[root@jumper usr]# free
             total       used       free     shared    buffers     cached
Mem:        513980     493640      20340          0     143808     271780
-/+ buffers/cache:      78052     435928
Swap:      1052248      21256    1030992

2.在空间合适处创建swap文件

[root@jumper usr]# mkdir swap
[root@jumper usr]# cd swap
[root@jumper swap]# dd if=/dev/zero of=swapfile bs=1024 count=10000
10000+0 records in
10000+0 records out
[root@jumper swap]# ls -al
total 10024
drwxr-xr-x    2 root     root         4096  7月 28 14:58 .
drwxr-xr-x   19 root     root         4096  7月 28 14:57 ..
-rw-r--r--    1 root     root     10240000  7月 28 14:58 swapfile

[root@jumper swap]# mkswap swapfile
Setting up swapspace version 1, size = 9996 KiB

3.激活swap文件
[root@jumper swap]# swapon swapfile
[root@jumper swap]# ls -l
total 10016
-rw-r--r--    1 root     root     10240000  7月 28 14:58 swapfile
[root@jumper swap]# free
             total       used       free     shared    buffers     cached
Mem:        513980     505052       8928          0     143900     282288
-/+ buffers/cache:      78864     435116
Swap:      1062240      21256    1040984
[root@jumper swap]#  

Swap，即交换区，除了安装Linux的时候，有多少人关心过它呢？其实，Swap的调整对Linux服务器，特别是Web服务器的性能至关重要。通过调整Swap，有时可以越过系统性能瓶颈，节省系统升级费用。 

本文内容包括： 


Swap基本原理 

突破128M Swap限制 

Swap配置对性能的影响 

Swap性能监视 

有关Swap操作的系统命令 
Swap基本原理 

Swap的原理是一个较复杂的问题，需要大量的篇幅来说明。在这里只作简单的介绍，在以后的文章中将和大家详细讨论Swap实现的细节。 

众所周知，现代操作系统都实现了"虚拟内存"这一技术，不但在功能上突破了物理内存的限制，使程序可以操纵大于实际物理内存的空间，更重要的是，"虚拟内存"是隔离每个进程的安全保护网，使每个进程都不受其它程序的干扰。 

Swap 空间的作用可简单描述为：当系统的物理内存不够用的时候，就需要将物理内存中的一部分空间释放出来，以供当前运行的程序使用。那些被释放的空间可能来自一些很长时间没有什么操作的程序，这些被释放的空间被临时保存到Swap空间中，等到那些程序要运行时，再从Swap中恢复保存的数据到内存中。这样，系统总是在物理内存不够时，才进行Swap交换。 

计算机用户会经常遇这种现象。例如，在使用Windows系统时，可以同时运行多个程序，当你切换到一个很长时间没有理会的程序时，会听到硬盘"哗哗"直响。这是因为这个程序的内存被那些频繁运行的程序给"偷走"了，放到了Swap区中。因此，一旦此程序被放置到前端，它就会从Swap区取回自己的数据，将其放进内存，然后接着运行。 

需要说明一点，并不是所有从物理内存中交换出来的数据都会被放到Swap中（如果这样的话，Swap就会不堪重负），有相当一部分数据被直接交换到文件系统。例如，有的程序会打开一些文件，对文件进行读写（其实每个程序都至少要打开一个文件，那就是运行程序本身），当需要将这些程序的内存空间交换出去时，就没有必要将文件部分的数据放到 Swap空间中了，而可以直接将其放到文件里去。如果是读文件操作，那么内存数据被直接释放，不需要交换出来，因为下次需要时，可直接从文件系统恢复；如果是写文件，只需要将变化的数据保存到文件中，以便恢复。但是那些用malloc和new函数生成的对象的数据则不同，它们需要Swap空间，因为它们在文件系统中没有相应的"储备"文件，因此被称作"匿名"(Anonymous)内存数据。这类数据还包括堆栈中的一些状态和变量数据等。所以说，Swap 空间是"匿名"数据的交换空间。 

突破128M Swap限制 

经常看到有些Linux（国内汉化版）安装手册上有这样的说明：Swap空间不能超过128M。为什么会有这种说法？在说明"128M"这个数字的来历之前，先给问题一个回答：现在根本不存在128M的限制！现在的限制是2G！ 

Swap 空间是分页的，每一页的大小和内存页的大小一样，方便Swap空间和内存之间的数据交换。旧版本的Linux实现Swap空间时，用Swap空间的第一页作为所有Swap空间页的一个"位映射"（Bit map）。这就是说第一页的每一位，都对应着一页Swap空间。如果这一位是1，表示此页Swap可用；如果是0，表示此页是坏块，不能使用。这么说来，第一个Swap映射位应该是0，因为，第一页Swap是映射页。另外，最后10个映射位也被占用，用来表示Swap的版本（原来的版本是Swap_space ，现在的版本是swapspace2）。那么，如果说一页的大小为s，这种Swap的实现方法共能管理"8 * ( s - 10 ) - 1"个Swap页。对于i386系统来说s=4096，则空间大小共为133890048，如果认为 1 MB=2^20 Byte的话，大小正好为128M。 

之所以这样来实现Swap空间的管理，是要防止Swap空间中有坏块。如果系统检查到Swap中有坏块，则在相应的位映射上标记上0，表示此页不可用。这样在使用Swap时，不至于用到坏块，而使系统产生错误。 

现在的系统设计者认为： 

1.现在硬盘质量很好，坏块很少。 

2.就算有，也不多，只需要将坏块罗列出来，而不需要为每一页建立映射。 

3.如果有很多坏块，就不应该将此硬盘作为Swap空间使用。 

于是，现在的Linux取消了位映射的方法，也就取消了128M的限制。直接用地址访问，限制为2G。 

Swap配置对性能的影响 

分配太多的Swap空间会浪费磁盘空间，而Swap空间太少，则系统会发生错误。 

如果系统的物理内存用光了，系统就会跑得很慢，但仍能运行；如果Swap空间用光了，那么系统就会发生错误。例如，Web服务器能根据不同的请求数量衍生出多个服务进程（或线程），如果Swap空间用完，则服务进程无法启动，通常会出现"application is out of memory"的错误，严重时会造成服务进程的死锁。因此Swap空间的分配是很重要的。 

通常情况下，Swap空间应大于或等于物理内存的大小，最小不应小于64M，通常Swap空间的大小应是物理内存的2-2.5倍。但根据不同的应用，应有不同的配置：如果是小的桌面系统，则只需要较小的Swap空间，而大的服务器系统则视情况不同需要不同大小的Swap空间。特别是数据库服务器和Web服务器，随着访问量的增加，对Swap空间的要求也会增加，具体配置参见各服务器产品的说明。 

另外，Swap分区的数量对性能也有很大的影响。因为Swap交换的操作是磁盘IO的操作，如果有多个 Swap交换区，Swap空间的分配会以轮流的方式操作于所有的Swap，这样会大大均衡IO的负载，加快Swap交换的速度。如果只有一个交换区，所有的交换操作会使交换区变得很忙，使系统大多数时间处于等待状态，效率很低。用性能监视工具就会发现，此时的CPU并不很忙，而系统却慢。这说明，瓶颈在 IO上，依靠提高CPU的速度是解决不了问题的。 
系统性能监视 

Swap空间的分配固然很重要，而系统运行时的性能监控却更加有价值。通过性能监视工具，可以检查系统的各项性能指标，找到系统性能的瓶颈。本文只介绍一下在Solaris下和Swap相关的一些命令和用途。 

最常用的是Vmstat命令（在大多数Unix平台下都有这样一些命令），此命令可以查看大多数性能指标。 

例如： 
# vmstat 3 
procs memory swap io system cpu 
r b w swpd free buff cache si so bi bo in cs us sy id 
0 0 0 0 93880 3304 19372 0 0 10 2 131 10 0 0 99 
0 0 0 0 93880 3304 19372 0 0 0 0 109 8 0 0 100 
0 0 0 0 93880 3304 19372 0 0 0 0 112 6 0 0 100 
............ 

命令说明： 
vmstat 后面的参数指定了性能指标捕获的时间间隔。3表示每三秒钟捕获一次。第一行数据不用看，没有价值，它仅反映开机以来的平均性能。从第二行开始，反映每三秒钟之内的系统性能指标。这些性能指标中和Swap有关的包括以下几项： 


procs下的w 
它表示当前（三秒钟之内）需要释放内存、交换出去的进程数量。 

memory下的swpd 
它表示使用的Swap空间的大小。 

Swap下的si，so 
si表示当前（三秒钟之内）每秒交换回内存（Swap in）的总量，单位为kbytes；so表示当前（三秒钟之内）每秒交换出内存（Swap out）的总量，单位为kbytes。 
以上的指标数量越大，表示系统越忙。这些指标所表现的系统繁忙程度，与系统具体的配置有关。系统管理员应该在平时系统正常运行时，记下这些指标的数值，在系统发生问题的时候，再进行比较，就会很快发现问题，并制定本系统正常运行的标准指标值，以供性能监控使用。 

另外，使用Swapon-s也能简单地查看当前Swap资源的使用情况。例如： 
# swapon -s 
Filename Type Size Used Priority 
/dev/hda9 partition 361420 0 3 

能够方便地看出Swap空间的已用和未用资源的大小。 

应该使Swap负载保持在30%以下，这样才能保证系统的良好性能。 

有关Swap操作的系统命令 


增加Swap空间，分以下几步： 
1)成为超级用户 
$su - root 

2)创建Swap文件 
# dd if=/dev/zero of=swapfile bs=1024 count=65536 

创建一个有连续空间的交换文件。 

3)激活Swap文件 
#/usr/sbin/swapon swapfile 

swapfile指的是上一步创建的交换文件。 4)现在新加的Swap文件已经起作用了，但系统重新启动以后，并不会记住前几步的操作。因此要在/etc/fstab文件中记录文件的名字，和Swap类型，如： 
/path/swapfile none Swap sw,pri=3 0 0 

5)检验Swap文件是否加上 
/usr/sbin/swapon -s 


删除多余的Swap空间。 
1)成为超级用户 

2)使用Swapoff命令收回Swap空间。 
#/usr/sbin/swapoff swapfile 

3)编辑/etc/fstab文件，去掉此Swap文件的实体。 

4)从文件系统中回收此文件。 
#rm swapfile 

5)当然，如果此Swap空间不是一个文件，而是一个分区，则需创建一个新的文件系统，再挂接到原来的文件系统上。

2006 年 6 月 26 日

使用轻量级目录访问协议（LDAP）构建集中的身份验证系统可以减少管理成 本，增强安全性，避免数据复制的问题，并提高数据的一致性。随着 Linux® 的不断成熟，已经出现了很多工具用来简化用户帐号信息到 LDAP 目录的迁移。还开发了一些工具用来在客户机和目录服务器之间启用加密通信配置，并通过复制提供容错性。本文将向您展示如何配置服务器和客户机在 Red Hat Linux 上使用 OpenLDAP。

简介

Linux 发行版中提供的 OpenLDAP 软件按照一个客户机/服务器模型实现了轻量级目录访问协议（LDAP）。LDAP 的设计目的是提供一种有效的方法来查找和管理信息。OpenLDAP 软件和包提供了创建目录信息树（一个主要进行读操作的数据库）的工具。本文向您展示如何存储用户的帐号信息，并修改身份验证服务来使用 LDAP 获取所需要的信息。内部细节并不重要，因为这些工具可以将数据库的内容以文本格式（LDAP 数据交换格式，LDIF）呈现在您的面前。

LDAP 信息被组织成属性和值的组合，称为 条目（entry）。条目可能会具有必须的属性或可选属性。一个条目的属性必须要遵循 /etc/openldap/schema/ 模式文件中定义的规则。规则包含在条目的 objectclass 属性中。看一下下面的关系，我们可以看出 posixAccount objectclass 中包含了密码文件条目的信息（posixAccount userPassword 是文件条目的 base64 编码）。

文件 /etc/openldap/schema/nis.schema 为 posixAccount 对象类中的条目定义了所有的属性和 objectclass。例如，下面是对 uidNumber 属性的描述：

attributetype ( 1.3.6.1.1.1.1.0 NAME 'uidNumber'
   DESC 'An integer uniquely identifying a user in an administrative domain'
   EQUALITY integerMatch
   SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )

所有的属性类型都已经定义了，它们被收集到 posixAccount objectclass 中。例如：

objectclass ( 1.3.6.1.1.1.2.0 NAME 'posixAccount' SUP top AUXILIARY
   DESC 'Abstraction of an account with POSIX attributes'
   MUST ( cn $ uid $ uidNumber $ gidNumber $ homeDirectory )
   MAY ( userPassword $ loginShell $ gecos $ description ) )

ldapuser 条目具有一个识别名属性 dn，它用作用户名，并与 userPassword 一起用来在 LDAP 目录中记录信息，或与 LDAP 目录绑定在一起使用。

LDAP 为作为容器使用的特殊条目提供了将这些条目组织成树结构的功能。在这个例子中，我们将使用一个容器 People 保存用户帐号信息，使用另外一个容器 Groups 保存组帐号信息。所生成的目录信息树如图 2 所示。

让我们来看一下如何配置 OpenLDAP 服务器，如何将信息从系统文件迁移到 LDAP 目录中，如何配置 OpenLDAP 客户机通过 LDAP 对用户进行身份验证。在使用一个集中的身份验证数据库时，应该通过使用复制技术采用第二个 LDAP 服务器提供高可用性，这样在主服务器出现问题时，就可以使用第二个 LDAP 服务器响应客户机的请求。由于诸如密码之类的身份验证数据会通过网络进行传输，因此希望使用 TSL 协议建立加密通信连接。

我们的 OpenLDAP 服务器和客户机都是虚拟机，上面运行的是 Red Hat Enterprise Linux AS release 4（Nahant Update 1）。在我们的例子中使用了 表 1 所列出的系统。如果想模仿这些例子，请使用适合您自己的设置。

回页首

配置 LDAP 服务器

我们使用 Red Hat Enterprise Linux release 4 Update 1 上的包来构建服务器：

• openldap-2.2.13-2：包含 OpenLDAP 配置文件、库和文档
• openldap-servers-2.2.13-2：包含 slapd 和 slurpd 服务器、迁移脚本和相关文件
• openldap-clients-2.2.13-2：包含客户机程序，用来访问和修改 OpenLDAP 目录

OpenLDAP 包在服务器上安装了很多程序：

• 守护进程：
  • slapd：主 LDAP 服务器
  • slurpd：负责与复制 LDAP 服务器保持同步的服务器
• 对网络上的目录进行操作的客户机程序。下面这两个程序是一对儿：
  • ldapadd：打开一个到 LDAP 服务器的连接，绑定、修改或增加条目
  • ldapsearch：打开一个到 LDAP 服务器的连接，绑定并使用指定的参数进行搜索
• 对本地系统上的数据库进行操作的几个程序：
  • slapadd：将以 LDAP 目录交换格式（LDIF）指定的条目添加到 LDAP 数据库中
  • slapcat：打开 LDAP 数据库，并将对应的条目输出为 LDIF 格式

OpenLDAP 的主要服务器配置文件是 /etc/openldap/slapd.conf。本例所使用的完整 slapd.conf 文件如 清单 18 所示。slapd.conf 文件中包括一系列全局配置选项，它们作为一个整体应用到 slapd 上面，后面是包含数据库特有信息的数据库后端定义。如果一行内容是以空格开始的，就认为它是上一行的延续。空行和以 “#” 字符开头的注释行都会被忽略。

如果您正把本文当作练习来做，那就可以按照下面指定的方式进行修改，从而启动 LDAP 服务器。一旦确认服务器正常工作之后，就可以添加复制功能，然后再添加安全性支持。首先是全局配置信息段的设置。其中每个选项的值都是我们想要的。

正如上面介绍的一样，信息被组织成属性和值的组合，称为条目。条目属性必须遵循的规则是使用 objectclass 专用属性进行组织的，这可以在 /etc/openldap/schema/ 模式文件中找到。对于身份验证来说，需要使用在 nis.schema 中定义的 posixAccount 和 shadowAccount objectclasses：

include /etc/openldap/schema/nis.schema

loglevel 行设置的是日志选项。可以将其设置为这样的级别：调试语句和操作统计信息都会被记录到 /var/log/slapd.log 中。日志级别是累加的：296 = 256 日志连接/操作/结果 + 32 搜索过滤器处理 + 8 连接管理：

loglevel 296

日志信息会被记录到 syslogd LOG_LOCAL4 机制中。还需要将下面的内容添加到 /etc/syslog.conf 中，并让 syslogd 重新读取自己的配置文件：

local4.debug /var/log/slapd.log

access 行定义了谁可以访问目录中的内容。我们希望用户可以修改自己的密码，并更新自己的 shadow 信息来反映密码的变化。希望身份验证程序能够检索用户的密码。还希望用户能够读取所有其他条目。注意密码条目是不可读的，shadow 属性的惟一用处就是管理密码的过期问题。

access to attrs=shadowLastChange,userPassword
      by self write
      by * auth

access to *
      by * read

接下来，在 database 部分，要定义下面的内容。

使用新的 bdb 后端数据库：

database bdb

指定后端数据库需要响应的查询的 DN 前缀。为了确保惟一性，根前缀应该从自己的网络域名构建出来。在本例的情况中，它是 .dc=svc,dc=beaverton,dc=ibm,dc=com.，但是在下面的例子中我们对其进行了简化：

suffix "dc=ibm,dc=com"

指定管理 DN，它不用于访问控制或限制数据库的操作。也不需要在目录中为这个 DN 指定一个条目。为具有 rootpw 密码的管理员使用 DN 可以跳过 ACL 规则中的所有访问控制：

rootdn "cn=Manager,dc=ibm,dc=com"
rootpw {MD5}ijFYNcSNctBYg

这就是我们现在想要设置的选项。稍后将返回 slapd.conf 文件来配置复制，然后在配置安全性。

现在，我们希望将数据添加到目录中，并确认可以访问这些信息。要实现这种功能，需要配置服务器来使用 ldap 客户机工具，例如 ldapadd 和 ldapsearch。ldap 客户机工具的配置文件是 /etc/openldap/ldap.conf。我们使用的这个文件的完整列表如本文末尾的 清单 19 所示。要在 ldap 服务器上运行这些工具，只需要将该行修改成下面的内容：

BASE dc=ibm,dc=com

设置启动脚本在级别 2、3 和 5 时启动 LDAP：

# chkconfig --levels 235 ldap on

从命令行中启动服务：

# service ldap start
Starting slapd:                               [  OK  ]

OpenLDAP 守护进程 slapd 应该已经运行了：

# ps -ef | grep slap
ldap   13521  1  0 Oct24 ?     00:00:00 /usr/sbin/slapd -u ldap -h ldap:/// ldaps:///

ldapsearch -x 命令应该可以成功完成，但不会返回任何数据。

回页首

迁移密码和 shadow 信息

Red Hat 所提供的 openldap-servers 包包含 PADL Software Pty Ltd. 公司的 MigrationTools 工具。我们将使用这些工具将数据从 Linux 系统文件（例如 /etc/group 和 /etc/password）转换成 LDAP LDIF 格式，这是数据库信息的一种文本格式的表示。这种格式是行界定、冒号分隔的属性-值对。

有一组 Perl 脚本被安装到 /usr/share/openldap/migration/ 中执行迁移。这些 Perl 脚本的配置信息包含在 migrate_common.ph 文件的开头。对于我们的目的来说，只需要修改命名前缀的变量来使用条目的识别名就足够了，如下所示：

$DEFAULT_BASE = "dc=ibm,dc=com"

在进行这些修改之后，请运行脚本 migrate_base.pl，它会创建根项，并为 Hosts、Networks、Group 和 People 等创建低一级的组织单元：

# migrate_base.pl > base.ldif

编辑 base.ldif，删除除下面之外的所有条目：

# cat base.ldif
dn: dc=ibm,dc=com
dc: ibm
objectClass: top
objectClass: domain

dn: ou=People,dc=ibm,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit

dn: ou=Group,dc=ibm,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit

在 LDAP 服务器上，使用 OpenLDAP 客户机工具 ldapadd 将以下条目插入到数据库中。简单身份验证必须要使用 -x 选项指定。在 slapd.conf 中定义的 rootdn 身份验证识别名是 “cn=Manager,dc=ibm,dc=com”。对于简单身份验证来说，必须使用密码。选项 -W 强制提示输入密码。这个密码就是在 slapd.conf 文件中指定的 rootpw 参数的值。包含这些条目的 LDIF 文件是使用 -f 选项指定的：

# ldapadd -x -D "cn=Manager,dc=ibm,dc=com" -W -f base.ldif

接下来，从 /etc/group 中迁移 ldapuser 组：

# grep ldapuser /etc/group > group.in
# ./migrate_group.pl group.in > group.ldif

#  cat group.ldif
dn: cn=ldapuser,ou=Group,dc=ibm,dc=com
objectClass: posixGroup
objectClass: top
cn: ldapuser
userPassword: {crypt}x
gidNumber: 500

# ldapadd -x -D "cn=Manager,dc=ibm,dc=com" -W -f group.ldif

最后，从 /etc/passwd 和 /etc/shadow 中迁移 ldapuser 的信息：

# grep ldapuser /etc/passwd > passwd.in
# ./migrate_passwd.pl passwd.in > passwd.ldif

# cat passwd.ldif
dn: uid=ldapuser,ou=People,dc=ibm,dc=com
uid: ldapuser
cn: ldapuser
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt$1$TeOlOcMc$cpQaa0WpLSFRC1HIHW5bt1
shadowLastChange: 13048
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 500
gidNumber: 500
homeDirectory: /home/ldapuser
gecos: ldapuser

# ldapadd -x -D "cn=Manager,dc=ibm,dc=com" -W -f passwd.ldif

现在检查已经添加到数据库中的信息。清单 9 给出了全部输出结果：

# ldapsearch -x

# extended LDIF
#
# LDAPv3
# base <> with scope sub
# filter: (objectclass=*)
# requesting: ALL
#

# ibm.com
dn: dc=ibm,dc=com
dc: ibm
objectClass: top
objectClass: domain

# People, ibm.com
dn: ou=People,dc=ibm,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit

# Group, ibm.com
dn: ou=Group,dc=ibm,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit

# ldapuser, Group, ibm.com
dn: cn=ldapuser,ou=Group,dc=ibm,dc=com
objectClass: posixGroup
objectClass: top
cn: ldapuser
gidNumber: 500

# ldapuser, People, ibm.com
dn: uid=ldapuser,ou=People,dc=ibm,dc=com
uid: ldapuser
cn: ldapuser
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 500
gidNumber: 500
homeDirectory: /home/ldapuser
gecos: test2

# search result
search: 2
result: 0 Success

# numResponses: 6
# numEntries: 5

回页首

配置 LDAP 客户机

用来设置客户机的 Red Hat Enterprise Linux release 4 Update 1 包包括：

• nss_ldap-226-6：包括两个 LDAP 访问客户机：nss_ldap 和 pam_ldap
  • nss_ldap 是一组 C 库扩展，它允许 LDAP 目录服务器用作一个用户和组信息的主源
  • pam_ldap 是一个 Linux-PAM 模块，它支持身份验证功能

LDAP 身份验证要想正确地工作，需要配置两个服务：系统命名服务和身份验证服务。

系统命名服务（NSS）需要配置为使用 LDAP 来解析诸如用户和组帐号之类的资源。例如，在运行命令 ls -l 时，如果某个文件 inode 给出文件的所有者是 “user 501”，那么命名服务就需要将 “uid 501” 解析成用户名，并在 ls 命令输出结果中输出。通常来说，这是通过查找 /etc/passwd 文件中的所有用户帐号实现的。由于用户现在都存储在 LDAP 目录中，因此系统需要配置成同时对 passwd 文件和 LDAP 目录中的帐号进行解析。这种功能是通过 /usr/lib/libnss_ldap.so 库提供的。

身份验证服务是实际向 LDAP 验证用户身份的服务。可插入身份验证模块（PAM）提供了本地 Linux 身份验证服务。下面我们将配置 PAM 先对本地的 /etc/passwd 文件检查用户帐号，然后再对 LDAP 服务器进行检查。PAM LDAP 模块可以用来将身份验证重定向到 LDAP 目录上。/lib/security/pam_ldap.so PAM 模块提供了 LDAP 身份验证功能。

身份验证本身是由 PAM 程序执行的，它从身份验证候选机制中获取用户名，将其绑定到 OpenLDAP 服务器上，检索与这个 uid 条目（用户名条目）相关的 DN；从身份验证候选机制中获取密码，然后使用这个 DN 和密码试图将其绑定到 OpenLDAP 服务器上。如果绑定成功，PAM 会报告说这个用户已经成功通过了 pam_ldap.so 提供的身份验证测试。根据 PAM 的配置不同，在用户看到命令行提示符之前可能会执行其他测试。

我们可以采用两种方法来配置 LDAP 客户机。一种快速而简单的方法是运行 /usr/sbin/authconfig，并在两个屏幕中输入信息。另外一种方法是通过编辑客户机 LDAP 配置文件 /etc/ldap.conf，然后修改 /etc/nsswitch.conf、/etc/sysconfig/authconfig 和 /etc/pam.d/system-auth。首先让我们来看一下如何运行 authconfig。

如图 3 所示进行选择，然后点击 Next。

在如图 4 所示的第二个屏幕中输入对应的信息，然后点击 OK。

要手工配置 OpenLDAP 客户机，请遵循下面的步骤。

用来跟踪特定身份验证机制是否已经启用的文件是 /etc/sysconfig/。我们可以希望以下条目的值都是 “yes”：

USELDAP=yes
USELDAPAUTH=yes
USEMD5=yes
USESHADOW=yes
USELOCAUTHORIZE=yes

PAM 和 NSS 模块使用的基本配置文件是 /etc/ldap.conf。host 选项指定 LDAP 服务器，base 选项指定这个目录使用的 DN，最初我们希望关闭加密功能：

host dhcp64-233.ibm.com
base dc=ibm,dc=com
ssl off

要让 NSS 服务使用 OpenLDAP 服务器，需要将 “ldap” 添加到 /etc/nsswitch.conf 文件的 passwd、shadow 和 group 行中，如下所示：

passwd: files ldap
shadow: files ldap
group: files ldap

要让 PAM 身份验证服务使用 OpenLDAP 服务器，请将 pam_ldap 行加入到 /etc/pam.d/system-auth 中，位置在对应的标准 pam_unix.so 条目之后。尽管其他设置也可以实现相同的结果，但是我使用下面的文件设置：

auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth sufficient /lib/security/$ISA/pam_ldap.so use_first_pass
auth required /lib/security/$ISA/pam_deny.so

account required /lib/security/$ISA/pam_unix.so broken_shadow
account sufficient /lib/security/$ISA/pam_localuser.so
account sufficient /lib/security/$ISA/pam_succeed_if.so uid %lt; 100 quiet
account [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_ldap.so
account required /lib/security/$ISA/pam_permit.so

password requisite /lib/security/$ISA/pam_cracklib.so retry=3
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password sufficient /lib/security/$ISA/pam_ldap.so use_authtok
password required /lib/security/$ISA/pam_deny.so

session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
session optional /lib/security/$ISA/pam_ldap.so

现在，用户帐号信息可以从客户机系统中删除并从 LDAP 目录中进行获取了。当用户试图登录客户机系统时，PAM 身份验证服务就会从用户那里获取用户名，在我们的例子中是 ldapuser。PAM 会从 LDAP 服务器中检索识别名（DN）条目 .dn: uid=ldapuser, ou=People, dc=ibm, dc=com.。PAM 然后会从用户那里获取密码。然后 PAM 试图使用这个 DN 和密码与 LDAP 服务器进行绑定。DN 和密码都以正文文本的格式发送给 LDAP 服务器。在对密码进行散列操作之后，如果服务器可以让用户登录，就会向 PAM 报告说已经成功进行了绑定。成功绑定可以完全满足 PAM 对 pam_ldap 模块汇报成功的标准，如果所有其他 PAM 标准都已经满足了，那么就允许用户登录到系统中。

当 LDAP 服务器对身份验证进行处理时，需要解决另外两个问题才能满足提供可靠安全的身份验证的目标。现在，任何客户机系统不能成功地与 LDAP 服务器进行通信都会阻止用户登录客户机系统。在下一节中我们将看到如何消除这种单点故障，这将显示客户机如何从备份服务器上访问 LDAP 目录。由于用户密码是在网络上以正文文本格式传输的，因此这并不能满足安全身份验证的需求。配置 TLS 安全性 将解决这个问题。

回页首

配置复制

为了防止出现客户机由于 LDAP 服务器的问题而不能登录的情况，我们需要采用复制技术来实现可靠性目标。复制是通过 OpenLDAP 复制进程 slurpd 提供的，它会周期性地唤醒，并检查主服务器上的日志文件，从而确定是否有任何更新。这些更新然后会传播到从服务器上。读请求可以由任何一个服务器进行解 析，而更新请求则只能由主服务器进行解析。客户机需要负责在推荐地址上重试更新操作。

要配置复制，需要停止 OpenLDAP 服务器的 slapd 守护进程：

# service ldap stop

将以下内容添加到服务器的 /etc/openldap/slapd.conf 文件中，从而启用对新从服务器的复制。replogfile 行的内容指定类 LDIF 变化应该写入的文件。replica 原语定义了变化应该传播到的主机：

#Replicas of this database
replogfile /var/lib/ldap/replog
replica host=dhcp64-253.ibm.com:389
        binddn="cn=Manager,dc=ibm,dc=com"
        credentials=secret
        bindmethod=simple

在运行从 OpenLDAP 服务器的系统上，请遵循 配置 LDAP 服务器 一节给出的步骤。然后通过将信息导出到一个 ldif 文件中并将其添加到从服务器数据库上，从而将数据库从主服务器拷贝到复制服务器上。

在主服务器上：

# ldapsearch -x > database.ldif

在复制服务器上：

# ldapadd -x -D "cn=Manager,dc=ibm,dc=com" -W -f database.ldif

将以下内容添加到复制服务器的 /etc/openldap/slapd.conf 文件中。updatedn 指定了在更新从目录时主 slurpd 守护进程使用的 DN。updateref 指定的是主目录服务器。当一个 LDAP 客户机请求从服务器进行更新时，从服务器就将客户机重定向到这个主服务器上。

updatedn "cn=Manager,dc=ibm,dc=com"
updateref ldap://dhcp64-233.ibm.com:389/

启动复制 OpenLDAP 服务器，当它运行之后，再启动主 OpenLDAP 服务器。在主服务器上，slapd 和 slurpd 都会启动。

现在，可以让 OpenLDAP 客户机除了主服务器之外还可以使用复制服务器，这可以通过运行 authconfig 并将复制主机名添加到第二个屏幕中的 Server 行中实现，也可以通过在 /etc/ldap.conf 中修改 host 实现：

host dhcp64-253.ibm.com dhcp64-233.ibm.com

为了确认复制可以正常工作，需要研究一下在更新 gecos 属性时到底发生了什么。复制日志使用了与 LDIF 类似的格式。在读取 replogfile 之后，slurpd 会将这个条目拷贝到自己的重做日志中。实际的变化都以 LDIF 格式保存在主 LDAP 服务器上 /var/lib/ldap/replica/ 中的 slurpd.replog 文件中。

使用文件 user_mod 中的变化，客户机程序 ldapmodify 应用这些变化：

# cat user_mod
dn: uid=ldapuser,ou=People,dc=ibm,dc=com
changetype: modify
replace: gecos
gecos: test2

# tail -f /var/lib/ldap/replog &

# ldapmodify -x -r -f /home/ldapuser/user_mod -D'cn=Manager,dc=ibm,dc=com' -W
Enter LDAP Password:
modifying entry "uid=ldapuser,ou=People,dc=ibm,dc=com"

replica: dhcp64-253.ibm.com:389
time: 1130111686
dn: uid=ldapuser,ou=People,dc=ibm,dc=com
changetype: modify
replace: gecos
gecos: test2
-
replace: entryCSN
entryCSN: 20051023235446Z#000001#00#000000
-
replace: modifiersName
modifiersName: cn=Manager,dc=ibm,dc=com
-
replace: modifyTimestamp
modifyTimestamp: 20051023235446Z
-

回页首

配置 TLS 安全性

LDAP 是以明文的格式通过网络来发送所有信息的，包括密码。我们将采用 TLS 所提供的加密机制（SSL 的后继者）来解决这个问题。在传输层，数据使用 TLS 协议进行加密和封装，然后通过网络进行传输。用来配置加密的工具都是由 OpenSSL 包提供的。

虽然加密是一个复杂的主题，但是要使用 OpenSSL 包，我们依然需要简要介绍一下 TLS 是如何工作的。数据块使用一个对称密钥算法进行加密，它使用一个密钥来实现对数据的加密和解密。我们还有一个问题：如何防止出现以正文文本格式将密钥从 LDAP 服务器发送到 LDAP 客户机上的情况。我们使用公钥算法来解决这个问题，其中客户机可以使用一个自由获取的公钥对自己的密钥进行加密，而只有服务器才可以对这个密钥进行解密。

公钥是作为证书的一部分来创建和分发的，其中包含了一些支持信息，例如 ID、过期日期、提供这个证书的 LDAP 服务器的完整域名（FQDN）。在 LDAP 客户机使用证书进行加密之前，它会验证自己正在与之进行交谈的服务器拥有这个证书，这是通过加密一个挑战并验证服务器可以对其进行解密实现的。

要验证发行这个证书的服务器是一个已经批准过的 LDAP 服务器，客户机被配置为只接受本地证书机构（CA）所签署的证书。它使用 CA 所生成的证书中的公钥，这个公钥保存到客户机中以验证这个 LDAP 所产生的证书是有效的。

在这个例子中，我们将自己的 LDAP 服务器设置为证书机构，并创建一个自签署的证书供 LDAP 客户机和服务器在加密信息中使用。

用来构建 TLS 服务器的 Red Hat Enterprise Linux release 4 Update 1 包是：

• openssl-0.9.7a-43.1：包括一个证书管理工具和提供各种加密算法和协议的共享库

要构建证书机构的工作环境并生成自己的自签署证书，需要运行 /usr/share/ssl/misc/CA shell 脚本，这是一个对 openssl 命令的封装程序。私密性增强邮件（PEM）是一种用来对数据进行加密和编码的格式：

# cd /usr/share/ssl/misc
# ./CA -newca
CA certificate filename (or enter to create)

Making CA certificate ...
Generating a 1024 bit RSA private key
.........++++++
......++++++
writing new private key to './demoCA/private/./cakey.pem'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated into
your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:US
State or Province Name (full name) [Berkshire]:Oregon
Locality Name (eg, city) [Newbury]:Beaverton
Organization Name (eg, company) [My Company Ltd]:IBM
Organizational Unit Name (eg, section) []:its
Common Name (eg, your name or your server's hostname) []:dhcp64-233.ibm.com
Email Address []:root@dhcp64-233.ibm.com

接下来，要生成由证书机构进行签署的服务器证书。其余的步骤只会对主 LDAP 服务器执行一次，此时指定的是 CN=dhcp64-233.ibm.com；然后对从服务器执行一次，此时指定的是 CN=dhcp64-253.ibm.com。还要使用 nodes 选项，这样就不用在每次启动 OpenLDAP 服务器守护进程 slapd 时都需要输入密码了。签署后的公钥被嵌入到证书请求 slapd-req.pem 中，与之匹配的私钥嵌入在 slapd-key.pem 中：

# openssl req -new -nodes -subj
   '/CN=dhcp64-233.ibm.com/O=IBM/C=US/ST=Oregon/L=Beaverton'
   -keyout slapd-key.pem -out slapd-req.pem -days 365
Generating a 1024 bit RSA private key
...............++++++
.....................................++++++
writing new private key to 'slapd-key.pem'
-----

使用在第一个步骤中创建的 CA 证书对这个证书进行签署：

# openssl ca -out slapd-cert.pem -infiles slapd-req.pem
Using configuration from /usr/share/ssl/openssl.cnf
Enter pass phrase for ./demoCA/private/cakey.pem:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Oct 25 02:50:05 2005 GMT
            Not After : Oct 25 02:50:05 2006 GMT
        Subject:
            countryName               = US
            stateOrProvinceName       = Oregon
            organizationName          = IBM
            commonName                = dhcp64-233.ibm.com
        X509v3 extensions:
            X509v3 Basic Constraints:
            CA:FALSE
            Netscape Comment:
            OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
            11:A2:FB:59:42:A4:B3:26:73:1D:6D:F5:4D:2F:80:F0:FA:10:38:F5
            X509v3 Authority Key Identifier:
            keyid:F7:6A:25:F5:76:BE:20:E7:8D:0F:51:EF:D8:86:7B:AF:2C:74:2F:80
            DirName:/C=US/ST=Oregon/L=Beaverton/O=IBM/OU=its/CN=dhcp64-233.ibm.com
/emailAddress=root@dhcp64-233.ibm.com
            serial:00

Certificate is to be certified until Oct 25 02:50:05 2006 GMT (365 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

下一个步骤将所有需要的证书拷贝到 slapd 可以找到的地方。另外，还要对每个文件强制采用正确的权限：

# cp -p slapd-key.pem /etc/openldap/slapdkey.pem
# cp -p slapd-cert.pem /etc/openldap/slapdcert.pem
# chown ldap:ldap /etc/openldap/slapdcert.pem
# chmod 644 /etc/openldap/slapdcert.pem
# chown ldap:ldap /etc/openldap/slapdkey.pem
# chmod 400 /etc/openldap/slapdkey.pem

# mkdir /etc/openldap/cacerts/
# cp /usr/share/ssl/misc/demoCA/cacert.pem /etc/openldap/cacerts/cacert.pem
# chown ldap:ldap /etc/openldap/cacerts cacert.pem
# chmod 644 /etc/openldap/cacerts cacert.pem

在 OpenLDAP 服务器上，将以下内容添加到 /etc/openldap/slapd.conf 文件的 global 段下面。TLSCertificateFile 和 TLSCertificateKeyFile 指定了证书文件和私钥文件的路径。TLSCipherSuite 指定了一个 OpenSSL 密码的列表，slapd 在与 TLS 协商建立连接时可以从中按照降序顺序依次选择。HIGH 的意思是 “所有密钥的长度都大于 128 位”；MEDIUM 表示 “所有密钥的长度都等于 128 位”；+SSLv2 表示 “不管密钥强度如何，所有密码都是以 SSL 协议版本 2 的形式指定的”。

TLSCipherSuite HIGH:MEDIUM:+SSLv2
TLSCACertificateFile /etc/openldap/cacerts/cacert.pem
TLSCertificateFile /etc/openldap/slapdcert.pem
TLSCertificateKeyFile /etc/openldap/slapdkey.pem

将以下内容添加到 LDAP 服务器的第二个配置文件 /etc/openldap/ldap.conf 中：

TLS_CACERTDIR /etc/openldap/cacerts
TLS_REQCERT allow

为了允许从 OpenLDAP 客户机上使用安全连接，需要将以下内容添加到 /etc/openldap/ldap.conf 文件中：

ssl start_tls
tls_checkpeer yes
tls_cacertfile /etc/openldap/cacerts/cacert.pem

回页首

结束语

按照本文给出的提示，我们现在已经使用轻量级目录访问协议（LDAP）构建了一个集中的身份验证系统。我们最初是通过配置 LDAP 服务器来响应对 “dc=ibm,dc=com” 的基本请求开始入手的。我们使用了一组 Perl 脚本来将用户帐号信息迁移到 LDAP 目录中。我们对 Linux 用户帐号服务、PAM 和 NSS 服务进行了修改，从而可以从 LDAP 服务器中检索用户信息。还设置了一个 LDAP 服务器副本作为备用服务器来响应客户机的请求。然后，使用 TLS 协议在 LDAP 客户机和服务器之间对通信进行安全加密。恭喜！

为了参考方便，下面给出了本文中使用的配置文件的完整清单。

#
# See slapd.conf (5) for details on configuration options.
#
include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/nis.schema

loglevel        256
pidfile         /var/run/slapd.pid
argsfile        /var/run/slapd.args

# The next three lines allow use of TLS for encrypting connections.
TLSCipherSuite  HIGH:MEDIUM:+SSLv2
TLSCACertificateFile    /etc/openldap/cacerts/cacert.pem
TLSCertificateFile      /etc/openldap/slapdcert.pem
TLSCertificateKeyFile   /etc/openldap/slapdkey.pem

# access control policy:
# Restrict password access to change by owner and authentication.
# Allow read access by everyone to all other attributes.

access to attrs=shadowLastChange,userPassword
   by self write
   by * auth

access to *
   by * read

#######################################################################
# database definition
#######################################################################

database        bdb
suffix          "dc=ibm,dc=com"

rootdn          "cn=Manager,dc=ibm,dc=com"
rootpw          {MD5}ijFYNcSNctBYg

directory       /var/lib/ldap

# Indices to maintain for this database
index objectClass                       eq,pres
index ou,cn,mail,surname,givenname      eq,pres,sub
index uidNumber,gidNumber,loginShell    eq,pres
index uid,memberUid                     eq,pres,sub
index nisMapName,nisMapEntry            eq,pres,sub

#Replicas of this database
replica host=dhcp64-253.ibm.com:389
        binddn="cn=Manager,dc=ibm,dc=com"
        credentials=secret
        bindmethod=simple
replogfile /var/lib/ldap/replog

#
# LDAP Defaults
#

# See ldap.conf(5) for details

HOST 127.0.0.1
BASE dc=ibm,dc=com

TLS_CACERTDIR /etc/openldap/cacerts
TLS_REQCERT allow

a
# @(#)$Id: ldap.conf,v 1.34 2004/09/16 23:32:02 lukeh Exp $
#
# This is the configuration file for the LDAP nameservice
# switch library and the LDAP PAM module.
#
# PADL Software
# http://www.padl.com
#

# Your LDAP server.
# Multiple hosts may be specified, each separated by a
# space.

host dhcp64-233.ibm.com dhcp64-233.ibm.com

# The distinguished name of the search base.

base dc=ibm,dc=com

# OpenLDAP SSL mechanism, start_tls mechanism uses the normal LDAP port 389
ssl start_tls

#Require and verify server certificate
tls_checkpeer yes

# CA certificates for server certificate verification
tls_cacertfile /etc/openldap/cacerts/cacert.pem

pam_password md5

回页首

参考资料

• 您可以参阅本文在 developerWorks 全球站点上的 英文原文 。
  
  
• OpenLDAP 主页 是 OpenLDAP 项目的主页。其中包含了有关如何配置 OpenLDAP 的丰富信息，以及将来的路线图和版本信息。请确保阅读 OpenLDAP Software 2.3 Administrator's Guide。
  
  
• 在 OpenSSL Project 中，可以找到有关 SSL 和 TLS 的信息。
  
  
• 在 LDAP Linux HOWTO 中，我们可以找到有关在 Linux 机器上安装、配置、运行和维护 LDAP（Lightweight Directory Access Protocol）服务器的详细信息。请在 LDAP Implementation HOWTO 中阅读使用 pam_ldap 和 nss_ldap 进行 LDAP 身份验证的讨论。
  
  
• PADL 主页 提供了 Perl 迁移脚本 nss_ldap 和 pam_ldap 以及很多其他有用的 LDAP 工具。
  
  
• 在 developerWorks Linux 专区 中可以找到为 Linux 开发人员准备的更多资源。
  
  
• 随时关注 developerWorks 技术活动和网络广播。

• 索取免费的 SEK for Linux，这有两张 DVD，包括最新的 IBM for Linux 的试用版软件，包括 DB2®、Lotus®、Rational®、Tivoli® 和 WebSphere®。
  
  
• 在您的下一个开发项目中采用 IBM 试用版软件，这可以从 developerWorks 上直接下载。
  
  

• OpenLDAP 邮件列表 是讨论 OpenLDAP 的主要论坛。
  
  
• 通过参与 developerWorks blogs 加入 developerWorks 社区。
  
  

回页首

关于作者

		Mike O'Reilly 是 IBM Linux 和 VMware ESX 产品支持小组的一员，他为 Linux 产品提供支持已经有 5 年的时间了。另外，他支持 VMware 超