Ubuntu apt-get

install安装参考：http://dongwang.wordpress.com/category/uncategorized/

普通linux安装,以XXX用户身份安装：

1、安装Berkeley

DB 4.7.25：伯克利大学嵌入式数据库解决方案,openldap拿它作为存储方案。

http://download.oracle.com/berkeley-db/db-4.7.25.tar.gz下载到：/home/XXX/download/

# tar xvf

db-4.7.25.tar.gz

# cd

db_4.7.25

# cd build_unix/

#

../dist/configure -prefix=/home/XXX/app/BerkeleyDB

# make

# make install

2、安装openldap前准备:配置环境变量,参考openldap install文件

#export

CPPFLAGS="-I/home/XXX/app/BerkeleyDB/include -D_GNU_SOURCE"

注：不设置make时报getpeereid.c:65: error: storage size of ‘peercred’ isn’t

known错误

#export

LDFLAGS="-L/home/XXX/app/BerkeleyDB/lib"

注:不设置configure时报configure: error: BDB/HDB: BerkeleyDB not

available错误

#export

LD_LIBRARY_PATH="/home/XXX/download/db-4.7.25/build_unix/.libs"

注:不设置configure时报configure: error: Berkeley DB version

mismatch错误

3、安装openldap-2.4.15:

ftp://sunsite.cnlab-switch.ch/mirror/OpenLDAP/openldap-release/openldap-2.4.15.tgz下载到/home/XXX/download/

#tar xvf

openldap-2.4.15.tgz

#cd

openldap-2.4.15/

#./configure

-prefix=/home/XXX/app/openldap

# make

depend

# make test

可跳过

# make

# make

install

4、配置openldap:

#cd

/home/XXX/app/openldap/etc/openldap

#gedit

slapd.conf

加入(注意：中间是空格+tab，顺序必须保证，有相互依赖关系)：

include

/home/XXX/app/openldap/etc/openldap/schema/corba.schema

include

/home/XXX/app/openldap/etc/openldap/schema/cosine.schema

include

/home/XXX/app/openldap/etc/openldap/schema/inetorgperson.schema

include

/home/XXX/app/openldap/etc/openldap/schema/misc.schema

include

/home/XXX/app/openldap/etc/openldap/schema/openldap.schema

include

/home/XXX/app/openldap/etc/openldap/schema/nis.schema

include

/home/XXX/app/openldap/etc/openldap/schema/java.schema

将文件中的

database bdb

suffix

"dc=my-domain,dc=com"

rootdn

"cn=root,dc=my-domain,dc=com"

rootpw

secret

修改成自己的目录根，指定自己根的管理员,这里修改为root,与linux的root没有什么关系

rootdw

是管理员的密码，默认密码是secret，这里可以使用MD5加密。

#cd

/home/XXX/app/openldap/sbin

#slappasswd

New

password:

Re-enter new

password:

{SSHA}mHzQL7t4YG/a6g5mt2YPLE/+ErmekI34

也可以指定加密方式：

# slappasswd -h

{MD5}

将输出结果替换secret

5、启动openldap:

#

/home/XXX/app/openldap/libexec

# su root -c

"./slapd"

必须如此，1024以下的端口必须由root才能绑定，ldap是389端口。

如果启动不成功可以用

./slapd -d 1启动debug模式。。将在屏幕打印启动信息

#netstat -tlnp

发现389端口即启动成功

接下来的事情就是向数据库添加数据。ldap不支持sql，所以要用ldapadd这个程序来添加，添加的时候要用一个ldif文件，把要添加的东西写在里面，ldif的格式在admin

guide里面有说明。首先要添加根，这一步是必要的，不然任何数据都添加不进去。我们编辑一个init.ldif文件，包括建立my-domain.com、管理者為domain.com

底下的root、以及一個people的物件容器，用來放一般使用者。

dn:

dc=my-domain,dc=com

objectClass:

dcObject

objectClass:

organization

dc:

my-domain

o: my-domain

Company

dn:

cn=root,dc=my-domain,dc=com

objectClass:

organizationalRole

cn: root

dn:

ou=people,dc=my-domain,dc=com

objectClass:

organizationalUnit

ou: people

應該會看到你的organization、organizationRole、organizationUnit

這三個，也就是你的最高網路域名‧最高管理者、以及一個準備用來容納使用者的people 項目。這個people

項目你當然可以自由取名。

提示：objectClass必须设置属性：

dcobject：dc用来表示一个域名的部分

organization：o用来表示一个组织的名称

person：cn和sn用来表示名和姓

organizationalPerson：与person相同。

organizationalRole：cn 表示管理者名称

organizationUnit：ou表示容器名称

详细参考：http://www.yolinux.com/TUTORIALS/LinuxTutorialLDAP-GILSchemaExtension.html

执行命令：

#cd

/home/XXX/app/openldap/bin

#ldapadd -D

"cn=root, dc=my-domain,dc=com" -w secret -f init.ldif

或者

#ldapadd -D

"cn=root, dc=my-domain,dc=com"  -W -f

init.ldif

说明：-D指定管理员目录

-f指定导入文件 -W表示弹出密码输入提示 如果是简单普通密码，则-w secret即可。

如果成功将提示：

adding new entry

dc=my-domain,dc=com

adding new entry

cn=root,dc=my-domain,dc=com

adding new entry

ou=people,dc=my-domain,dc=com

补充一：用户users.ldif

,其中userPassword在person声明,mail在inetOrgPerson声明

dn:cn=kehufankui,ou=people,dc=navinfo,dc=com

objectClass:

person

objectClass:

inetOrgPerson

sn:kehufankui

cn:kehufankui

userPassword:123

mail:loveflying88@sina.com

多个用户重述上面信息

补充二：启动注意解决办法：

错误一：openldap安装成功后，另外启动一个终端，slapd启动时将报错：

./slapd: error

while loading shared libraries: libdb-4.7.so: cannot open shared

object file: No such file or directory

出错原因：找不到bdb的链接库。

解决办法一：完全拷贝。

#cp

/home/XXX/app/BerkeleyDB//include/* /usr/include/

#cp

/home/XXX/app/BerkeleyDB/BerkeleyDB/lib/* /usr/lib/

解决办法二(推荐)：

要把/home/XXX/app/BerkeleyDB/lib的库路径直接加到/etc/ld.so.conf文件最后一行，添加完成后执行一次

ldconfig，使用配置文件生效。

提示：

ld.so.conf记录了编译、或运行时使用的动态链接库(.so)的路径。默认情况下，编译器只会使用/lib和/usr/lib这两个目录下的库文件。

错误二：debug模式启动时报daemon: bind(7) failed errno=13错误

出错原因：是1024以下的端口必须由root才能绑定。因为ldap默认是389端口。所以才报这个错误。

解决办法：su root -c

"./slapd"

6、扩展openldap

schema配置:

ldap默认的schema属性声明有时候无法满足现实的需要，比如要用openldap备份微软ldap的数据，sAMAccountName是微软特有的属性，这样我们就需要扩展属性。

举例说明，扩展inetOrgPerson这个objectClass,增加sAMAccountName这个属性。

打开inetorgperson.schema文件，添加：

#sAMAccountName

attributetype (

2.16.840.1.113730.3.1.217

NAME

'sAMAccountName'

DESC ''

EQUALITY

caseIgnoreMatch

SUBSTR

caseIgnoreSubstringsMatch

SYNTAX

1.3.6.1.4.1.1466.115.121.1.15{128}

SINGLE-VALUE

)

#targetDN

attributetype (

2.16.840.1.113730.3.1.218

NAME

'targetDN'

DESC ''

EQUALITY

caseIgnoreMatch

SUBSTR

caseIgnoreSubstringsMatch

SYNTAX

1.3.6.1.4.1.1466.115.121.1.15{256}

SINGLE-VALUE

)

在May里添加：

MAY (

....

$ userPKCS12 $ sAMAccountName

$targetDN)

)

即可，参考：

http://blog.163.com/duanhehui0928@126/blog/static/115272342201031122227764/

http://hi.baidu.com/teamtogether/blog/item/fde2b81184f17fc8a7ef3f0f.html

7、后记

微软ldap和openldap在dn的存储设计上有本质区别。

openldap:the DN

isn't an attribute value - it's theobject's name itself.

微软ldap:the DN is

an attribute value - it's DistinguishedName。

dn是一个比较重要的属性，作为object 的唯一路径标识，删除、修改object都要使用到，而java

ldaptemplate访问openldap时却无法获取dn值，值得一提的是python-ldap

search默认获取的就是("dn值",{属性集合})，非常方便。

针对java

ldaptemplate的设计失误，只能在openldap增加一个targetDN来存储dn值来变相解决这个问题。