Linux搭建LDAP

CentOS7搭建LDAP服务端

环境准备

• 配置yum源
  • wget http://mirrors.aliyun.com/repo/Centos-7.repo
  • cp Centos-7.repo /etc/yum.repos.d/
  • cd /etc/yum.repos.d/
  • mv CentOS-Base.repo CentOS-Base.repo.bak
  • mv Centos-7.repo CentOS-Base.repo
  • yum clean all
  • yum makecache
• 关闭selinux和防火墙

sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config && setenforce 0&& systemctl disable firewalld.service && systemctl stop firewalld.service && shutdown -r now

安装OpenLDAP

• 安装
  • yum install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools
• 查看版本
  • slapd -VV

配置OpenLDAP

• 配置管理员密码
  • slappasswd -s password
  • 会生成一堆加密后的字符，记录好，之后配置文件里会需要的
• 修改olcDatabase={2}hdb.ldif文件
  • vi /etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif
  • 修改以下两行
    • olcSuffix: dc=shuzilm,dc=cn
    • olcRootDN: cn=admin,dc=shuzilm,dc=cn
  • 添加以下一行，冒号后面是刚才保存的加密字符
    • olcRootPW: {SSHA}o1bqtofUr95dkEDdXbAMAVPFSnNDU3+2
• 修改olcDatabase={1}monitor.ldif文件
  • vi /etc/openldap/slapd.d/cn=config/olcDatabase={1}monitor.ldif
  • 修改以下内容
    • olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern
    • al,cn=auth" read by dn.base=“cn=admin,dc=shuzilm,dc=cn” read by * none
• 验证配置文件
  • slaptest -u
  • 若最后一行出现 config file testing succeeded则OK

启动OpenLDAP

• 设置开机自启
  • systemctl enable slapd
• 启动openldap
  • systemctl start slapd
• 查看状态
  • 查看运行状态
  • systemctl status slapd
  • 查看端口是否正常运行
  • netstat -antup | grep 389

配置OpenLDAP数据库

• cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
• chown ldap:ldap -R /var/lib/ldap
• chmod 700 -R /var/lib/ldap
• ll /var/lib/ldap/
• 结果应如下图
  

导入基本Schema

• ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
• ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
• ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
• 结果大致如下图所示
• 此步骤容易报错，若是结尾报错还得查看报错

修改migrate_common.ph文件

• migrate_common.ph文件主要是用于生成ldif文件使用，修改migrate_common.ph文件，如下：
  • vi /usr/share/migrationtools/migrate_common.ph +71
  • 修改内容如下：
    • $DEFAULT_MAIL_DOMAIN = “shuzilm.cn”;
    • $DEFAULT_BASE = “dc=shuzilm,dc=cn”;
    • $EXTENDED_SCHEMA = 1;

完成

• systemctl restart slapd