1. 添加组织或条目
创建一个Marketing部门,添加一个dn记录:
# cat add_entry.ldif
dn: ou=Marketing, dc=example,dc=com
changetype: add
objectclass: top
objectclass: organizationalUnit
ou: Marketing
dn: cn=Pete Minsky,ou=Marketing,dc=example,dc=com
changetype: add
objectclass: person
objectclass: organizationalPerson
objectclass: inetOrgPerson
cn: Pete Minsky
sn: Pete
ou: Marketing
description: sb, sx
description: sx
uid: pminsky
# ldapmodify -xWD 'cn=admin,dc=example,dc=com' -f add_entry.ldif
或去掉changetype后
# ldapmodify -a -xWD 'cn=admin,dc=example,dc=com' -f add_entry.ldif
# ldapadd -xWD 'cn=admin,dc=example,dc=com' -f add.ldif
2. 修改组织或条目
添加mail属性,修改sn的值,删除一个description属性:
# cat modify_entry.ldif
dn: cn=Pete Minsky,ou=Marketing,dc=example,dc=com
changetype: modify
add: mail
mail: pminsky@example.com
-
replace: sn
sn: Minsky
-
delete: description
description: sx
# ldapmodify -xWD 'cn=admin,dc=example,dc=com' -f modify_entry.ldif
# ldapsearch -xD 'cn=admin,dc=mydomain,dc=net' -b 'ou=People,dc=mydomain,dc=net' -s sub 'objectclass=*' -w mydomain -LLL
3. 重命名条目
dn: cn=Pete Minsky,ou=Marketing,dc=example,dc=com
changetype: modrdn
newrdn: cn=Susan Jacobs
deleteoldrdn: 1
modrdn只允许修改dn最左边的部分,且不能重命名带叶子或分支的子树,如果要将一个用户移动到另一个部门下,只能在新部门创建dn,然后删除旧的dn。
4. 删除组织或条目
LDAP协议只能删除无分支的叶子dn:
# cat delete_entry.ldif
dn: cn=Susan Jacobs,ou=Marketing,dc=example,dc=com
changetype: delete
或
# ldapdelete -xWD "cn=admin,dc=example,dc=com" -h localhost -p 389 "cn=Susan Jacobs,ou=Marketing,dc=example,dc=com"
5. LDIF配置backend
OpenLDAP的配置采用以cn=config为根的目录树的形式组织起来,采用config作为database,默认情况下包括admin或root用户都没有访问权限,需要赋予读写权限,然而赋予修改权限要求首先要提供认证信息,初始化安装后的cn=config是没有credentials
# ldapmodify -Y EXTERNAL -H ldapi:/// -f modify_config.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"
ldap_modify: Insufficient access (50)
所以这里不得不手动编辑olcDatabase={0}config.ldif文件,获得最初认证权限(虽然官方不推荐手动修改配置):
# vi /etc/ldap/slapd.d/cn\=config/olcDatabase\=\{0\}config.ldif
olcRootPW: {SSHA}your_slappasswd_secret
重启slapd后(不是说不用重启吗)便可以修改config:
# ldapwhoami -x -D cn=config -W
修改示例:
# ldapmodify -xWD 'cn=config'
Enter LDAP Password:
dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=config
-
replace: olcRootPW
olcRootPW: {SSHA}your_slappasswd_secret
modifying entry "olcDatabase={0}config,cn=config"
在/etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif中olcRootDN变成base64加密后的值(两个":")。
最后,如果要在slapd服务未启动的情况下修改配置可以通过以下命令转换成ldif中间文件:
# slapcat -n0 -F /etc/ldap/slapd.d/ > /tmp/config-in-portable-format.ldif
编辑ldif文件后,重新shengc slapd.d目录
# slapadd -n0 -F /tmp/slapd.d -l /tmp/config-in-portable-format.ldif
使用这类命令行工具有助于对 LDAP concept 理解,如果要达到快速配置的效果,可以使用 ldapbrowser 或 Apache Directory Studio图形化工具,特别是 Apache Directory Studio 不仅提供了 LDAP Browser/Editor 的功能,还能编辑LDIF文件和自定义schema,智能提示非常友好。
时间: 2024-09-16 21:00:44