Openldap導入數據（三）

無論是通過本地系統用戶和組轉換為ldap相關數據，還是通過ldif文件導入，都無法做到所見即所得，仿佛openldap就無法有一個真正可視化的操作界面一樣。我們都知道，通過本地系統轉換步驟繁瑣，通過ldif進行導入或ldapadd交互命令錄入又容易出錯，且需要對ldap數據結構特別清晰，所以如果有可視化的界面的話，對openldap的管理和編輯就會變得大大簡化。值得高興的是，這種可視化的工具很早就出現了，而且大大提高了我們的工作效率，在此就分別介紹一下Linux上和Windows上的ldap可視化管理工具。

Linux上的ldap管理工具

首先是Linux上的，主要介紹Ldap Account Manager和PhpLdapAdmin這兩個軟件，由于在Linux上進行可視化操作，都是借助于web的方式進行展現，所以需要安裝web軟件。而這兩款軟件都是基于php開發，所以還需要安裝php以及運行庫進行支持。由于是測試，我就將openldap和客戶端管理軟件（LAM和PLA）安裝在同一臺Linux上，如果是生產環境，可以考慮分別部署。

1、Ldap Account Manager的安裝介紹

首先，我對虛擬機進行一個快照的還原，還原到之前完成openldap安裝，但是還沒有導入任何數據的狀態，先進行一個查詢進行確認。這僅僅是為了確認，環境是剛剛部署的，且在沒有任何數據的情況下，如何通過Ldap Account Manager進行數據的初始化和數據的補充完善。

[root@ldapsrv01 ~]# ldapsearch  -x -b "dc=contoso,dc=com"

# extended LDIF

#

# LDAPv3

# base <dc=contoso,dc=com> with scope subtree

# filter: (objectclass=*)

# requesting: ALL

#

# search result

search: 2

result: 32 No such object

# numResponses: 1

1）安裝依賴軟件包

yum install -y httpd php php-ldap php-gd

2）下載ldap account manager源碼包

 wget 
http://jaist.dl.sourceforge.net/project/lam/LAM/4.2/ldap-account-manager-4.2.tar.gz

3）修改配置

mv ldap-account-manager-4.2.tar.gz /var/www/html/
cd /var/www/html/
tar -zxf ldap-account-manager-4.2.tar.gz
mv ldap-account-manager ldap
cd ldap/config
[root@ldapsrv01 config]# ll
total 28
-rw-r--r-- 1 root root  241 Mar 26  2012 config.cfg_sample
-rw-r--r-- 1 root root 2408 Mar 26  2012 lam.conf_sample
-rw-r--r-- 1 root root 1041 Mar 26  2012 language
drwxr-xr-x 3 root root 4096 Mar 26  2012 pdf
drwxr-xr-x 2 root root 4096 Mar 26  2012 profiles
drwxr-xr-x 2 root root 4096 Mar 26  2012 selfService
-rw-r--r-- 1 root root  183 Mar 26  2012 shells
cp config.cfg_sample config.cfg
cp lam.conf_sample lam.conf
sed -i 's/cn=Manager/cn=admin/g' lam.conf
sed -i 's/dc=my-domain/dc=contoso/g' lam.conf
sed -i '/treesuffix/s/dc=mydomain,dc=org/dc=contoso,dc=com/' lam.conf
#注意這里要修改，不然你在web界面看不到自己的域樹
[root@ldapsrv01 config]# diff lam.conf_sample lam.conf
8c8
< serverURL: ldap://localhost:389
---
> serverURL: ldap://192.168.49.138:389
13c13
< admins: cn=Manager,dc=my-domain,dc=com
---
> admins: cn=admin,dc=contoso,dc=com
20c20
< treesuffix: dc=yourdomain,dc=org
---
> treesuffix: dc=contoso,dc=com
55c55
< types: suffix_user: ou=People,dc=my-domain,dc=com
---
> types: suffix_user: ou=People,dc=contoso,dc=com
59c59
< types: suffix_group: ou=group,dc=my-domain,dc=com
---
> types: suffix_group: ou=group,dc=contoso,dc=com
63c63
< types: suffix_host: ou=machines,dc=my-domain,dc=com
---
> types: suffix_host: ou=machines,dc=contoso,dc=com
67c67
< types: suffix_smbDomain: dc=my-domain,dc=com
---
> types: suffix_smbDomain: dc=contoso,dc=com

4）啟動apache服務

chown -R apache:apache /var/www/html/ldap
/etc/init.d/httpd start

5）瀏覽器打開并在web中管理ldap

好吧，輸入http://192.168.49.138/ldap/templates/tree/treeViewContainer.php,  就會看到LAM的登錄界面，輸入管理員的密碼，選擇喜歡的語言，登錄。

由于我的openldap沒有任何數據，包括base等信息，這里提示幫助我進行創建，同意就好。

base,people等信息創建完成之后，我先創建一個組，然后再向這個組中添加用戶，選擇組，然后新組。

輸入組的相關信息，保存即可成功創建一個用戶組。

再選擇用戶標簽，新建一個用戶，首先輸入用戶個人信息，

然后是Unix信息，也即在Linux Server上的用戶名密碼等信息，類似于/etc/passwd保存的信息。

還有Shadow屬性，如果有需要使用的話，可以啟動該擴展。

關于samba的設置，如果有samba服務器的話，可以在此添加相關設置。

最后，給用戶設置一個密碼，確定完成。

點擊保存按鈕，用戶的新建也就完成了。

回到用戶標簽，可以查看創建好的用戶，當然也可以對用戶進行編輯和刪除等操作，也就是說，用戶的增刪改查都在這里進行。

回到組標簽中，可以查看創建好的組，跟用戶標簽一樣，對組的增刪改查都可以在這里進行。

點擊右上角的“樹狀結構”可以看到域樹，有點類似Windows AD的結構，能對域的結構一目了然。

補充一點：

如果這里無法顯示，那么結果的方法是：

    第一：檢查域的base節點是否創建，如果沒有可以通過ldif導入或者手工錄入。

    第二：注意lam.conf中的treesuffix是否修改為自己的域名，默認為mydomain.org。

    第三：檢查LAM版本，如果前兩步都已修改扔無法顯示，可以考慮換更新的版本進行嘗試。我的配置使用LAM3.7無法顯示，換4.2能正常顯示。

關于Lamp Account Manager的使用說明，就到此為止了。

2、PhpLadpAdmin的安裝介紹

下面就直接在上面的基礎上進行PLA的安裝，因為PLA和LAM一樣都依賴于php和apache,這里就省略安裝過程了。

1）安裝依賴軟件包

 yum install -y httpd php php-ldap php-gd

2）下載phpldapadmin軟件包

wget http://nchc.dl.sourceforge.net/project/phpldapadmin/phpldapadmin-php5/1.2.3/phpldapadmin-1.2.3.zip

3）修改phpldapadmin配置文件

mv phpldapadmin-1.2.3.zip /var/www/html/
cd /var/www/html/
unzip phpldapadmin-1.2.3.zip
mv phpldapadmin-1.2.3 phpldapadmin
cd phpldapadmin/config      
[root@ldapsrv01 config]# ll
total 28
-rw-r--r-- 1 root root 24935 Oct  1  2012 config.php.example
cp config.php.example config.php

#其實如果openldap和phpldapadmin裝在同一臺服務器上，只需拷貝config.php即可，無須進行下面配置文件的修改，但是最好還是進行修改，萬一某一天需要遷移phpldapadmin到別的server，直接拷貝配置文件即可

vi config.php

需要修改的地方主要有：

將$ldapservers->SetValue($i,’server’,'name’,'My LDAP Server’);這一行之后的如下內容：

// $ldapservers->SetValue($i,’server’,'host’,’127.0.0.1′);

// $ldapservers->SetValue($i,’server’,'port’,’389′);

// $ldapservers->SetValue($i,’server’,'base’,array(”));

// $ldapservers->SetValue($i,’server’,'auth_type’,'cookie’);

# $ldapservers->SetValue($i,’login’,'dn’,'cn=Manager,dc=example,dc=com’);

# $ldapservers->SetValue($i,’login’,'pass’,'secret’);

依次對應修改為：

$ldapservers->SetValue($i,’server’,'host’,'192.168.49.138’);

$ldapservers->SetValue($i,’server’,'port’,’389′);

$ldapservers->SetValue($i,’server’,'base’,array(‘dc=contoso,dc=com’));

$ldapservers->SetValue($i,’server’,'auth_type’,'cookie’);

$ldapservers->SetValue($i,’login’,'dn’,'cn=admin,dc=contoso,dc=com’);

$ldapservers->SetValue($i,’login’,'pass’,'’); #這里留空，需要在瀏覽器中填寫，不建議將dn的密碼明文寫在此處

4）啟動apache服務

chown -R apache:apache /var/www/html/phpldapadmin
/etc/init.d/httpd restart #因為我在部署LAM的時候已經啟動了httpd,所以這里用重啟命令

5）在瀏覽器中通過PLA管理ldap

打開瀏覽器，輸入地址：http://192.168.49.138/phpldapadmin/index.php ,然后選擇登錄。

注意：如果這里點擊登錄之后，出現一系列的錯誤，且錯誤信息包含：Php版本和PLA版本等信息，那就是因為版本不匹配，我的PHP版本是5.3.3，使用PLA 1.1.0就無法登錄，出現包含php版本以及PLA版本的錯誤信息，于是更換PLA 1.2.3，更新PLA版本之后一切正常。

這里登錄之后看到的界面，左側是域的樹狀結構，右側是對應的詳細信息。

因為用戶組sudoers已經在LAM創建過了，這里只演示創建一個新的用戶。選擇sudoers組，然后在右側選擇“創建一個子條目”。

在右側的創建對象菜單中選擇要創建對象的類型，可以看到PLA中的對象類型是相當豐富的，這里選擇Generic: User Account。

鍵入用戶的詳細信息，然后選擇“創建對象”。

最后給出新建對象的概覽信息，同時這也是確認信息的操作，確認無誤則提交，如果有問題還可以取消操作，我覺得這個步驟還是蠻人性化的，這里提交。

好的，用戶創建成功，可以在左側域樹種看到，同樣也可以點擊用戶在右側查看詳細信息。

如果要查看ldap相關的objectClass屬相，可以選擇“顯示內部屬性”。

再回到LAM中，刷新一下就可以看到在PLA中添加的用戶了，這兩個工具都可以對用戶進行管控，并且可以管理對方創建的用戶，所以無須擔心多個管理者使用工具的不同造成數據無法統一管理，不同的只是工具，數據還是統一的，這點要注意。