LDAP管理工具

在前面的内容中，应该懂得使用 LDAP 指令来进行增加，删除，修改，查询的操作。这对于小规模的管理，是很快的。但，相对于规模大的网络而言，这将变成管理上的瓶颈。有鉴于此，这里导入3种不同的管理工具，以方便不同环境，网络结构，以及操作系统的需求。

   1.PHP-LDAPAdmin (Web-Base)

      根据名称，有动态网页开发经验的人应该会看出。本节中要介绍的内容，肯定是与 PHP 有关的，而且有关 PHP 的几乎都离不开 Web Service。

      这个 PHP-LDAPAdmin 工具，确实是使用网页方式作为管理 OpenLDAP 的接口，使得管理 OpenLDAP 跨平台的特性展露无疑。然而，建置网站的方式并不是所有人都驾轻就熟，所以，这个工具比较适合系统管理员进行使用。

      软件可以在以下网址找到。
      http://www.phpldapadmin.com/

      安装步骤：
         1.解压，移动到支持 PHP 的 Apache 中。

            [root@Cluster01 src]# tar -zxvf phpldapadmin-0.9.5.tar.gz
            [root@Cluster01 src]# mv phpldapadmin /var/www/html
         2.设定 Apache ，以完成 PHP-LDAPAdmin 所在目录的基础认证

            由于，该软件并没有需要输入密码的地方，为此增加 phpldapadmin 目录的基础认证，避免被轻易修改 OpenLDAP 的内容。
            而且，建议使用SSL来连接，以避免被监听到密码(SSL 的连线，请参考 Apache 有关 mod_ssl 模块的描述)。

            建立 Apache 基础认证口令，该口令是以MD5加密的。本例，密码放置在 /etc/httpd/passwd/目录下的 password 文件内。并且，设定该文件只能管理员可修改的属性，即 644 。

            htpasswd 指令中，c 参数表示建立文件的意思，maple 用于基本认证是用户名称。

            [root@Cluster01 root]# mkdir /etc/httpd/passwd
            [root@Cluster01 root]# htpasswd -c /etc/httpd/passwd/password maple
            New password:
            Re-type new password:
            Adding password for user maple
            [root@Cluster01 passwd]# cat /etc/httpd/passwd/password
            maple:LF9DefG4LFVX.
            [root@Cluster01 passwd]# chmod 644 password


            增加 phpldapadmin 目录的权限，这里只建立一个 maple 用户能使用，这是出于安全的考量，因为越多用户能用就越危险。
            修改 /etc/httpd/conf/httpd.conf 设定文件，在文件最后增加如下内容：


            <Directory /var/www/html/phpldapadmin>
                AuthType Basic
                AuthName "PHPLDAPAdmin"
                AuthUserFile /etc/httpd/passwd/password
                Require user maple
            </Directory>
            参数
            描述
            AuthType 认证方式，Basic 表示基础认证。
            AuthName
            认证的名称，在后面的图中会看到。本重要性并不高。
            AuthUserFile
            能访问该目录的有效用户列表文件，也就是前面建立的 paaword 文件。
            Require
            密码列表文件中，可访问的用户名。


         3. 设定 PHP-LDAPAdmin 用于登陆 OpenLDAP 的参数

            首先，从 PHP-LDAPAdmin 中的 example 文件，复制一份成为 config.php 文件。这是为了起到备份原始设定文件的做法。

            [root@Cluster01 src]# cp /var/www/html/phpldapamin/config.php.example /var/www/html/phpldapadmin/config.php

            接着，修改 config.php 文件内的如下参数，所填写的内容是根据前面 OpenLDAP 的 root 用户所填写的：

            $servers[$i]['host'] = '192.168.1.2';
            $servers[$i]['base'] = 'dc=myhome,dc=lan';
            $servers[$i]['login_dn'] = 'cn=root,dc=myhome,dc=lan';
            $servers[$i]['login_pass'] = '{SSHA}uw5R7b68+tqhqgc9c/ULAl2zAW/YTvVm';


         4. 从浏览器经过基础认证后的 PHP-LDAPAdmin

            设定完成后，通过 IP 地址或者域名，即可从浏览器以及设定的基础认证用户，并且通过 Apache 登陆到远端的 OpenLDAP 进行管理。




   2.  LDAPAdmin (Windows)

      根据我跟一些开发人员的接触后，对于绝大部分的开发人员，还是比较习惯使用 Microsoft Windows 的平台。对于架设如上一小节内的管理服务，可能有点勉为其难。为此，这里介绍的将是比较适合开发人员使用的 LDAPAdmin for Windows 。

      该软件可以在以下网址找到：

      http://ldapadmin.sourceforge.net/

      使用方式没有前面的 PHP-LDAPAdmin 那样需要设定服务来得繁复。只要下载，设定好登陆 OpenLDAP 的参数即可。

   3.GQ (Unix/Linux  GTK+)

      有鉴于，越来越多的开发人员开始进入 Unix/Linux 的开发，使用 X Window 的机会也越来越多。为了传承开发人员的习惯，这里介绍的是基于 GTK+ 的一个 OpenLDAP 管理工具。

      但是，由于在撰写本文的时候，该软件还是 beta 版本，总有点问题。所以，并不建议使用，还是使用 PHP-LDAPAdmin 方便些。

      软件在下面的网页找到：

      http://biot.com/gq/

      安装也不是太难，执行一般性的编译安装即可。

      [root@Cluster01 src]# tar -zxvf gq-1.0beta1.tar.gz
      [root@Cluster01 src]# cd gq-1.0beta1
      [root@Cluster01 gq-1.0beta1]# ./configure --prefix=/opt/gp-1.0beta1
      [root@Cluster01 gq-1.0beta1]# make
      [root@Cluster01 gq-1.0beta1]# make install