主目录http://407711169.blog.51cto.com/6616996/1439944
其实如果不是对ldap各种参数要求都十分严格的情况下,比较建议采用yum的方式安装。因为相关依赖环境,功能都十分全面。对于初学者,强烈建议第一次使用yum来安装。
环境:cent os 6.3
一、准备环境
确保防火墙与selinux是否都为关闭,如果防火墙必须开启的情况下可做如下配置:
vim /etc/sysconfig/iptables *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 389 -j ACCEPT -s 192.168.0.0/16 -A INPUT -m state --state NEW -m tcp -p tcp --dport 636 -j ACCEPT -s 192.168.0.0/16 -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
重新加载后如下: iptables -L ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http ACCEPT tcp -- 192.168.0.0/16 anywhere state NEW tcp dpt:ldap ACCEPT tcp -- 192.168.0.0/16 anywhere state NEW tcp dpt:ldaps
二、安装,配置OPENLDAP
yum install -y openldap-servers openldap-clients
创建日志相关
mkdir /var/log/slapd chmod 755 /var/log/slapd/ chown ldap:ldap /var/log/slapd/ sed -i "/local4.*/d" /etc/rsyslog.conf cat >> /etc/rsyslog.conf << EOF local4.* /var/log/slapd/slapd.log EOF service rsyslog restart
三、创建证书
cd /etc/pki/tls/certs make slapd.pem 下面是一个例子:
这个时候,你可以运行openssl x509 -in slapd.pem -noout -text 去观察证书情况
chmod 640 slapd.pem chown :ldap slapd.pem ln -s /etc/pki/tls/certs/slapd.pem /etc/openldap/certs/slapd.pem
配置管理员密码
slappasswd New password: ****** Re-enter new password: ****** {SSHA}WMz+mLF6bG9hshSe/zVEN2BdVEqmiAfs
四、配置ldap相关配置文件
cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
更改相关配置文件
vim /etc/openldap/slapd.conf 1、更改所有dc=my-domain为你的domain 2、替换掉证书位子 TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt TLSCertificateFile /etc/pki/tls/certs/slapd.pem TLSCertificateKeyFile /etc/pki/tls/certs/slapd.pem 3、替换掉管理员密码 # rootpw secret # rootpw {crypt}ijFYNcSNctBYg rootpw {SSHA}WMz+mLF6bG9hshSe/zVEN2BdVEqmiAfs
更改配置文件以开启SSL认证
vim /etc/sysconfig/ldap SLAPD_LDAPS=yes
更新ldap配置文件
vim /etc/openldap/ldap.conf ##“dc=my-domain,dc=com”需要你做相同的配置(更改domain) BASE dc=shuyun,dc=com URI ldap://localhost TLS_REQCERT never
创建初始化数据
vim /root/root.ldif ##“dc=my-domain,dc=com”需要你做相同的配置(更改domain) ##start dn: dc=my-domain,dc=com dc: my-domain objectClass: dcObject objectClass: organizationalUnit ou: my-domain.com dn: ou=people,dc=my-domain,dc=com ou: people objectClass: organizationalUnit dn: ou=groups,dc=my-domain,dc=com ou: groups objectClass: organizationalUnit ##end
rm -rf /etc/openldap/slapd.d/* slapadd -v -n 2 -l /root/root.ldif
chown -R ldap:ldap /var/lib/ldap chown -R ldap:ldap /etc/openldap/slapd.d
测试配置初始化
rm -rf /etc/openldap/slapd.d/* slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d chown -R ldap:ldap /etc/openldap/slapd.d
开机启动项
chkconfig --level 235 slapd on service slapd start
测试LDAP情况:
ldapsearch -x -ZZ -h localhost ##ps:-ZZ为启动加密认证,由于证书是自签问题,所以会报错(大致是未通过验证的证书之类的信息): ldap_start_tls: Connect error (-11) additional info: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user. ldapsearch -x -H ldaps://localhost
search结果如下:
# extended LDIF # # LDAPv3 # base(default) with scope subtree # filter: (objectclass=*) # requesting: ALL # # my-domain.com dn: dc=my-domain,dc=com dc: my-domain objectClass: dcObject objectClass: organizationalUnit ou: my-domain.com # people, my-domain.com dn: ou=people,dc=my-domain,dc=com ou: people objectClass: organizationalUnit # groups, my-domain.com dn: ou=groups,dc=my-domain,dc=com ou: groups objectClass: organizationalUnit # search result search: 3 result: 0 Success # numResponses: 4 # numEntries: 3
配置主机别名
vim /etc/nsswitch.conf hosts: ldap files dns
安装phpldapadmin
添加epel源
rpm -ivh http://mirrors.ukfast.co.uk/sites/dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
安装phpLDAPadmin
yum install -y phpldapadmin Allow access from your network
配置Apache's phpLDAPadmin的配置文件
vim /etc/httpd/conf.d/phpldapadmin.conf (自动创建) Order Deny,Allow Deny from all Allow from 127.0.0.1 Allow from ::1 Allow from 192.168.0 #ps需要对此进行相关配置操作
禁用自动登录
vim /etc/phpldapadmin/config.php #(line 398) //$servers->setValue('login','attr','uid');
开启Apache服务器
service httpd restart
访问相关:
http://webserver/ldapadmin 用户名:cn=Manager,dc=my-domain,dc=com 密码:你使用sldappass生成的密码
可以进行操作来观察tail -f /var/log/slapd/slapd.log日志。然后还有另外一种ldap web管理工具。
其中数据已经添加过。再此不做演示。
安装ldap-lam
此为何ldapLDAPadmin相似的管理端工具,我们在此处只做简单演示:
下载ldap-account-manager-4.6.RC1.tar.bz2包,我会附件上传http://down.51cto.com/data/1570624
cd /usr/local/src
tar xf ldap-account-manager-4.6.RC1.tar.bz2
mv ldap-account-manager-4.6.RC1 /usr/local/src/lam
然后在之前的/etc/phpldapadmin/config.php中增加一行
vim /etc/httpd/conf.d/phpldapadmin.conf
Alias /lam /usr/local/src/lam
PS:需要修改/usr/local/src/lam/config/ 下config.cfg 和 lam.conf 里面的信息
以及需要把/usr/local/src/lam/ 下的sess 与 tmp 权限改为777
然后即可web端访问
用户名:Manager 密码同上
lam其实会默认带有一些默认的配置结构,当你第一次访问的时候,提示你是否初始化那些数据。也就是和界面上的users,groups等对照。
其实对于初学者来说lam比phpLDAPadmin更容易接受。
但是如果理清楚ldap相关的结构概念,会发现树形结构配置看起来令人明了。
ldap相关结构概念(结构树最重要):http://407711169.blog.51cto.com/6616996/1439623