手把手教您配置Liunx目录服务器(下)

我们已经配置完成Liunx OpenLDAP目录服务器、客户端，下面着重介绍一下目录服务器的管理技巧。

一、监控OpenLDAP服务器

    1.使用uptime命令

    使用uptime命令可以查看系统负载，系统平均负载被定义为在特定时间间隔内运行队列中的平均进程数目。如果一个进程满足以下条件则其就会位于运行队列中：没有在等待I/O操作的结果、它没有主动进入等待状态(也就是没有被调用、没有被停止。

    # uptime
    9:51pm up 3 days, 4:43, 4 users, load average:6.02, 5.90, 3.94

    上面命令显示示最近1 分钟内系统的平均负载是6.02，在最近5分钟内系统的平均负载是5.90，在最近的15 分钟内系统的平均负载是3.94。一共四个用户。通常来说只要每个CPU的当前活动进程数不大于3那么系统的性能就是良好的，如果每个CPU的任务数大于5，那幺就表示这台机器的性能有严重问题。对于上面的例子来说，由于笔者系统使用是双CPU，那幺其每个CPU的当前任务数为：6.02/2=3.01。这表示该服务器的性能是可以接受的。

    2.使用cron命令进行定时监测系统负载：

    cron是一个守护进程，它提供定时器的功能，让用户在特定时间执行命令，首先使用命令：“chkconfig －list|grep crond”查看该服务是否启动，然后使用命令：
    # crontab －e
    此时打开一个vi编辑器：输入以下内容：
    #30 * * * * * uptime
    存盘退出，这样每隔十五分钟就记载其平均负载，这样累计一天，我们就可以得到最近一天的平均负载。

    3. OpenLDAP进程的监控

     Linux系统提供了ps、top等察看进程信息的系统调用，通过结合使用这些系统调用，我们可以清晰地了解进程的运行状态以及存活情况，从而采取相应的措施，来确保Linux系统的性能。它们是目前在Linux下最常见的进程状况查看工具，是随 Linux版本发行的，安装好系统之后，用户就可以使用。 这里以ps命令为例，ps命令是最基本同时也是非常强大的进程查看命令。利用它可以确定有哪些进程正在运行及运行的状态、进程是否结束、进程有没有僵死、哪些进程占用了过多的资源等。ps命令可以监控后台进程的工作情况，因为后台进程是不和屏幕键盘这些标准输入/输出设备进行通信的，图5是ps －ef|grep ldap命令输出的例子。说明其中PID为3653是主进程。
 

图5 OpenLDAP服务器的进程

    4.端口的监控

    轻型目录访问协议默认使用389端口。可以使用命令：
    # netstat -an | grep 389
    tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN

二、 OpenLDAP服务器自动启动和安全设定

    1.自动启动OpenLDAP服务器

    如果希望ldap每次启动都能自动运行，可以用ntsysv设置。以root权限运行命令：
    ＃ntsysv
 

图6启动OpenLDAP提供网络服务

    打开如图6 所示的窗口，在ldap服务选项加上*（用空格键），然后重新启动系统，这样系统会启动ldap目录服务。

    2.使用访问控制(Access Control)实现用户认证

    修改OpenLDAP的配置文件，增加控制模块方法如下：
    # vi /usr/local/etc/OpenLDAP/slapd.conf
    access to attr=userPassword
　　　　by anonymous auth
　　　　by self write
　　　　by * none
    access to *
　　　　by self write
　　　　by users read

    这里访问控制用于禁止匿名查询，而认证用户可以修改自己的所有属性，除了userPassword属性，允许查询它人的信息条目。上面的每一行都是必须的，如果没有“by anonymous auth”，需要认证的用户不能完成认证，因为它查询不到密码。所以“auth”在这里的作用就是允许匿名用户可以读到密码，但只能用于验证，而不能用于其它的用途，这就保证了密码属性的安全。

    另外前面介绍/etc/OpenLDAP/slapd.conf文件设定密码时，使用了明文，主要是为了调试方便，实际工作时应当使用加密方法。最新版本的OpenLDAP支持三种加密方法：MD5、CRYPT、SSHA。我们不想将rootpw 存储在服务器上的明文内，所以我们改用散列。有几种普遍使用的散列方法可通过slappasswd 命令来实现，包括SHA、SSHA、MD5、和CRYPT在内。安全方面CRYPT最差。SSHA是默认方法，MD5也不错。使用slappasswd 可以生成一个很好的散列rootpw：

    $ slappasswd
    New password:
    Re-enter new password:
    {SSHA}Lr7P++EoH6GpIS4GZ36vkV4R422RuW7R
    现在复制粘贴这个很好的新散列到/etc/ldap/slapd.conf内： 
    rootpw        {SSHA}Lr7P++EoH6GpIS4GZ36vkV4R422RuW7R

    这是一个永久设置，很适合用在小型的简单的网络上。更好的解决方案就是创建一个LDAP记录，该记录定义了LDAP管理员，还为LDAP管理员使用slapd.conf中的ACLs (access control lists)定义了访问权限。尽量少将安全敏感的信息存储在目录中.如果非存不可.一定要编辑ACL严格的控制访问权限如userPassword等.多数情况下目录服务还要主要是给其他的服务提供数据存储.这样的话应该让每个服务器绑定到不通的DN,同时在ACL中赋予他们较高的权限.而不能让所有的服务都使用rootdn来绑定。

三、 管理OpenLDAP服务器

    1. 命令行下的管理

    Linux系统管理员更加喜欢使用命令，一定要养成在命令行下工作的习惯，要知道X－window只是运行在命令行模式下的一个应用程序。在命令行下学习虽然一开始进度较慢，但是熟悉后，您未来的学习之路将是以指数增加的方式增长的。从网管员来说，命令行实际上就是规则，它总是有效的，同时也是灵活的。即使是通过一条缓慢的调制解调器线路，它也能操纵几千公里以外地远程系统。OpenLDAP提供了在Linux命令行下的访问工具集。包括ldapsearch,ldapadd,ldapmodify,ldappassword,ldapdelete等必要的工具。

    2.使用phpldapadmin管理OpenLDAP服务器

    phpldapAdmin 是免费的工具，可以管理OpenLDAP服务器，使用它透过浏览器就可管理OpenLDAP服务器。phpldapAdmin是一个开源工具，官方主页：http://phpldapadmin.sourceforge.net/ ，最新版本：0.9.7.2 ，下载安装步骤：
    #cd  /var/www/html/
    # wegt http://jaist.dl.sourceforge.net/sourceforge/phpldapadmin/phpldapadmin-0.9.7.2.tar.gz
    #gunzip phpldapadmin-0.9.7.2.tar.gz
    #tar vxf phpldapadmin-0.9.7.2.tar
    #cd phpldapadmin-0.9.7.2/config
    #cp config.php.example config.php
    修改phpMyadmin配置文件：
    ## vi config.php
    $servers[$i]['host'] = 'ldap.localhost';
    $servers[$i]['base'] = 'dc=example,dc=com'; 
    $servers[$i]['login_pass'] = 'secret1234567 '; #前面定义的服务器根管理员的密码
    然后在Linux 浏览器服务器的URL栏目输入：http://主机/phpldapadmin ，即可。界面见图7。当然也可以使用IP地址。
 

图7 phpMyadmin管理OpenLDAP界面

    除了phpMyadmin还有两个管理工具：ldapbrowser，官方网址：http://www-unix.mcs.anl.gov/~gawor/ldap/ ，最新版本：282b2，ldapbrowser是纯JAVA的程序，可跨平台运行，在开源的程序中，是最优秀的一个。缺点是不能浏览服务器端的schema对象，从而限制了条目编辑（添加）的能力。其次，由于JAVA对LDAP的访问方式在添加时，必须预先生成一个实现DirContext接口的类，因此，这也令订制型的添加操作在JAVA实现时相当困难。ldapadministrator官方网址：http://www.ldapadministrator.com/  ，最新版本：3.3，ldapadministrator是一个windows的收费程序，试用一个月。Ldapadministrator除了具备ldapbrowser的功能外，在条目编辑上的功能大为增强

四、Outlook下如下使用OpenLDAP

    因为微软的Outlook 软件一直占有很大的使用率，所以也的介绍一下Outlook 如何使用OpenLDAP。我们可以使用Outlook 来观看远程LDAP 目录服务器的各项信息。例如我们要搜寻某个员工的资料时，我们只要打开我们的Outlook 就可以查询该员工的数据了。开启 Outlook 之后，选择 工具 / 账户，然后再选取“新增 / 目录服务”。填入你的服务器的IP地址或者主机全称域名，在下一个屏 幕中选yes以允许用目录服务来查询地址，最后在"目录服务"栏中选中刚才设置的项目击“属性/高级",在"搜索库"中填入 “ou=mycompany,dc=lpenguin,dc=idv,dc=cn”，即可。见图8。
 
   

图8 Outlook设置界面

五、OpenLDAP在Linux上集群的应用

    OpenLDAP在该系统的网络应用体系中用于对所有应用提供统一的身份认证服务，还包括如邮件路由、地址、联系人信息等其它信息的查询。LDAP作为一种特殊的数据库，通过对读取、查询操作进行特别的优化和处理，以保证在查询速度方面的优势，所以特别适合用来统一企业的各种认证服务，从而规范各种业务系统的同一登录身份和口令。当然，它的缺点和优点一样明显，比如不善于update、insert等操作，但是如果把它作为中央认证数据库，则正好可以利用它的长处而回避它的弱点。

    由于系统采用了LDAP作为所有应用的中央认证数据库，一旦该LDAP服务器失效，则系统网络环境中所有依赖于该数据库的应用都会受到影响，甚至停止提供相应的服务。为了避免这种情况的发生，就要通过两台LDAP服务器建立一个高可靠性的认证数据库集群，同时对其它应用系统提供统一的数据库访问网络接口。

总结：

    以上是Linux下使用OpenLDAP建立目录服务器，其实在红帽软件公司推出目录服务器之前，Linux的平台理论上是可以实现目录服务功能的，但是，Linux的目录服务功能很多都是由免费开源软件包帮助实现，并没有专门的公司来负责开发和维护支持，因此，很多企业用户都对其心存担忧。在企业的信息系统中，最重要的就是要系统各方面实现无缝集成。很多企业通常用的都是Windows操作平台、Oracle数据库，以及Windows目录服务器。即使他们采用的是Linux平台，由于Linux之前没有专业的公司提供专门的目录服务器产品，因此这些企业在目录服务器上还是会选择Windows。这样一来，考虑到Linux平台与Windows目录服务器无缝连接的问题，企业在选择平台时也会很慎重。因此，Linux现在推出自己的目录服务器，可以完善其产品结构，系统各方面可实现无缝集成，将整个产业链向前推动。

    主流的LDAP服务器还有Sun Java System Directory Server和IBM Directory Server、Domino，使用它们同样可行，配置也是大同小异。其中Domino、Sun Java System Directory Server还可以在其他平台运行。