LDAP服务

最新推荐文章于 2025-03-14 14:51:39 发布
原创 最新推荐文章于 2025-03-14 14:51:39 发布 · 1.3w 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ldap

OpenLDAP是一个开源的LDAP实现,用于身份认证、权限管理和目录服务。它具有高读取效率、开放标准、强安全认证等特点,常用于网络服务、统一认证等场景。LDAP信息模型基于条目和属性,objectClass定义了条目的结构。常用命令包括ldapadd、ldapdelete等。OpenLDAP部署涉及服务端和客户端配置,管理工具如Ldapadmin和Phpldapadmin提供便利。LDAP用户组织模型通常模拟公司结构。了解这些概念和实践对于企业级身份管理至关重要。

LDAP服务

基本概念

Openldap 官方入口 ===》 OpenLDAP Software 2.6 Administrator’s Guide

LDAP定义

LDAP是轻量目录访问协议,英文全称是LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL,一般都简称为LDAP。

读写效率非常高: 对读操作进行优化的一种数据库,在读写比例大于7比1的情况下,LDAP会体现出极高的性能。这个特性正适合了身份认证的需要。
开放的标准协议: 不同于SQL数据库,LDAP的客户端是跨平台的,并且对几乎所有的程序语言都有标准的API接口。即使是改变了LDAP数据库产品的提供厂商,开发人员也不用担心需要修改程序才能适应新的数据库产品。这个优势是使用SQL语言进行查询的关系型数据库难以达到的。
强认证方式:可以达到很高的安全级别。在国际化方面,LDAP使用了UTF-8编码来存储各种语言的字符。
OpenLDAP开源实现: OpenLDAP还包含了很多有创造性的新功能,能满足大多数使用者的要求。OpenLDAP是其中最轻便且消耗系统资源最少的一个。OpenLDAP是开源软件,近年国内很多公司开发的LDAP产品都是基于OpenLDAP开发的。
灵活添加数据类型:LDAP是根据schema的内容定义各种属性之间的从属关系及匹配模式的。例如在关系型数据库中如果要为用户增加一个属性,就要在用户表中增加一个字段,在拥有庞大数量用户的情况下是十分困难的,需要改变表结构。但LDAP只需要在schema中加入新的属性,不会由于用户的属性增多而影响查询性能。
数据存储是树结构:整棵树的任何一个分支都可以单独放在一个服务器中进行分布式管理,不仅有利于做服务器的负载均衡,还方便了跨地域的服务器部署。这个优势在查询负载大或企业在不同地域都设有分公司的时候体现尤为明显。

LDAP的特点

1.LDAP 是一种网络协议而不是数据库,而且LDAP的目录不是关系型的,没有RDBMS那么复杂,
2.LDAP不支持数据库的Transaction机制,纯粹的无状态、请求-响应的工作模式。
3.LDAP不能存储BLOB,LDAP的读写操作是非对称的,读非常方便,写比较麻烦,
4.LDAP支持复杂的查询过滤器(filter),可以完成很多类似数据库的查询功能。
5.LDAP使用树状结构,接近于公司组织结构、文件目录结构、域名结构等我们耳熟能详的东东。 LDAP使用简单、接口标准,并支持SSL访问。

LDAP的主要应用场景

1.网络服务:DNS服务
2.统一认证服务:
3.Linux PAM (ssh, login, cvs. . . )
4.Apache访问控制
5.各种服务登录(ftpd, php based, perl based, python based. . . )
6.个人信息类,如地址簿
7.服务器信息,如帐号管理、邮件服务等

产品

LDAP从下面厂商获得广泛支持:
Apache(通过Apache目录服务器)
Apple(通过Open Directory)
AT&T
Banyan
HP
IBM/Lotus
ISODE(通过M-Vault server)
Microsoft(通过Active Directory)
Netscape(现在是Sun Microsystems和Red Hat的产品)
Novell(通过eDirectory)
OctetString(通过VDE服务器)
Oracle(通过Oracle Internet Directory)
Red Hat(通过Fedora目录服务器)
西门子公司(通过DirX服务器)
Sun(通过iPlanet目录服务器)
此外还有开源/自由软件的实现——如OpenLDAPApache HTTP Server使用代理服务器(通过模块mod_proxy)支持LDAP。

ldap的信息模型

LDAP的信息模型是建立在"条目"(entries)的基础上。一个条目是一些属性的集合,并且具有一个全局唯一的"可区分名称"DN,一个条目可以通过DN来引用。每一个条目的属性具有一个类型和一个或者多个值。类型通常是容易记忆的名称,比如"cn"是通用名称(common name) ,或者"mail"是电子邮件地址。条目的值的语法取决于属性类型。比如,cn属性可能具有一个值"Babs Jensen" 。一个mail属性可能包含"bbs@kevin.com" 。一个jpegphoto属性可能包含一幅JPEG(二进制)格式的图片。

LDAP的objectClass

LDAP通过属性objectClass来控制哪一个属性必须出现或允许出现在一个条目中,它的值决定了该条目必须遵守的模式规则。可以理解为关系数据库的表结构。接下来会用到的objectClass有
在这里插入图片描述

LDAP常用关键字列表

ldap的entry是由各种字段构成,可以理解为关系数据库的字段。

在这里插入图片描述
这里,我们把dn当做用户唯一主键, cn是common name,应该等同于用户名,因为用户名必须唯一,通常为邮箱前缀,比如ryan.miao. sn作为姓氏, uid作为用户id。通常用户id也是唯一的。所以在使用ldap做认证的时候,大概逻辑如下:

  1. 配置ldap host, admin, admin pass
  2. 用户登录时传递username
  3. 读取配置的ldap信息,查询cn或者uid等于username的数据
  4. 取出第一个记录, 获得dn,根据dn和password再次去ldap服务器认证。即我们必须保证cn或uid是全局唯一的,认证通常需要进行两次。原因就在于dn没办法根据用户名计算出来。

LDAP用户组织模型

在这里插入图片描述
在这里插入图片描述

OpenLDAP部署

OpenLDAP服务端

OpenLDAP客户端配置

验证

getent group
getent passwd
id

ldap命令

ldap主要命令有ldapadd, ldapmodify, ldapsearch. 我们用到的操作项有
在这里插入图片描述

//ldap密码加密
[root@sysadmin slapd.d]# slappasswd -s 123456
{SSHA}L7+DyjMa7U7XOU/V0euIKa1ef+xBoLf9



//搜索信息
ldapsearch -LL -Y EXTERNAL -H ldapi:///  -b dc=test,dc=com

//添加用户,组信息
ldapadd -x -D 'cn=admin,dc=test,dc=com' -W -f  test.ldif 

//修改信息交互式
ldapmodify -a -H ldap://192.168.3.50:389 -D "cn=admin,dc=test,dc=com" -w 123456


//删除用户或者组
ldapdelete -x -H ldap://192.168.3.50:389  -D "cn=admin,dc=test,dc=com" -w 123456 "uid=admin,ou=People,dc=test,dc=com"
ldapdelete -x -H ldap://192.168.3.50:389  -D "cn=admin,dc=test,dc=com" -w 123456 "cn=testgroup,ou=Group,dc=test,dc=com"
ldapdelete -x -H ldap://192.168.3.50:389  -D "cn=admin,dc=test,dc=com" -w 123456 "cn=osadmin,ou=Group,dc=test,dc=com"

管理工具

Ldapadmin

Download link ===⇒ 访问LDAP Admin官网下载
在这里插入图片描述

Phpldapadmin

参考资料

轻型目录访问协议
Ldap中文网
openldap介绍和使用
Openldap安装部署

LDAP client安装
dacming的博客
06-07 1561
CentOS操作系统上LDAP客户端配置iso:centos7.9配置DNS 2、挂载光盘 3、配置YUM源 4、更新yum源 5、测试yum 6、安装ldap客户端相关软件 7、关闭Selinux 8、关闭并禁用防火墙 9、一般来说直接配置了下述命令就可以直接使用相应的openldap 认证: 10、检索LDAP服务器上的相关用户信息 11、查看相关配置文件/etc/nsswitch.conf 该文件主要用于名称转换服务,用于系统验证用户身份所读取本地文件或是远程验
LDAP流量分析(一):LDAP服务器搭建
最新发布
Neolock的博客
07-11 965
LDAP环境搭建到抓流量分析,最后再回头总结一下LDAP的知识,如果你想上手学习LDAP,希望可以帮到你
windows下的ldap服务
08-27
开放的windows下的LDAP(轻量级的目录处理)服务器,性能很好哦。
[ LDAP ] LDAP服务搭建及应用
weixin_30247307的博客
08-17 436
ldap 搭建及应用node1: 192.168.118.14node2: 192.168.118.25ldap server : 192.168.118.14 1. 安装LDAP服务器 [root@node1 ~]# yum install openldap-servers -y # 安装ldap服务器端软件 [root@node1 openldap]# cp -a /usr/...
LDAP服务(单点,主从,双主部署)
lsdlq的博客
02-07 954
最近公司的LDAP服务器同步出现故障了,很多的服务都是连接ldap进行验证的,接着重新修复的机会写一下这个文档,LDAP基础的知识和实现我就不讲了,这次只写怎么部署和用的,那么废话不多说,上干货。
一、LDAP目录服务介绍
Jian Sun_的博客
11-05 4223
1.Ldap 目录服务介绍 1.1 什么是目录服务(active directory) (1)目录是一类为了浏览和搜索数据为设计的特殊的数据库,目录服务是按照树状存储信息的; (2)目录进行更新的操作,可以说是要么全部,要么都不的原子性操作; (3)目录不支持大多数事务型数据库所支持的高吞吐量和复杂的更新操作,适应于大量的查询和搜索操作,为了保证数据的可靠性和可用性,他也有主从服务器同步数据信息能力; (4)ldap 也可以一主多从。 1.2 什么是Ldap?? LDAP是轻量级目录访问.
ldap服务
weixin_38076419的博客
05-03 473
###################################UNIT2_8.LDAP网络用户帐户 1.LDAP 客户端配置的主要元素  1)服务器的完全限定主机名  2)基础 DN , 用于搜索用户定义  3)认证机构 (“ CA” ) 证书 , 用于签署 LDAP 服务器的 SSL 证书 2.安装客户端软件  • authconfig-gtk  • sssd  • krb5-wo...
精选资源
服务器搭建之十四LDAP服务器.docx
06-08
在Linux环境中, Lightweight Directory Access Protocol (LDAP) 服务器是一种用于存储和检索用户、组、网络资源等信息的目录服务。本文将详细介绍如何在Xubuntu操作系统上搭建一个基于slapd、ldap-utils、db-util、...
精选资源
rogue-jndi:用于JNDI注入攻击的恶意LDAP服务
05-04
用于JNDI注入攻击的恶意LDAP服务器。 描述 该项目包含LDAP和HTTP服务器,用于利用默认情况下不安全的Java JNDI API。 为了执行攻击,您可以在本地启动这些服务器,然后在易受攻击的客户端上触发JNDI解析,例如: ...
LDAP 服务器搭建和应用
oMuZuo12345的博客
03-14 850
配置域名称和管理员密码。根据需求配置更多的 OU、用户账户等信息。
windows下ldap服务和客户端
04-14
本次上传主要是windows端的ldap服务和客户端,用于在windows环境下搭建一套ldap,方便学习ldap的相关功能,熟悉其中的一些环境配置
LDAP服务器.pdf
06-25
相比传统的基于Web的数据库设计,如Windows NT + IIS + Access或Linux + Apache + PostgreSQL,LDAP目录服务解决了几个关键问题。首先,由于不依赖关系数据库,它避免了性能下降和复杂的管理系统。其次,LDAP提供更...
浅谈LDAP服务
qq_26299837的博客
11-24 2194
LDAP是目录服务,前身是X500,但是X500不支持TCP/IP,所以出现了LDAP协议,默认端口是389。LDAP的查询速度很快,写入很慢,适用于读多写少的情况。 LDAP中的结构是树形的,一条记录,包含一个dn,dn由dc,ou,cn等组成,这正好是一个域名的方式,一个dn就是一个主键,用来表示这条记录的唯一性。 例如 dn:cn=harbor,ou=eng,dc=centling,dc
LDAP目录服务
GiantCrocodile的博客
01-25 971
LDAP是目录服务,基于X.500,目录服务有两个国际标准,分别是LDAP和X.500。LDAP是X.500的子集,包含了X.500大多数功能,因为X.500是在整个OSI协议栈上操作,占用大量的空间,所以轻量级的有大部分X.500功能的LDAP就应用的广泛了,LDAP在TCP/IP协议操作。 LDAP是活动目录在linux上的开源实现,具有主从复制能力。 LDAP的名词缩写: 1.dc 域名部分 域名可以有很多层级,例如abc.com,com是一级域名(不同的一级域名有不同的行业分类),abc是组织的域名
LDAP统一认证服务解决方案
崔向阳@李晓的博客
11-02 9112
LDAP是什么 首先LDAP是一种通讯协议,LDAP支持TCP/IP。协议就是标准,并且是抽象的。在这套标准下,AD(Active Directory)是微软出的一套实现。 那AD是什么呢?暂且把它理解成是个数据库。也有很多人直接把LDAP说成数据库(可以把LDAP理解成存储数据的数据库)。像是其他数据库一样,LDAP也是有client端和server端。server端是用来存放资源,client端用来操作增删改查等操作。 而我们通常说的LDAP是指运行这个数据库的服务器。 可以简单理解AD =LD
LDAP协议
qq_45800977的博客
08-09 1267
目录服务是一个特殊的数据库,按照树状存储信息,目录告诉用户某些内容在网络中的位置。目录服务的数据类型主要是字符型。主要面向数据的查询服务,有很强的查询功能。目录具有广泛复制信息的能力,适合于多个目录服务器同步/更新。树形只是推荐的底层数据存储方式,因为读多写少,所以其实也可以使用传统关系型数据库作为LDAP数据源。LDAP只是一个协议,约定的是C/S之间的通信方式,理论上服务器只要能处理LDAP协议规定操作返回正确结果即可。将用户数据放在LDAP服务器上,通过LDAP服务器上的数据对用户做认证处理。
LDAP服务器的概念和原理简单介绍
11-20 2229
LDAP服务器的概念和原理简单介绍。
LDAP服务原理
吉祥小家
02-25 235
LDAP LDAP是Lightweight Directory Access Protocol的缩写,顾名思义,它是指轻量级目录访问协议(这个主要是相对另一目录访问协议X.500而言的;LDAP略去了x.500中许多不太常用的功能,且以TCP/IP协议为基础)。   详见:http://czmmiao.iteye.com/blog/1561597 ...
LDAP服务搭建,phpLDAPadmin+python管理服务
seanyang_的博客
10-31 2089
LDAP(Lightweight Directory Access Protocol)是一种轻量级的目录访问协议。它最初是用于在 TCP/IP 网络上访问 X.500 目录服务,但由于其简单和高效的特点,现在广泛应用于企业、组织等系统中的身份验证、授权、信息管理等方面。LDAP 的主要作用是在目录中查找和修改信息。目录可以视为一个包含了关于人员、组织、设备等信息的数据库**(可以理解为企业微信中的通讯录,就是一个树的结构)**。
LDAP服务
03-27
<think>好的,用户想了解LDAP服务器的配置与实现。首先,我需要回顾一下LDAP的基本概念,确保自己理解正确。LDAP是轻量目录访问协议,用于访问和管理目录服务,比如用户认证信息。根据用户提供的引用内容,OpenLDAP和Active Directory是常见的实现。 接下来,用户的问题具体是配置和实现,所以需要分步骤说明。根据引用2,CentOS 7.9上可以搭建LDAP服务器,可能需要安装OpenLDAP相关软件包。引用3提到一个基于ApacheDS的内存LDAP服务器,适合测试,但用户可能需要生产环境的配置。引用4涉及客户端配置,比如安全组、VPC和网卡设置,这些在配置服务器时需要考虑网络环境。 首先,我应该整理安装步骤,包括安装OpenLDAP、配置基础数据库、修改slapd.conf或cn=config的动态配置。然后,创建组织结构和用户条目,可能需要使用ldapadd命令导入LDIF文件。接着,配置SSL/TLS加密,提升安全性。最后,客户端配置部分需要说明如何安装ldap-utils,修改ldap.conf,以及测试连接。 同时需要确保回答中的技术细节正确,比如配置文件路径、命令示例。还要注意引用对应的来源,比如引用2和3提到的项目。可能的问题点包括不同Linux发行版的包管理差异,动态配置与传统配置的区别,以及SELinux或防火墙设置的影响,这些需要适当提及。 用户可能还关心性能优化、高可用性配置,但当前问题集中在基础配置和实现,所以保持重点。最后,生成相关问题时,可以涉及安全性、监控工具、与其他服务的集成等,以帮助用户深入探索。</think>### LDAP服务器配置与实现步骤 LDAP(轻型目录访问协议)服务器的核心功能是存储和管理层级化目录数据,典型应用场景包括企业用户认证、设备管理等[^1]。以下是OpenLDAP服务器的标准配置流程: 1. **基础环境安装** ```bash # CentOS 7.9安装示例 yum install -y openldap openldap-servers openldap-clients cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG chown ldap:ldap /var/lib/ldap/DB_CONFIG ``` 2. **配置slapd服务** ```bash # 修改基础配置 vim /etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif # 设置域名和权限 olcSuffix: dc=example,dc=com olcRootDN: cn=admin,dc=example,dc=com olcRootPW: {SSHA}xxxxxxxxxxxxxxxx ``` 3. **创建组织结构** ```ldif # base.ldif 文件示例 dn: dc=example,dc=com objectClass: top objectClass: dcObject objectClass: organization dc: example o: Example Corporation dn: ou=people,dc=example,dc=com objectClass: organizationalUnit ou: people ``` 4. **加密通信配置(TLS)** ```bash openssl req -new -x509 -nodes -out /etc/openldap/certs/servercert.pem \ -keyout /etc/openldap/certs/serverkey.pem -days 365 chown ldap:ldap /etc/openldap/certs/*.pem ``` 5. **客户端验证配置** ```bash # 客户端安装工具 yum install -y nss-pam-ldapd authconfig authconfig --enableldap --enableldapauth --ldapserver=ldap://ldap.example.com \ --ldapbasedn="dc=example,dc=com" --update ``` 重要安全配置要点: - 强制使用TLS加密连接(端口636) - 设置访问控制列表(ACL)限制匿名访问 - 定期执行`slapcat`进行数据备份[^2]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yolo2016

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值