1 安装openldap

yum install -y openldap openldap-clients openldap-servers

复制一个默认配置到指定目录下，并授权，再启动服务，不然生产密码时会报错

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

授权给ldap用户，此用户yum安装时便会自动创建

chown -R ldap. /var/lib/ldap/DB_CONFIG

启动服务，配置后面再进行修改

systemctl start slapd

systemctl enable slapd

查看状态，正常启动则OK

systemctl status slapd

 2 修改openldap配置

所有配置都保存在 /etc/openldap/slapd.d目录下的cn=config文件夹内，配置文件后缀为ldif,且每个配置文件都是通过命令自动生成的（openldap2.4.23版本后不再使用slapd.conf作为配置文件）

三个命令

ldapadd 添加

ldapmodify 修改

ldapdelete 删除

需要修改或增加配置时，需要先写一个ldif后缀的配置文件，再通过命令将写的配置更新到slapd.d目录下的配置文件中去

（1）生产管理员密码（记录下来，后面需要用到）

slappasswd -s 123456

{SSHA}5Rrsp9UdiCI1eW3pFK0u3G5sbSL80HME
(2)新增修改密码文件，ldif为后缀，文件名随意，不要在 /etc/openldap/slapd.d/ 目录下创建类似文件

查看/etc/openldap/slapd.d/cn=config 中 olcDatabase={0}config文件，里边没有olcRootPW这一项

###

修改ldap配置把olcRootPW加入到/etc/openldap/slapd.d/cn=config/olcDatabase={0}config中去

生成的文件需要通过命令去动态修改ldap现有配置，如下

cd /home

vim changepwd.ldif

内容如下：

#执行配置文件，指定cn=config/olcDatabase={0}config文件，在/etc/openldap/slapd.d目录下能找到此文件
dn: olcDatabase={0}config,cn=config
#指定类型为修改
changetype: modify
#添加olcRootPW配置项
add: olcRootPW
#指定olcRootPW配置项的值
olcRootPW: {SSHA}5Rrsp9UdiCI1eW3pFK0u3G5sbSL80HME

执行命令修改ldap配置

ldapadd -Y EXTERNAL -H ldapi:/// -f changepwd.ldif

再次查看/etc/openldap/slapd.d/cn=config 中 olcDatabase={0}config文件

 （3）向ldap中导入一些基本的Schema，这些Schema位于 /etc/openldap/schema/ 目录中，schema控制着条目中拥有哪些对象类和属性，可以自行选择需要的进行导入

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/collective.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/corba.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/duaconf.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/java.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/misc.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/openldap.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/pmi.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif

(4)修改域名 

在 /home下新增changedomain.ldif，所有地方的域名我设置的都是grm.com,管理员账号是admin

vim changedomain.ldif

文件内容如下

dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=admin,dc=grm,dc=com" read by * none

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=grm,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=grm,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}w9g8YjPiphKbTeuTC0xTcVyrH6I6XXBe

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=grm,dc=com" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=grm,dc=com" write by * read

 执行命令，修改配置

ldapmodify -Y EXTERNAL -H ldapi:/// -f changedomain.ldif

 启用memberof功能

新增add-memberof.ldif，#开启memberof支持并新增用户支持memberof配置

# vim add-memberof.ldif
dn: cn=module{0},cn=config
cn: module{0}
objectClass: olcModuleList
objectclass: top
olcModuleload: memberof.la
olcModulePath: /usr/lib64/openldap

dn: olcOverlay={0}memberof,olcDatabase={2}hdb,cn=config
objectClass: olcConfig
objectClass: olcMemberOf
objectClass: olcOverlayConfig
objectClass: top
olcOverlay: memberof
olcMemberOfDangling: ignore
olcMemberOfRefInt: TRUE
olcMemberOfGroupOC: groupOfUniqueNames
olcMemberOfMemberAD: uniqueMember
olcMemberOfMemberOfAD: memberOf

新增refint1.ldif文件

# vim refint1.ldif
dn: cn=module{0},cn=config
add: olcmoduleload
olcmoduleload: refint

新增refint2.ldif文件

# vim refint2.ldif
dn: olcOverlay=refint,olcDatabase={2}hdb,cn=config
objectClass: olcConfig
objectClass: olcOverlayConfig
objectClass: olcRefintConfig
objectClass: top
olcOverlay: refint
olcRefintAttribute: memberof uniqueMember  manager owner

依次执行下面命令，加载配置，顺序不能错

ldapadd -Q -Y EXTERNAL -H ldapi:/// -f add-memberof.ldif
ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f refint1.ldif
ldapadd -Q -Y EXTERNAL -H ldapi:/// -f refint2.ldif

至此，配置修改完了。

3 创建grm组织

在上述基础上，我们来创建一个grm company的组织，grm 为域名，并在其下创建一个admin的组织角色(该组织角色内的用户具有管理整个LDAP的权限)和People和Group两个组织单元

vim grm.ldif

# vim grm.ldif
dn: dc=grm,dc=com
dc: grm
objectClass: top
objectClass: domain
o: grm

dn: cn=admin,dc=grm,dc=com
objectClass: organizationalRole
cn: admin
description: LDAP admin

dn: dc=hdp,dc=grm,dc=com
changetype: add
dc: hdp
objectClass: top
objectClass: dcObject
objectClass: organization
o: hdp

dn: ou=People,dc=hdp,dc=grm,dc=com
ou: People
objectClass: organizationalUnit

dn: ou=Group,dc=hdp,dc=grm,dc=com
ou: Group
objectClass: organizationalUnit

 执行命令，添加配置，这里要注意修改域名为自己配置的域名，然后需要输入上面我们生成的密码

ldapadd -x -D cn=admin,dc=grm,dc=com -W -f grm.ldif

密码是刚开始设置的123456

 通过以上的所有步骤，我们就设置好了一个LDAP目录树：其中

基准dc=grm

dc=com是该树的跟节点

其下有

     一个管理域cn=admin,dc=grm,dc=com

     一个组织单元dc=hdp,dc=grm,dc=com

            其下有两个子属性

                        ou=People,dc=hdp,dc=grm,dc=com

                        ou=Group,dc=hdp,dc=grm,dc=com

创建新用户和新用户组的ldif文件

slappasswd -s 123456

{SSHA}mNliCaDBOmroXW9osVHmYEhrJreCccg9

创建新用户的ldif文件

# vim ldapuser.ldif

#这里testUser用户，我将其加入到testgroup组中
# create new
# replace to your own domain name for "dc=***,dc=***" section
dn: uid=testldap,ou=People,dc=hdp,dc=grm,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: testldap
cn: testgroup
sn: test
userPassword: {SSHA}mNliCaDBOmroXW9osVHmYEhrJreCccg9
loginShell: /bin/bash
uidNumber: 2000
gidNumber: 3000
homeDirectory: /home/testldap

#这是添加一个用户组名为testgroup的cn，在名为Group的ou下
dn: cn=testgroup,ou=Group,dc=hdp,dc=grm,dc=com
objectClass: posixGroup
cn: testgroup
gidNumber: 3000
memberUid: testldap

向openldap服务端添加新用户testldap

ldapadd -x -D cn=admin,dc=grm,dc=com -W -f ldapuser.ldif

 为该用户修改密码为123456命令为：

ldappasswd -x -H ldap://192.168.56.10:389 -D "cn=admin,dc=grm,dc=com" -W "uid=testldap,ou=People,dc=hdp,dc=grm,dc=com" -s 123456

[注]

• ldap://192.168.56.10:389为openldap的服务端ip加端口；
• cn=admin,dc=grm,dc=com为openldap上面设置的管理者节点；
• uid=testldap,ou=People,dc=hdp,dc=node3,dc=com为用户id；
• 123456为修改指定的用户密码。