-
修改hosts文件
sudo vim /etc/hosts
#ldap hosts
10.0.13.101 ldap1.conan.com
10.0.13.102 ldap2.conan.com -
系统需Java 1.8 及以上版本环境。安装部署opendj3
unzip OpenDJ*
sh opendj/setup -
拷贝00,99文件
cp 00-core.ldif 99-user.ldif opendj/config/schema -
启动 opendj
sh opendj/bin/start-ds
上面四个步骤 两台服务器均需要操作 -
全新安装,主主复制
sh dsreplication enable --adminUID admin --adminPassword admin
–baseDN dc=conan,dc=com --host1 ldap1.conan.com --port1 4444 --bindDN1 “cn=Directory Manager” --bindPassword1 conan@2017 --replicationPort1 1689
–host2 ldap2.conan.com --port2 4444 --bindDN2 “cn=Directory Manager” --bindPassword2 conan@2017 --replicationPort2 1689 --trustAll --no-prompt
6.数据初始化 (此命令是将ldap1的数据初始化给ldap2) ( 全新安装跳过此步骤)
sh dsreplication initialize --adminUID admin --adminPassword admin --baseDN dc=conan,dc=com --hostSource ldap1.conan.com --portSource 4444 --hostDestination
ldap2.conan.com --portDestination 4444 --trustAll
–no-prompt
7.异常处理,禁止主主复制。
sh dsreplication disable --disableAll --port 4444 --hostname ldap1.conan.com
–adminUID admin --adminPassword admin --trustAll --no-prompt
sh dsreplication disable --disableAll --port 4444 --hostname ldap2.conan.com
–adminUID admin --adminPassword admin --trustAll --no-prompt
- 修改 参数 opendj3/config/java.properties
import-ldif.offline.java-args=-server -d64 -Xms4G -Xmx4G
start-ds.java-args =-server -d64 -XX:+UseConcMarkSweepGC -XX:-DisableExplicitGC -XX:NewSize=2G -XX:MaxTenuringThreshold=1 -XX:CMSInitiatingOccupancyFraction=72 -Xms4G -Xmx4G
9.ldap客户端 配置参数
cn=7 Days Time Limit Rotation Policy,cn=Log Rotation Policies,cn=config
ds-cfg-rotation-interval :60 days
cn=File-Based Audit Logger,cn=Loggers,cn=config
ds-cfg-enabled :TRUE
cn=File Count Retention Policy,cn=Log Retention Policies,cn=config
ds-cfg-number-of-files :60
cn=config
ds-cfg-max-allowed-client-connections: 500000
ds-cfg-size-limit: 500000
cn=Default Password Policy,cn=Password Policies,cn=config
ds-cfg-allow-pre-encoded-passwords: true
ds-cfg-allow-user-password-changes: true
#######重建全部索引
sh rebuild-index --rebuildAll -b dc=conan,dc=com
#######创建唯一索引
sh dsconfig create-plugin --port 4444 --hostname $ip/domain --bindDN “cn=Directory Manager” --bindPassword $psd --plugin-name “o” --type unique-attribute --set enabled:true --set base-dn:ou=Organizations,dc=conan,dc=com --set type:o --trustAll --no-prompt
#删除 LDAP安装完成自带匿名访问的ACI,选中右键删除此ACI
cn=Access Control Handler,cn=config
(targetattr!=“userPassword||authPassword||debugsearchindex||changes||changeNumber||changeType||changeTime||targetDN||newRDN||newSuperior||deleteOldRDN”)(version 3.0; acl “Anonymous read access”; allow (read,search,compare) userdn=“ldap:///anyone”😉