文章目录
1.概要
LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。
简单说来,LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。
LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本使用,不过根据组织者的需要,它可以做得更加强大。
LDAP其实是一电话簿,类似于我们所使用诸如NIS(Network Information Service)、DNS (Domain Name Service)等网络目录,也类似于你在花园中所看到的树木。
其它内容传送门地址:
2.整体架构流程
- 准备一个终端工具(mobaxterm、xshell、windterm)。
- vSphere中新建Debian12,开启SSH配置。
- 终端工具连接Debian12的SSH。
- Debian12完成LDAP和ldap account manager安装。
- 使用ldap account manager进行配置。
- LDAP和其它服务联动。
3.技术细节
3.1 准备一个终端工具。
mobaxterm、xshell、windterm各有千秋,都好用。windterm全免费,但是各种密码输入界面BUG,但不影响使用。
- mobaxterm网址:https://mobaxterm.mobatek.net/,下载Free版就够用了,英文界面。
- xshell网址:https://www.xshell.com/zh/xshell/,xshell自称最强,付费以后的确是的。
- windterm网址:https://github.com/kingToolbox/WindTerm,中文开源免费,各种指令补全快捷执行。
3.2 vSphere中新建Debian12,开启SSH配置。
此前我们都是通过ESXI创建或者运行主DNS的那台Debian12克隆,这次我们在vSphere上演示如何起虚拟机。Debian12的镜像之前DNS配置的时候,已经上传到ESXI中,无需二次上传。
首先正常登录进入vSphere(vCenter Server控制台)
在我们创建的集群上右键,选择新建虚拟机。
提供多种方式创建一个新的虚拟机,这里为了演示选择第一种,往后我推荐大家起一个模板,从模板创建,这样就以后不需要重复添加源这些操作。创建过程大家直接看图。
创建完虚拟机后,在虚拟机列表找到你的新虚拟机,右键——控制台——启动远程控制台,会打开提示:问你是否通过VMware workstation来管理,点击打开,你就跳转到你电脑本机安装的VMware workstation里了。什么?你电脑没有VMware workstation!装一个,别在ESXI的网页界面里折磨自己。
跳转到VMware workstation后,你发现ESXI其实是帮你在VMware workstation连接了一个远程服务器,接下来所有步骤就像正常的虚拟机哪有操作就行,安装Debian12过程中的重点地方,我会在下面截图中说明。
其实都没啥重点,我写了这么多篇,安装部分不多于赘述了,就放些关键图吧,这部分太呆了。
扫描完组件后,进入到配置主机名和域名,正常写,我们这是LDAP服务主机名就写LDAP,域也正常写就行了。
最后等待安装就行,Debian12的安装真没啥说的,动手强的兄弟批量装机,这玩意可能就三分钟内点完安装了。安装完成后,你的ssh服务是默认打开的。
3.3 终端工具连接Debian12的SSH
先在Debian12里面打开终端,su提权到root身份
su
一般开始都是DHCP获得的IP,正常情况NTP服务器IP地址是需要固定的,无论你用网络高级选项配置还是nmtui,你固定IP就行配置完成后,正常保存退出,通过“ip a”命令检查IP地址是否正确,通过ping www.baidu.com检查是否与外网通讯正常。
ip a
ping www.baidu.com
接着修改SSH配置文件,调整为默认允许root身份登录
nano /etc/ssh/sshd_config
把PermitRootLogin前面的#号去掉,后面改为yes,然后按ctrl+x再加Y确认修改(ctrl+u撤销上一步),接着重启ssh服务
systemctl restart sshd
以windtrem为例,右键新建会话,如下配置,root是你登录的用户名,正常连接即可。
进入到ssh后,再次检查
ip a
ping www.baidu.com
开局都是0配置,你的内网是即插即用的,这一步应该没毛病,有问题ping不通就去检查你的路由器。
接着去修改Debian软件仓库源,我喜欢同时指定为国内的阿里和清华源,流程如下
nano /etc/apt/sources.list
把里面的所有内容清空,把下面的内容粘贴进去,这里就提醒终端软件的好处了,wind支持你直接你在CSDN复制,然后在终端里面右键直接粘贴
deb https://mirrors.aliyun.com/debian/ bullseye main non-free contrib
deb-src https://mirrors.aliyun.com/debian/ bullseye main non-free contrib
deb https://mirrors.aliyun.com/debian-security/ bullseye-security main
deb-src https://mirrors.aliyun.com/debian-security/ bullseye-security main
deb https://mirrors.aliyun.com/debian/ bullseye-updates main non-free contrib
deb-src https://mirrors.aliyun.com/debian/ bullseye-updates main non-free contrib
deb https://mirrors.aliyun.com/debian/ bullseye-backports main non-free contrib
deb-src https://mirrors.aliyun.com/debian/ bullseye-backports main non-free contrib
deb https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye main contrib non-free
deb-src https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye main contrib non-free
deb https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye-updates main contrib non-free
deb-src https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye-updates main contrib non-free
deb https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye-backports main contrib non-free
deb-src https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye-backports main contrib non-free
deb https://mirrors.tuna.tsinghua.edu.cn/debian-security bullseye-security main contrib non-free
deb-src https://mirrors.tuna.tsinghua.edu.cn/debian-security bullseye-security main contrib non-free
编辑好如下,按ctrl+x再加Y确认修改(ctrl+u撤销上一步)
接着apt-get update更新源
apt-get update
3.4 Debian12完成LDAP和ldap account manager安装
OK,前情提要结束,我们开始正式配置,记住LDAP其实本质是操作一个目录数据库,配置LDAP的本质就是控制数据库,而ldap由slapd主程序和ldap-utils工具集两部分组成,安装这两个软件就能正常工作。除了可以通过命令行ldapsearch命令操作LDAP之外,我们也可以使用web客户端工具来实现LDAP连接。
先安装基础服务
apt-get install slapd
apt-get install ldap-utils
你安装slapd以后,大概率ldap-utils也安装完成了
咱们检查一下服务是否正常
systemctl status slapd.service
接着安装web客户端,操作LDAP数据库,如果这里直接上命令,可能小白啥都不知道,就只能背命令了。
第一种方法:直接使用安装命令,要下载120m的文件,我优先推荐这个方式进行安装,除非你第一次安装多次报错后再尝试第二种
apt-get install ldap-account-manager
第二种:咱们访问ldap-account-manager官网,下载对应版本的包
https://www.ldap-account-manager.org/lamcms/
咱们来安装一下PHP
apt-get install php
执行安装时,apt包管理工具发现问题,问我们是不是要允许fix修复问题安装包,这就是包管理器的好处,咱们根据提示,执行命令
apt --fix-broken install
可以看到apt帮我们去安装各种与PHP有关的包了,咱们耐心等待就行
安装完以后,为了保险,我们再执行一次ldap-account-manager的安装
dpkg -i ldap-account-manager_8.4-1_all.deb //截止发文日期,我的版本是8.4-1
这回不报错了
3.5 使用ldap account manager进行配置
ok,咱们先直接访问一下我们LDAP服务器的IP地址,可以看到Apache2 It works
接着再访问LDAP服务的IP地址加lam,进入到ldap account manager的配置界面,首次登录有很多东西要改。不然用Manager你无法访问的
http://172.31.4.4/lam //你的IP自己改
这次就进入了咱们的Web配置中,先把语言改成中文,然后先点击右上角的LAM配置,然后编辑服务器配置文件,使用默认密码lam登录,到最下面设置一个新密码。
接着找到服务器设置,把服务器IP填好
然后找到下面选项填写上你自己搭的DNS域,是的LDAP与DNS这类都是基础服务。
接着回到页面上方,找到账号类型
这些都做完后,回到登录主页,发现用户名变成admin了,然后输入安装LDAP的时候要求的密码,其实如果你触类旁通,你会反映过来其实web本质还是拿LDAP自身数据库的账号去访问。接下来点击建立即可:
建立完成后,咱们的LDAP主要功能其实都在右上方,大家可以以后去研究更多内容,现在我们要进入下一阶段。
3.6 LDAP和其它服务联动
注意,LDAP和最新版的TrueNAS不再提供samba模式,这个3.6部分内容将会被弃用;建议大家换成活动目录方式进行认证,活动目录现在流行的是win server的AD域控,同时还有samba4 AD域,我想着这一套都是linux环境,我就搭建samba4 AD吧。
没想到,我9月7号8号一直在尝试部署samba4 AD域,在Debian12上部署真的是要了我的命,debian太新了,各种依赖问题,各种启动不正常,直到现在,我Debian12都无法安装成功!不过我用教程建议的Ubuntu16 LTS搭建samba4 AD域,安装和配置无比丝滑,真的难受,我要继续折磨Debian12。必须做第一个吃螃蟹的人!
我附上我参考的教程。
https://www.tecmint.com/install-samba4-active-directory-ubuntu/
https://wiki.samba.org/index.php/Distribution-specific_Package_Installation
这个教程真的从入门到入坟,我准备开个坑samba4 AD域
小结
LDAP的内容就到此为止,就单独变成LDAP的部署吧,和TrusNAS的联动就去掉了,如果还想看TrueNAS和AD域控做认证的,可以看我接下来的坑。
3472
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
