OpenLDAP服务安装

最新推荐文章于 2024-08-23 11:11:31 发布
最新推荐文章于 2024-08-23 11:11:31 发布
阅读量718 收藏 1
点赞数
分类专栏: 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35741557/article/details/116262940
版权

 

参考:https://cloud.tencent.com/developer/article/1100819

众所周知Hadoop安全模块不存储用户和用户组信息,而是依赖Linux系统的用户和用户组。同时在集群开启安全认证模式之后,需要映射Kerberos Principle到Linux的用户以及映射用户到用户组。那么随之而来的问题是如何统一管理用户信息。这里统一管理用户信息的方式有多种(如OpenLDAP、AD等等),在前面Fayson介绍了如何在Redhat6中安装OpenLDAP,本篇文章主要讲述如何在ReadHat7中安装OpenLDAP并配置客户端。

  • 内容概述

1.OpenLDAP服务安装

2.导入根域及管理员账号

3.导入基础文件及用户和用户组

4.配置OpenLDAP客户端

  • 测试环境

1.Redhat7.3

2.OpenLDAP版本2.4.44

2.OpenLDAP安装及配置

在集群中选择一台服务器(ip-172-31-24-169.ap-southeast-1.compute.internal)作为OpenLDAP的Server

1.执行如下命令安装OpenLDAP服务

openldap:OpenLDAP服务端和客户端用的库文件

openldap-clients:客户端程序

openldap-servers:服务端程序

openldap-devel:开发包

compat-openldap:OpenLDAP兼容性库(主从依赖)

migrationtools: 用户转换依赖

[root@ip-172-31-24-169 ~]# yum -y install openldap openldap-clients openldap-servers migrationtools openldap-devel nss-pam-ldapd bind-dyndb-ldap compat-openldap perl-LDAP krb5-server-ldap php-ldap openssl

 

 

查看安装的RPM包

[root@ip-172-31-24-169 ~]# rpm -qa |grep openldap

 

 

2.使用openssl生成TLS加密文件(如果不需要配置OpenLDAP的TLS则跳过此步)

使用如下命令生成服务器的RSA私钥

[root@ip-172-31-24-169 certs]# openssl genrsa -out ldap.key 1024

 

 

使用如下命令生成签名文件

[root@ip-172-31-24-169 certs]# openssl req -new -key ldap.key -out ldap.csr

 

 

注意:生成签名文件时必填的信息为“your server’s hostname”且为当前服务器的hostname。

使用如下文件生成公钥文件

[root@ip-172-31-24-169 certs]# openssl x509 -req -days 3653 -in ldap.csr -signkey ldap.key -out ldap.crt

 

 

将生成的公钥文件和私钥拷贝至/etc/openldap/certs目录下:

1[root@ip-172-31-24-169 certs]# scp ldap.crt ldap.key /etc/openldap/certs/
2[root@ip-172-31-24-169 certs]# ll /etc/openldap/certs/

 

 

3.修改OpenLDAP的slapd.ldif配置文件

安装OpenLDAP服务后默认的配置文件及数据库文件在/usr/share/openldap-servers目录下

 

将该目录下的slapd.ldif文件拷贝至/root或其他任一目录下

1[root@ip-172-31-24-169 openldap-servers]# cp slapd.ldif /root/
2[root@ip-172-31-24-169 openldap-servers]# cd /root/
3[root@ip-172-31-24-169 ~]# vim slapd.ldif

 

修改slapd.ldif文件,将部分注释去掉,增加include的文件及配置管理员账号和OpenLDAP的根域信息,文件全部内容如下:

注意:配置文件中需要注意的TLS Settings配置,如果不启用则可以将相关的配置注释。

配置文件中多处配置dc=fayson,dc=com,由于我们OpenLDAP的域为fayson.com,如果LDAP的域为ldap.fayson.com则我们的配置为dc=ldap,dc=fayson,dc=com,根据自己LDAP的域名进行相应的修改。

 1#
 2# See slapd-config(5) for details on configuration options.
 3# This file should NOT be world readable.
 4#
 5dn: cn=config
 6objectClass: olcGlobal
 7cn: config
 8olcArgsFile: /var/run/openldap/slapd.args
 9olcPidFile: /var/run/openldap/slapd.pid
10#
11# TLS settings
12#
13olcTLSCACertificatePath: /etc/openldap/certs
14olcTLSCertificateFile: /etc/openldap/certs/ldap.crt
15olcTLSCertificateKeyFile: /etc/openldap/certs/ldap.key
16#
17# Schema settings
18#
19dn: cn=schema,cn=config
20objectClass: olcSchemaConfig
21cn: schema
22include: file:///etc/openldap/schema/corba.ldif
23include: file:///etc/openldap/schema/core.ldif
24include: file:///etc/openldap/schema/cosine.ldif
25include: file:///etc/openldap/schema/duaconf.ldif
26include: file:///etc/openldap/schema/dyngroup.ldif
27include: file:///etc/openldap/schema/inetorgperson.ldif
28include: file:///etc/openldap/schema/java.ldif
29include: file:///etc/openldap/schema/misc.ldif
30include: file:///etc/openldap/schema/nis.ldif
31include: file:///etc/openldap/schema/openldap.ldif
32include: file:///etc/openldap/schema/ppolicy.ldif
33include: file:///etc/openldap/schema/collective.ldif
34#
35# Frontend settings
36#
37dn: olcDatabase=frontend,cn=config
38objectClass: olcDatabaseConfig
39objectClass: olcFrontendConfig
40olcDatabase: frontend
41#
42# Configuration database
43#
44dn: olcDatabase=config,cn=config
45objectClass: olcDatabaseConfig
46olcDatabase: config
47olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage by * none
48#
49# Server status monitoring
50#
51dn: olcDatabase=monitor,cn=config
52objectClass: olcDatabaseConfig
53olcDatabase: monitor
54olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=fayson,dc=com" read by * none
55#
56# Backend database definitions
57#
58dn: olcDatabase=hdb,cn=config
59objectClass: olcDatabaseConfig
60objectClass: olcHdbConfig
61olcDatabase: hdb
62olcSuffix: dc=fayson,dc=com
63olcRootDN: cn=Manager,dc=fayson,dc=com
64olcRootPW: 123456
65olcDbDirectory: /var/lib/ldap
66olcDbIndex: objectClass eq,pres
67olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub
68olcDbIndex: uidNumber,gidNumber,loginShell eq,pres
69olcDbIndex: uid,memberUid eq,pres,sub
70olcDbIndex: nisMapName,nisMapEntry eq,pres,sub

 

 

 

 

 

 

4.使用如下命令,重新生成OpenLDAP的配置(-n 0指定0号数据库,-F指定生成到的目标目录,-l以哪个文件进行生成)

1[root@ip-172-31-24-169 ~]# rm -rf /etc/openldap/slapd.d/*
2[root@ip-172-31-24-169 ~]# slapadd -F /etc/openldap/slapd.d -n 0 -l /root/slapd.ldif

 

 

 

测试配置文件是否正确,返回“config file testing succeeded”则表示配置文件正确

1[root@ip-172-31-24-169 ~]# slaptest -u -F /etc/openldap/slapd.d

 

 

修改配置文件的属主,操作如下:

1[root@ip-172-31-24-169 ~]# chown -R ldap. /etc/openldap/slapd.d/
2[root@ip-172-31-24-169 ~]# ll /etc/openldap/slapd.d/

 

 

5.安装OpenLDAP的数据库文件

将/usr/share/openldap-servers/目录下的DB_CONFIG.example文件拷贝至/var/lib/ldap目录下并重命名为DB_CONFIG,操作如下:

1[root@ip-172-31-24-169 ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
2[root@ip-172-31-24-169 ~]# ll /var/lib/ldap/

 

 

修改数据库文件属主

1[root@ip-172-31-24-169 ~]# chown -R ldap. /var/lib/ldap/
2[root@ip-172-31-24-169 ~]# ll /var/lib/ldap/

 

 

6.完成上述操作后,执行如下命令将slapd服务添加到系统自启动服务并启动slapd服务,查看服务启动状态

1[root@ip-172-31-24-169 ~]# systemctl enable slapd
2[root@ip-172-31-24-169 ~]# systemctl start slapd
3[root@ip-172-31-24-169 ~]# systemctl status slapd

 

 

至此OpenLDAP服务安装成功。

3.导入根域及管理员账号

1.创建root.ldif文件,内容如下

1[root@ip-172-31-24-169 ldap]# vim root.ldif
2dn: dc=fayson,dc=com
3dc: fayson
4objectClass: top
5objectClass: domain
6dn: cn=Manager,dc=fayson,dc=com
7objectClass: organizationalRole
8cn: Manager

 

 

2.导入根域及管理员信息到OpenLDAP服务中(-D是绑定到哪个dn上,-x是做一个简单的认证,-W交互式密码不输入密码,会交互式的提示用户输入密码,与-w二者选一,-w直接指定密码,-f执行哪个文件)

1[root@ip-172-31-24-169 ldap]# ldapadd -D "cn=Manager,dc=fayson,dc=com" -W -x -f root.ldif

 

 

3.查看是否导入成功(-h指定ldap服务地址,-b是指定从哪个地方开始搜寻)

1[root@ip-172-31-24-169 ldap]# ldapsearch -h ip-172-31-24-169.ap-southeast-1.compute.internal -b "dc=fayson,dc=com" -D "cn=Manager,dc=fayson,dc=com" -W

 

 

4.导入基础文件及用户和用户组

在安装OpenLDAP服务是安装了migrationtools服务,这里我们可以通过该服务生成OpenLDAP的基础文件、用户和用户组的ldif文件

1.进入/usr/share/migrationtools/目录修改migrate_common.ph文件,将文件中的$DEFAULT_MAIL_DOMAIN和$DEFAULT_BASE修改为自己OpenLDAP的域

1# Default DNS domain
2$DEFAULT_MAIL_DOMAIN = "fayson.com";
3# Default base 
4$DEFAULT_BASE = "dc=fayson,dc=com";

 

 

2.使用如下命令导出OpenLdap的base.ldif文件

1[root@ip-172-31-24-169 ldap]# /usr/share/migrationtools/migrate_base.pl >base.ldif
2[root@ip-172-31-24-169 ldap]# ll
3[root@ip-172-31-24-169 ldap]# vim base.ldif

 

 

根据自己的需求保留需要的基础域配置,此处是Fayson的配置

1dn: ou=People,dc=fayson,dc=com
2ou: People
3objectClass: top
4objectClass: organizationalUnit

5dn: ou=Group,dc=fayson,dc=com
6ou: Group
7objectClass: top
8objectClass: organizationalUnit
(第三步导入过再次导入会报错,如已经导入过,这里可以删掉)

 

3.执行如下命令导出操作系统的group.ldif文件

1[root@ip-172-31-24-169 ldap]# /usr/share/migrationtools/migrate_group.pl /etc/group > group.ldif
2[root@ip-172-31-24-169 ldap]# ll
3[root@ip-172-31-24-169 ldap]# vim group.ldif

 

 

根据需要删除不需要导入OpenLDAP服务的group,如下是Fayson的配置

 1dn: cn=root,ou=Group,dc=fayson,dc=com
 2objectClass: posixGroup
 3objectClass: top
 4cn: root
 5userPassword: {crypt}x
 6gidNumber: 0

 7dn: cn=fayson,ou=Group,dc=fayson,dc=com
 8objectClass: posixGroup
 9objectClass: top
10cn: fayson
11userPassword: {crypt}x
12gidNumber: 1001

 

 

4.使用如下命令导出操作系统用户的ldif文

1[root@ip-172-31-24-169 ldap]# /usr/share/migrationtools/migrate_passwd.pl /etc/passwd >user.ldif
2[root@ip-172-31-24-169 ldap]# ll
3[root@ip-172-31-24-169 ldap]# vim user.ldif

 

 

根据需要保留user.ldif文件中需要导入OpenLDAP服务的用户信息,注意用户信息与group.ldif中组的对应,否则会出现用户无相应组的问题,如下是Fayson的配置

 1dn: uid=root,ou=People,dc=fayson,dc=com
 2uid: root
 3cn: root
 4objectClass: account
 5objectClass: posixAccount
 6objectClass: top
 7objectClass: shadowAccount
 8userPassword: {crypt}!!
 9shadowLastChange: 17094
10shadowMin: 0
11shadowMax: 99999
12shadowWarning: 7
13loginShell: /bin/bash
14uidNumber: 0
15gidNumber: 0
16homeDirectory: /root
17gecos: root
18dn: uid=fayson,ou=People,dc=fayson,dc=com
19uid: fayson
20cn: fayson
21objectClass: account
22objectClass: posixAccount
23objectClass: top
24objectClass: shadowAccount
25userPassword: {crypt}!!
26shadowLastChange: 17566
27shadowMin: 0
28shadowMax: 99999
29shadowWarning: 7
30loginShell: /bin/bash
31uidNumber: 1001
32gidNumber: 1001
33homeDirectory: /home/fayson

 

 

使用slapadd命令将基础文件及用户和组导入OpenLDAP

ldapadd -D "cn=Manager,dc=fayson,dc=com" -W -x -f base.ldif
ldapadd -D "cn=Manager,dc=fayson,dc=com" -W -x -f group.ldif
ldapadd -D "cn=Manager,dc=fayson,dc=com" -W -x -f user.ldif

 

 

4.查看是否导入成功

ldapsearch -h ip-172-31-24-169.ap-southeast-1.compute.internal -b "dc=fayson,dc=com" -D "cn=Manager,dc=fayson,dc=com" -W|grep dn

 

 

5.OpenLDAP客户端配置

1.在ip-172-31-30-69节点安装OpenLDAP的客户端软件包

[root@ip-172-31-30-69 ~]# yum -y install openldap-clients

 

 

2.修改/etc/openldap/ldap.conf文件,内容如下:

[root@ip-172-31-30-69 ~]# yum -y install openldap-clients
[root@ip-172-31-30-69 ~]# vim /etc/openldap/ldap.conf 
#
# LDAP Defaults
#
# See ldap.conf(5) for details
# This file should be world readable but not world writable.
#BASE   dc=example,dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666
#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never
TLS_CACERTDIR   /etc/openldap/certs
URI ldap://ip-172-31-24-169.ap-southeast-1.compute.internal
BASE dc=fayson,dc=com
# Turning this off breaks GSSAPI used with krb5 when rdns = false
SASL_NOCANON    on

 

 

3.测试客户端是否配置成功

[root@ip-172-31-30-69 ~]# ldapsearch -D "cn=Manager,dc=fayson,dc=com" -W |grep dn

 

 

注意:如果未配置/etc/openldap/ldap.conf文件则需要在ldapsearch命令后加-hip-172-31-24-169.ap-southeast-1.compute.internal -b"dc=fayson,dc=com"参数。

wjmmjr1
关注
专栏目录
compat-openldap-2.3.43-5.el7.x86_64.rpm
11-29
离线安装包,亲测可用
linux php ldap_Linux php安装ldap扩展openldap openldap-devel --with-ldap
weixin_39726873的博客
03-08 244
一、Linux系统安装openldap openldap-develyum install -y openldap openldap-devel如果断网,那就自己现在安装包编译安装吧二、[root@localhost ext]# cd /opt/php-7.0.2/ext/ldap#注释:/opt/php-7.0.2 是我安装php之前上传的安装包目录[root@localhost ldap]# ...
Ubuntu22.04下安装LDAP
最新发布
dl_11的博客
08-23 1421
在Ubuntu22.04的时候可以使用apt的方式来安装,在安装LDAP的web 服务器的时候可以考虑选择 LDAP 帐户管理器 (LAM)。因为 PHPLDAPadmin 安装时需要 php 的环境依赖,相对来说安装麻烦。此外在 PHPLDAPadmin 中创建组织和用户时与平常的语法有很大不同,对新手来说不友好。
无网安装OpenLDAP
qq_46112274的博客
09-02 887
无网安装OpenLDAP
OpenLDAP安装部署(一)
CCH2024的专栏
12-12 2838
OpenLDAP安装部署。
Linux的centos7中OpenLDAP安装,卸载与重装
麦子粒粒
10-07 8141
Linux的centos7中LDAP安装,卸载与重装一、OpenLDAP的简介二、OpenLDAP安装1.yum方式安装2.配置OpenLDAP2.1 配置OpenLDAP管理员密码2.2 修改olcDatabase={2}hdb.ldif文件2.2 修改olcDatabase={1}monitor.ldif文件3.配置OpenLDAP数据库4.导入基本Schema5.修改migrate_common.ph文件6.添加用户及用户组7.导入用户及用户组到OpenLDAP数据库功能快捷键合理的创建标题,有助
OpenLDAP yum安装配置
05-04
启动OpenLDAP服务,并设置开机启动: ``` sudo systemctl enable slapd sudo systemctl restart slapd ``` **8. 测试连接** 使用ldapsearch或ldapmodify等命令测试连接。例如,检查服务器是否正在监听: ``` ldap...
源码安装openldap2.4.45
12-03
OpenLDAP是一款开源的轻量级目录访问协议(Lightweight Directory Access Protocol)服务器,它提供了对LDAP目录服务的强大支持。在Linux环境下,通过源码安装OpenLDAP可以更好地定制配置以满足特定需求。以下是对...
OpenLDAP安装手册-Linux
03-17
通过以上步骤,我们可以在Linux环境下成功安装并配置OpenLDAP服务。需要注意的是,实际部署过程中还需要根据具体的应用场景进行相应的调整和优化。例如,可能需要进一步配置安全策略、备份机制等,以确保系统的稳定...
win32 openLdap 2.2.29 安装文件
06-20
5. 完成安装后,启动OpenLDAP服务。 6. 配置客户端工具,如ldapsearch或ldapmodify,以进行目录操作。 7. 测试连接,验证服务器是否正常工作。 OpenLDAP的使用不仅限于基础的目录服务,还可以通过扩展模块实现更...
openldap安装流程
11-04
启动OpenLDAP服务,并设置开机启动: ```bash sudo systemctl start slapd sudo systemctl enable slapd ``` 8. **创建数据结构** 创建基本的LDAP目录结构,如ou=People,dc=example,dc=com: ```bash ...
openldap安装
期待幸福
10-19 643
文章目录1 生产服务器硬件配置需求2 openldap master服务安装3 ldap参数配置优化。3.1 配置ldap管理员密码参数3.2 日志及缓存参数。3.4 配置syslog记录ldap服务日志配置syslog3.5 配置LDAP数据库路径3.6 查看OpenLDAP 数据库4 为OpenLDAP初始化数据 1 生产服务器硬件配置需求 ldap服务对系统环境的要求不高,一般在生产场景,ldap服务应该最少是两台,这样某一台物理服务器岩机才不会因单点问题影响生产业务故障,下面是在工作中单台的硬件配置
安装openldap
sqlora的专栏
08-26 2840
根据客户要求,需要实现用户账号同步功能,即在主节点创建用户账号后,其他计算节点可以同步拥有该账号,并可以使用该账号登录计算节点,进行相关操作。 根据以上要求,以及参考用户之前集群的配置,决定使用openldap来实现该功能。...
小白篇(十九):openLdap介绍(又名:Ldap介绍)
belialxing的专栏
11-09 8418
我的原文地址: https://mp.weixin.qq.com/s?__biz=MzIxMzg5NzI4OQ==&tempkey=MTA4Nl9tbVNyQWQwemFLVW9qVmQ0bndmR2lYX2ZNanlYQ1VrM2VjbFVDN2VhZS0xMDBUZXVHNVVPLVg0THRYTHE4eG9VTXVqVG5wTkpiZ1hWYTJiaS12YVoyLTV1MjF4dDN2QWNjVGNTT2pkWUl0ZjNHZ2hTSUFHZjVmQk56UF94ZVdiUWM4SjBuM
LDAP协议简介以及OpenLDAP服务搭建
ximingren的博客
05-06 5825
我这篇文章是自己在学习LDAP的时候,为了记录下来,将自己收集的资料集合成一篇文章而成的仅供参考,并非原创。参考过的文章有点击打开链接点击打开链接点击打开链接点击打开链接一:LDAP协议简介LDAP,全称为轻量级目录访问协议,是一项开放协议,用于通过分层目录结构对数据进行存储与检索。LDAP是一种灵活得解决方案,适用于定义各类条目及相关性质。OpenLDAP项目是实现了LDAP协议的开源软件。基本...
OpenLDAP安装与配置使用
u010543388的博客
07-29 1557
1、 OpenLDAP安装与配置 在集群中选择一台服务器作为OpenLDAP的Server 1.1 执行如下命令安装OpenLDAP服务 # yum -y install openldap-clients openldap-devel openldap-servers migrationtools sssd authconfig nss-pam-ldapd 1.2 初始化OpenLDAP服务的配置文件 # cp /usr/share/openldap-servers/slapd.conf.obsolet
OpenLDAP学习笔记
坚强的石头
06-11 2156
LDAP协议         目录是一组具有类似属性、以一定逻辑和层次组合的信息。常见的例子是通讯簿,由以字母顺序排列的名字、地址和电话号码组成。 目录服务是一种在分布式环境中发现目标的方法。目录具有两个主要组成部分:   第一部分是数据库,数据库是分布式的,且拥有一个描述数据的规划。 第二部分则是访问和处理数据的各种协议。       目录服务其实也是一种数据库系统,只...
CentOS7.4下OpenLDAP安装与配置及OpenLDAP主从主主
sfdst的博客
08-06 4750
文章目录1 OpenLDAP简介2.环境准备2.1 服务器规划2.2 关闭SELinux2.3 修改主机名2.4 关闭iptables2.5 系统环境信息3 server端安装OpenLDAP3.1 yum安装OpenLDAP3.2 配置OpenLDAP3.2.1 设置LDAP管理密码3.2.2 配置OpenLDAP数据库3.2.3 添加需要的schemas3.2.4 启动和开机自启及验证3.2.5 配置openLDAP服务config3.3 域devopstack配置3.4 创建一个测试用户3.5
LDAP Weblogic和AD之间的通信
aaaaaaaaaa
03-06 306
LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。 简单说来,LDA...
OpenLDAP服务安装与管理员密码设置教程
1. 安装OpenLDAP服务:通过`yum`命令安装必要的组件,包括`openldap-servers`(提供服务启动和配置功能,包含独立的LDAP守护进程)和`openldap-clients`(客户端工具),确保安装了基本库文件。 ```shell yum -y ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值