#(1)安装oepnldap
yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools
查看openldap版本
slapd -VV
#(2)配置openldap
1)配置openldap管理员密码, 这里我配置密码为123456
#slappasswd -s 123456
{SSHA}y34sWhOnwBeR2hUBbTida1U/7s0S63sB
生成的密码字段保存下来
2)修改olcDatabase={2}hdb.ldif文件
vim /etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif
修改olcDatabase={2}hdb.ldif文件,对于该文件增加一行
olcRootPW: {SSHA}y34sWhOnwBeR2hUBbTida1U/7s0S63sB
,然后修改域信息:
olcSuffix: dc=wangfang,dc=com
olcRootDN: cn=Manager,dc=wangfang,dc=com
注意:其中cn=Manager中的Manager表示OpenLDAP管理员的用户名,而olcRootPW表示OpenLDAP管理员的密码。
3)修改olcDatabase={1}monitor.ldif文件
修改olcDatabase={1}monitor.ldif文件,如下:
vim /etc/openldap/slapd.d/cn=config/olcDatabase\=\{1\}monitor.ldif
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern
al,cn=auth" read by dn.base="cn=Manager,dc=wangfang,dc=com" read by * none
注意:该修改中的dn.base是修改OpenLDAP的管理员的相关信息的。
验证OpenLDAP的基本配置,使用如下命令:
slaptest -u
上面的checksum error 报错不用管, 只要配置文件测试succeeded成功就行
4)修改文件权限
chown -R ldap.ldap /etc/openldap/
chown -R ldap.ldap /var/lib/ldap/
5)启动服务
systemctl enable slapd
systemctl start slapd
systemctl status slapd
6)验证服务
OpenLDAP默认监听的端口是389,下面我们来看下是不是389端口,如下:
#(3)配置OpenLDAP数据库
1)OpenLDAP默认使用的数据库是BerkeleyDB,现在来开始配置OpenLDAP数据库,使用如下命令:
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown ldap:ldap -R /var/lib/ldap
chmod 700 -R /var/lib/ldap
ll /var/lib/ldap/
注意:/var/lib/ldap/就是BerkeleyDB数据库默认存储的路径。
2)导入基本Schema
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
3)修改migrate_common.ph文件
migrate_common.ph文件主要是用于生成ldif文件使用,修改migrate_common.ph文件,如下:
vim /usr/share/migrationtools/migrate_common.ph +71
$DEFAULT_MAIL_DOMAIN = “wangfang.com”;
$DEFAULT_BASE = “dc=wangfang,dc=com”;
$EXTENDED_SCHEMA = 1;
4)导入用户及用户组到OpenLDAP数据库
配置openldap基础的数据库,如下: 注意每个dn之间要有空格
cat >/root/base.ldif setValue('login','attr','uid');
修改/etc/phpldapadmin/config.php这个文件,限制匿名用户访问
把$servers->setValue('login','anon_bind',false);改成false,因为我们不想让人匿名访问;
把$servers->setValue('login','allowed_dns',array('cn=Manager,dc=wangfang,dc=com'));,我们只允许管理员访问,其他任何人不得访问
启动并添加自启动
systemctl start php-fpm
systemctl enable php-fpm
systemctl enable nginx
systemctl start nginx
登录界面
https://s1.运维网.com/images/blog/201903/29/f99c349f9a14ec1c561d686aa92f5a48.png
登录成功
https://s1.运维网.com/images/blog/201903/29/143f69ea65b1db7aef6f33a2a2741dc4.png
#(5)用户管理
默认情况下OpenLDAP是没有普通用户的,但是有一个管理员用户。管理用户就是前面我们刚刚配置的root。
现在我们把系统中的用户,添加到OpenLDAP中。为了进行区分,我们现在新加两个用户ldapuser1和ldapuser2,和两个用户组ldapgroup1和ldapgroup2,如下:
添加用户组,使用如下命令:
groupadd ldapgroup1
groupadd ldapgroup2
添加用户并设置密码,使用如下命令
useradd -g ldapgroup1 ldapuser1
useradd -g ldapgroup2 ldapuser2
echo ‘123456’ | passwd –stdin ldapuser1
echo ‘123456’ | passwd –stdin ldapuser2
把刚刚添加的用户和用户组提取出来,这包括该用户的密码和其他相关属性,如下
grep ":10[0-9][0-9]" /etc/passwd >/root/users
grep ":10[0-9][0-9]" /etc/group >/root/groups
根据上述生成的用户和用户组属性,使用migrate_passwd.pl文件生成要添加用户和用户组的ldif,如下:
/usr/share/migrationtools/migrate_passwd.pl /root/users > /root/users.ldif
/usr/share/migrationtools/migrate_group.pl /root/groups > /root/groups.ldif
导入用户到数据库,使用如下命令:
ldapadd -x -w "123456" -D "cn=Manager,dc=wangfang,dc=com" -f /root/users.ldif
导入用户组到数据库中, 使用如下命令
ldapadd -x -w "123456" -D "cn=Manager,dc=wangfang,dc=com" -f /root/groups.ldif
进入到ldap管理后台查看
用户和用户组的删除, 用户和用户组的关联接下来都可以通过图形化界面操作了;
参考文档: https://blog.运维网.com/11555417/2065747
|
QQ群⑧:
YunVN网友
发表于 2019-4-17 16:32:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
悔悟卡
匿名卡
显身卡