对于任何一家大IT网络的企业来说，IT系统中的目录服务功能是必不可少的。如果一个在全国有多个分支机构的企业，已经有了一个内部网络系统，每一个分支机构都有一个局域网，局域网之间通过专线或者VPN通道连接在一起，那么，如何将网络中的资源和信息有效地管理起来呢？通常，这个企业可以在每一个分支机构或者每个城市建立一个目录服务器，任何地方的员工连接到本地目录服务器就可以访问到目录树中所有的信息，在目录服务器之间复制目录信息，以保持同步。比如，人事部门看到的人员目录与财务部门、设备管理部门看到的人员目录是完全一致的，他们所使用的应用系统无须再建立另一套目录结构。当然，这一切都是要经过身份验证的。

　　目录服务有着如此重要的作用，但在过去，企业通常采用基于Windows的目录服务器，Linux在这方面相形逊色。作为Windows的核心内容，目录服务被企业IT人员认为是Windows与Linux相比最具竞争力的部分，也成为Linux产品架构中的软肋。随着Red Hat Enterprise Linux 4.0出现，这个情况已经改变了。RHEL 4 内附的LDAP 服务器为OpenLDAP 2.2.13-2 版，OpenLDAP 2.x包括数个重要功能：

　　1. 支持LDAPv3 - OpenLDAP 2.0 除了其它改善外还支持SASL（SimpleAuthentication and Security Layer）、TLS（Transport Layer Security）以及SSL（Secure Sockets Layer）。LDAPv2 之后通讯协议很多的改变都是为了加强LDAP 的安全性。

　　2. 支持IPv6 - OpenLDAP 支持新一代的因特网通讯协议第6 版。

　　3. LDAP Over IPC - OpenLDAP 能够使用IPC 在系统内进行通讯。这可以避免使用网络通讯以增加安全性。

　　4. 使用新的应用程序界面： 改善程序设计人员联机及使用程序的方法。

　　本文将以Red Hat Enterprise Linux 4.0 为例，介绍在Linux平台使用OpenLDAP上建立目录服务器。

　　LDAP（轻量级目录访问协议，Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。目录服务是一种特殊的数据库系统，其专门针对读取，浏览和搜索操作进行了特定的优化。目录一般用来包含描 述性的，基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。而目录服务的更新则一般都非常简单。这种目录可以存储包括个人信息、web链结、jpeg图像等各种信息。为了访问存储在目录中的信息，就需要使用运行在TCP/IP之上的访问协议—LDAP。 LDAP目录中的信息是是按照树型结构组织，具体信息存储在条目(entry)的数据结构中。条目相当于关系数据库中表的记录；条目是具有区别名DN（Distinguished Name）的属性（Attribute），DN是用来引用条目的，DN相当于关系数据库表中的关键字（Primary Key）。属性由类型（Type）和一个或多个值（Values）组成，相当于关系数据库中的字段（Field）由字段名和数据类型组成，只是为了方便检索的需要，LDAP中的Type可以有多个Value， 而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。LDAP中条目的组织一般按照地理位置 和组织关系进行组织，非常的直观。LDAP系统结构图见图1.

图1 LDAP系统结构图

　　LDAP的信息是以树型结构存储的，在树根一般定义国家(c=CN)或域名(dc=com)，在其下则往往定义一个或多个组织(organization)(o=Acme)或组织单元(organizational units) (ou=People)。一个组织单元可能包含诸如所有雇员、 大楼内的所有打印机等信息。

　　二、安装OpenLDAP服务器

　　如果在系统安装时已经把安装上了，那么我们就可以直接对OpenLDAP进行配置使用了。否则，可以通过Rat Het Enterprise Linux图形界面下的“添加/删除应用程序”工具进行安装。具体方法是，选择“主选单”→“系统设置”→“添加/删除应用程序”，在弹出的界面中选中“网络服务器”的“OpenLDAP－server”，单击“更新”即可，见图2。

图2 安装OpenLDAP 服务器软件

　　三、配置OpenLDAP 服务器

　　以RedHat Linux 4所为例字介绍OpenLDAP 服务器配置文件。主要文件见表1。

表1

　　1. 建立Linux用户账号

　　使用文本编辑建立一个文本文件，文件名称myusers.list 内容如下：

user1 123456
user2 123456
user3 123456
user4 123456
user5 123456
user6 123456
user7 123456
user8 123456
user9 123456

　　注意：第一个字段为使用者名称；第二个字段为预设密码，中间必须用空格隔开。然后使用文本编辑建立另外一个文本文件，文件名称add-users.sh内容如下：

　　建立Linux用户账号：

　　#chmod 775 add-users.sh
　　#./add-users.sh

　　2.修改缺省配置文件：/etc/OpenLDAP/slapd.conf，请把蓝色部分按照您的具体情况填写。

database bdb
suffix "dc=myexample,dc=com"    #一条记录所属区域#
rootdn "cn=Manager,dc=example,dc=com"
rootpw 1234567                 #定义LDAP根管理员的密码

　　3．将原有Linux 账号转为LDIF 文件

　　原有Linux 服务器上有user1－user9 这些使用者账号，密码均为123456；下面便是转换的步骤：

# cd /usr/share/OpenLDAP/migration  #转换文件的目录#
# vi migrate_common.ph
 $DEFAULT_MAIL_DOMAIN = "myexample.com";
Default base
 $DEFAULT_BASE = "dc=myexample,dc=com";
# ./migrate_passwd.pl /etc/passwd > /worktmp/user.ldif
# ./migrate_group.pl /etc/group > /worktmp/group.ldif

#cat example.ldif
dn: dc=example,dc=com
dc: example
objectClass: dcObject
objectClass: organizationalUnit
ou: example.com
#cat ou_people.ldif
dn: ou=people, dc=example, dc=com
objectclass: organizationalunit
ou: people
#cat ou_group.ldif
dn: ou=group, dc=example, dc=com
objectclass: organizationalunit
ou: group

　　5. 转换原有Linux 账号至OpenLDAP服务器上：

#slapadd -vl example.ldif
added: "dc=example,dc=com" (00000001)
#slapadd -vl ou_people.ldif
added: "ou=people,dc=example,dc=com" (00000002)
#slapadd -vl ou_group.ldif
added: "ou=group,dc=example,dc=com" (00000043)
#slapadd -vl user.ldif
#slapadd -vl group.ldif

　　#chown ldap.ldap /var/lib/ldap/*  #把/var/lib/ldap/目录内的档案变更拥有者及群组为ldap。

　　然后可以通过Rat Het Enterprise Linux图形界面下的选择“主选单”→“系统设置”→“服务器设置”→“服务”，在弹出的界面中选中ldap”，单击“重新启动”即可，见图3。

图3 服务器启动界面

　　利用ldapsearch 指令可搜寻LDAP 服务器的数据，若是可看到以下的数据，代表整个设定正确无误。

　　phpldapAdmin 是免费的工具，可以管理OpenLDAP服务器，使用它透过浏览器就可管理OpenLDAP服务器。phpldapAdmin是一个开源工具，官方主页：http://phpldapadmin.sourceforge.net/ ，最新版本：0.9.7.2 ，下载安装步骤：

#cd  /var/www/html/
# wegt http://jaist.dl.sourceforge.net/ ... dmin-0.9.7.2.tar.gz
#gunzip phpldapadmin-0.9.7.2.tar.gz
#tar vxf phpldapadmin-0.9.7.2.tar
#cd phpldapadmin-0.9.7.2/config
#cp config.php.example config.php

修改phpMyadmin配置文件：

# vi config.php
 $servers[ $i]['host'] = 'ldap.localhost';
 $servers[ $i]['base'] = 'dc=example,dc=com'; 
 $servers[ $i]['login_pass'] = 'secret1234567 '; #前面定义的服务器根管理员的密码

　　然后在Linux 浏览器服务器的URL栏目输入：http://主机/phpldapadmin ，即可。界面见图7。当然也可以使用IP地址。

图7 phpMyadmin管理OpenLDAP界面

　　1.使用uptime命令

　　使用uptime命令可以查看系统负载，系统平均负载被定义为在特定时间间隔内运行队列中的平均进程数目。如果一个进程满足以下条件则其就会位于运行队列中：没有在等待I/O操作的结果、它没有主动进入等待状态(也就是没有被调用、没有被停止。

　　# uptime
　　9:51pm up 3 days, 4:43, 4 users, load average:6.02, 5.90, 3.94

　　上面命令显示示最近1 分钟内系统的平均负载是6.02，在最近5分钟内系统的平均负载是5.90，在最近的15 分钟内系统的平均负载是3.94。一共四个用户。通常来说只要每个CPU的当前活动进程数不大于3那么系统的性能就是良好的，如果每个CPU的任务数大于5，那幺就表示这台机器的性能有严重问题。对于上面的例子来说，由于笔者系统使用是双CPU，那幺其每个CPU的当前任务数为：6.02/2=3.01。这表示该服务器的性能是可以接受的。

　　2.使用cron命令进行定时监测系统负载：

　　cron是一个守护进程，它提供定时器的功能，让用户在特定时间执行命令，首先使用命令：“chkconfig －list|grep crond”查看该服务是否启动，然后使用命令：

　　# crontab －e
　　此时打开一个vi编辑器：输入以下内容：
　　#30 * * * * * uptime
　　存盘退出，这样每隔十五分钟就记载其平均负载，这样累计一天，我们就可以得到最近一天的平均负载。

　　3. OpenLDAP进程的监控

　　Linux系统提供了ps、top等察看进程信息的系统调用，通过结合使用这些系统调用，我们可以清晰地了解进程的运行状态以及存活情况，从而采取相应的措施，来确保Linux系统的性能。它们是目前在Linux下最常见的进程状况查看工具，是随 Linux版本发行的，安装好系统之后，用户就可以使用。这里以ps命令为例，ps命令是最基本同时也是非常强大的进程查看命令。利用它可以确定有哪些进程正在运行及运行的状态、进程是否结束、进程有没有僵死、哪些进程占用了过多的资源等。ps命令可以监控后台进程的工作情况，因为后台进程是不和屏幕键盘这些标准输入/输出设备进行通信的，图5是ps －ef|grep ldap命令输出的例子。说明其中PID为3653是主进程。

图5 OpenLDAP服务器的进程

　　轻型目录访问协议默认使用389端口。可以使用命令：

　　# netstat -an | grep 389
　　tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN

　　二、 OpenLDAP服务器自动启动和安全设定

　　1.自动启动OpenLDAP服务器

　　如果希望ldap每次启动都能自动运行，可以用ntsysv设置。以root权限运行命令：

　　# ntsysv

图6启动OpenLDAP提供网络服务

　　打开如图6 所示的窗口，在ldap服务选项加上*（用空格键），然后重新启动系统，这样系统会启动ldap目录服务。

　　2.使用访问控制(Access Control)实现用户认证

　　修改OpenLDAP的配置文件，增加控制模块方法如下：

# vi /usr/local/etc/OpenLDAP/slapd.conf
access to attr=userPassword
　　by anonymous auth

[1] [2] 下一页

频道声明：本频道的文章除部分特别声明禁止转载的专稿外，可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。 原始作者:佚名 录入时间:2007-1-2 20:52:09 信息来源:不详 投稿信箱:itqoo@126.com