轻型目录访问协议（英文：Lightweight Directory Access Protocol，缩写：LDAP）是一个开放的，中立的，工业标准的应用协议，通过IP协议提供访问控制和维护分布式信息的目录信息。

OpenLDAP是轻型目录访问协议（Lightweight Directory Access Protocol，LDAP）的自由和开源的实现，在其OpenLDAP许可证下发行，并已经被包含在众多流行的Linux发行版中。

LDAP协议的好处就是你公司的所有员工在所有这些工具里共享同一套用户名和密码，来人的时候新增一个用户就能自动访问所有系统，走人的时候一键删除就取消了他对所有系统的访问权限，这就是LDAP。

参考：https://www.ilanni.com/?p=13775

安装openldap

yum -y install openldap openldap-servers openldap-clients  openldap-devel compat-openldap migrationtools  openldap-servers-sql

migrationtools 实现OpenLDAP 用户及用户组的添加，migrationtools 开源工具通过查找/etc/passwd、/etc/shadow、/etc/groups 生成LDIF 文件，并通过ldapadd 命令更新数据库数据，完成用户添加

其中compat-openldap这个包与主从有很大的关系

查看版本

slapd -VV

[root@test ~]# slapd -VV

@(#) $OpenLDAP: slapd 2.4.44 (May 16 2018 09:55:53) $

[email protected]:/builddir/build/BUILD/openldap-2.4.44/openldap-2.4.44/servers/slapd

配置openldap

注意:从OpenLDAP2.4.23版本开始所有配置数据都保存在/etc/openldap/slapd.d/中，不再使用slapd.conf作为配置文件。

设置openldap的管理员密码：

[root@test slapd.d]# slappasswd -s admin@123

{SSHA}ptUSB1Mt+E4EvtscPolhiwLIICTLg1yN

上述加密后的字段保存下，等会我们在配置文件中会使用到。

修改olcDatabase={2}hdb.ldif文件

cd /etc/openldap/slapd.d/cn=config/

vim olcDatabase\=\{2\}hdb.ldif

修改域信息

olcSuffix: dc=jinni,dc=com

olcRootDN: cn=root,dc=jinni,dc=com

olcRootPW: {SSHA}ptUSB1Mt+E4EvtscPolhiwLIICTLg1yN

注意：冒号后面一定加空格，其中cn=root中的root表示OpenLDAP管理员的用户名，而olcRootPW表示OpenLDAP管理员的密码。

LDAP是一种通讯协议，如同HTTP是一种协议一样的！

LDAP连接服务器的连接字串格式为：ldap://servername/DN

其中DN有三个属性，分别是CN,OU,DC 

CN, OU, DC 都是 LDAP 连接服务器的端字符串中的区别名称（DN, distinguished   name）

CN：Common Name 为用户名或服务器名，最长可以到80个字符，可以为中文；

DC：Domain Component   DC类似于dns中的每个元素，例如h3c.com，“.”符号分开的两个单词可以看成两个DC

DN：Distinguished Name   类似于DNS，DN与DNS的区别是：组成DN的每个值都有一个属性类型，例如:H3c.com是一个dns，那么用dn表示为：dc=h3c,dc=com 级别越高越靠后。H3c和com的属性都是DC。

DN可以表示为ldap的某个目录，也可以表示成目录中的某个对象，这个对象可以是用户等。 

ldapadd 

修改olcDatabase={1}monitor.ldif文件

vim olcDatabase\=\{1\}monitor.ldif

注意：该修改中的dn.base是修改OpenLDAP的管理员的相关信息的。

验证OpenLDAP的基本配置，使用如下命令：

slaptest -u

通过上图，我们可以很明显的看出OpenLDAP的基本配置是没有问题。

启动OpenLDAP服务

systemctl enable slapd

systemctl start slapd

配置ldap数据库

OpenLDAP默认以Berkeley DB作为后端数据库，BerkeleyDB数据库主要以散列的数据类型进行数据存储，如以键值对的方式进行存储。

BerkeleyDB是一类特殊的面向查询进行优化、面向读取进行优化的数据库，主要用于搜索、浏览、更新查询操作，一般对于一次写入数据、多次查询和搜索有很好的效果。BerkeleyDB不支持事务型数据库(MySQL、MariDB、Oracle等)所支持的高并发的吞吐量以及复杂的事务操作。

现在来开始配置OpenLDAP数据库，使用如下命令：

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

chown ldap:ldap -R /var/lib/ldap

chmod 700 -R /var/lib/ldap

注意：/var/lib/ldap/就是BerkeleyDB数据库默认存储的路径。

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

migrate_common.ph文件主要是用于生成ldif文件使用，修改migrate_common.ph文件，如下：

vim /usr/share/migrationtools/migrate_common.ph +71

$DEFAULT_MAIL_DOMAIN = “jinni.com”;

$DEFAULT_BASE = “dc=jinni,dc=com”;

$EXTENDED_SCHEMA = 1;        #开启扩展模式

到此OpenLDAP的配置就已经全部完毕，下面我们来开始添加用户到OpenLDAP中。

默认情况下OpenLDAP是没有普通用户的，但是有一个管理员用户。管理用户就是前面我们刚刚配置的root。

现在我们把系统中的用户，添加到OpenLDAP中。为了进行区分，我们现在新加两个用户ldapuser1和ldapuser2，和两个用户组ldapgroup1和ldapgroup2，如下：

添加用户组，使用如下命令：

groupadd ldapgroup1

groupadd ldapgroup2

添加用户并设置密码，使用如下命令：

useradd -g ldapgroup1 ldapuser1

useradd -g ldapgroup2 ldapuser2

echo ‘123456’ | passwd –stdin ldapuser1

echo ‘123456’ | passwd –stdin ldapuser2

把刚刚添加的用户和用户组提取出来，这包括该用户的密码和其他相关属性，如下：

grep “:10[0-9][0-9]” /etc/passwd > /root/users

grep “:10[0-9][0-9]” /etc/group > /root/groups

根据上述生成的用户和用户组属性，使用migrate_passwd.pl文件生成要添加用户和用户组的ldif，如下：

/usr/share/migrationtools/migrate_passwd.pl /root/users > /root/users.ldif

/usr/share/migrationtools/migrate_group.pl /root/groups > /root/groups.ldif

注意：后续如果要新加用户到OpenLDAP中的话，我们可以直接修改users.ldif文件即可。

配置openldap基础的数据库，如下：

cat > base.ldif add_user_to_groups.ldif /etc/rsyslog.conf