definitions
    #######################################################################
    database        bdb
    #設(shè)置使用的資料庫(kù)，也可用lbdm。
    suffix          "dc=my-domain,dc=com"
    #設(shè)置目錄后綴
    rootdn          "cn=Manager,dc=my-domain,dc=com"
    #設(shè)置目錄管理員
    # Cleartext passwords, especially for the rootdn, should
    # be avoid.  See slappasswd(8) and slapd.conf(5) for details.
    # Use of strong authentication encouraged.
    rootpw          secret
    #設(shè)置管理密碼，這里用了明文的“secret”密碼。這樣設(shè)置不安全，需使用加密的密碼，下面會(huì)講到如何設(shè)置加密密碼。
    # The database directory MUST exist prior to running slapd AND
    # should only be accessible by the slapd and slap tools.
    # Mode 700 recommended.
    directory       /usr/local/openldap/var/openldap-data
    #設(shè)置資料庫(kù)路徑
    # Indices to maintain
    index   objectClass     eq
    #設(shè)置目錄項(xiàng)索引

要服務(wù)器正常動(dòng)作，要修改一些始初參數(shù)和設(shè)置，修改后的配置文檔如下：

# $OpenLDAP: pkg/ldap/servers/slapd/slapd.conf,v 1.23.2.8 2003/05/24 23:19:14 kurt Exp $
    #
    # See slapd.conf(5) for details on configuration options.
    # This file should NOT be world readable.
    #
    #為了有效使用目錄服務(wù)，包含相關(guān)的文件。注意，在包含文件時(shí)是要按一定順序的，因?yàn)?
    #文件里的屬性存在依賴關(guān)系。如果順序不對(duì)，服務(wù)器啟動(dòng)不了，文檔間的依賴關(guān)系在文檔
    #中都有說(shuō)明，請(qǐng)仔細(xì)查看一下。如果懶得看也可以按我的順序。
    include         /usr/local/openldap/etc/openldap/schema/core.schema
    include         /usr/local/openldap/etc/openldap/schema/corba.schema
    include         /usr/local/openldap/etc/openldap/schema/cosine.schema
    include         /usr/local/openldap/etc/openldap/schema/inetorgperson.schema
    include         /usr/local/openldap/etc/openldap/schema/misc.schema
    include         /usr/local/openldap/etc/openldap/schema/openldap.schema
    include         /usr/local/openldap/etc/openldap/schema/nis.schema
    include         /usr/local/openldap/etc/openldap/schema/samba.schema
    # Define global ACLs to disable default read access.
    # Do not enable referrals until AFTER you have a working directory
    # service AND an understanding of referrals.
    #referral       ldap://root.openldap.org
    pidfile         /usr/local/openldap/var/slapd.pid
    argsfile        /usr/local/openldap/var/slapd.args
    loglevel 1
    #增加了日志功能，需修改syslog配置文件，在文件中增加一項(xiàng)：local4.* /var/log/ldap.log日志級(jí)別定義可查相官方網(wǎng)站的文檔。
    #1級(jí)記錄的信息很多，可用于調(diào)試。
    # Load dynamic backend modules:
    # modulepath    /usr/local/openldap/libexec/openldap
    # moduleload    back_bdb.la
    # moduleload    back_ldap.la
    # moduleload    back_ldbm.la
    # moduleload    back_passwd.la
    # moduleload    back_shell.la
    # Sample security restrictions
    #       Require integrity protection (prevent hijacking)
    #       Require 112-bit (3DES or better) encryption for updates
    #       Require 63-bit encryption for simple bind
    # security ssf=1 update_ssf=112 simple_bind=64
    # Sample access control policy:
    #       Root DSE: allow anyone to read it
    #       Subschema (sub)entry DSE: allow anyone to read it
    #       Other DSEs:
    #               Allow self write access
    #               Allow authenticated users read access
    #               Allow anonymous users to authenticate
    #       Directives needed to implement policy:
    # access to dn.base="" by * read
    # access to dn.base="cn=Subschema" by * read
    # access to *
    #       by self write
    #       by users read
    #       by anonymous auth
    #
    # if no access controls are present, the default policy is:
    #       Allow read by all
    #
    # rootdn can always write!
    #######################################################################
    # ldbm database definitions
    #######################################################################
    database        bdb
    suffix          "dc=it,dc=com"
    #改成你自已的目錄后綴，
    rootdn          "cn=root,dc=it,dc=com"
    #設(shè)置root為管理員，與linux的root沒(méi)有什么關(guān)系。
    # Cleartext passwords, especially for the rootdn, should
    # be avoid.  See slappasswd(8) and slapd.conf(5) for details.
    # Use of strong authentication encouraged.
    rootpw          {MD5}mjkiuPt0wXhpxxkdiOOO+0000000AKq0by
    #設(shè)置root密碼，用MD5加密。密碼串用slappasswd -h {MD5}指令生成
    # The database directory MUST exist prior to running slapd AND
    # should only be accessible by the slapd and slap tools.
    # Mode 700 recommended.
    directory       /usr/local/openldap/var/openldap-data
    # Indices to maintain
    index   objectClass     eq
    #這里可根據(jù)你的需要設(shè)置相關(guān)索引，以加快查詢速度。具體內(nèi)容可查詢官方網(wǎng)站管理手冊(cè)。
    #ACL configure以下內(nèi)容定義訪問(wèn)控制
    access to  attr=userPassworduserPassword
    #只能由自已修改，有效驗(yàn)證用戶查詢。
    by self write
    by anonymous auth
    access to attr=mail
    by dn="cn=root,dc=it,dc=tigerhead" writemail
    #只能由自已修改，有效驗(yàn)證用戶查詢。
    by self write
    by anonymous auth
    access to dn=".*,dc=it,dc=tigerhead"
    #允許所有人查詢沒(méi)受控制訪問(wèn)限制的信息。
    by self write
    by * read

到現(xiàn)在為止，服務(wù)器基本就配置完成了，可以啟動(dòng)了，服務(wù)器程序是位于安裝目錄的libexec下的slapd程序。注意，不是 sldap哦。ok，到現(xiàn)在為止，服務(wù)器基本就配置完成了，可以啟動(dòng)了，服務(wù)器程序是位于安裝目錄的libexec下的slapd程序。注意，不是 sldap哦。啟動(dòng)服務(wù)器執(zhí)行以下命令：

# ./slapd

如果沒(méi)有提示什么出錯(cuò)信息，直接返回shell狀態(tài)，就說(shuō)明服務(wù)器正常啟動(dòng)了，你可以查詢?nèi)罩净蛴胮s -aux查看?；蛴靡韵旅畈樵兎?wù)器:

ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts

如果命令執(zhí)行成功，返回一些信息，則說(shuō)明服務(wù)器正常運(yùn)行了。如果啟動(dòng)不成功，它會(huì)提示一些出錯(cuò)信息，多數(shù)是slapd.conf配置出錯(cuò)。回頭仔細(xì)核查一下配置文檔。

客戶端配置文檔是ldap.conf。該文檔相當(dāng)簡(jiǎn)單，其實(shí)不用配置也能正常操作。

# $OpenLDAP: pkg/ldap/libraries/libldap/ldap.conf,v 1.9 2000/09/04 19:57:01 kurt Exp $
    #
    # LDAP Defaults
    #
    # See ldap.conf(5) for details
    # This file should be world readable but not world writable.
    BASE    dc=it, dc=com設(shè)置目錄起點(diǎn)
    #URI    ldap://ldap.example.com ldap://ldap-master.example.com:666
    #SIZELIMIT      12
    #TIMELIMIT      15
    #DEREF          never

2.2. 數(shù)據(jù)錄入

服務(wù)器正常運(yùn)作后，就可以錄入信息了。信息的錄入有三種方法，一種是手工錄入，一種是.ldif文件格式錄入，一種是腳本自動(dòng)錄入。我們先從最基礎(chǔ)的手工錄入方式開(kāi)始介紹，了解錄入信息的格式。明白了手工錄入的格式，其它兩種方式都很容易明白。信息錄入用到ldapadd這個(gè)程序?？稍诎惭b目錄的bin目錄下找到。

2.2.1. 手動(dòng)錄入方法

第一步是要建立DN：

# ldapadd -x -D 'cn=root,dc=it,dc=com' -W
    dn: dc=it,dc=com
    objectClass: dcObject
    objectClass: organization
    dc: it
    o: Corporation
    description: d Corporation
    注意：如果你用復(fù)制/粘貼功能把以上內(nèi)容拷貝過(guò)去，一定要注意每行后面不要有空格，建議還是手工輸入，按Ctrl+d存盤(pán)。

第二步是建立RDN:
```
# ldapadd -x -D 'cn=root,dc=it,dc=com' -W
    #-x表示用簡(jiǎn)單驗(yàn)證，-D表示指定目錄，-W表示彈出密碼輸入提示
    
```
輸入密碼，這里的密碼是在配置文件中rootpw項(xiàng)設(shè)置的密碼，不是操作系統(tǒng)中root用戶的密碼。驗(yàn)證通過(guò)后就可輸入以下內(nèi)容：
```
dn: uid=qq,dc=it,dc=com
    objectClass: person
    objectClass: organizationalPerson
    objectClass: inetOrgPerson
    uid: qq
    cn: qq
    sn: qq
    telephoneNumber: 138888888
    description: openldap test
    telexNumber: tex-8888888
    street: my street
    postOfficeBox: postofficebox
    displayName: qqdisplay
    homePhone: home1111111
    mobile: mobile99999
    mail:qq@qq.com
    
```
輸入完所有信息后，按Ctrl+d結(jié)束存盤(pán)。如果出現(xiàn)出錯(cuò)信息，請(qǐng)查一下對(duì)象類和屬性的對(duì)應(yīng)關(guān)系有沒(méi)有錯(cuò)或輸入失誤。初學(xué)者就容易出錯(cuò)的地方是對(duì)象類和屬性的對(duì)應(yīng)關(guān)系沒(méi)有處理好。對(duì)象類和屬性是在schema文檔中定義的。它們之間的關(guān)系是這樣的，對(duì)象類中有些屬性是必選的，有些屬性是可選的。錄入信息的屬性必須在對(duì)象類中有定義才能用。

輸入以下命令可查詢到剛才輸入的信息。

# ldapsearch -x -b 'dc=it,dc=com'
-b選項(xiàng)是設(shè)置目錄起點(diǎn)，如果設(shè)置了客戶端的BASE配置參數(shù)，該項(xiàng)可不用。

如果按以上配置文件設(shè)置了acl，用上面的查詢命令是查詢不到受保護(hù)的內(nèi)容的。如上面的userPassword and mail。要查詢到這些受限內(nèi)容，需要通過(guò)驗(yàn)證才可以：

# ldapsearch -x -LLL -h it.com -b 'dc=it,dc=com' -D 'uid=qq,dc=it,dc=com' -W 'uid=qq'
接著提示輸入密碼。輸入userPassword的密碼回車，所有信息就都出來(lái)了。

2.2.2. 文件方式

.ldif文件方式也就是把以上手工輸入的內(nèi)容先寫(xiě)入一個(gè).ldif文件中，然后，用ldapadd命令的-f參數(shù)導(dǎo)入。

# ldapadd -x -D "cn=root,dc=it,dc=com" -W -f test.ldif

一個(gè)完整的global.ldif文件例子：

dn: dc=info, dc=net
objectClass: top
objectClass: organization
o: info.net
dn: ou=People, dc=info, dc=net
objectClass: top
objectClass: organizationalUnit
ou: People
description: User Info
dn: cn=Admin, dc=info, dc=net
objectClass: top
objectClass: person
objectClass: organizationalPerson
cn: Admin
sn: Admin
userPassword: Admin
description: Administrator for info.net
dn: id=1, ou=People, dc=info, dc=net
objectclass: top
objectclass: InfoPerson
id: 1
username: 張三
tel:021-63138990
card_id:ABC001

我們也可用slapadd命令來(lái)導(dǎo)入數(shù)據(jù)。該命令可以導(dǎo)入包含一些系統(tǒng)信息的ldif文件，如：

dn: dc=it,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
dc: it
structuralObjectClass: organization
entryUUID: d97b06da-d77e-1028-9866-d4ec7ac00d12
creatorsName: cn=anonymous            #系統(tǒng)信息
createTimestamp: 20041201005115Z      #系統(tǒng)信息
o:: 5bm/5bee5biC6JmO5aS055S15rGg6ZuG5Zui5pyJ6ZmQ5YWs5Y+4
userPassword:: e01ENX14TXBDT0tDNUk0SU56RkNhYjNXRW13PT0=
entryCSN: 2004120603:50:08Z#0x0001#0#0000     #系統(tǒng)信息
modifiersName: cn=admin,dc=it,dc=com          #系統(tǒng)信息
modifyTimestamp: 20041206035008Z              #系統(tǒng)信息


	再次提醒，注意每行后面不要留有空格。

2.2.3. 腳本方式

腳本錄入方式需要自已編寫(xiě)腳本，或到網(wǎng)上下載。有一個(gè)用PHP寫(xiě)的LDAP管理工具不錯(cuò)，叫phpLDAPadmin?？梢缘揭韵戮W(wǎng)址下載：http://phpldapadmin.sourceforge.net 。安裝方法也很簡(jiǎn)單，只要解壓出來(lái)，拷貝到apache的web目錄下，按說(shuō)明配置一下設(shè)定文檔,就ok了。

2.3. 常用命令介紹

接著為大家介紹一下幾個(gè)常用的ldap命令，如果你用了phpLDAPadmin程序，其實(shí)它已經(jīng)有一個(gè)很好的圖形介面幫你完成這些命令了。但了解一下還是對(duì)你還是很有益的，因?yàn)槊罘椒ú攀亲罡镜摹?/p>

刪除命令ldapdelete

# ldapdelete -x -D 'cn=root,dc=it,dc=com' -W 'uid=qq1,dc=it,dc=com'

重新索引ldap數(shù)據(jù)庫(kù)命令slapindex
```
# slapindex -f slapd.conf
    
```
設(shè)置使用者密碼，當(dāng)然了，你的用戶需要有userPassword項(xiàng)了。
```
#ldappasswd -x -D "cn=root,dc=it,dc=com" -W "uid=qq1,dc=it,dc=com" -S
    New password:
    Re-enter new password:
    Enter bind password:
    Result: Success (0)
    
```
"Enter bind password" 是 "cn=root,dc=it,dc=com"管理員的密碼。


"Enter bind password" 是 "cn=root,dc=it,dc=com"管理員的密碼。

管理員密碼更改

#slappasswd
    New password
    Re-enter new password
    {SSHA}83DJ4KVwqlk1uh9k2uDb8+NT1U4RgkEs

接下再拷貝到 path/to/sldap.conf 的 rootpw 即可,重啟使用配置文件生效

通過(guò)ldapmodify修改目錄內(nèi)容

# ldapmodify -x -D "cn=root,dc=it,dc=com" -W -f modify.ldif

通過(guò)ldif文件修改ldap數(shù)據(jù)，ldif文件格式如下：

dn: cn=qq,dc=it,dc=com
    changetype: modify
    replace: mail
    mail: modme@example.com
    -
    add: title
    title: Grand Poobah
    -
    add: jpegPhoto
    jpegPhoto:< file:///tmp/modme.jpeg
    -
    delete: description
    -

2.4. 啟用sasl驗(yàn)證

前提是你在系統(tǒng)中安裝了sasl認(rèn)證庫(kù)，并在編譯openldap時(shí)支持它，默認(rèn)就支持了。到http://asg.web.cmu.edu/cyrus 下載。安裝方法見(jiàn)我寫(xiě)的sendmail安裝筆記。安裝好之后，需要在sasl中建立相應(yīng)的賬號(hào)，用以下命令可完成。

# saslpasswd2 -c test

接著配置slapd.conf文件，加入以下內(nèi)容。

sasl-regexp
uid=(.*),cn=.*,cn=auth
uid=$1,dc=it,dc=com

重啟服務(wù)器使配置文件生效。這個(gè)配置是最大權(quán)限的配置，如果要細(xì)化請(qǐng)查閱相關(guān)文檔。用以下命令測(cè)試。

# ldapsearch -U qq  -b 'uid=qq,dc=it,dc=com' -D 'dc=it,dc=com' -Y DIGEST-MD5

采用digest-md5驗(yàn)證,提示密碼，輸入saslpasswd2的密碼。

2.5. 配置服務(wù)器復(fù)制

在一些關(guān)鍵的應(yīng)用場(chǎng)合，我們要求LDAP服務(wù)器能提供24小時(shí)不間斷的服務(wù)。當(dāng)一臺(tái)服務(wù)器出現(xiàn)故障或被黑客攻擊時(shí)，我們就能很快地切換到另一臺(tái)備份ldap 服務(wù)器，繼續(xù)保持應(yīng)用的正常運(yùn)行。在openldap中有一個(gè)slurpd進(jìn)程，利用slurpd進(jìn)程可幫助我們實(shí)現(xiàn)主/從結(jié)構(gòu)的ldap服務(wù)器。我們可設(shè)置一臺(tái)主ldap服務(wù)器，多臺(tái)從ldap服務(wù)器，并保持這組ldap服務(wù)器的數(shù)據(jù)同步。使用時(shí)，還需配置DNS服務(wù)器，把DNS服務(wù)器設(shè)置成一個(gè)域名對(duì)應(yīng)你的多個(gè)ldap服務(wù)器的IP地址，就可支持ldap服務(wù)器的不間斷連續(xù)運(yùn)行。下面簡(jiǎn)單介紹一下主、從ldap服務(wù)器的配置。

slurpd 運(yùn)行在主服務(wù)器上，它能把主服務(wù)器上的變化通過(guò)LDAP協(xié)議傳送到從服務(wù)器上。從服務(wù)器上的變化不能傳送到主服務(wù)器上，也就是說(shuō)是單向同步的。主從服務(wù)器的版本最好一樣，以減少兼容性問(wèn)題。主從服務(wù)器的安裝方法是一樣的，關(guān)鍵是配置文件有所不同。我的操作系統(tǒng)是debian sarge，在確保主從服務(wù)器能正常運(yùn)行的前提下進(jìn)行以下配置：

首先，把主從服務(wù)器關(guān)閉。通過(guò)以下三步操作靜態(tài)同步主從服務(wù)器上的數(shù)據(jù)：
1. 把主服務(wù)器上/var/lib/ldap目錄下的所有數(shù)據(jù)庫(kù)文件全部拷貝到從服務(wù)器的同目錄中，覆蓋原有文件。
2. 把主服務(wù)器上的/etc/ldap/schema目錄下的所有schema文件拷貝到從服務(wù)器的同目錄中，覆蓋原有文件。
3. 把主服務(wù)器上/etc/ldap/slapd.conf文件拷貝到從服務(wù)器的同目錄中，覆蓋原有文件。

配置主服務(wù)器上的slapd.conf文件，取消replogfile指令前的注釋符號(hào)，取消后的結(jié)果如下：

# Where to store the replica logs for database #1
    replogfile      /var/lib/ldap/replog

增加replica指令，如：

#replace config
    replica uri=ldap://192.168.6.195:389     #指定從服務(wù)器主機(jī)名和端口號(hào)
    binddn="cn=admin,dc=com"         #指定需同步的DN的管理員
    bindmethod=simple credentials=1  #指定驗(yàn)證方式和需同步的DN的管理員密碼

配置從服務(wù)器上的slapd.conf文件，增加updatedn指令，如：
```
updatedn "cn=admin,dc=com"          #與主服務(wù)器的binddn對(duì)應(yīng)
    
```
在從服務(wù)器的配置文件中，不要包含replica和replogfile指令。
先啟動(dòng)主服務(wù)器的slapd和slurpd，再啟動(dòng)從服務(wù)器的slapd。

配置完成后，我們可測(cè)試一下，在主服務(wù)器上修改一個(gè)目錄項(xiàng)，在從服務(wù)器上可查看目錄項(xiàng)的數(shù)據(jù)已同步。

Chapter 3. 管理工具

Table of Contents

3.1. phpldapadmin
3.2. gq
3.3. CPU
3.4. JXplore
3.5. kldap
3.6. LAM

開(kāi)源的目錄服務(wù)管理工具有很多，包括phpldapadmin，gq，CPU，JXplore等。這些工具可幫助我們方便維護(hù)目錄服務(wù)器上的數(shù)據(jù)。這些工具各有優(yōu)缺點(diǎn)，下面簡(jiǎn)要介紹一下，詳細(xì)的內(nèi)容可參考相關(guān)的官方網(wǎng)站。

3.1. phpldapadmin

3.2. gq

3.3. CPU

3.4. JXplore

3.5. kldap

3.6. LAM

官方網(wǎng)站：http://lam.sourceforge.net/index.htm

Chapter 4. HowTo

禁止整個(gè)服務(wù)器的匿名訪問(wèn)

在slapd.conf配置文件中加入disallow bind_anon即可。
控制日志信息的輸出

在 slapd.conf文件，loglevel選項(xiàng)控制著日志輸出信息的級(jí)別。slapd服務(wù)的日志信息會(huì)記錄在syslogd的LOG_LOCAL4中，我們可以為slapd專門生成一個(gè)日志文件。把以下內(nèi)容添加到syslog.conf文件中再使syslogd進(jìn)程重新讀取配置文件即可。
```
local4.debug                /var/log/slapd.log
    
```
使syslogd進(jìn)程重新讀入配置文件，請(qǐng)用你機(jī)器上真實(shí)的syslogd進(jìn)程的id代替下面的syslogd_pid。
```
debian:~# kill -HUP syslogd_pid
    
```

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。

国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看