手机版
你好,游客 登录 注册
背景:
阅读新闻

LDIF修改LDAP记录或配置示例

[日期:2017-10-13] 来源:seanlook.com  作者:seanlook [字体: ]

可以说LDIF文件是OpenLDAP操作数据或修改配置的一切来源,下面是实际通过客户端工具操作的具体示例。(openldap安装及配置过程见这里)。

1. 添加组织或条目

创建一个Marketing部门,添加一个dn记录:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
# cat add_entry.ldif
dn: ou=Marketing, dc=example,dc=com
changetype: add
objectclass: top
objectclass: organizationalUnit
ou: Marketing
 
dn: cn=Pete Minsky,ou=Marketing,dc=example,dc=com
changetype: add
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Pete Minsky
sn: Pete
ou: Marketing
description: sb, sx
description: sx
uid: pminsky

 

1
2
3
4
5
# ldapmodify -xWD 'cn=admin,dc=example,dc=com' -f add_entry.ldif
 
或去掉changetype后
# ldapmodify -a -xWD 'cn=admin,dc=example,dc=com' -f add_entry.ldif
# ldapadd -xWD 'cn=admin,dc=example,dc=com' -f add.ldif

2. 修改组织或条目

添加mail属性,修改sn的值,删除一个description属性:

1
2
3
4
5
6
7
8
9
10
11
# cat modify_entry.ldif
dn: cn=Pete Minsky,ou=Marketing,dc=example,dc=com
changetype: modify
add: mail
mail: pminsky@example.com
-
replace: sn
sn: Minsky
-
delete: description
description: sx

 

1
2
# ldapmodify -xWD 'cn=admin,dc=example,dc=com' -f modify_entry.ldif
# ldapsearch -xD 'cn=admin,dc=mydomain,dc=net' -b 'ou=People,dc=mydomain,dc=net' -s sub 'objectclass=*' -w tplink -LLL

3. 重命名条目

1
2
3
4
dn: cn=Pete Minsky,ou=Marketing,dc=example,dc=com
changetype: modrdn
newrdn: cn=Susan Jacobs
deleteoldrdn: 1

modrdn只允许修改dn最左边的部分,且不能重命名带叶子或分支的子树,如果要将一个用户移动到另一个部门下,只能在新部门创建dn,然后删除旧的dn。

4. 删除组织或条目

LDAP协议只能删除无分支的叶子dn:

1
2
3
4
5
6
# cat delete_entry.ldif
dn: cn=Susan Jacobs,ou=Marketing,dc=example,dc=com
changetype: delete
 
# ldapdelete -xWD "cn=admin,dc=example,dc=com" -h localhost -p 389 "cn=Susan Jacobs,ou=Marketing,dc=example,dc=com"

 

5. LDIF配置backend

OpenLDAP的配置采用以cn=config为根的目录树的形式组织起来,采用config作为database,默认情况下包括admin或root用户都没有访问权限,需要赋予读写权限,然而赋予修改权限要求首先要提供认证信息,初始化安装后的cn=config是没有credentials

1
2
3
4
5
6
# ldapmodify -Y EXTERNAL -H ldapi:/// -f modify_config.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"
ldap_modify: Insufficient access (50)

 

所以这里不得不手动编辑olcDatabase={0}config.ldif文件,获得最初认证权限(虽然官方不推荐手动修改配置):

1
2
# vi /etc/ldap/slapd.d/cn\=config/olcDatabase\=\{0\}config.ldif
olcRootPW: {SSHA}your_slappasswd_secret

 

重启slapd后(不是说不用重启吗)便可以修改config:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# ldapwhoami -x -D cn=config -W
 
修改示例:
# ldapmodify -xWD 'cn=config'
Enter LDAP Password:
dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=config
-
replace: olcRootPW
olcRootPW: {SSHA}your_slappasswd_secret
 
modifying entry "olcDatabase={0}config,cn=config"

 

/etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldifolcRootDN变成base64加密后的值(两个”:”)。

最后,如果要在slapd服务未启动的情况下修改配置可以通过以下命令转换成ldif中间文件:

1
2
3
# slapcat -n0 -F /etc/ldap/slapd.d/ > /tmp/config-in-portable-format.ldif
编辑ldif文件后,重新shengc slapd.d目录
# slapadd -n0 -F /tmp/slapd.d -l /tmp/config-in-portable-format.ldif

 

使用这类命令行工具有助于对 LDAP concept 理解,如果要达到快速配置的效果,可以使用 ldapbrowser 或 Apache Directory Studio 图形化工具,特别是 Apache Directory Studio 不仅提供了 LDAP Browser/Editor 的功能,还能编辑LDIF文件和自定义schema,智能提示非常友好。
ldap_apache_directory_studio

Liferay Portal 配置使用Oracle和OpenLDAP http://www.linuxidc.com/Linux/2012-07/66928.htm

CentOS 6.5上安装OpenLDAP并配置LDAP方式用户登录  http://www.linuxidc.com/Linux/2015-04/116536.htm

RHEL7中OpenLDAP的安装与配置  http://www.linuxidc.com/Linux/2015-03/115524.htm

Ubuntu下OpenLDAP服务器的部署步骤  http://www.linuxidc.com/Linux/2014-12/110775.htm 

Axigen+OpenLDAP+BerkeleyDB+ejabberd多域+JWchat详细配置 http://www.linuxidc.com/Linux/2012-06/61598.htm

CentOS部署OpenLDAP认证 http://www.linuxidc.com/Linux/2012-04/57932.htm

CentOS Linux安装OpenLDAP服务器  http://www.linuxidc.com/Linux/2014-03/98087.htm

Ubuntu安装OpenLDAP之配置LDAP  http://www.linuxidc.com/Linux/2016-05/130998.htm

OpenLDAP双主搭建  http://www.linuxidc.com/Linux/2017-07/145437.htm

OpenLDAP安装及设置普通用户修改自己密码  http://www.linuxidc.com/Linux/2017-07/145436.htm

Ubuntu下OpenLDAP的安装及配置  http://www.linuxidc.com/Linux/2017-05/143762.htm

OpenLDAP 的详细介绍请点这里
OpenLDAP 的下载地址请点这里

本文永久更新链接地址http://www.linuxidc.com/Linux/2017-10/147559.htm

linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款