查看“LDAP安装配置”的源代码

=== LDAP安装 ===
 yum install openldap  openldap-clients openldap-servers openldap-servers-sql openldap-devel
 slapd -VV
 @(#) $OpenLDAP: slapd 2.4.44
 
 systemctl start slapd
 systemctl enable slapd
 systemctl status slapd

=== 修改openldap配置 ===
这里就是重点中的重点了，从openldap2.4.23版本开始，所有配置都保存在/etc/openldap/slapd.d目录下的cn=config文件夹内，不再使用slapd.conf作为配置文件。配置文件的后缀为 ldif，且每个配置文件都是通过命令自动生成的，任意打开一个配置文件，在开头都会有一行注释，说明此为自动生成的文件，请勿编辑，使用ldapmodify命令进行修改

安装openldap后，会有三个命令用于修改配置文件，分别为ldapadd, ldapmodify, ldapdelete，顾名思义就是添加，修改和删除。而需要修改或增加配置时，则需要先写一个ldif后缀的配置文件，然后通过命令将写的配置更新到slapd.d目录下的配置文件中去

==== 生成管理员密码 ====
OpenLDAP有一个主要用户，它被称为“rootdn（Root Distinguished Name）”，这个用户已经在应用中被写死，不可更改。但是与Unix中的root用户不同，rootdn仍然需要被指定适当的权限。rootdn用户可能仅在配置的上下文中被使用，也可能被用于目录的定义，相应地，rootdn用户可以使用配置文件里的密码和目录树中的密码来认证他们自己。（译者注：这里不太好理解，我的个人理解是：openldap的服务器采用/etc/slapd.conf来做配置，里面有一个rootdn条目，这里面指定的dn，例如cn=Manager,dc=genfic,dc=com就是ldap里面最牛的管理员，它可以在LDAP里面干任何事儿，另外openldap运行起来之后，它会维护一个用户信息数据库，这个数据库里面是可以没有cn=Manager,dc=genfic,dc=com这个dn的，当没有这个dn时，这个叫Manager的用户就是只可以管理ldap目录及其内容，但不能用这个用户在ldap客户端上登录，也不能保存关于Manager的个人信息，如电话、地址等，因为ldap没有存储这些信息的地方。但是您也可以在数据库中自己加上这个用户的相应节点，这时这个用户就可以像其它用户一样享受在客户端登录，保存个人信息等“福利”了。）

为了验证目的的用户密码（不管是rootdn的还是其它用户的）都可以被存储为明文或者哈希过的。很多哈希算法都是可用的，但是使用太弱（比MD5更弱）的加密算法是不被推荐的。SHA当前被认为是足够安全的算法。
 slappasswd -s 123456
 {SSHA}H0Ms9en9m10dDqFjH1bpwdcLjwOaT2BH

==== 新增修改密码文件 ====
ldif为后缀，文件名随意，不要在/etc/openldap/slapd.d/目录下创建类似文件

生成的文件为需要通过命令去动态修改ldap现有配置，如下，在家目录下，创建文件

 vim changepwd.ldif
 
 dn: olcDatabase={0}config,cn=config
 changetype: modify
 add: olcRootPW
 olcRootPW: {SSHA}LSgYPTUW4zjGtIVtuZ8cRUqqFRv1tWpE

 # 这里解释一下这个文件的内容：
 # 第一行执行配置文件，这里就表示指定为 cn=config/olcDatabase={0}config 文件。你到/etc/openldap/slapd.d/目录下就能找到此文件
 # 第二行 changetype 指定类型为修改
 # 第三行 add 表示添加 olcRootPW 配置项
 # 第四行指定 olcRootPW 配置项的值
 # 在执行下面的命令前，你可以先查看原本的olcDatabase={0}config文件，里面是没有olcRootPW这个项的，执行命令后，你再看就会新增了olcRootPW项，而且内容是我们文件中指定的值加密后的字符串
 
==== 执行命令修改ldap配置 ====
 ldapadd -Y EXTERNAL -H ldapi:/// -f changepwd.ldif

查看olcDatabase={0}config内容,新增了一个olcRootPW项。

 olcRootPW:: e1NTSEF9SDBNczllbjltMTBkRHFGakgxYnB3ZGNMandPYVQyQkg=

上面就是一个完整的修改配置的过程，切记不能直接修改/etc/openldap/slapd.d/目录下的配置。

==== LDAP中导入基本的 Schema ====
需要向 LDAP 中导入一些基本的 Schema。这些 Schema 文件位于 /etc/openldap/schema/ 目录中，schema控制着条目拥有哪些对象类和属性，可以自行选择需要的进行导入，
依次执行下面的命令，导入基础的一些配置,这里将所有的都导入一下，其中core.ldif是默认已经加载了的，不用导入
 ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
 ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
 ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
 ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/collective.ldif
 ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/corba.ldif
 ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/duaconf.ldif
 ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif
 ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/java.ldif
 ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/misc.ldif
 ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/openldap.ldif
 ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/pmi.ldif
 ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif

修改域名，新增changedomain.ldif, 这里我自定义的域名为 linux78.com，管理员用户账号为admin。

如果要修改，则修改文件中相应的dc=linux78,dc=com为自己的域名
 vim changedomain.ldif
 
 dn: olcDatabase={1}monitor,cn=config
 changetype: modify
 replace: olcAccess
 olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=admin,dc=linux78,dc=com" read by * none
 
 dn: olcDatabase={2}hdb,cn=config
 changetype: modify
 replace: olcSuffix
 olcSuffix: dc=linux78,dc=com
 
 dn: olcDatabase={2}hdb,cn=config
 changetype: modify
 replace: olcRootDN
 olcRootDN: cn=admin,dc=linux78,dc=com
 
 dn: olcDatabase={2}hdb,cn=config
 changetype: modify
 replace: olcRootPW
 olcRootPW: {SSHA}H0Ms9en9m10dDqFjH1bpwdcLjwOaT2BH
 
 dn: olcDatabase={2}hdb,cn=config
 changetype: modify
 add: olcAccess
 olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=linux78,dc=com" write by anonymous auth by self write by * none
 olcAccess: {1}to dn.base="" by * read
 olcAccess: {2}to * by dn="cn=admin,dc=linux78,dc=com" write by * read

执行命令，修改配置
 ldapmodify -Y EXTERNAL -H ldapi:/// -f changedomain.ldif
 
 SASL/EXTERNAL authentication started
 SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
 SASL SSF: 0
 modifying entry "olcDatabase={1}monitor,cn=config"
 
 modifying entry "olcDatabase={2}hdb,cn=config" 
 
 modifying entry "olcDatabase={2}hdb,cn=config" 
 
 modifying entry "olcDatabase={2}hdb,cn=config"
 
 modifying entry "olcDatabase={2}hdb,cn=config"

==== 启用memberof功能 ====

新增add-memberof.ldif, #开启memberof支持并新增用户支持memberof配置
 vim add-memberof.ldif 
 
 dn: cn=module{0},cn=config
 cn: modulle{0}
 objectClass: olcModuleList
 objectclass: top
 olcModuleload: memberof.la
 olcModulePath: /usr/lib64/openldap
 
 dn: olcOverlay={0}memberof,olcDatabase={2}hdb,cn=config
 objectClass: olcConfig
 objectClass: olcMemberOf
 objectClass: olcOverlayConfig
 objectClass: top
 olcOverlay: memberof
 olcMemberOfDangling: ignore
 olcMemberOfRefInt: TRUE
 olcMemberOfGroupOC: groupOfUniqueNames
 olcMemberOfMemberAD: uniqueMember
 olcMemberOfMemberOfAD: memberOf
 
 
新增refint1.ldif文件
 vim refint1.ldif
 
 dn: cn=module{0},cn=config
 add: olcmoduleload
 olcmoduleload: refint
 
 
新增refint2.ldif文件
 vim refint2.ldif
 
 dn: olcOverlay=refint,olcDatabase={2}hdb,cn=config
 objectClass: olcConfig
 objectClass: olcOverlayConfig
 objectClass: olcRefintConfig
 objectClass: top
 olcOverlay: refint
 olcRefintAttribute: memberof uniqueMember  manager owner

依次执行下面命令，加载配置，顺序不能错
 ldapadd -Q -Y EXTERNAL -H ldapi:/// -f add-memberof.ldif
 ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f refint1.ldif
 ldapadd -Q -Y EXTERNAL -H ldapi:/// -f refint2.ldif

==== 创建组织角色 ====
到此，配置修改完了，在上述基础上，创建一个叫做 linux78 company 的组织，并在其下创建一个 admin 的组织角色（该组织角色内的用户具有管理整个 LDAP 的权限）和 People 和 Group 两个组织单元：
 # 新增配置文件
 vim base.ldif
 
 dn: dc=linux78,dc=com
 objectClass: top
 objectClass: dcObject
 objectClass: organization
 o: linux78 Company
 dc: linux78
 
 dn: cn=admin,dc=linux78,dc=com
 objectClass: organizationalRole
 cn: admin
 
 dn: ou=People,dc=linux78,dc=com
 objectClass: organizationalUnit
 ou: People
 
 dn: ou=Group,dc=linux78,dc=com
 objectClass: organizationalRole
 cn: Group
 
执行命令，添加配置, 这里要注意修改域名为自己配置的域名，然后需要输入上面我们生成的密码
 ldapadd -x -D cn=admin,dc=linux78,dc=com -W -f base.ldif

通过以上的所有步骤，我们就设置好了一个 LDAP 目录树：其中基准 dc=linux78,dc=com 是该树的根节点，其下有一个管理域 cn=admin,dc=linux78,dc=com 和两个组织单元 ou=People,dc=linux78,dc=com 及 ou=Group,dc=linux78,dc=com。

=== 安装phpldapadmin ===

 # yum安装时，会自动安装apache和php的依赖。
 # 注意： phpldapadmin很多没更新了，只支持php5，如果你服务器的环境是php7，则会有问题，页面会有各种报错
 yum install -y phpldapadmin

 # 修改apache的phpldapadmin配置文件
 # 修改如下内容，放开外网访问，这里只改了2.4版本的配置，因为centos7 默认安装的apache为2.4版本。所以只需要改2.4版本的配置就可以了
 # 如果不知道自己apache版本，执行 rpm -qa|grep httpd 查看apache版本
 
 vim /etc/httpd/conf.d/phpldapadmin.conf
  <IfModule mod_authz_core.c>
    # Apache 2.4
    Require all granted
  </IfModule>

修改配置用DN登录ldap
 vim /etc/phpldapadmin/config.php
 # 398行，默认是使用uid进行登录，我这里改为cn，也就是用户名
 $servers->setValue('login','attr','cn');
 
 # 460行，关闭匿名登录，否则任何人都可以直接匿名登录查看所有人的信息
 $servers->setValue('login','anon_bind',false);
 
 # 519行，设置用户属性的唯一性，这里我将cn,sn加上了，以确保用户名的唯一性
 $servers->setValue('unique','attrs',array('mail','uid','uidNumber','cn','sn'));
启动apache
 systemctl start httpd
 systemctl enable httpd
登录phpldapadmin界面

在浏览器上访问: http://ip/ldapadmin ，然后使用上面定义的用户，进行登录

到此openldap和phpldapadmin 就安装完成了。