LDAP简介
引用百度百科的简介: http://baike.baidu.com/link?url=XhsDV07AY6vKU1R8cMT_ogt1Wee-QbCOU6HJ-lBTIId3IHn1tYKV0etZEP1xj53iUAmcZQ6zw0a1LOMNOH-9aq
实验环境
一台Centos 6.8 安装ldap server
一台Centos 6.8安装ldap client
ldap server 端安装
修改hosts文件,使IP对应域名
本环境中没有使用dns ,由hosts文件代替
本环境中没有使用dns ,由hosts文件代替
echo '192.168.85.129 dev.com' >> /etc/hosts
关闭防火墙
service iptables stop
chkconfig iptables off
关闭selinux
setenforce 0
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/sysconfig/selinux
安装ldap server软件
#安装软件
yum install -y openldap openldap-*
#安装nss 模块和用户转换工具
yum install nss-* pcre-* migrationtools -y
修改ldap 配置文件
#复制配置文件
cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf
#备份配置文件
test -e /etc/openldap/slapd.conf.bak || cp /etc/openldap/slapd.conf /etc/openldap/slapd.conf.bak
#编辑ldap配置文件
**vi /etc/openldap/slapd.conf **
将
dc=my-domain,dc=com 修改为 dc=dev,dc=com
cn=Manager,dc=my-domain,dc=com 修改为 cn=admin,dc=dev,dc=com
rootpw dfadfagwrer234251 #ldapde 管理密码,使用 "slappasswd -s 密码" 工具生产
#在文件最后添加如下内容
loglevel 296 # 定义日志级别
cachesize 1000 #换成条目数
checkpoint 2048 10 #表示内存中达到2048k或者10分钟 ,执行一次checkpoint 即写入数据文件的操作
test -e /etc/rsyslog.conf || cp /etc/rsyslog.conf /etc/rsyslog.conf.bak
**vi /etc/rsyslog.conf**
local4.* /var/log/ldap.log
#重启rsyslog
service rsyslog restart
配置ldap 数据库
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
mv /etc/openldap/slapd.d{,.bak}
chmod 700 /var/lib/ldap/
chown ldap.ldap /etc/openldap/\*
chown ldap.ldap /var/lib/ldap/\*
test -f /etc/openldap/slapd.d/ || mkdir /etc/openldap/slapd.d/
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/
chown -R ldap.ldap /etc/openldap/slapd.d/
chkconfig slapd on
#启动ldap 服务
service slapd restart
创建一个Test用户
useradd test01
echo 'abc'| passwd --stdin test01
迁移本地用户数据到ldap 数据库
test -e /usr/share/migrationtools/migrate_common.ph.bak || cp /usr/share/migrationtools/migrate_common.ph /usr/share/migrationtools/migrate_common.ph.bak
sed -i '71d' /usr/share/migrationtools/migrate_common.ph
sed -i '74d' /usr/share/migrationtools/migrate_common.ph
sed -i -e '/DNS/a\$DEFAULT_MAIL_DOMAIN = "dev.com";' /usr/share/migrationtools/migrate_common.ph
sed -i -e '/Turn/i\$DEFAULT_BASE = "dc=dev,dc=com";' /usr/share/migrationtools/migrate_common.ph
#将本地用户
/usr/share/migrationtools/migrate_base.pl >/tmp/base.ldif
/usr/share/migrationtools/migrate_passwd.pl /etc/passwd >/tmp/passwd.ldif
/usr/share/migrationtools/group.pl /etc/group >/tmp/group.ldif
#导入base ,导入的时候会提示输入ldap管理员的密码 ,就是slapd.conf配置文件中 rootpw 的密码,明文加密都可以
ldapadd -x -D "cn=admin,dc=dev,dc=com" -W -f /tmp/base.ldif
ldapadd -x -D "cn=admin,dc=dev,dc=com" -W -f /tmp/group.ldif
ldapadd -x -D "cn=admin,dc=dev,dc=com" -W -f /tmp/passwd.ldif
ps aux | grep ldap
ldap server端安装脚本:
#!/bin/bash
#关闭防火墙和selinux
service iptables stop
chkconfig iptables off
setenforce 0
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/sysconfig/selinux
#修改hosts文件,使IP对应域名
echo '192.168.85.129 dev.com' >> /etc/hosts
#安装软件
yum install -y openldap openldap-*
#安装nss 模块和用户转换工具
yum install nss-* pcre-* migrationtools -y
#配置ldap 配置文件
cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf
test -e /etc/openldap/slapd.conf.bak || cp /etc/openldap/slapd.conf /etc/openldap/slapd.conf.bak
#ldap 管理密码
pw=`slappasswd -s abc123`
sed -i 's/"dc=my-domain,dc=com"/"dc=dev,dc=com"/' /etc/openldap/slapd.conf
sed -i 's/"cn=Manager,dc=my-domain,dc=com"/"cn=admin,dc=dev,dc=com"/' /etc/openldap/slapd.conf
sed -i -e '/secret/a\rootpw\t'$pw'' /etc/openldap/slapd.conf
cat >> /etc/openldap/slapd.conf<> /etc/rsyslog.conf
echo 'local4.* /var/log/ldap.log' >>/etc/rsyslog.conf
service rsyslog restart
#配置ldap数据库
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
mv /etc/openldap/slapd.d{,.bak}
chmod 700 /var/lib/ldap/
chown ldap.ldap /etc/openldap/*
chown ldap.ldap /var/lib/ldap/*
test -f /etc/openldap/slapd.d/ || mkdir /etc/openldap/slapd.d/
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/
chown -R ldap.ldap /etc/openldap/slapd.d/
chkconfig slapd on
service slapd restart
#test用户
useradd test01
echo 'abc'| passwd --stdin test01
#迁移用户数据到目录服务数据库
test -e /usr/share/migrationtools/migrate_common.ph.bak || cp /usr/share/migrationtools/migrate_common.ph /usr/share/migrationtools/migrate_common.ph.bak
sed -i '71d' /usr/share/migrationtools/migrate_common.ph
sed -i '74d' /usr/share/migrationtools/migrate_common.ph
sed -i -e '/DNS/a\$DEFAULT_MAIL_DOMAIN = "dev.com";' /usr/share/migrationtools/migrate_common.ph
sed -i -e '/Turn/i\$DEFAULT_BASE = "dc=dev,dc=com";' /usr/share/migrationtools/migrate_common.ph
#将本地用户
/usr/share/migrationtools/migrate_base.pl >/tmp/base.ldif
/usr/share/migrationtools/migrate_passwd.pl /etc/passwd >/tmp/passwd.ldif
/usr/share/migrationtools/group.pl /etc/group >/tmp/group.ldif
#导入base
ldapadd -x -D "cn=admin,dc=dev,dc=com" -W -f /tmp/base.ldif
ldapadd -x -D "cn=admin,dc=dev,dc=com" -W -f /tmp/group.ldif
ldapadd -x -D "cn=admin,dc=dev,dc=com" -W -f /tmp/passwd.ldif
ps aux | grep ldap
为 ldap master 配置 web 管理接口
安装依赖的软件服务,并检查
yum -y install httpd php php-ldap php-gd -y
rpm -qa httpd php php-ldap php-gd
下载地址:3.7版本
https://www.ldap-account-manager.org/lamcms/
切换目录,将刚才下载的文件上传到此目录。解压,重命名这个软件
cd /var/www/html/
tar zxf ldap-account-manager-3.7.tar.gz
mv ldap-account-manager-3.7/ ldap
备份,重命名,并修改文件内容
cd ldap/config
cp config.cfg_sample config.cfg_sample.bak
cp lam.conf_sample lam.conf_sample.bak
mv config.cfg_sample config.cfg
mv lam.conf_sample lam.conf
sed -i ‘s#cn=Manager#cn=admin#g‘ lam.conf
sed -i ‘s#dc=my-domain#dc=dev#g‘ lam.conf
sed -i ‘s#dc=com#dc=com#g‘ lam.conf #因为我的域名是 dev.com 所以并不需要这项
chown -R apache:apache /var/www/html/ldap
重启 httpd 服务
/etc/init.d/httpd start
http://IP/ldap