- 论坛徽章:
- 0
|
创建基于ldap的apache目录验证
软件:openldap
ldapclient/server
apache:添加mod_authz_ldap支持
1:设置ldap和创建ldap数据库
apache的authz_ldap module通过匹配在ldap server中的attributetype:usePassword来验证密码,所以在ldap存储设计中一定要使用这个attribute。而这个attribute是openldap所预先定义好的,它属于inetOrgPerson这样一个objectclass,我们设计的数据的objectClass就应该是inetOrgPerson或者它的一个子类。
这里有必要讲一下ldap中的objectClass和attributetype。在我看来,objectClass就相当于普通数据库中的一个table,attributetype就是table中的一个coloum。与数据库中的table,coloum不同的是,ldap中的objectClass呈现一种类似与面向对象编程中的继承关系,比如 organization->dcObject->top。top就是顶层objectClass,而 dcObject,organization都是“继承”它而来。我们需要使用inetOrgPerson中的userPassword,因此可以直接用这个objectClass,也可以定义一个通过继承它而来的objectClass。objectClass可以定义must和may两种attributetype,意思是必须和不是必须的attributetype,在inetOrgPerson中sn和cn是必须的(我不知道这两个具体代表什么意思),但我们并不需要它,因此我怀疑应该有其他不通过继承inetOrgPerson来使用userPassword的方法,如果哪位高手明白的话,请不吝赐教。
好,说了一堆,现在正式来创建ldap数据项。
- attributetype (1.1.2.2.2.2
- NAME 'userName'
- DESC 'Employee User Name'
- EQUALITY caseIgnoreMatch
- SUBSTR caseIgnoreSubstringsMatch
- SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )
- objectclass (1.1.2.2.1
- NAME 'Employee'
- SUP inetOrgPerson
- STRUCTURAL
- MUST ( userName )
- )
复制代码
在这里我创建了一个叫rdpsUser的objectClass,SUP inetOrgPerson表示它是继承inetOrgPerson而来,并且有一个必须的userName。这个userName使用来存储网页验证时输入的用户名的,当然我们也可是使用inetOrgPerson已有的如sn来存储,而且那样的话都没有必要建立一个新的objectClass,但在这里为了演示如何定义schema,并为了数据库的易读性,还是创建一个新的。
把它另存为/.../openldap/schema/what_ever_you_call_it.schema,然后在slapd.conf里将它include进去。重启ldap以验证schema的正确性。
现在来创建ldap的存储结构,相当于创建数据库的table
创建ldap init文件initial_create.ldif
- dn: dc=dps,c=us
- objectClass: organization
- objectClass: dcObject
- objectClass: top
- o: dps-us
- dc: dps
- dn: o=dps-us,dc=dps,c=us
- objectClass: organization
- objectClass: dcObject
- o: dps-us
- dc: dps
- dn: ou=employees,o=dps,dc=dps,c=us
- objectClass: organizationalUnit
- ou: employees
复制代码
这里假设了slapd.conf里设置是这样的
- suffix "dc=dps,c=us"
- rootdn "cn=Manager,dc=dps,c=us"
- rootpw secret
复制代码
注:这段使用来设置ldap服务器的root权限,不知道是否一定需要把ldap init文件的root dn设置为和suffix一样,呼唤明白人
关闭ldap
将数据库定义导入ldap
- slapadd -v -l initial_create.ldif
- /etc/init.d/ldap start
复制代码
注:我通过yum install安装的ldap,第一次导入这些的时候出现了数据文件的owner不是ldap用户的错误信息,使用chown改成ldap即可
导入数据:
创建内容为如下的data.ldif
- dn: userName=fduan,ou=employees,o=dps,dc=dps,c=us
- objectClass: top
- objectClass: inetOrgPerson
- objectClass: rdpsEmployee
- userPassword: {crypt}$1$d5TsJc7e$1qEaguOMwU9.89opV3BH1.
- userName: fduan
- sn: fduan
- cn: fduan
复制代码
- ldapadd -x -D 'cn=Manager,dc=dps,c=us' -w secret -f data.ldif
复制代码
注:userPassword可以使用明文和加密方式存储,可以使用slappasswd来生成加密的字段,crypt是linux /etc/shadow的加密方式,所以可以使用ldap来存储服务器用户的密码
- slappasswd -h{MD5} -s secret
- {MD5}Xr4ilOzQ4PCOq3aQ0qbuaQ==
复制代码
2:为http服务目录添加使用ldap验证的功能
需要为apache安装mod_authz_ldap,还有一个mod_auth_ldap的模块,别搞混了.
假设需要添加验证的目录是/var/www/elog/
首先打开目录.htaccess的override功能
- <Directory "/var/www/elog">
- AllowOverride all
- Order allow,deny
- Allow from all
- </Directory>
复制代码
在/var/www/elog里面创建.htaccess,添加如下内容
- AuthzLDAPMethod ldap
- AuthName AuthzLDAP
- AuthType Basic
- AuthzLDAPServer "serverName"
- AuthzLDAPUserBase ou=employees,o=dps-us,dc=dps,c=us
- #这是存数据的DN
- AuthzLDAPUserKey userName
- #这是用来验证的attributetype,所以说不一定要用userName
- AuthzLDAPLogLevel info
- Order deny,allow
- Deny from all
- require valid-user
- satisfy any
复制代码
这样应该通过ldap来做网页的验证了。
另:打开ldap的log
openldap的log默认是不打开的,要打开在/etc/syslog.conf或rsyslog.conf里面加入
- local4.* -/var/log/ldap/ldap.log
复制代码
[ 本帖最后由 redicaps 于 2009-2-5 14:08 编辑 ] |
|