Ldap HA超详细部署方案

最新推荐文章于 2024-08-05 11:46:34 发布
最新推荐文章于 2024-08-05 11:46:34 发布
阅读量917 收藏 15
点赞数 19
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunxunyong/article/details/140098584
版权

#两个主机都要操作,root下操作,
3、Ldap (主从)安装
#######################Ldap主从配置#####################

安装

yum -y install openldap-servers openldap-clients nss-pam-ldapd
#复制的是什么文件?
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown ldap:ldap /var/lib/ldap/DB_CONFIG

有问题可以考虑:chown -R ldap:ldap /etc/openldap/

启动(设置自启动)

systemctl start slapd
systemctl enable slapd

#设置密码

slappasswd -h {md5} -s "FCA6Pw2"
{MD5}qOykCIxA1***Nw==

vi set_rootpw.ldif
#################################################
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {MD5}qOykC***********LCSNw==
#################################################
ldapadd -Y EXTERNAL -H ldapi:/// -f set_rootpw.ldif

additional info: modify/add: olcRootPW: no equality matching rule 解决办法:
修改modify.ldif中对应选项的"add"为"replace"即可

#添加基础配置
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
#添加domain配置
vi set_domain.ldif
###################################
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base=“gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth”
read by dn.base=“cn=admin,dc=@@@,dc=com” read by * none

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=@@@,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=@@@,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {MD5}qOykCIx*******LCSNw==

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
dn=“cn=admin,dc=@@@,dc=com” write by anonymous auth by self write by * none
olcAccess: {1}to dn.base=“” by * read
olcAccess: {2}to * by dn=“cn=admin,dc=@@@,dc=com” write by * read
##########################################################
ldapmodify -Y EXTERNAL -H ldapi:/// -f set_domain.ldif

vi create_basedomain.ldif
##########################################################
dn: dc=@@@,dc=com
objectClass: top
objectClass: dcObject
objectclass: organization
o: Server com
dc: @@@

dn: cn=admin,dc=@@@,dc=com
objectClass: organizationalRole
cn: admin
description: Directory admin

dn: ou=People,dc=@@@,dc=com
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=@@@,dc=com
objectClass: organizationalUnit
ou: Group
##########################################################
ldapadd -x -D cn=admin,dc=@@@,dc=com -w*********FCA6Pw2 -f create_basedomain.ldif

#主从配置
------ master
vi sync_provider_addMode.ldif

###################################

create new

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: syncprov.la
####################################
ldapadd -Y EXTERNAL -H ldapi:/// -f sync_provider_addMode.ldif

vi sync_provider.ldif
#############################

create new

dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpSessionLog: 100
###############################
ldapadd -Y EXTERNAL -H ldapi:/// -f sync_provider.ldif

———slave

vi sync_consumer.ldif

修改sync_consumer.ldif中 provider=ldap://10.@@@.50:389/

##############################
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcSyncRepl
olcSyncRepl: rid=001
provider=ldap://10.@@@.50:389/
bindmethod=simple
binddn=“cn=admin,dc=@@@,dc=com”
credentials=2D0snAY**********6Pw2
searchbase=“dc=@@@,dc=com”
scope=sub
schemachecking=on
type=refreshAndPersist
retry=“30 5 300 3”
interval=00:00:05:00
################################

ldapadd -Y EXTERNAL -H ldapi:/// -f sync_consumer.ldif

#两个节点都执行
##其它 memberof配置
vi memberof_conf.ldif
#############################3
dn: cn=module,cn=config
cn: module
objectClass: olcModuleList
objectClass: top
olcModulePath: /usr/lib64/openldap
olcModuleLoad: memberof.la
############################

vi memberOfOverlay.ldif
#########################
dn: olcOverlay=memberof,olcDatabase={2}hdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcMemberOf
olcOverlay: {0}memberof
########################

ldapadd -Y EXTERNAL -H ldapi:/// -f memberof_conf.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f memberOfOverlay.ldif

master节点执行

#创建demo用户

#创建 demo 用户
vi create_user_demo.ldif
#################################3
dn: uid=demo,ou=People,dc=@@@,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: demo
sn: demo
userPassword: {MD5}qOyk***********q/ZLCSNw==
loginShell: /bin/bash
uidNumber: 1501
gidNumber: 1501
homeDirectory: /home/demo

dn: cn=demo,ou=Group,dc=@@@,dc=com
objectClass: posixGroup
cn: demo
gidNumber: 1501
memberUid: uid=demo,ou=People,dc=@@@,dc=com
########################################

ldapadd -x -D “cn=admin,dc=@@@,dc=com” -w 2***********CA6Pw2 -f create_user_demo.ldif

验证创建用户,两个主机验证同步

ldapsearch -x -b ‘ou=People,dc=@@@,dc=com’

ldapsearch -x

#LDAP HA操作#
#keepalive安装 两台主机都执行
#安装
yum install -y keepalived
#配置
mv /etc/keepalived/keepalived.conf /etc/keepalived/keepalived.conf.bak

master
vi /etc/keepalived/keepalived.conf

##########################################
vrrp_script check_ldap {
script “nc localhost 389 -w 1 </dev/null &>/dev/null || systemctl stop keepalived”
interval 2
weight 2
}
vrrp_instance LDAP_HA {
state MASTER
#state BACKUP
interface bond0
virtual_router_id 75
priority 100
nopreempt
advert_int 1
authentication {
auth_type PASS
auth_pass password123
}

    track_script {
      check_ldap
    }

    virtual_ipaddress {
        172.@@@.232
    }

}
#####################################

slave

vi /etc/keepalived/keepalived.conf

#############################33
vrrp_script check_ldap {
script “nc localhost 389 -w 1 </dev/null &>/dev/null || systemctl stop keepalived”
interval 2
weight 2
}
vrrp_instance LDAP_HA {
#state MASTER
state BACKUP
interface bond0
virtual_router_id 75
priority 90
nopreempt
advert_int 1
authentication {
auth_type PASS
auth_pass password123
}

    track_script {
      check_ldap
    }

    virtual_ipaddress {
        172.@@@.232
    }

}
###############################

启动命令:systemctl start keepalived
检查状态:systemctl status keepalived
验证:ping 172.@@@.232

#ldap 客户端配置 所有的主机执行
yum install -y openldap-clients nss-pam-ldapd
同步命令,所有主机
authconfig --enableldap --enableldapauth --ldapserver=172.@@@.232:389 --ldapbasedn=“dc=@@@,dc=com” --enablemkhomedir --update

非server主机,验证:ldapsearch -x -b ‘ou=People,dc=@@@,dc=com’

ldapwhoami -x -D “uid=ocdp,ou=People,dc=@@@,dc=com” -w ‘密码’

ldapsearch -x -b ‘ou=People,dc=@@@,dc=com’

ldapsearch -x

#Ranger HA操作
ranger keepalive安装
#安装
yum install -y keepalived
#配置
mv /etc/keepalived/keepalived.conf /etc/keepalived/keepalived.conf.bak

master
vi /etc/keepalived/keepalived.conf
#######################
vrrp_script check_ranger {
script “nc localhost 6080 -w 1 </dev/null &>/dev/null || systemctl stop keepalived”
interval 2
weight 2
}
vrrp_instance LDAP_HA {
state MASTER
#state BACKUP
interface bond0
virtual_router_id 70
priority 100
nopreempt
advert_int 1
authentication {
auth_type PASS
auth_pass password123
}

    track_script {
      check_ranger
    }

    virtual_ipaddress {
        172.@@@.231
    }

}
##############################

vi /etc/keepalived/keepalived.conf
#######################################
vrrp_script check_ranger {
script “nc localhost 6080 -w 1 </dev/null &>/dev/null || systemctl stop keepalived”
interval 2
weight 2
}
vrrp_instance LDAP_HA {
#state MASTER
state BACKUP
interface bond0
virtual_router_id 70
priority 90
nopreempt
advert_int 1
authentication {
auth_type PASS
auth_pass password123
}

    track_script {
      check_ranger
    }

    virtual_ipaddress {
        172.@@@.231
    }

}
########################################
启动命令:systemctl start keepalived
检查状态:systemctl status keepalived
验证:ping 172.@@@.231

sunxunyong
关注
  • 19
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第10课:主流的分布式消息队列方案解读及比较
Jin_Kwok的博客
10-28 863
消息队列中间件是分布式系统中重要的组件,主要解决应用耦合、异步消息、流量削锋等问题。它可以实现高性能、高可用、可伸缩和最终一致性架构,是大型分布式系统不可缺少的中间件。 消息队列在电商系统、消息通讯、日志收集等应用中扮演着关键作用,以阿里为例,其研发的消息队列(RocketMQ)在历次天猫 “双十一” 活动中支撑了万亿级的数据洪峰,为大规模交易提供了有力保障。 作为提升应用性能的重要手段,分布式消...
部署LDAP
findstr的博客
03-24 171
#写在前面 凡是要vim 修改ldif文件的文档都是耍流氓 ,不可修改,只能通过新增ldif文件 changetype: modify来修改 1、yum 安装与配置 yum install -y openldap openldap-clients openldap-servers 复制一个默认配置到指定目录下,并授权,这一步一定要做,然后再启动服务,不然生产密码时会报错 cp /usr/sha...
Ldap安装部署
zachz的博客
05-03 2097
openLdap 安装部署,包成!!!
服务器集群配置LDAP统一认证高可用集群(配置tsl安全链接)-centos9stream-openldap2.6.2
最新发布
Innocence_0的博客
08-05 829
因之前集群为centos6,已经很久没升级了,所以这次配置统一用户认证也是伴随系统升级到centos9时一起做的配套升级。新版的openldap配置大致与老版本比较相似,但有些地方配置还是有变化,另外,铺天盖地的帮助文档有相当一部分是直接搬砖过来的,所以参考时容易出错,这里将自己实践的内容一一共享,让大家更方便,更实用。另外,openldap的配置一般都采用ldif文件配置后使用命令导入,如果有人写的是要直接修改config目录下的文件的话赶紧绕道吧,那不是推荐的写法,会把你的配置搞乱的。
LDAP落地实战(一):OpenLDAP部署及管理维护
weixin_33806300的博客
07-16 440
公司内部会有许多第三方系统或服务,例如Svn,Git,VPN,Jira,Jenkins等等,每个系统都需要维护一份账号密码以支持用户认证,当然公司也会有许多的主机或服务器,需要开放登录权限给用户登录使用,每台主机需要添加登录的账号密码,这些操作不仅繁琐且不方便管理,密码记错或遗忘的情况时有发生。 引入一套支持各系统、服务、主机单点认证的服务就显得尤...
LDAP 服务部署
Tyfly的博客
12-15 1633
LDAP 服务部署 1、实验环境: [root@ldapserver01 ~]# cat /etc/redhat-release CentOS Linux release 7.7.1908 (Core) [root@ldapserver01 ~]# ifconfig ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.191.131 netmask 255.255.255.0 bro
LDAP部署与配置
weike_1005的博客
07-05 417
ldap部署与配置
私有云集群分布式部署方案,基于HAproxy负载均衡共享session模式
高级拳师的博客
08-09 1016
私有云集群分布式部署方案,基于HAproxy负载均衡共享session模式 nextcloud原文档连接:https://docs.nextcloud.com/server/11/admin_manual/installation/deployment_recommendations.html HAproxy负载均衡架构思路参考:https://linux.cn/article-4239-1.ht...
文件服务器怎么和域同步ldap,ad域和ldap服务器搭建
weixin_42136365的博客
08-10 1288
ad域和ldap服务器搭建 内容精选换一换OneAccess支持通过AD认证用户身份和控制权限。AD全称Active Directory,中文名称活动目录。您可以将AD简单理解成一个数据库,其存储有关网络对象的信息,方便管理员和用户查找所需信息。本文主要介绍OneAccess集成AD认证源的方法。该配置流程以用户PC端访问用户门户为例,您可以按需选择应用和配置应用的认证方式,配置活动目录(Acti...
Kubernetes与Harbor的集成方案.pdf
10-11
* HA Deployment:计划推出高可用性部署方案,提高Harbor的可用性和可靠性。 总结 Harbor是一个功能强大且灵活的容器注册服务器,可以满足企业的容器镜像管理需求。其提供了Web Admin GUI、用户管理和访问控制、...
GitLab高可用架构部署
明日网络的博客
07-01 4267
一、概述 GitLab是利用Ruby on Rails一个开源的版本管理系统,实现一个自托管的Git项目仓库,可通过Web界面进行访问公开的或者私人项目。与Github类似,GitLab能够浏览源代码,管理缺陷和注释。可以管理团队对仓库的访问,它非常易于浏览提交过的版本并提供一个文件历史库。团队成员可以利用内置的简单聊天程序(Wall)进行交流。它还提供一个代码片段收集功能可以轻松实现代码复用,便于日后有需要的时候进行查找。 Gitlab的服务构成 Nginx:静态web服务器。 git..
ldap安装、认证、部署
04-09
用户认证LDAP部署详情请参阅: http://forum.ubuntu.org.cn/viewtopic.php?f=54&t=246642 这几天在研究LDAP安装,上网找了一大圈还是没整明白,经过无数次的失败和N小时的尝试中终于研究的差不多了。 下面简要说一下流程吧,希望对大家有所帮助: 主要参考:http://www.debuntu.org/ldap-server-and-linux-ldap-clients http://wiki.ubuntu.org.cn/LDAPClientAuthentication
LDAP-2-部署
qq_55282290的博客
08-26 1577
Linux(Debian)环境下部署OpenLDAP
LDAP安装部署
weixin_43824520的博客
06-01 771
安装openldap-server yum -y install openldap openldap-servers openldap-clients openldap-devel compat-openldap 生成管理员密码 slappasswd New password:(123456) Re-enter new password: {SSHA}K/egU6VcVtZc+olY1eVX3uFpg8f1Jboz 配置openldap-server vim /etc/openldap/slap
LDAP部署文档
十里平湖的博客
03-17 2756
环境centos7 一、部署OpenLDAP 1、安装openLDAP [root@ldapserver ~]# yum install -y openldap-servers openldap-clients migrationtools [root@ldapserver ~]# slapd -VV #查看版本 @(#) $OpenLDAP: slapd 2.4.44 (Jan 29 20...
linux安装部署ldap服务器
weixin_45788433的博客
06-19 6853
参考文档:https://www.cnblogs.com/daiss314/p/13227180.html
LDAP部署统一认证机制以及phpldapadmin(Centos7环境)
weixin_34408624的博客
05-24 727
LDAP部署统一认证机制以及phpldapadmin 一、LDAP简介 由于公司内部系统剧增,服务器太多,每个系统、服务器的账号都各不相同。所以决定采用LDAP的方式来一统Linux用户统一认证。背景随着团队人员、服务器增多,每台服务器的账号都独立管理,从而导致:运维人员维护成本过高员工操作非常不便员工需要记住的账号太多没有明确的权限划分...
Open Ldap安装部署
weixin_42728895的博客
03-08 946
参考链接; https://blog.csdn.net/mayancheng7/article/details/105753846 以下统一以root用户操作,机器环境视为准备好(防火墙,时间等) 一、LDAP服务安装 1.yum 安装相关包 yum install -y openldap openldap-clients openldap-servers 2.复制一个默认配置到指定目录下,并授权,这一步一定要做,然后再启动服务,不然生产密码时会报错 cp /usr/share/openldap-serv
ldap部署和用户创建
weixin_33713707的博客
10-26 1066
轻型目录访问协议(英文:Lightweight Directory Access Protocol,缩写:LDAP)是一个开放的,中立的,工业标准的应用协议,通过IP协议提供访问控制和维护分布式信息的目录信息。OpenLDAP是轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)的自由和开源的实现,在其OpenLDAP许可证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值