大家好,又见面了,我是你们的朋友风君子。

安装

1.       这里使用的文件和版本如下(在google上搜索一下,应该能够找到下载):

a)         OPENLDAP服务器:openldap-2.2.29-db-4.3.29-openssl-0.9.8a-win32_Setup.exe

b)         OPENLDAP客户端工具(不用安装):LdapAdminExe-0.9.96.zip


2.       直接安装OPENLDAP服务器程序软件,安装后,请尽量保证服务处于关闭状态,因为还有一些设置需要调整,有可能会对服务器有所影响。

服务器基本配置及数据导入

1.       打开安装目录,默认路径为:C:/ Program Files/OpenLDAP

2.       找到服务器配置文件slapd.conf,用记事本或者UE打开,找到如下的段落:

 

#######################################################################

# BDB database definitions

#######################################################################

 

// 数据库类型,无需修改

database          bdb 

// 根目录后缀,可修改等号右边内容,建议在不熟悉实体类的情况,先不要修改等号左边的内容                    

suffix                  “O=FOUNDER,C=CN” 

// 用户的登录名,请先保证含有完整的suffix,否则可能不能启动服务    

rootdn              “CN=DOC,O=FOUNDER,C=CN”       

# Cleartext passwords, especially for the rootdn, should

# be avoid.  See slappasswd(8) and slapd.conf(5) for details.

# Use of strong authentication encouraged.

// 用户的登录密码

rootpw             1      

# The database directory MUST exist prior to running slapd AND

# should only be accessible by the slapd and slap tools.

# Mode 700 recommended.

// 数据保存文件路径

directory ./data     

# Indices to maintain

index         objectClass      eq

 

3.       修改完毕,打开桌面上的快捷cmd方式或者通过运行找到安装有openldap服务的安装目录,默认为C:/ Program Files/OpenLDAP,并输入net start OpenLDAP-slapd命令来启动服务。


4.       打开我们的客户端工具LdapAdmin,其界面和输入内容如下:

 

LDAP服务器搭建新手指南[通俗易懂]-冯金伟博客园

 

输入完毕,请点击“测试连接”,查看连接是否正常,如果此时连接正常的话,即可看到如下的界面:

 

LDAP服务器搭建新手指南[通俗易懂]-冯金伟博客园

 

并提示,没有任何实体内容!这是正常的,下面我们就需要创建根节点啦:

 

5.       我们通过命令行的方式来进行创建,这也是一种批量插入数据的方式,当然也可以通过客户端来进行设置,但貌似客户端经常会出现一些比较奇怪的问题,所以这里以执行命令文件的方式来添加数据,具体步骤如下:


a)         在安装程序目录中,新建一个空的txt文件,并将其文件类型修改为“*.ldif”,这里修改为“ldap.ldif”,并输入如下内容:

dn: O=FOUNDER,C=CN

objectClass: top

objectClass: organization

o: FOUNDER


b)         保存完毕,打开命令行工具,执行如下命令:

ldapadd -x -D “CN=DOC,O=FOUNDER,C=CN” -W -f ldap.ldif

会提示请输入密码,输入密码后回车,即会提示“添加节点O=FOUNDER,C=CN成功”


c)         然后我们再使用客户端登陆,会发现如下的情况:


LDAP服务器搭建新手指南[通俗易懂]-冯金伟博客园


d)         我们可以通过客户端来进行实体的添加,也仍旧可以通过批量执行文件的方式来操作,下面我们继续通过命令文件添加一些内容,但在这之前,请我们再次打开配置文件slapd.conf,找到如下段落:


#

# See slapd.conf(5) for details on configuration options.

# This file should NOT be world readable.

#

ucdata-path     ./ucdata

include               ./schema/core.schema

include              ./schema/cosine.schema

include              ./schema/corba.schema

include              ./schema/dyngroup.schema

include              ./schema/inetorgperson.schema

include              ./schema/java.schema

include              ./schema/misc.schema

include              ./schema/nis.schema

include              ./schema/openldap.schema

 

将粗体部分拷贝到文件中,这都是一些实体类,服务器默认已经为我们提供了非常多的数据类,也基本能够满足我们日常的使用需要,但是如果我们的数据类型实在太过特殊,无法通过搭配已有数据类来进行描述,我们可以自己编写实体类,但在没有熟悉其概念之前,还请不要贸然下手,因为里面牵扯的概念很多,而且一个不注意,或者是空格,有的是时候,甚至是编码的格式,都会导致服务器无法正常启动的问题,尤其是在windows平台下,还请慎重!


e)         扩充完我们的实体类后,我们需要重新启动服务,然后,继续编写如下的代码到脚本文件中:

 

dn: cn=DOC,O=FOUNDER,C=CN

objectClass: organizationalRole

cn: DOC

 

dn: cn=Certificate,cn=DOC,O=FOUNDER,C=CN

objectClass: top

objectClass: organizationalRole

cn: Certificate

 

dn: cn=CRL,cn=DOC,O=FOUNDER,C=CN

objectClass: top

objectClass: organizationalRole

cn: CRL

 

dn:cn=Cert_01,cn=Certificate,cn=DOC,O=FOUNDER,C=CN

objectClass:person

objectClass:inetOrgPerson

cn:Cert_01

sn:8B4FB21E4588C29F3D4CDE2EB0B33E877A2D9C92

userCertificate;binary::MIIFJzCCBA+gAwIBAgIKEUaJgQAAAAAAAjANBgkqhkiG9w0BAQUFADBaMRMwEQYKCZImiZPyLGQBGRYDQ09NMRcwFQYKCZImiZPyLGQBGRYHRk9VTkRFUjEUMBIGCgmSJomT8ixkARkWBEhPTEQxFDASBgNVBAMMC+aWueato0FwYWJpMB4XDTA2MDgwODA1NTQzNVoXDTA3MDgwODA2MDQzNVowgZExCzAJBgNVBAYTAkNOMRIwEAYDVQQIDAnljJfkuqzluIIxDzANBgNVBAcMBuWMl+S6rDEOMAwGA1UEChMFQXBhYmkxEDAOBgNVBAsTB1Byb2R1Y3QxEjAQBgNVBAMMCeadqOahguaelzEnMCUGCSqGSIb3DQEJARYYZ3VpbGluX2dhdmluQGhvdG1haWwuY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDbQKD/GFW/RsnxESA9WFZtXn4ihLBddsv6BrXMvpfuUDzbiyaIP/zkuFha7zquHtsyDP7zxrcqpG73szRRZuQltI9cfUJakxmxbpPMGSfdZfQTPOop1oQCLTshcg1txLQJbHUPWaW89kCLyalDtsGCaPziQbbp7MZCu9RgM21vWQIDAQABo4ICOTCCAjUwDgYDVR0PAQH/BAQDAgTwMEQGCSqGSIb3DQEJDwQ3MDUwDgYIKoZIhvcNAwICAgCAMA4GCCqGSIb3DQMEAgIAgDAHBgUrDgMCBzAKBggqhkiG9w0DBzAdBgNVHQ4EFgQU/cqm57cTWYBfcS12OgrZOUssXtwwEwYDVR0lBAwwCgYIKwYBBQUHAwIwHwYDVR0jBBgwFoAUHS4GWMc5SZMJrRUiYYAlFi2Nu/kwgZwGA1UdHwSBlDCBkTCBjqCBi6CBiIZBaHR0cDovL3lhbmdndWlsaW4uaG9sZC5mb3VuZGVyLmNvbS9DZXJ0RW5yb2xsLyE2NWI5ITZiNjNBcGFiaS5jcmyGQ2ZpbGU6Ly9cXHlhbmdndWlsaW4uSE9MRC5GT1VOREVSLkNPTVxDZXJ0RW5yb2xsXCE2NWI5ITZiNjNBcGFiaS5jcmwwgegGCCsGAQUFBwEBBIHbMIHYMGkGCCsGAQUFBzAChl1odHRwOi8veWFuZ2d1aWxpbi5ob2xkLmZvdW5kZXIuY29tL0NlcnRFbnJvbGwveWFuZ2d1aWxpbi5IT0xELkZPVU5ERVIuQ09NXyE2NWI5ITZiNjNBcGFiaS5jcnQwawYIKwYBBQUHMAKGX2ZpbGU6Ly9cXHlhbmdndWlsaW4uSE9MRC5GT1VOREVSLkNPTVxDZXJ0RW5yb2xsXHlhbmdndWlsaW4uSE9MRC5GT1VOREVSLkNPTV8hNjViOSE2YjYzQXBhYmkuY3J0MA0GCSqGSIb3DQEBBQUAA4IBAQBdH2cuKuT+xa125TNSkHo+WEsI1rvwwIGYG+c1wWjDp2tzh8u1ioaPJ+WIC5ViG4bc7r3rPZ6vUWaC0TIWE1//S87W5eEHc8ScARvfd/jz+62FocTcJEvEQ/xGoXeGx+vTf6tR1a+w0dn7AzIxjqaCIZr0wY1oxX3P3GVr2ZwOD3AK73gTUa9w3JDhHCsXsrJ3Ib/An9IXTdxD9Je+9hq/2PLJyM2kD5LhVCDbtPGxSvIB8LzlKEcDW37ZRXh+W/pWXZnMNVNjmVu1cvA96BnsDrPh3b9Nr52S5hzKnkIGd+gMhctCXH2e8u2jGaDlLlrxFN2yBXHiKNeMWLB+jrro

 

dn:cn=CRL_01,cn=CRL,cn=DOC,O=FOUNDER,C=CN

objectClass: organizationalRole

objectClass:pkiCA

cn: CRL_01

certificateRevocationList;binary::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


f)          保存后,重复步骤b中的命令,进行节点添加,之所以把完整的代码给出,也是方便大家进行直接动手实验,因为这里添加了证书文件和证书吊销列表文件的数据,这两种数据需要首先进行base64加密后,通过这种方式进行添加,而且要注意,其在文件中,必须保证中间没有任何多余字符,尤其注意在赋值的时候的具体写法,因为这两部分数据在LDAP服务器中是以二进制的形式进行保存的。


g)         在应用中,我们如果需要使用一些实体类的话,必须首先关注其关键字段都是那些,因为这些字段在实例化的时候,都是必须赋值的,也是DN关键索引中必须要标明的,所以一定要慎重选择。


h)         好了,我们可以打开客户端查看一下目前的数据结构了,图示如下:


 LDAP服务器搭建新手指南[通俗易懂]

 

客户端提供了很多的功能,如果打算深入学习的话,请多多尝试,毕竟图形化界面比较容易学习,但是命令行模式下,也是很方便的一种方式,如果我们有数据脚本的话。