为OpenLDAP安装配置图片化管理工具的过程,这里记录一下,本文基于Centos6。本文中第2步和第三步分别介绍了phpldapadmin和LDAP Account Manager的安装方法,它们都是基于WEB的LDAP管理工具,可以任选其一安装,也可以两者都安装。其中LDAP Account Manager相对简单,比较适合新手。
1,安装epel源及基础软件包
根据系统版本打开相应的链接:
CentOS 5 32位:http://download.fedoraproject.org/pub/epel/5/i386/
CentOS 5 64位:http://download.fedoraproject.org/pub/epel/5/x86_64/
CentOS 6 32位:http://download.fedoraproject.org/pub/epel/6/i386/
CentOS 6 64位:http://download.fedoraproject.org/pub/epel/6/x86_64/
查找“epel”,应该会找到一个“epel-release-X-X.noarch.rpm”的软件包。下载,安装之。
$ yum install httpd php php-bcmath php-gd php-mbstring php-xml php-ldap php-pear
$ vim /etc/httpd/conf/httpd.conf #修改如下内容
……
DirectoryIndex index.html index.php
……
$ vim /etc/php.ini #修改如下内容
……
date.timezone = "Asia/Shanghai"
……
$ service httpd restart
2,配置phpldapadmin环境
phpldapadmin适合LDAP老手,以及想搞清楚LDAP运作方式的用户;
phpldapadmin是一个老版的LDAP管理工具。最近更新日期是2012年10月。不确定作者是否已停止更新。我在试用的过程中,发现了几处BUG及用户不友好的地方。
$ yum install phpldapadmin
$ vim /etc/httpd/conf.d/phpldapadmin.conf #修改如下内容
Alias /phpldapadmin /usr/share/phpldapadmin/htdocs
Alias /ldapadmin /usr/share/phpldapadmin/htdocs
<Directory /usr/share/phpldapadmin/htdocs>
Order Deny,Allow
Deny from all
Allow from 127.0.0.1 172.31.0.0/16 #添加允许访问的网段
Allow from ::1
</Directory>
$ vim /etc/phpldapadmin/config.php #修改如下内容
#取消注释397行,注释398行
$servers->setValue('login','attr','dn');
// $servers->setValue('login','attr','uid');
$ /etc/rc.d/init.d/httpd restart
然后可以用http://192.168.32.x/ldapadmin或者http://192.168.32.x/phpldapadmin来访问了。
3,配置LDAP Account Manager环境
LDAP Account Manager(简称LAM)跟phpldapadmin一样,也是一个基于web的管理工具;
相比之下,LAM更适合初学者一些
$ wget http://downloads.sourceforge.net/project/lam/LAM/5.2/ldap-account-manager-5.2-0.fedora.1.noarch.rpm
$ rpm -ivh ldap-account-manager-5.2-0.fedora.1.noarch.rpm
$ vim /var/lib/ldap-account-manager/config/lam.conf #根据自身情况修改如下内容
……
admins: cn=admin,dc=my-domain,dc=com
……
modules: posixAccount_maxUID: 30000
……
types: suffix_user: ou=People,dc=my-domain,dc=com
……
#types: modules_user: inetOrgPerson,posixAccount,shadowAccount #请注释掉此行,并添加下面一行
types: modules_user: account,posixAccount,top,shadowAccount #添加这一行
……
types: suffix_group: ou=group,dc=my-domain,dc=com
……
安装完成以后,会自动释放一个配置文件/etc/httpd/conf.d/lam.apache.conf到Apache的目录下,通过查看该配置文件发现,默认的web页面是允许任意网段访问的,如果需要限制特定的网段访问,请自行修改此配置文件。
$ /etc/rc.d/init.d/httpd restart
然后可以用http://192.168.32.x/lam来访问了。
LAM使用建议
1,登陆以后,建议进入一下初始化操作:
点击右上角的”Tools”-“Profile editor”。选中”Users”右边的编辑图标,将”RDN identifier”修改为uid。因为Users通常以uid作为识别码,而Groups通常以cn作为识别码;
2,添加用户时,由于使用了posixAccount的类型(objectClass),所以”Common name”和”UID number”也必须填写,否则会报错。”Common name”和”User name”一样即可;
3,为用户修改密码时,”Set password”的小窗口关掉以后,还需要点一下页面上的”Save”,密码才会生效。
参考资料:
http://www.cnblogs.com/AloneSword/p/4758814.html
http://www.server-world.info/en/note?os=CentOS_6&p=ldap&f=4
Windows系统下还有一个名为LDAP Admin的工具,有兴趣的朋友可以试一下。
===============================
2016.01.04补充
发现Windows系统下有一个好用的管理工具,名为JXplorer,基于JAVA开发,在实际的使用过程中,体验效果比LDAP Admin要好,建议有需求的朋友们可以试试。