ldap实现Linux登录账号统一管理-server

LDAP简介

引用百度百科的简介: http://baike.baidu.com/link?url=XhsDV07AY6vKU1R8cMT_ogt1Wee-QbCOU6HJ-lBTIId3IHn1tYKV0etZEP1xj53iUAmcZQ6zw0a1LOMNOH-9aq

实验环境

一台Centos 6.8 安装ldap server
一台Centos 6.8安装ldap client

ldap server 端安装

修改hosts文件,使IP对应域名

本环境中没有使用dns ,由hosts文件代替

本环境中没有使用dns ,由hosts文件代替

echo '192.168.85.129 dev.com' >> /etc/hosts

关闭防火墙


service iptables stop
chkconfig iptables off

关闭selinux


setenforce 0
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/sysconfig/selinux

安装ldap server软件
#安装软件
yum install -y openldap openldap-*
#安装nss 模块和用户转换工具
yum install nss-* pcre-*  migrationtools -y
修改ldap 配置文件
#复制配置文件 
cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf
#备份配置文件
test -e /etc/openldap/slapd.conf.bak || cp /etc/openldap/slapd.conf /etc/openldap/slapd.conf.bak
#编辑ldap配置文件
**vi /etc/openldap/slapd.conf **
将
dc=my-domain,dc=com   修改为  dc=dev,dc=com
cn=Manager,dc=my-domain,dc=com  修改为  cn=admin,dc=dev,dc=com
rootpw    dfadfagwrer234251    #ldapde 管理密码,使用 "slappasswd -s 密码"   工具生产

#在文件最后添加如下内容
loglevel 296   # 定义日志级别
cachesize 1000  #换成条目数
checkpoint 2048 10   #表示内存中达到2048k或者10分钟 ,执行一次checkpoint 即写入数据文件的操作

test -e /etc/rsyslog.conf || cp /etc/rsyslog.conf /etc/rsyslog.conf.bak
**vi  /etc/rsyslog.conf**
local4.*      /var/log/ldap.log

#重启rsyslog 
service rsyslog restart
配置ldap 数据库
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

mv /etc/openldap/slapd.d{,.bak}
chmod 700 /var/lib/ldap/
chown ldap.ldap /etc/openldap/\*
chown ldap.ldap /var/lib/ldap/\*

test -f /etc/openldap/slapd.d/ || mkdir /etc/openldap/slapd.d/
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/ 
chown -R ldap.ldap /etc/openldap/slapd.d/
chkconfig slapd on 

#启动ldap 服务
service slapd restart
创建一个Test用户


useradd test01
echo 'abc'| passwd --stdin test01

迁移本地用户数据到ldap 数据库

test -e /usr/share/migrationtools/migrate_common.ph.bak || cp /usr/share/migrationtools/migrate_common.ph /usr/share/migrationtools/migrate_common.ph.bak

sed -i '71d' /usr/share/migrationtools/migrate_common.ph
sed -i '74d' /usr/share/migrationtools/migrate_common.ph
sed -i -e '/DNS/a\$DEFAULT_MAIL_DOMAIN = "dev.com";' /usr/share/migrationtools/migrate_common.ph
sed -i -e '/Turn/i\$DEFAULT_BASE = "dc=dev,dc=com";' /usr/share/migrationtools/migrate_common.ph

#将本地用户
/usr/share/migrationtools/migrate_base.pl >/tmp/base.ldif
/usr/share/migrationtools/migrate_passwd.pl /etc/passwd >/tmp/passwd.ldif
/usr/share/migrationtools/group.pl /etc/group >/tmp/group.ldif

#导入base  ,导入的时候会提示输入ldap管理员的密码 ,就是slapd.conf配置文件中 rootpw  的密码,明文加密都可以
ldapadd -x -D "cn=admin,dc=dev,dc=com" -W -f /tmp/base.ldif
ldapadd -x -D "cn=admin,dc=dev,dc=com" -W -f /tmp/group.ldif
ldapadd -x -D "cn=admin,dc=dev,dc=com" -W -f /tmp/passwd.ldif


ps aux | grep ldap
ldap server端安装脚本:
#!/bin/bash

#关闭防火墙和selinux
service iptables stop
chkconfig iptables off
setenforce 0
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/sysconfig/selinux

#修改hosts文件,使IP对应域名
echo '192.168.85.129    dev.com' >> /etc/hosts

#安装软件
yum install -y openldap openldap-*
#安装nss 模块和用户转换工具
yum install nss-* pcre-*  migrationtools -y

#配置ldap 配置文件
cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf
test -e /etc/openldap/slapd.conf.bak || cp /etc/openldap/slapd.conf /etc/openldap/slapd.conf.bak

#ldap 管理密码
pw=`slappasswd -s abc123`

sed -i 's/"dc=my-domain,dc=com"/"dc=dev,dc=com"/' /etc/openldap/slapd.conf
sed -i 's/"cn=Manager,dc=my-domain,dc=com"/"cn=admin,dc=dev,dc=com"/' /etc/openldap/slapd.conf
sed -i -e '/secret/a\rootpw\t'$pw'' /etc/openldap/slapd.conf
cat >> /etc/openldap/slapd.conf<> /etc/rsyslog.conf
echo 'local4.* /var/log/ldap.log' >>/etc/rsyslog.conf
service rsyslog restart


#配置ldap数据库

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

mv /etc/openldap/slapd.d{,.bak}
chmod 700 /var/lib/ldap/
chown ldap.ldap /etc/openldap/*
chown ldap.ldap /var/lib/ldap/*

test -f /etc/openldap/slapd.d/ || mkdir /etc/openldap/slapd.d/
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/ 
chown -R ldap.ldap /etc/openldap/slapd.d/
chkconfig slapd on 
service slapd restart


#test用户
useradd test01
echo 'abc'| passwd --stdin test01


#迁移用户数据到目录服务数据库
test -e /usr/share/migrationtools/migrate_common.ph.bak || cp /usr/share/migrationtools/migrate_common.ph /usr/share/migrationtools/migrate_common.ph.bak

sed -i '71d' /usr/share/migrationtools/migrate_common.ph
sed -i '74d' /usr/share/migrationtools/migrate_common.ph
sed -i -e '/DNS/a\$DEFAULT_MAIL_DOMAIN = "dev.com";' /usr/share/migrationtools/migrate_common.ph
sed -i -e '/Turn/i\$DEFAULT_BASE = "dc=dev,dc=com";' /usr/share/migrationtools/migrate_common.ph

#将本地用户
/usr/share/migrationtools/migrate_base.pl >/tmp/base.ldif
/usr/share/migrationtools/migrate_passwd.pl /etc/passwd >/tmp/passwd.ldif
/usr/share/migrationtools/group.pl /etc/group >/tmp/group.ldif

#导入base
ldapadd -x -D "cn=admin,dc=dev,dc=com" -W -f /tmp/base.ldif
ldapadd -x -D "cn=admin,dc=dev,dc=com" -W -f /tmp/group.ldif
ldapadd -x -D "cn=admin,dc=dev,dc=com" -W -f /tmp/passwd.ldif

ps aux | grep ldap

为 ldap master 配置 web 管理接口

安装依赖的软件服务,并检查

yum -y install httpd php php-ldap php-gd -y
rpm -qa httpd php php-ldap php-gd

下载地址:3.7版本
https://www.ldap-account-manager.org/lamcms/
切换目录,将刚才下载的文件上传到此目录。解压,重命名这个软件
cd /var/www/html/

tar zxf ldap-account-manager-3.7.tar.gz

mv ldap-account-manager-3.7/ ldap
备份,重命名,并修改文件内容

cd ldap/config

cp config.cfg_sample config.cfg_sample.bak

cp lam.conf_sample lam.conf_sample.bak

mv config.cfg_sample config.cfg

mv lam.conf_sample lam.conf

sed -i ‘s#cn=Manager#cn=admin#g‘ lam.conf

sed -i ‘s#dc=my-domain#dc=dev#g‘ lam.conf

sed -i ‘s#dc=com#dc=com#g‘ lam.conf     #因为我的域名是 dev.com 所以并不需要这项
chown -R apache:apache /var/www/html/ldap

重启 httpd 服务

/etc/init.d/httpd start

http://IP/ldap

你可能感兴趣的:(ldap实现Linux登录账号统一管理-server)