ldap服务器(如何在Windows上搭建LDAP服务器)

一、ldap服务器怎么配置

1.什么是LDAP错误

LDAP（Lightweight Directory Access Protocol）是一种常用于分布式目录服务系统的协议，它常用于企业内部的身份验证、访问控制以及用户管理等方面。当在LDAP系统中发现用户验证失败、无法连接到LDAP服务器、无法读取或写入数据等问题时，就会产生LDAP错误。

2. LDAP错误的常见类型

在LDAP系统中，常见的错误类型包括但不限于：

1.连接错误：当LDAP客户端无法建立与LDAP服务器的连接时，就会产生连接错误。这可能是由于网络故障、服务器故障或LDAP客户端配置错误等原因所致。

2.认证错误：当LDAP服务器无法验证用户提供的凭据时，就会产生认证错误。这可能是由于用户名或密码错误、用户帐号已被锁定或禁用等原因所致。

3.搜索错误：当LDAP客户端无法通过查询来搜索LDAP目录时，就会产生搜索错误。这可能是由于查询条件不正确、目录结构不正确或权限不足等原因所致。

4.写入错误：当LDAP客户端无法将数据写入LDAP服务器时，就会产生写入错误。这可能是由于权限不足、目录结构不正确或数据格式错误等原因所致。

3.如何解决LDAP错误

当出现LDAP错误时，可以通过以下几个步骤来解决问题：

1.检查LDAP客户端配置是否正确：确保LDAP客户端的配置文件中包含正确的服务器地址、端口号、验证凭据等信息。

2.检查网络连接是否正常：确保LDAP客户端能够访问LDAP服务器，并且服务器能够响应客户端的请求。

3.检查LDAP服务器配置是否正确：确保LDAP服务器的配置文件中包含正确的目录结构、权限和访问控制等信息。

4.检查用户凭据是否正确：确保LDAP客户端使用的用户名和密码是正确的，并且帐号没有被锁定或禁用。

5.检查目录结构是否正确：确保LDAP目录结构中包含正确的对象类、属性和属性值等信息。

4.如何避免LDAP错误

为了避免LDAP错误，可以采取以下几个措施：

1.配置良好的LDAP服务器：确保LDAP服务器的配置文件中包含正确的目录结构、权限和访问控制等信息，以确保LDAP系统的稳定性和安全性。

2.检查LDAP客户端配置是否正确：确保LDAP客户端的配置文件中包含正确的服务器地址、端口号、验证凭据等信息，以便连接和使用LDAP服务器。

3.训练用户正确使用LDAP系统：为LDAP系统提供培训，教会用户正确使用LDAP系统并遵守访问和权限控制策略。

4.持续监测LDAP系统的性能和状态：定期检查LDAP服务器和LDAP客户端的性能和状态，以及及时发现和解决潜在的LDAP错误。

5.总结

LDAP错误是LDAP系统中常见的问题，可能是由于连接错误、认证错误、搜索错误或写入错误等原因所致。要解决LDAP错误，需要检查LDAP客户端配置、网络状态、LDAP服务器配置、用户凭据和目录结构等方面。为了避免LDAP错误，需要配置良好的LDAP服务器、检查LDAP客户端配置是否正确、培训用户正确使用和持续监测LDAP系统的状态和性能。

二、linux搭建ldap服务器详细步骤

ldap这种原始的服务器搭建起来比较复杂，同时它也是CE必考的（客户端的搭建）。

1、安装openldap-servers软件包

2、查看ldap模板文件的存放位置：

3、拷贝ldap模板文件到配置文件目录并修改文件名为slapd.conf。

4、删除/etc/openldap目录下原有的文件，保留下这几个文件，注意：以前学时是要删除schema文件，直留下三个，但是我测试时如果删除schema服务将失败。

5、修改slapd.conf文件的权限：

6、修改sldap.conf配置文件：如下：（主要配好红色的就ok，没有的都是被注释掉的）

复制代码

代码如下:

include/etc/openldap/schema/corba.schema

   include/etc/openldap/schema/core.schema

   include/etc/openldap/schema/cosine.schema

   include/etc/openldap/schema/duaconf.schema

   include/etc/openldap/schema/dyngroup.schema

   include/etc/openldap/schema/inetorgperson.schema

   include/etc/openldap/schema/java.schema

   include/etc/openldap/schema/misc.schema

   include/etc/openldap/schema/nis.schema

   include/etc/openldap/schema/openldap.schema

   include/etc/openldap/schema/ppolicy.schema

   include/etc/openldap/schema/collective.schema

   allow bind_v2

   pidfile/var/run/openldap/slapd.pid argsfile/var/run/openldap/slapd.args

   database bdb suffix"dc=example,dc=com" checkpoint 1024 15 rootdn

   "cn=Manager,dc=example,dc=com"

   rootpw redhat

   directory/var/lib/ldap

   index objectClass eq,pres

   index ou,cn,mail,surname,givenname eq,pres,sub

   index uidNumber,gidNumber,loginShell eq,pres

   index uid,memberUid eq,pres,sub

   database monitor

   access to* by dn.exact="cn=Manager,dc=example,dc=com" read by* none

7、重启动ldap服务器：

8、创建ldap用户目录：

9、编辑一个自动创建ldap用户的脚本：

10、执行此脚本添加用户：

11、把ldap用户，组分别导出来，到一个文件中：（例子只做了组）用户在、/etc/passwd下

12、安装软件包：

13、去它的目录下编译ldap用户组文件：

14、修改migrate_common.ph文件：

15、执行./migrate_base.pl文件，并导出到一个目录下边，进行进行修改，只留下最基本的三个配置：

16,、分别使用./migrate_passwd.pl     ./migrate_group.pl编译我们已经导出的ldap用户和组文件：/mnt/user/mnt/group分别是从/etc/passwd/etc/group导出的ldap用户和组文件

/date/user.ldif /date/group.ldif是编译后生成的文件要以ldif结尾

17、看下/date下我们编译好的几个文件：

18、添加ldap用户和组：

首先提示输入密码，其次添加成功。

还有个用户，必须首先执行base.ldif文件，它是最基本的配置。

三、如何组建和操作LDAP数据库

LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本使用，不过根据组织者的需要，它可以做得更加强大。

LDAP最基本的形式是一个连接数据库的标准方式。该数据库为读查询作了优化。因此它可以很快地得到查询结果，不过在其它方面，例如更新，就慢得多。要特别注意的是，LDAP通常作为一个hierarchal数据库使用，而不是一个关系数据库。因此，它的结构用树来表示比用表格好。正因为这样，就不能用SQL语句了。

简单说来，LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。

LDAP是轻量目录访问协议(LightweightDirectory Access Protocol)的缩写，其实是一话号码簿，类似于我们所使用诸如NIS(NetworkInformation Service)、DNS(Domain Name Service)等网络目录，也类似于你在花园中所看到的树木。

LDAP是一种特殊的数据库。但是LDAP和一般的数据库不同，明白这一点是很重要的。 LDAP对查询进行了优化，与写性能相比LDAP的读性能要优秀很多。

1.1 LDAP的存储规则

区分名(DN，DistinguishedName)

和自然界中的树不同，文件系统/LDAP/电话号码簿目录的每一片枝叶都至少有一个独一无二的属性，这一属性可以帮助我们来区别这些枝叶。

在文件系统中，这些独一无二的属性就是带有完整路径的文件名。比如/etc/passwd，该文件名在该路径下是独一无二的。当然我们可以有/usr/passwd,/opt/passwd，但是根据它们的完整路径，它们仍然是唯一的。

在LDAP中，一个条目的区分名称叫做“dn”或者叫做区分名。在一个目录中这个名称总是唯一的。比如，我的dn是"uid=aghaffar, ou=People, o=developer.ch"。不可能有相同的dn，但是我们可以有诸如"uid=aghaffar,ou=Administrators, o=developer.ch"的dn。这同上面文件系统中/etc/passwd和/usr/passwd的例子很类似。

我们有独一无二的属性，在"ou=Administrators,o=developer.ch"中uid和在"ou=People,o=developer.ch"中的uid。这并不矛盾。

CN=Common Name为用户名或服务器名，最长可以到80个字符，可以为中文;

OU=Organization Unit为组织单元，最多可以有四级，每级最长32个字符，可以为中文;

O=Organization为组织名，可以3—64个字符长

C=Country为国家名，可选，为2个字符长

LDAP目录以一系列“属性对”的形式来存储记录项，每一个记录项包括属性类型和属性值(这与关系型数据库用行和列来存取数据有根本的不同)。

mail= testmail@mccc.net

othermailbox= testmailother@mccc.com

givenname= givenname

sn= test sn

属性可添加，以下一个属性必须赋值：

objectclass=person(值为：person或 server或organization或其他自定义的值)

2 PHP(PHP培训php教程)如何操作LDAP

2.1 Php如何与LDAP连接和关闭

$ds=ldap_connect("ServerName")

ServerName是LDAP的服务器名，

例:

$ds=ldap_connect(“10.31.172.30:1000”)

返回值是：true或false

关闭连接

ldap_close($ds);

2.2在php中如何搜索用户信息

$ds=ldap_connect("10.31.172.30:1000");

//首先连接上服务器

$justthese=array("cn","userpassword",”location”);

//搜索函数中的一个参数，要求返回哪些信息，

//以上传回cn,userpassword,location,这些都要求小写

$sr=ldap_search($ds,"o=jite","cn=dom*",$justthese);

//第一个参数开启LDAP的代号