openldap 集中身份认证部署记录

jilk

一、 使用openldap集中身份认证，可以集中登录服务器，这样root 密码就可以腾出来了，最主要是方便帐号管理。server  172.168.10.23
client  172.168.10.14

1、在server端部署：

1 2 3 4 5 6 7 8

[iyunv@ddd-s-21 ]# yum install openldap-*    #安装openldap-clients，openldap-devel，openldap，openldap-servers，openldap-servers-sql [iyunv@ddd-s-21 ]# cd /etc/openldap/ [iyunv@ddd-s-21 openldap]# cp /usr/share/openldap-servers/slapd.conf.obsolete  slapd.conf [iyunv@ddd-s-21 openldap]# cp slapd.conf slapd.confbak [iyunv@ddd-s-21 openldap]# slappasswd   # 创建LDAP管理员密码,可以得到一串密文，待会有用 [iyunv@ddd-s-21 openldap]# vim slapd.conf  #添加上一步得到的管理员密码如下 [iyunv@ddd-s-21 openldap]# cat slapd.conf|grep ^rootpw rootpw          {SSHA}iGdbls50G/y893fHOAjW5vMoTYWTp3Fc

编辑ldap配置文件slapd.conf修改如下：


拷贝DB_CONFIG文件

1 2 3 4

[iyunv@ddd-s-21 openldap]# cp /usr/share/openldap-servers/DB_CONFIG.example  /var/lib/ldap/DB_CONFIG [iyunv@ddd-s-21 openldap]# rm -rf /etc/openldap/slapd.d/*  #删除默认/etc/openldap/slapd.d下面的所有内容 [iyunv@ddd-s-21 openldap]# chown -R ldap:ldap /etc/openldap/ [iyunv@ddd-s-21 openldap]# chown -R ldap:ldap /var/lib/ldap

重启slapd服务

1 2 3 4 5 6

[iyunv@ddd-s-21 openldap]# /etc/init.d/slapd restart Stopping slapd:                                            [  OK  ] Starting slapd:                                            [  OK  ] [iyunv@ddd-s-21 openldap]# slaptest  -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d #测试并生成配置文件 config file testing succeeded [iyunv@ddd-s-21 openldap]#

在服务端新建一个帐户，并设置密码，得到ldif文件，以后新建帐户只要修改下ldif文件就可以了

1 2	[iyunv@ddd-s-21 openldap]# yum install migrationtools -y [iyunv@ddd-s-21 openldap]# cd /usr/share/migrationtools/

修改migrate_common.ph文件 如图


生成 ldif文件

1 2 3 4 5 6 7 8

[iyunv@ddd-s-21 migrationtools]# ./migrate_base.pl  > /tmp/base.ldif [iyunv@ddd-s-21 migrationtools]# ./migrate_passwd.pl  /etc/passwd > /tmp/passwd.ldif [iyunv@ddd-s-21 migrationtools]#  ./migrate_group.pl /etc/group > /tmp/group.ldif #可以删除一些没用的帐户 [iyunv@ddd-s-21 migrationtools]# ldapadd -x -W -D "cn=admin,dc=v9wan,dc=com" -f /tmp/base.ldif [iyunv@ddd-s-21 migrationtools]# ldapadd -x -W -D "cn=admin,dc=v9wan,dc=com" -f /tmp/passwd.ldif [iyunv@ddd-s-21 migrationtools]# ldapadd -x -W -D "cn=admin,dc=v9wan,dc=com" -f /tmp/group.ldif [iyunv@ddd-s-21 migrationtools]# /etc/init.d/slapd restart

2、客户端配置 选择use ldap 如下图

1 2	[iyunv@ddd-s-14 ~]# yum install fprintd-pam openldap-clients  nss_ldap nss-pam-ldapd [iyunv@ddd-s-14 ~]# authconfig-tui

现在就可以用刚刚新建的帐号登录了