Ubuntu

使用 OpenLDAP 2.4 LDIF 配置後端

  • June 24, 2013

在 OpenLDAP 2.4 中,配置已移至名為cn=config. OpenLDAP 文件說“您永遠不應該直接編輯任何 LDIF 文件。配置更改應該通過 LDAP 操作執行……”但沒有提供任何進一步的細節。

有很多相互矛盾的資訊,更糟糕的是,發行版,如 Redhat Linux 和 Ubuntu,有特定的配置。

編輯日期有兩種方法cn=config:直接和間接。間接使用普通的 ldap 工具,例如 ldapmodify 和 ldapsearch,它們提供了最簡單和最合乎邏輯的方法。但是,許多發行版使用 SASL 將訪問權限限制為僅本地框上的 root 使用者。假設您有一個預配置的實例,您可以輕鬆更改:

啟用對 cn=config 的外部訪問

  1. sudo -i/su -
  2. 創建新密碼:
slappasswd
  1. 複製結果,包括“{SSHA}”
  2. 準備auth.ldif。替換olcRootPW為上一個命令中的密碼雜湊
dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,cn=config 
-
replace: olcRootPW
olcRootPW: {SSHA}jCMTRlz/iT4cw3CZno5z2PtCkJQbKrqK
  1. 導入 LDIF:
ldapmodify -Y EXTERNAL -H ldapi:/// -f auth.ldif
  1. 您現在可以使用任何 LDAP 客戶端進行外部連接(假設您可以訪問網路)。例如
ldapsearch -b cn=config -D cn=admin,cn=config -H ldap://myldapserver -W
  1. 盡快配置 SSL!

直接模式

在直接模式下,您可以編輯 cn=config 數據庫(和任何其他數據庫),即使它slapd已關閉。這是通過使用slapaddslapcat工具。您必須傳遞數據庫後綴。例如:

slapcat -b cn=config

恕我直言,當您知道需要應用的確切 LDIF 時,最好使用直接模式。我很少這樣做,所以我傾向於使用普通的 LDAP 工具來動態添加、替換和刪除配置。

引用自:https://serverfault.com/questions/518151