389-ds 同步软件

389-ds 是用来同步AD密码到ldap的软件

这里有详细安装过程

参考

我用上面那个网站的方法安装里,如果直接运行 setupssl.sh 后面就没法登录了,

后来是按照下面回复的一个网友的方法折腾好的.

 

  
  
  
  
  1. echo -n “Creating password and noise file…” 
  2. #cd /etc/dirsrv/slapd-fw (My server instance is fdsserver,and the fully qualified domain name is fw.test.net) 
  3. echo “12345″ > /etc/dirsrv/slapd-fw/pwdfile.txt 
  4. echo “12345″ > /etc/dirsrv/slapd-fw/noise.txt 
  5. echo -n “Creating Databases…” 
  6. #certutil -N -d . -f pwdfile.txt 
  7. echo -n “Generating encryption key…” 
  8. #certutil -G -d . -z noise.txt -f pwdfile.txt 
  9. echo -n “Generating self-signed certificate…” 
  10. #certutil -S -n "CA fw" -s "cn=CAcert" -x -t "CT,," -m 1000 -v 120 -d . -z noise.txt -f pwdfile.txt  
  11. echo -n “Generating server certificate..” 
  12. #certutil -S -n "FW-cert" -s "cn=fw.test.net" -c "CA fw" -t "u,u,u" -m 1001 -v 120 -d . -z noise.txt -f pwdfile.txt  
  13. mv key3.db slapd-msas-key3.db 
  14. mv cert8.db slapd-msas-cert8.db 
  15. ln -s slapd-msas-key3.db key3.db 
  16. ln -s slapd-msas-cert8.db cert8.db 
  17. echo -n “Setting permissions..” 
  18. chown ldap.ldap * 
  19. echo -n “Exporting certificate..” 
  20. #certutil -L -d . -n "CA fw" -r > cacert.der  
  21. echo “Converting certificate..” 
  22. openssl x509 -inform DER -in cacert.der -outform PEM -out cacert.pem 
  23. echo “Copying cacert.pem to /etc/openldap/cacerts..” 
  24. cp cacert.pem /etc/openldap/certs/ 


上面的 FW 是我的 389 服务器,

还要创建一个文件,名称是 pin.txt,(如果不创建会开机没法启动dirsrv,手动启动提示要密码)内容:

   
   
   
   
  1. Internal (Software) Token:12345 

WINDOWS首选得安装证书服务.
在WINDOWS那边安装的同步软件时,

   
   
   
   
  1. Host Name: 这里是389服务器的名称或IP
  2. Port Number: 如果是2008得用636
  3. User Name:就是 uid=sldap,cn=config ,在389创建的用户
  4. Password:这个用户的密码
  5. Cert Token:证书密码
  6. Search Base:dc=... dc=....

然后软件安装好后,还要安装一下证书,

在安装目录下面运行 CMD

    
    
    
    
  1. C:\Program Files\389 Directory Password Synchronization certutil.exe -N -d . 
  2. 此时创建证书密码 
  3. 把389那边的证书复制过来.(位于/etc/dirsrv/slapd-你的实例名称/下面的 cacert.der )
  4.  
  5. 因为这个是 DER 编码的, certutil 不好安装, 
  6. 下载一个openss for win, 把里面的 openssl.exe 和另两个 dll 复制到这个目录,再 
  7. openssl.exe x509 -inform DER -in cacert.der -outform PEM -out cacert.pem 
  8. certutil.exe -A -n "fw cert" -d .  -t “CT,CT,CT” -a -i cacert.pem 

另外:389-consle创建同步代理时,

连接那一栏里面的 Bind as 这样输入

    
    
    
    
  1. cn=administrator,cn=users,dc=test,dc=net (如果用的administrator来同步,官方建议用这个) 


其它就没什么问题了.

你可能感兴趣的:(sync,pass,ad,389-ds)