手把手教您配置Linux目录服务器

近几年，随着LDAP（Light Directory Access Protocol，轻量级目录访问协议）技术的兴起和应用领域的不断扩展，目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案，特别是在网络资源查找、用户访问控制与认证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务等方面，都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统。

　　对于任何一家大IT网络的企业来说，IT系统中的目录服务功能是必不可少的。如果一个在全国有多个分支机构的企业，已经有了一个内部网络系统，每一个分支机构都有一个局域网，局域网之间通过专线或者VPN通道连接在一起，那么，怎么样把网络中的资源和信息有效地管理起来呢？通常，这个企业可以在每一个分支机构或者每个城市建立一个目录服务器，任何地方的员工连接到本地目录服务器就可以访问到目录树中所有的信息，在目录服务器之间复制目录信息，以保持同步。比如，人事部门看到的人员目录与财务部门、设备管理部门看到的人员目录是完全一致的，他们所使用的应用系统无须再建立另一套目录结构。当然，这一切都是要经过身份验证的。

　　目录服务有着如此重要的作用，但在过去，企业通常采用基于Windows的目录服务器，Linux在这方面相形逊色。作为Windows的核心内容，目录服务被企业IT人员认为是Windows与Linux相比最具竞争力的部分，也成为Linux产品架构中的软肋。随着Red Hat Enterprise Linux 4.0出现，这个情况已经改变了。RHEL 4 内附的LDAP 服务器为OpenLDAP 2.2.13-2 版，OpenLDAP 2.x包括数个重要功能：

　　1. 支持LDAPv3 - OpenLDAP 2.0 除了其它改善外还支持SASL（SimpleAuthentication and Security Layer）、TLS（Transport Layer Security）以及SSL（Secure Sockets Layer）。LDAPv2 之后通讯协议很多的改变都是为了加强LDAP 的安全性。

　　2. 支持IPv6 - OpenLDAP 支持新一代的因特网通讯协议第6 版。

　　3. LDAP Over IPC - OpenLDAP 能够使用IPC 在系统内进行通讯。这可以避免使用网络通讯以增加安全性。

　　4. 使用新的应用程序界面： 改善程序设计人员联机及使用程序的方法。

　　本文把以Red Hat Enterprise Linux 4.0 为例，介绍在Linux平台使用OpenLDAP上建立目录服务器。

　　一、LDAP协议简介

　　LDAP（轻量级目录访问协议，Lightweight Directory Access Protocol)是实现提供被称为目录服务的信息服务。目录服务是一种特殊的数据库系统，其专门针对读取，浏览和搜索操作进行了特定的优化。目录一般用来包含描 述性的，基于属性的信息并支持精细复杂的过滤能力。目录一般不支持通用数据库针对大量更新操作操作需要的复杂的事务管理或回卷策略。而目录服务的更新则一般都非常简单。这种目录可以存储包括个人信息、web链结、jpeg图像等各种信息。为了访问存储在目录中的信息，就需要使用运行在TCP/IP之上的访问协议—LDAP。 LDAP目录中的信息是是按照树型结构组织，具体信息存储在条目(entry)的数据结构中。条目相当于关系数据库中表的记录；条目是具有区别名DN（Distinguished Name）的属性（Attribute），DN是用来引用条目的，DN相当于关系数据库表中的关键字（Primary Key）。属性由类型（Type）和一个或多个值（Values）组成，相当于关系数据库中的字段（Field）由字段名和数据类型组成，只是为了方便检索的需要，LDAP中的Type可以有多个Value， 而不是关系数据库中为降低数据的冗余性要求实现的各个域必须是不相关的。LDAP中条目的组织一般按照地理位置 和组织关系进行组织，非常的直观。LDAP系统结构图见图1.

图1 LDAP系统结构图

　　LDAP的信息是以树型结构存储的，在树根一般定义国家(c=CN)或域名(dc=com)，在其下则往往定义一个或多个组织(organization)(o=Acme)或组织单元(organizational units) (ou=People)。一个组织单元可能包含诸如所有雇员、 大楼内的所有打印机等信息。

　　此外，LDAP支持对条目能够和必须支持哪些属性进行控制，这是有一个特殊的称为对 象类别(objectClass)的属性来实现的。该属性的值决定了该条目必须遵循的一些规则，其规定了该条目能够及至少应该包含哪些属性。例如：inetorgPerson对象类需要支持sn(surname)和cn(common name)属性，但也可以包含可选的如邮件，电话号码等属性。dn ：一条记录的位置；dc ：一条记录所属区域；ou ：一条记录所属组织；cn/uid：一条记录的名字/ID。OpenLdap是一个正在得到日益普遍应用的开源软件，和LADP完全兼容。

　　二、安装OpenLDAP服务器

　　如果在系统安装时已经把安装上了，那么我们就可以直接对OpenLDAP进行配置使用了。否则，可以通过Rat Het Enterprise Linux图形界面下的“添加/删除应用程序”工具进行安装。具体方法是，选择“主选单”→“系统设置”→“添加/删除应用程序”，在弹出的界面中选中“网络服务器”的“OpenLDAP－server”，单击“更新”即可，见图2。

图2 安装OpenLDAP 服务器软件

　　如果你使用的是其他版本的Linux，那么通常要安装以下软件包：OpenLDAP、OpenLDAP-servers、OpenLDAP-clients、OpenLDAP-devel ，OpenLDAP-2.0是必要套件，一定要先安装；OpenLDAP-servers是服务器套件；OpenLDAP-clients是操作程序套件；OpenLDAP-devel是开发工具套件。

　　三、配置OpenLDAP 服务器

　　以RedHat Linux 4所为例字介绍OpenLDAP 服务器配置文件。主要文件见表1。