Bootstrap

Linux 安装并配置 OpenLDAP 新编(2)客户端工具

Linux 安装并配置 OpenLDAP 新编(2)客户端工具

OpenLDAP的官网上,并没有使用方面专题介绍,所以这部分的学习也只能一半参考一半摸索的进行。OpenLDAP的使用与管理,可以通过内置工具、第三方工具以及其他具体场景来进行,这里仅介绍系统内置工具的日常使用。

工具概述

在前一篇安装篇中所说,默认情况下LDAP的客户端管理工具被安装在: /usr/local/bin/ 目录中。我们可以通过 man 命令,或者 –help 参数来查看工具的具体使用方法。不过前者的返回实在是太多了,用后者即可。

查询操作

ldapsearch

回忆一下上一节中的两个查询命令,同时对照帮助文档:

# 刚启动后
ldapsearch -x -LLL -b '' -s base '(objectclass=*)' namingContexts
# 添加了根条目后
ldapsearch -x -LLL -b 'dc=example,dc=com' '(objectclass=*)'
# 帮助文档
ldapsearch --help
# 返回模板
usage: ldapsearch [options] [filter [attributes...]]

可以看到参数主要包含选项、过滤方式及显示属性。其中,过滤方式遵循 RFC 4515 规范,我也没再深入研究,以后再说吧。

其中属性是由空格分隔的多个名称列表,或者使用 * 显示所有用户属性,用 + 显示所有可选属性,例如:

ldapsearch -x -LLL -b 'dc=example,dc=com' '(objectclass=*)' +

对于简单的查询来说,以下几个选项基本就够用了:

  • -x : 简单身份验证
  • -LLL : 简化输出,不输出注释
  • -b : 表示搜索的起始节点
  • -s : 搜索范围,base, one, sub or children的一个
  • -H : 用于指定链接的服务器,如果不指定默认为本机地址及ldap协议
ldapwhoami

我是谁?这个命令用于请求用户身份验证。

# 简单身份验证
ldapwhoami -x
# 返回表示为匿名用户
anonymous
# 简单身份验证,指定绑定DN
ldapwhoami -x -w 123456 -D cn=Manager,dc=example,dc=com
# 返回绑定的DN身份信息
dn:cn=Manager,dc=example,dc=com
# 密码错误或者DN错误,则返回下面的错误信息
ldap_bind: Invalid credentials (49)

查询选项中的 -w 是指明文提供相应的密码明文;-W 为交互式密码输入方式。

编辑操作

添加操作

回想一下上一节的最后,通常在 LDAP 中添加条目,分为两步:1.编辑LDIF文件;2.添加文件到LDAP节点中。

再次编辑一个文件,名为 add_group.ldif,添加如下内容:

dn: ou=group,dc=example,dc=com
objectclass: organizationalUnit
ou: group

然后添加到上一节创建的根节点中:

ldapadd -x -W -D "cn=Manager,dc=example,dc=com" -f add_group.ldif
# 返回下面的结果表示添加成功
adding new entry "ou=group,dc=example,dc=com"
# 查询
ldapsearch -x -LLL -b 'dc=example,dc=com' '(objectclass=*)'

复盘一下前面的文件,这是一个最简单的LDAP管理文件,其中至少包括:

  • dn: 为条目的名字,必须全局唯一,对于添加操作来说,会根据路径进行搜索,如果上级不存在,会返回No Object错误;
  • objectclass : 必须包含的内容,表示该条目是什么类型,一个文件中可以包含多个指令;
  • ou : ou 是 organizationalUnit 对象的必要属性,如果不填写必要属性,会返回错误。

phpLDAPadmin提供了一个工具,可以查看到所有的 objectclass , 以及所有属性。打开文末的参考资料,选择左侧的 C6:OpenLDAP 2.4.40: config 下拉后,点击 schema 图标。

修改操作

修改操作略微复杂一些,又可以进一步区分为添加修改(为条目添加属性)、更新修改(为条目更新属性)、删除修改(删除属性)。但是要注意的是,这些操作应该只能针对于可选属性。想要修改类似于: ou 属性,会直接返回错误。

添加修改

我们继续编辑一个文件,名为: edit_group.ldif ,添加下面的内容:

dn: ou=group,dc=example,dc=com
changetype: modify
add: description
description: I'm first description!

然后执行 ldapmodify 命令:

ldapmodify -x -W -D "cn=Manager,dc=example,dc=com" -f edit_group.ldif
# 返回下面的结果表示修改成功
modifying entry "ou=group,dc=example,dc=com"
# 查询,此处已经可以看到修改添加的结果
ldapsearch -x -LLL -b 'ou=group,dc=example,dc=com'
更新修改

再次编辑前面的 edit_group.ldif 文件,修改下面的内容:

dn: ou=group,dc=example,dc=com
changetype: modify
replace: description
description: I'm second description!

再次执行 ldapmodify 命令:

ldapmodify -x -W -D "cn=Manager,dc=example,dc=com" -f edit_group.ldif
# 返回下面的结果表示修改成功
modifying entry "ou=group,dc=example,dc=com"
# 查询,此处已经可以看到修改添加的结果
ldapsearch -x -LLL -b 'ou=group,dc=example,dc=com'
删除修改

再次编辑前面的 edit_group.ldif 文件,修改下面的内容:

dn: ou=group,dc=example,dc=com
changetype: modify
delete: description

再次执行 ldapmodify 命令:

ldapmodify -x -W -D "cn=Manager,dc=example,dc=com" -f edit_group.ldif
# 返回下面的结果表示修改成功
modifying entry "ou=group,dc=example,dc=com"
# 查询,此处可以看到 description 属性已经被删除
ldapsearch -x -LLL -b 'ou=group,dc=example,dc=com'
总结

总结下来,修改操作需要通过 DN 来指定一个待修改的条目对象,changetype 的值固定为 modify 。通过动作指令来声明需要进行的操作,例如:add、replace和delete,同时指定要执行该动作的属性。最后指定该属性的值(对于删除动作来说并不需要)。

删除操作

上面的删除修改,实际上只是删除某个条目的具体值,那么如何彻底删除一个条目呢?这里需要用到 ldapdelete 命令,在此之前,我们创建一个新的条目用于测试删除。

# add_sub_group.ldif
dn: ou=tsd,ou=group,dc=example,dc=com
objectclass: organizationalUnit
ou: tsd

执行操作命令:

ldapadd -x -W -D "cn=Manager,dc=example,dc=com" -f add_sub_group.ldif
# 返回下面的操作
adding new entry "ou=tsd,ou=group,dc=example,dc=com"
# 查询,此处可以看到子级分组已经添加
ldapsearch -x -LLL -b 'ou=group,dc=example,dc=com'

最后,我们执行删除操作:

ldapdelete -x -W -D "cn=Manager,dc=example,dc=com" -r ou=tsd,ou=group,dc=example,dc=com
# 查询,此处可以看到子级分组已经添加
ldapsearch -x -LLL -b 'ou=group,dc=example,dc=com'

从上面的操作可以看到,节点删除并不会返回明确的结果。如果不指定具体的DN,则在输入密码后已交互式方式,要求用户输入DN来进行删除操作。其中的 -r 选项,用于指定递归删除。

多协议支持

可以说经过上面的实操,已经算是掌握了LDAP的操作。但是可能心细的人会注意到一个差异,我所有的命令操作,使用的身份验证都是: -x -W 或者 -x -w 123456 这种形式,而网上绝大多数的教程都是: -Q -Y EXTERNAL -H ldapi:// ,这是为什么呢?

首先我们尝试一下依样画瓢是否可行,简单改写下上面的命令,结果…………。Oops,返回错误:

ldapsearch -LLL -Q -Y EXTERNAL -H ldapi:// -b 'ou=group,dc=example,dc=com'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

考虑到再做一下简化,看看可能的问题在哪里:

ldapsearch -x -LLL -H ldapi:// -b 'ou=group,dc=example,dc=com'
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

WTF!!!

遇到这个问题,很多人去搜帖子,不外乎解决方案不外乎:添加 sudo 执行、不该用 ldapi:/// 要用 ldapi:// 、不该用 ldapi:// 要用 ldapi:/// 等等……

然而正如前面所讲的那样,这全部都是 设定先行 的想当然。 这里的本质原因在于2点:

  • 不给定参数的前提下,slapd只启动ldap的监听!
  • 下回再说!

第一点原因的解决方法也很简单,kill 掉之前的启动命令,添加参数后再次启动 slapd

/usr/local/libexec/slapd -F /usr/local/etc/slapd.d -h "ldap:/// ldapi:///"

# 简单授权方式
ldapsearch -x -LLL -H ldapi:// -b 'ou=group,dc=example,dc=com'

# SASL 机制
ldapsearch -Q -Y EXTERNAL -LLL -H ldapi:// -b 'ou=group,dc=example,dc=com'

总结

以为这样就完了么?当根据网上的资料,尝试使用 SASL 机制添加前面创建的条目时:

ldapadd -Q -Y EXTERNAL -H ldapi:// -f add_sub_group.ldif

WTF!!!这又是为什么???

# 返回结果

adding new entry "ou=tsd,ou=group,dc=example,dc=com"
ldap_add: Insufficient access (50)
	additional info: no write access to parent

这依旧是一个 设定先行 的问题,带着这个问题进入下一章内容!

文中所涉及的相关配置文件,请点击链接下载。

参考资料

;