LDAP 基础教程

LDAP 全称轻量级目录访问协议（英文：Lightweight Directory Access Protocol），是一个运行在 TCP/IP 上的目录访问协议。LDAP实现提供被称为目录服务的信息服务，可以看做是一张特殊的数据库系统。可以有效的解决众多网络服务的用户账户问题，规定了统一的身份信息数据库、身份认证机制和接口，实现了资源和信息的统一管理，保证了数据的一致性和完整性。

使用场景

有两个系统A,B；需要把A系统创建的用户同步到B中，而B是个apache 开源项目，此时需要借助LDAP来解决。首先在A中建用户的同时，同步更新到LDAP中，然后B系统从LDAP中同步到自己的系统中，这样就实现了A中的用户到B系统的同步。

LDAP理解

在LDAP中，信息以树状方式组织，基本数据单元是条目，而每个条目由属性构成，属性由类型（Type）和一个或多个值（Value）组成。

Entry

包含的信息描述了现实世界中的一个真实的对象，在目录系统中可以理解为一个节点。在目录中添加一个Entry时，该Entry必须属于一个或者多个对象类（Oject Class），Entry的类型由属性Object Class规定。每个Entry都有一个唯一的DN(distinguished name)来标识Entry在directory中的位置。用Java的方式Entry相当于一个Instances，而Ojbect class自然就是Class。

根节点DN的命名有多种方法，其中之一就是域名命名法，例如sohu.com根阶节点的DN应该是DN:dc=sohu,dc=com，People节点的DN:ou=People,dc=example,dc=com，RDN是目录树中节点的相对标识，例如People节点的RDN:ou=people。

Attribute

每个Entry都是由许多Attribute组成，每个属性描述的是对象的一个特征，每个属性由一个类型和一个或多个值Value组成。
每个属性类型有所对应的语法和匹配规则；对象类和属性类型的定义均可以使用继承的概念。每个条目创建时，必须定义所属的对象类，必须提供对象类中的必选属性类型的属性值，在LDAP中一个属性类型可以对应多个值。
常见属性：

属性名	是否必填	描述
c	否	国家
dc	是	domain component，常用来指一个域名的一部分
o	否	该条目所属的组织名（Organization Name）
ou	否	一个组织单元的名字
cn	是	common name,一个对象的名字，如果指人，使用全名
sn	是	Surname，一个人的姓
uid	是	Userid，某个用户的登录名，与Linux系统中用户的uid不同
userPassword	否	登陆密码
mail	否	邮箱
givenName	否	一个人的名
displayName	否	显示条目时要使用的首选名称
uidNumber	否	账号的UID
gidNumber	否	账号的GID
homeDirectory	否	用户的家目录指定
loginShell	否	用户登录的SHELL
employeeNumber	否	工号相关信息
homePhone	否	家庭电话
mobile	否	该条目的手机号码
description	否	该条目的描述信息

Object class

在LDAP中，一个条目必须包含一个Oject class属性，且需要赋予至少一个值。每个值将用作一条LDAP条目进行数据存储的模板，模板中包含了一个条目必须被赋值的属性和可选的属性。
Object分为三类，结构型（Structural），如Person和orginzationUnit，辅助型（Auxiliary），如extensibeObject，抽象型（Abstract）：如top，抽象型的ObjectClass不能直接使用。
下面部分常用的ObjectClass，定义在/etc/openldap/schema/core.schema文件中

名称	描述	必要属性
domain
organization		o
organizationalUnit		ou
person		sn,cn
organizationPerson		cn,sn
top	抽象型，顶级ObjectClass
posixAccount	Linux用户	cn,gidNumber,homeDirectory,uid,uidNumber
posixGroup	Linux用户组	cn,gidNumber

• Entry必须仅包含一个Structural类型的OjectClass，其他两种类型可包括0或者多个。

LDAP 功能模型

描述LDAP 协议可以采用的相关操作，来访问存储在目录树中的数据，可以将操作分
成三组：
(1) 更新操作 包括添加，删除，重命名，修改Entry
(2) Interrogation Operation 用于数据的查询
(3) 认证和控制 (bind unbind abandon)

LDAP 安全模型

(1) 提供一个框架，包含目录中的信息不被非法访问，LDAP 的安全模型主要是通过身份认
证、安全通道和访问控制（ACL）来实现。
(2) LDAP 是一个面向连接的协议，在能够对LDAP 目录进行任何操作之前，LDAP 客户端
端必须获得一个到LDAP 服务端的一个连接，在这个过程中需要对LDAP 客户端的身份进
行验证（可以理解为用户绑定）。
(3) 在用户通过验证之后，为用户分配附加的权限，比如一些用户只能查看特定的Entry，而不能修改。一些用户可以查看并且修改所有的Entry等。

下面是一个典型的 LDAP 目录树结构，其中每个节点表示一个条目。在下一节中，我们将按照这个结构来配置一个简单的 LDAP 服务。

本文仅涉及没有SSL的OpenLDAP配置。

一、环境准备

两台虚拟机

IP	hostname	说明
192.168.1.101	openldap-server	server端
192.168.1.102	openldap-client	client端

关闭SELinux

查看SELinux状态：getenforce,或/usr/sbin/sestatus
临时关闭：

setenforce 0

永久关闭：

sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config 
grep SELINUX=disabled /etc/selinux/config

关闭iptables

chkconfig  iptables off
/etc/init.d/iptables stop 
/etc/init.d/iptables status

官方文档：

http://www.openldap.org/doc/admin24/

步骤
分为server端操作和client端操作

二、server端安装OpenLDAP

1. yum安装OpenLDAP

[root@openldap-server ~]# yum install openldap openldap-servers openldap-servers-sql openldap-clients openldap-devel compat-openldap -y

OpenLDAP的相关配置文件信息

• /etc/openldap/slapd.conf：OpenLDAP的主配置文件，记录根域信息，管理员名称，密码，日志，权限等
• /etc/openldap/slapd.d/*：这下面是/etc/openldap/slapd.conf配置信息生成的文件，每修改一次配置信息，这里的东西就要重新生成
• /etc/openldap/schema/*：OpenLDAP的schema存放的地方
• /var/lib/ldap/*：OpenLDAP的数据文件
• /usr/share/openldap-servers/slapd.conf.obsolete 模板配置文件
• /usr/share/openldap-servers/DB_CONFIG.example 模板数据库配置文件

OpenLDAP监听的端口：

• 默认监听端口：389（明文数据传输）
• 加密监听端口：636（密文数据传输）

2. 复制ldap配置文件到/etc

[root@openldap-server ~]# cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf

3. 生成ldap管理员密码(把ldappassword改为自己的管理员密码)

[root@openldap-server ~]# slappasswd -s ldappassword
{SSHA}b6YpCvRFWAWQdJpueuyzk79VXlikj4Z1

4. 修改slapd.conf

修改其中cn，dc相关内容，及rootpw密文密码，rootpw配置上面设置的密码
（rootpw必须顶格写，与密码Tab键分开）

[root@openldap-server ~]# cp /etc/openldap/slapd.conf /etc/openldap/slapd.conf.bak
[root@openldap-server ~]# vim /etc/openldap/slapd.conf
......
database        bdb
suffix          "dc=qq,dc=com"
checkpoint      1024 15
rootdn          "cn=Manager,dc=qq,dc=com"             #管理LDAP中信息的最高权限，即管理员权限，登陆时用。
......
rootpw          {SSHA}b6YpCvRFWAWQdJpueuyzk79VXlikj4Z1

检测/etc/openldap/slapd.conf是否有错误

[root@openldap-server ~]# slaptest -f /etc/openldap/slapd.conf
config file testing succeeded

5. 检测并重新生成ldap数据库

[root@openldap-server ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG    # 拷贝DB_CONFIG文件
[root@openldap-server ~]# cd /etc/openldap/
[root@openldap-server openldap]# ls -l slapd.d/
drwxr-x--- 3 ldap ldap 4096 7月  13 13:59 cn=config
-rw-r----- 1 ldap ldap 1281 7月  13 13:50 cn=config.ldif
[root@openldap-server openldap]# rm -rf slapd.d/*            # 删除默认配置 （否则添加ldap用户时会报错）
[root@openldap-server openldap]#
 
官方对于OpenLDAP2.4 ，不推荐使用 slapd.conf 作为配置文件。从这个版本开始所有配置数据都保存在 /etc/openldap/slapd.d/中
 
[root@openldap-server openldap]# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/
5b02d207 bdb_db_open: database "dc=qq,dc=com": db_open(/var/lib/ldap/id2entry.bdb) Failed: No such file or directory (2).
5b02d207 backend_startup_one (type=bdb,suffix="dc=qq,dc=com"): bi_db_open Failed! (2)
slap_startup Failed (test would succeed using the -u switch) 
 
[root@openldap-server openldap]# slaptest -u
config file testing succeeded
出现succeed继续

6. 修改相关ldap文件权限

[root@openldap-server openldap]# chown -R ldap:ldap /var/lib/ldap/
[root@openldap-server openldap]# chown -R ldap:ldap /etc/openldap/

7. 启动slapd服务

[root@openldap-server openldap]# service slapd start
Starting slapd:                                            [  OK  ]
[root@openldap-server openldap]# service slapd status 
slapd (pid  12896) is running...
[root@openldap-server openldap]# chkconfig slapd on
[root@openldap-server openldap]# lsof -i:389
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
slapd   12896 ldap    7u  IPv4 702934      0t0  TCP *:ldap (LISTEN)
slapd   12896 ldap    8u  IPv6 702935      0t0  TCP *:ldap (LISTEN)

三、OpenLDAP日志功能开启

1. slapd.conf配置文件里加上日志行

这里的日志级别有很多种，这里选择256这个值的级别（主从节点都要打开openldap日志功能）

[root@openldap-master ~]# cp /etc/openldap/slapd.conf{,.bak3}
[root@openldap-master ~]# vim /etc/openldap/slapd.conf           #中间的空格用tab键分开
.......  # 最后添加
loglevel  256

2. 修改了配置文件，所有得重新生成配置文件的信息

[root@openldap-master ~]# rm -rf /etc/openldap/slapd.d/*
[root@openldap-master ~]# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/
config file testing succeeded
[root@openldap-master ~]# slaptest -u
config file testing succeeded
[root@openldap-master ~]# chown -R ldap:ldap /var/lib/ldap/
[root@openldap-master ~]# chown -R ldap:ldap /etc/openldap/

3. 修改/etc/rsyslog.conf文件，加上下面内容

[root@openldap-master ~]# cp /etc/rsyslog.conf{,.bak}
[root@openldap-master ~]# vim /etc/rsyslog.conf
........    # 最后添加
local4.*    /var/log/slapd/slapd.log

4. 创建日志文件目录，授权

[root@openldap-master ~]# mkdir /var/log/slapd
[root@openldap-master ~]# chmod 755 /var/log/slapd/
[root@openldap-master ~]# chown ldap.ldap /var/log/slapd/

5. 重启syslog服务和slapd服务

[root@openldap-master ~]# /etc/init.d/rsyslog restart
Shutting down system logger:                               [  OK  ]
Starting system logger:                                    [  OK  ]
 
[root@openldap-master ~]# /etc/init.d/slapd restart
Stopping slapd:                                            [  OK  ]
Starting slapd:                                            [  OK  ]
[root@openldap-master ~]# lsof -i:389
COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
slapd   13773 ldap    7u  IPv4 840484      0t0  TCP *:ldap (LISTEN)
slapd   13773 ldap    8u  IPv6 840485      0t0  TCP *:ldap (LISTEN)

6. 查看openldap日志信息

[root@openldap-master ~]# tail -f /var/log/slapd/slapd.log

四、server端安装migrationtools,创建根域条目（可选）

参考：http://book.51cto.com/art/201602/505737.htm

1. 安装migrationtools 工具

migrationtools 实现OpenLDAP 用户及用户组的添加。

[root@openldap-server openldap]# yum install migrationtools -y

2. 编辑/usr/share/migrationtools/migrate_common.ph并修改相关配置

[root@openldap-server openldap]# cp /usr/share/migrationtools/migrate_common.ph{,.bak}
[root@openldap-server openldap]# vim /usr/share/migrationtools/migrate_common.ph
# 搜索”dc=”，值改为与slapd.conf一致内容
......
# Default DNS domain
$DEFAULT_MAIL_DOMAIN = "qq.com";
 
# Default base
$DEFAULT_BASE = "dc=qq,dc=com";

3. 创建OpenLDAP 根域条目，base.ldif

[root@openldap-server openldap]# /usr/share/migrationtools/migrate_base.pl > base.ldif
[root@openldap-server openldap]# cat base.ldif
dn: dc=qq,dc=com
dc: qq
objectClass: top
objectClass: domain
 
dn: ou=Hosts,dc=com
ou: Hosts
objectClass: top
objectClass: organizationalUnit
 
dn: ou=Rpc,dc=com
ou: Rpc
objectClass: top
objectClass: organizationalUnit
 
dn: ou=Services,dc=com
ou: Services
objectClass: top
objectClass: organizationalUnit
 
dn: nisMapName=netgroup.byuser,dc=com
nismapname: netgroup.byuser
objectClass: top
objectClass: nisMap
 
dn: ou=Mounts,dc=com
ou: Mounts
objectClass: top
objectClass: organizationalUnit
 
dn: ou=Networks,dc=com
ou: Networks
objectClass: top
objectClass: organizationalUnit
 
dn: ou=People,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit
 
dn: ou=Group,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit
 
dn: ou=Netgroup,dc=com
ou: Netgroup
objectClass: top
objectClass: organizationalUnit
 
dn: ou=Protocols,dc=com
ou: Protocols
objectClass: top
objectClass: organizationalUnit
 
dn: ou=Aliases,dc=com
ou: Aliases
objectClass: top
objectClass: organizationalUnit
 
dn: nisMapName=netgroup.byhost,dc=com
nismapname: netgroup.byhost
objectClass: top
objectClass: nisMap

可以编辑base.ldif 进行修改，将不需要的条目删除，然后通过ldapadd 导入至OpenLDAP目录树。

4. 添加base.ldif到ldap（输入密码为上面创建的：ldappassword）

[root@openldap-server openldap]# ldapadd -x -D "cn=Manager,dc=com" -w ldappassword -f ./base.ldif
Enter LDAP Password:
 
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)                              '
 
出现这个错误的时候，查看服务和端口都已经开启了，需要你手动指定主机名和你的端口号（ldap端口号为389），使用-h 加上主机名。
 
[root@openldap-server openldap]# ldapadd -x -D "cn=Manager,dc=com" -w ldappassword -f ./base.ldif -h openldap-server -p 389
 
adding new entry "dc=qq,dc=com"
 
adding new entry "ou=Hosts,dc=com"
 
adding new entry "ou=Rpc,dc=com"
 
adding new entry "ou=Services,dc=com"
 
adding new entry "nisMapName=netgroup.byuser,dc=com"
 
adding new entry "ou=Mounts,dc=com"
 
adding new entry "ou=Networks,dc=com"
 
adding new entry "ou=People,dc=com"
 
adding new entry "ou=Group,dc=com"
 
adding new entry "ou=Netgroup,dc=com"
 
adding new entry "ou=Protocols,dc=com"
 
adding new entry "ou=Aliases,dc=com"
 
adding new entry "nisMapName=netgroup.byhost,dc=com"

5. 检查ldapadd是否成功（密码为上面创建的：ldappassword）（必须检查确认Manager数据添加了，才能通过PHPldapAdmin登录）

[root@openldap-server openldap]# ldapsearch -x -D "cn=Manager,dc=com" -b "ou=Aliases,dc=com" -w ldappassword
# extended LDIF
#
# LDAPv3
# base <ou=Aliases,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
 
# Aliases,qq.com
dn: ou=Aliases,dc=com
ou: Aliases
objectClass: top
objectClass: organizationalUnit
 
# search result
search: 2
result: 0 Success
 
# numResponses: 2
# numEntries: 1

六、安装openLdap桌面服务

1. yum安装httpd及PHPLdapAdmin

[root@openldap-server openldap]# rpm -ivh http://mirrors.ukfast.co.uk/sites/dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
[root@openldap-server openldap]# yum install httpd PHPldapadmin -y

2. 配置/etc/httpd/conf.d/PHPldapadmin.conf允许从远程访问

[root@openldap-server openldap]# cp -a /etc/httpd/conf.d/PHPldapadmin.conf{,.bak}     #可以先把此文件cp备份一份
[root@openldap-server openldap]# vim /etc/httpd/conf.d/PHPldapadmin.conf
Alias /PHPldapadmin /usr/share/PHPldapadmin/htdocs 
Alias /ldapadmin /usr/share/PHPldapadmin/htdocs 
 
<Directory /usr/share/PHPldapadmin/htdocs> 
  Order Deny,Allow 
  Allow from all 
  Allow from 127.0.0.1                         #或者去掉下面这三行内容，表示运行所有客户机访问（本测试案例就去掉了这三行）
  Allow from ::1
  Allow from all     #允许哪些IP地址访问PHPldapadmin,我写的全部。
</Directory>

3. 修改/etc/PHPldapadmin/config.PHP配置用DN登录

[root@openldap-server openldap]# cp /etc/PHPldapadmin/config.PHP{,.bak}
[root@openldap-server openldap]# vim /etc/PHPldapadmin/config.PHP
.......
//$servers->setValue('login','attr','uid');      #注释掉这一行
$servers->setValue('login','dn');         #添加这一行
 
[root@openldap-server openldap]# diff /etc/PHPldapadmin/config.PHP /etc/PHPldapadmin/config.PHP.bak
398,399c398,399
< //$servers->setValue('login','uid');
< $servers->setValue('login','dn');
---
> $servers->setValue('login','uid');
>

4. 启动httpd服务

[root@openldap-server openldap]# chkconfig httpd on
[root@openldap-server openldap]# service httpd start
Starting httpd: httpd: apr_sockaddr_info_get() Failed for openldap-server
httpd: Could not reliably determine the server's' fully qualified domain name,using 127.0.0.1 for ServerName
                                                           [  OK  ]                                        
[root@openldap-server openldap]# service httpd status
httpd (pid  13010) is running...
[root@openldap-server openldap]# lsof -i:80
COMMAND   PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
httpd   13010   root    4u  IPv6 757231      0t0  TCP *:http (LISTEN)
httpd   13012 apache    4u  IPv6 757231      0t0  TCP *:http (LISTEN)
httpd   13013 apache    4u  IPv6 757231      0t0  TCP *:http (LISTEN)
httpd   13014 apache    4u  IPv6 757231      0t0  TCP *:http (LISTEN)
httpd   13015 apache    4u  IPv6 757231      0t0  TCP *:http (LISTEN)
httpd   13016 apache    4u  IPv6 757231      0t0  TCP *:http (LISTEN)
httpd   13017 apache    4u  IPv6 757231      0t0  TCP *:http (LISTEN)
httpd   13018 apache    4u  IPv6 757231      0t0  TCP *:http (LISTEN)
httpd   13019 apache    4u  IPv6 757231      0t0  TCP *:http (LISTEN)

5. 打开Web UI并登录LDAP

URL:   $IP/PHPldapadmin
用户名  "cn=Manager,dc=com"
密码   "ldappassword"

七、新建组织（公司）、管理员、组及用户

添加用户和用户组的方式有两种。一种是将系统用户通过migrationtools 工具生成LDIF 文件并结合ldapadd 命令导入OpenLDAP 目录树中，生成OpenLDAP 用户。另一种通过自定义LDIF 文件并通过OpenLDAP 命令进行添加或者修改操作。本文主要介绍第二种来完成OpenLDAP用户的添加。

1. 组织

创建组织：

[root@openldap-server data]# vim o.ldif      #在根目录下建立不同组织
dn: o=tengxun,dc=com
objectclass: top
objectclass: dcobject
objectclass: organization
dc: qq
o: tengxun
description: 腾讯
street: 深圳腾讯大厦

此LDIF 文件中存在中文字符，建议使用Linux dos2unix 命令进行转换，例如dos2unix -k –n filenew_file。作者建议尽可能不要使用中文字符进行添加，而使用英文添加。

导入组织数据

[root@openldap-server data]# ldapadd -x -D "cn=Manager,dc=com" -w ldappassword -f ./o.ldif -h openldap-server -p 389
adding new entry "o=tengxun,dc=com"

============================================================
如果报错：

[root@openldap-server data]# ldapadd -x -D "cn=Manager,dc=com" -w ldappassword -f ./o.ldif -h openldap-server -p 389
ldapadd: attributeDescription "dn": (possible missing newline after line 3,entry "o=tengxun,dc=com"?)
adding new entry "o=tengxun,dc=com"
ldap_add: Type or value exists (20)
                additional info: ou: value #0 provided more than once

产生原因：o.ldif文件中的不规范的空格所致！！即导入的数据含有空格所致！
纠错如下：

dn:（空格）o=tengxun,dc=com
changetype:（空格）add（结尾无空格）
objectclass:（空格）top（结尾无空格）
objectclass:（空格）organizationalUnit（结尾无空格）
ou:（空格）echnology（结尾无空格）
（1空行，空行必须要定格，不能留空格）（结尾无空格）
........（后面的配置内容纠正方法同样）

===========================================================

查询刚导入数据

[root@openldap-server data]# ldapsearch -x -D "cn=Manager,dc=com" -b "o=tengxun,dc=com" -w ldappassword -h openldap-server -p 389
# extended LDIF
#
# LDAPv3
# base <o=tengxun,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
 
# tengxun,qq.com
dn: o=tengxun,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
dc: qq
o: tengxun
description:: 572R5biF
street:: 5YyX5Lqs5biC5a6J57+U5YyX6YeM55SyMTHlj7fljJfkuqzliJvkuJrlpKfljqZC5bqnN
 zAx5a6k
 
# search result
search: 2
result: 0 Success
 
# numResponses: 2
# numEntries: 1

2. 管理员及组

在新建组织下创建管理员及组

在tengxun组织下创建一个 Manager 的组织角色（该角色内的用户具有管理整个 LDAP 的权限）和 People 和 Group 两个组织单元：
[root@openldap-server data]# vim admin_group.ldif
# admin
dn: cn=Manager,o=tengxun,dc=com
objectClass: organizationalRole
cn: Manager
 
# Group组
dn: ou=Group,dc=com
ou: Group
objectClass: organizationalUnit
 
# People组
dn: ou=People,dc=com
ou: People
objectClass: organizationalUnit

导入组数据

[root@openldap-server data]# ldapadd -x -D "cn=Manager,dc=com" -w ldappassword -f ./admin_group.ldif  -h openldap-server -p 389
adding new entry "cn=Manager,dc=com"

通过以上的所有步骤，我们就设置好了一个 LDAP 目录树：其中基准 dn: o=tengxun,dc=com 是该树的根节点，其下有一个管理域 cn=Manager,dc=com 和两个组织单元 ou=People,dc=com 及 ou=Group,dc=com。

3. 用户

创建用户及部门（cn组）

[root@openldap-server data]# vim adduser.ldif
# create new
# replace to your own domain name for "dc=***,dc=***" section
dn: uid=huateng.ma,ou=People,dc=com
objectClass: top
objectclass: person
#objectclass: organizationalPerson
objectclass: inetOrgPerson
objectClass: shadowAccount
uid: huateng.ma
cn: huateng.ma
sn: ma
displayName: 马化腾
ou: People
description:  可视化
#userPassword: ldappassword
userPassword: {SSHA}b6YpCvRFWAWQdJpueuyzk79VXlikj4Z1
mail: huateng.ma@qq.com
 
dn: cn=kaifa,ou=Group,dc=com
objectClass: top
objectClass: groupOfUniqueNames
cn: kaifa
uniquemember: uid=huateng.ma,dc=com

导入用户数据

[root@openldap-server data]# ldapadd -x -D "cn=Manager,dc=com" -w ldappassword -f ./adduser.ldif -h openldap-server -p 389
adding new entry "uid=huateng.ma,dc=com"
adding new entry "cn=kaifa,dc=com"

可以登陆PHPLDAPadmin的web界面查询新导入的数据

添加其它用户

[root@openldap-server data]# vim adduser.ldif
# create new
# replace to your own domain name for "dc=***,dc=***" section
dn: uid=san.zhang,dc=com
objectClass: top
objectclass: person
#objectclass: organizationalPerson
objectclass: inetOrgPerson
objectClass: shadowAccount
uid: san.zhang
cn: san.zhang
sn: zhang
displayName: 张三
ou: People
description:  可视化
#userPassword: ldappassword
userPassword: {SSHA}b6YpCvRFWAWQdJpueuyzk79VXlikj4Z1
mail: san.zhang@qq.com

把san.zhang用户加入到kaifa组中（没验证）

dn: cn=kaifa,dc=com
changetype: modify
add: memberuid
memberuid: san.zhang

或者

通过OpenLDAP界面把san.zhang用户添加到kaifa组中

点击左侧相应组织下的"ou=Group" --> "cn=kaifa" --> "uniqueMember" --> 点击下面的赋值，复制上面一行，然后修改uid保存即可。

八、参考：

http://book.51cto.com/art/201602/505669.htm
https://www.cnblogs.com/kevingrace/p/9052669.html
https://www.cnblogs.com/AloneSword/p/4758814.html

当你发现自己的才华撑不起野心时，就请安静下来学习吧