Centralized authentication using OpenLDAP/zh

这份指南介绍了有关LDAP的一些基础概念并且向您展示了如何配置OpenLDAP来完成一组计算机之间的认证.

LDAP是什么？
LDAP是指“Lightweight Directory Access Protocol（轻量目录访问协议）”，它是基于X.500协议的，包括了X.500的大部分功能，但是精减掉了那些过于艰深的东西. 那么什么是X.500，而为什么还要有LDAP出现呢？

X.500是OSI标准体系中的目录服务模型，它包含了命名空间的定义以及查询与更新目录的协议，但是X.500在很多场景下被认为有些“用力过猛”. 而LDAP，虽然像X.500一样也为目录提供了数据/命名空间的模型与协议，但它被设计为运行在TCP/IP网络协议栈上（译者注：TCP/IP协议栈是IETF标准化组织定义的，而之前讲的OSI标准体系是区别于IETF的另外一套标准化组织，其实OSI体系更古老，更资深也更复杂，我们现在的互联网是基于TCP/IP的通信协议栈的，而OSI里面是有对应于TCP/IP的通信协议栈的，但由于设备厂家支持较少，最终没有流行起来. IETF与OSI有矛盾但也有合作，互相借鉴很多有价值的东西），所以我们可以把LDAP当成是“减肥”了的X.500.

我还是不理解，什么是目录？
目录是一个特殊的数据库，它的数据经常被查询，但是不经常更新. 不像普通的数据库，目录不包括对事件（transaction）的支持也不包括回滚特性. 目录是很容易被复制的，以便增加它的可用性和可靠性. 当目录被复制时，临时的数据不一致情况是允许出现的，只要最终这些数据得到同步即可.

信息是怎样被组织的？
目录中所有的信息被分层次组织在一起. 另外，如果您想在目录中添加数据，目录必须要知道如何在树状结构中添加您的这些数据. 我们用一个虚构的公司来举例说明一下，如下面的像Internet一样的树状结构：

因为您不能像上图一样使用ascii图形码向一个数据库中输入数据，所以这样一个树形结构中的每一个节点都要被定义. 为了定义这样一个节点，LDAP使用“命名方案（Naming Scheme）”. 大多数的LDAP发行版（包括OpenLDAP）已经包括了一揽子预定义（以及共同认可）的命名方案，如“inetOrgPerson”，或者“posixAccount”，“posixAccount”用来定义一个用户（user）的Unix/Linux相关属性，它是非常常用的. 值得一提的是您可以考虑采用图形化的基于web的工具来管理LDAP，这样能轻松很多. 参见实际使用OpenLDAP

感兴趣的用户推荐阅读 OpenLDAP Admin Guide

那么，LDAP能够干什么呢？
LDAP可以用来做许多不同的事情呢. 这篇文档聚焦于如何集中管理用户，把所有用户的信息保存在统一的LDAP目录里（统一并不意味着只有一台服务器，LDAP是支持高可用性与高冗余性的），另外还有其它一些目标也可以通过LDAP来实现.


 * 公钥基础设施


 * 共享日历


 * 共享地址簿


 * 存储DHCP，DNS，......


 * 系统级的配置管理（跟踪多台服务器的配置）


 * 集中认证 (PosixAccount)



OpenLDAP服务器配置
域名“genfic.com”是这份指南中的一个例子，您当然想改变它，但是请确保其顶级节点是官方的合法域名，如net、com、cc、be......

我们首先要emerge OpenLDAP. 请确保如下USE标记被使用：berkdb, crypt, gnutls, ipv6, sasl, ssl, syslog, -minimal

OpenLDAP有一个主要用户，它被称为“rootdn（Root Distinguished Name）”，这个用户已经在应用中被写死，不可更改. 但是与Unix中的root用户不同，rootdn仍然需要被指定适当的权限. rootdn用户可能仅在配置的上下文中被使用，也可能被用于目录的定义，相应地，rootdn用户可以使用配置文件里的密码和目录树中的密码来认证他们自己. （译者注：这里不太好理解，我的个人理解是：openldap的服务器采用/etc/slapd.conf来做配置，里面有一个rootdn条目，这里面指定的dn，例如cn=Manager,dc=genfic,dc=com就是ldap里面最牛的管理员，它可以在LDAP里面干任何事儿，另外openldap运行起来之后，它会维护一个用户信息数据库，这个数据库里面是可以没有cn=Manager,dc=genfic,dc=com这个dn的，当没有这个dn时，这个叫Manager的用户就是只可以管理ldap目录及其内容，但不能用这个用户在ldap客户端上登录，也不能保存关于Manager的个人信息，如电话、地址等，因为ldap没有存储这些信息的地方. 但是您也可以在数据库中自己加上这个用户的相应节点，这时这个用户就可以像其它用户一样享受在客户端登录，保存个人信息等“福利”了. ）

为了验证目的的用户密码（不管是rootdn的还是其它用户的）都可以被存储为明文或者哈希过的. 很多哈希算法都是可用的，但是使用太弱（比MD5更弱）的加密算法是不被推荐的. SHA当前被认为是足够安全的算法.

下面的命令创建了一个给定口令的哈希值，命令的输出结果可以被用在 配置文件中，或者目录中某一个用户的口令属性中.

现在我们编辑LDAP服务器的配置文件：. 这份 是从openLDAP原包里来的，下面是一个范例配置，您可以用它替换掉系统中原来的文件来开始您的工作.

要想深入了解配置文件的含义，我们建议您研读OpenLDAP Administrator's Guide.

验证配置文件
在定制化 配置文件之后，您可以使用下面的命令检查验证其是否配置无误：

或者您也可以使用OLC风格的配置文件：

改变debug级别（上面的"-d 1"）可以得到更多的信息. 如果顺利的话，您会看到“config file testing succeeded”. 如果发生错误， 将会列出造成错误的行号（位于）

需要注意的是：从2.4.23版本开始，OpenLDAP从传统的扁平的配置文件 切换到OLC风格的配置文件，并且将是缺省的配置方法. 使用OLC风格的配置文件的一大好处是当配置需要被更改时，这一动态的后台配置（cn=config）不需要重启服务就可以生效. 老用户可以通过设置了-f和-F参数的命令 将现有配置迁移到新的OLC风格的配置. 传统的OLC是以ldif格式（这样可以保证可读性）保存在 目录中的. Gentoo用户目前还不一定需要进行这一配置文件的转换，但是未来老的方法将可能不被支持.

如果您想改变OpenLDAP服务器的配置，您必须至少要对 赋予写权限（或者管理权限 ）.

下面的例子展示了如何在OLC（“cn=config”数据库）中向系统管理员赋予管理权限 ，我们需要在 的末尾添加一行配置：

上面的命令将会转换并翻译配置文件（slapd.conf->OLC），您可能曾经想过用准备好的ldif文件来完成OLC配置文件的升级，不过假如您对此不那么熟悉，你就可以像我们这样先编辑 ，然后用slaptest命令将其翻译为OLC配置文件（最终保存于 中），最后不要忘记检查这个目录的权限是否可以被ldap系统用户访问.

您可以从产生的文件的注释中获取更多的指导.

下面这一行配置用于使能（OLC）配置方法.

最后我们创建 目录（用于保存目录的实际数据）.

启动slapd服务：

如果启动服务没能成功，您可以将 配置中loglevel的值设为4或更大，然后查看 来获取更多的信息.

OLC风格的升级（变更）LDIF范例
一些OLC风格的配置文件升级范例可以参见下文.

例如，改变OLC配置文件的存放路径：

改变OpenLDAP服务的日志级别：

To add the syncprov overlay:

为了确认这些改变，可以运行下面的命令：

配置OpenLDAP的客户端工具
编辑LDAP客户端的配置文件. 这个文件会被ldapsearch和其它ldap命令行工具读取.

您可以用下面的命令测试运行中的服务器.

如果您收到错误信息，您可以用 这个参数来增加debug级别，以便获取更详细的信息用于解决问题.

集中化认证的客户端配置
有很多方法/工具可以被用来做远程认证. 一些发行版也提供了它们自己的很好用的配置工具. 下面列出一些，排名不分先后. 把本地用户认证与集中认证同时结合在一起是可行的. 这一点非常重要，因为万一LDAP服务器不可用，至少您还可以通过root用户进行本地登录.


 * SSSD (Single Sign-on Services Daemon). 它主要的功能是为远程身份认证提供一个通用的框架，提供缓存与不在线的支持. 它提供PAM与NSS模块，将来还会为扩展用户信息支持D-Bus接口. 它也提供了一个更好的数据库来存储本地用户和扩展用户的数据.


 * 使用  登录到LDAP服务器并认证. 口令不会在网络上以明文的方式发送.


 * NSLCD (Name Service Look up Daemon). 与SSSD类似，但更古老.


 * NSS (Name Service Switch) 使用传统的  模块从网络上获取哈希口令. 如果要允许用户变更他们的口令，还需要结合 方法一起使用.

下面我们会用最少的必要配置来演示前两个方法使之工作.

客户端 PAM 配置 SSSD 的方法
操作方法很简单，只有三个文件需要被编辑，如下：

按照如下文件所示增加“sss”到每一行的末尾，这样就可以将（对用户信息的）查询工作转交给sssd系统服务，你完成对这个文件的编辑后，就可以将sssd的后台服务启动起来了.

最后一个文件是非常关键的. 请在编辑它之前先打开另外一个终端窗口以便失败时退回（译者注：我因为开始一点也不懂pam的这个配置文件的原理，也没有重视这一条要求，当时就编辑错了，导致还得用引导盘引导系统后用root用户重新编辑这个文件，直至系统恢复）. 文件中在行尾标注了 的行即是用于使能远程认证. 注意使用 来支持在用户登录时创建主目录（如果是首次在某一客户端登录的话）.

好了，现在就可以试着从另外一个终端进行登录了.

客户端PAM配置pam_ldap模块的方法
首先我们要配置PAM来允许LDAP认证. 安装 程序包以便让PAM支持LDAP授权，然后是 以支持您的系统从LDAP服务器获取额外信息为 所用.

最后一个文件是最关键的. 在编辑之前请打开几个额外的root用户登录终端作好准备. 行尾标有  的表示使能远程认证.

改变 为只读权限.

下一步，把(OpenLDAP) 文件从服务器拷贝到客户端，这样客户端就可以理解LDAP环境了.

最后，在客户端进行配置以便它会为系统帐号查询LDAP.

如果您注意到在 有一行被注释掉了 ，这意味着您在这个客户端上不需要以超级用户（LDAP的超级用户）身份变更其它用户的密码. 如果您真的想这么做，您还需要在中以明文方式把超级用户的密码写入其中. 这是很危险的做法，所以您还应该把这个文件的权限设为600. 比较好的做法是，平时将文件留空，当您需要变更某个用户（LDAP或 ）的密码时，把超级用户的密码填在那里，完成任务后，再把密码清空.

将已经存在的数据导入LDAP
为集中认证和管理Linux/Unix信息配置OpenLDAP不是个轻松的活儿，但是拜互联网上的工具们和脚本们所赐，从分立的系统管理到基于OpenLDAP的集中系统管理的迁移工作也不是那么难.

在http://www.padl.com/OSS/MigrationTools.html可以得到这些脚本. 您可能需要迁移工具和 脚本.

下一步，解开工具并且拷贝 脚本.

下一步就要把这些信息迁移到您系统中的OpenLDAP中了. 脚本会为您实现这个目标，不过您要为其提供LDAP架构和环境的相关信息.

截止到我们写文档的时候，这个工具需要下面的输入信息：

这个工具也会问您想要迁移哪些帐号和设置.

高可靠性
设置在多个LDAP服务器之间同步信息. 在这份指导中，复制功能会使用一个特别的复制帐号 ，它具有对主LDAP服务器上的读权限 ，然后它会把改变的信息从主LDAP服务器上拉到其它服务器上.

备用LDAP服务器可以反过来充当主服务器，为了达成此目的，配置也要相应的镜像过来. 感谢OpenLDAP的内部架构，此时已经被复制过的变更的信息不会再被重新复制回来.

设置复制
为了设置复制，首先要设置备用OpenLDAP服务器，它的大部分配置跟前面的配置相同，但是要注意的区别是：


 * sync replication provider 要指向另外一台机器.


 * 每一台OpenLDAP服务器的serverID 是不同的.

下一步，创建同步帐号. 我们创建一个LDIF文件（格式同LDAP服务器做信息导入所需格式），然后将其导入每一台LDAP服务器.

OpenLDAP 权限
如果查看 ，您会发现您可以自定义ACLs(您希望的权限) 来控制什么用户可以读/写什么数据：

这个规定了一个用户能够改变的数据. 如果数据归您所有，您就有读和写的权利，如果数据是别人的，您就只能读取它（不能改变它），匿名用户可以发送login/pass来登录系统. 这些权限有四个等级，按从低到高的顺序排列：.

下一条ACL则更安全一些，因为它阻止了普通用户读取它人的登录密码.

这个例子给了root用户和john用户在目录树中对 以下任何信息的read/write/search权限. 配置也允许用户改变他们自己的密码. 最后一条声明其他任何人只具有搜索能力，这意味着他能使用搜索过滤器，但不能读到搜索结果. 您是可以设置多个ACL的，但是遍历规则是从下面开始处理，所以您的顶层设置应该是最严格的一条.

维护目录
您可以在apache/proftpd/qmail/samba中开始用目录来认证用户了. 您可以用LAM (Ldap Account Manager)，phpldapadmin，diradm，jxplorer或者lat来管理您的目录，它们都提供了方便的接口来实施管理.

知识
我们要感谢Matt Heler租借他的主机来完成这份指南，同样感谢#ldap @ irc.freenode.net的帅哥们.