Openldap部署-HA

最新推荐文章于 2024-07-16 22:46:11 发布
最新推荐文章于 2024-07-16 22:46:11 发布
阅读量254 收藏 3
点赞数 3
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41558221/article/details/139195650
版权

一、环境信息

连接地址管理员密码ldap nodesldap version
192.168.0.1:4464【LB-address】admin:xxxxxxxnode-1 192.168.0.199

node-2 192.168.0.200		2.4.44

二、安装LDAP

注:两台节点均需要执行该操作

yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools
#注:
卸载前需备份
cp /usr/lib64/liblber-2.4.so.2.10.7 /usr/lib64/liblber-2.4.so.2.10.7.bak
cp /usr/lib64/libldap-2.4.so.2.10.7 /usr/lib64/libldap-2.4.so.2.10.7.bak
卸载后还原设置软链
cp /usr/lib64/liblber-2.4.so.2.10.7.bak /usr/lib64/liblber-2.4.so.2.10.7
cp /usr/lib64/libldap-2.4.so.2.10.7.bak /usr/lib64/libldap-2.4.so.2.10.7
ln -sf /usr/lib64/liblber-2.4.so.2.10.7 /usr/lib64/liblber-2.4.so.2
ln -sf /usr/lib64/libldap-2.4.so.2.10.7 /usr/lib64/libldap-2.4.so.2

创建管理员密码

#生成管理密码
password_admin=$(slappasswd -s xxxxxxxx)
echo ${password_admin}
#password_admin="{SSHA}HtHM3fFM81rxxxxx"

修改配置文件

cn="admin"
olcSuffix="dc=hpc,dc=example,dc=com,dc=cn"
password_admin="{SSHA}xxxxxxx"

#修改域、管理员信息
sed -i "/olcSuffix/ s/\ .*$/\ ${olcSuffix}/g" /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldif 
sed -i "/olcRootDN/ s/\ .*$/\ cn=${cn},${olcSuffix}/g" /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldif 
grep -q olcRootPW /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldif || sed -i "/olcRootDN/a\olcRootPW: ${password_admin}" /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldif

#修改监控文件
sed -i "/cn=Manager/ s/cn=Manager,dc=my-domain,dc=com/cn=${cn},${olcSuffix}/g" /etc/openldap/slapd.d/cn=config/olcDatabase={1}monitor.ldif

启动slapd

#设置DB
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
#修改ldap数据库配置目录归属用户
chown -R ldap:ldap /var/lib/ldap /etc/openldap/slapd.d/
#修改ldap数据库配置目录权限
chmod -R 700 /var/lib/ldap

#启动ldap
systemctl start  slapd
systemctl enable slapd
systemctl status slapd

#检查端口
netstat -tunlpa | grep -i listen| grep  389

导入数据库schema

#导入基本的数据库schema
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/collective.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/corba.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/duaconf.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/java.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/misc.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/openldap.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/pmi.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif

配置migrate_common

#配置migrationtools
domain="example.com"
olcSuffix="dc=hpc,dc=example,dc=com,dc=cn"

sed -i "/^\$DEFAULT_MAIL_DOMAIN/ s/=.*$/=\ \"${domain}\";/g" /usr/share/migrationtools/migrate_common.ph
sed -i "/^\$DEFAULT_BASE/ s/=.*$/=\ \"${olcSuffix}\";/g" /usr/share/migrationtools/migrate_common.ph
sed -i "/^\$EXTENDED_SCHEMA / s/0/1/g" /usr/share/migrationtools/migrate_common.ph

配置ldap

#配置ldap
olcSuffix="dc=hpc,dc=example,dc=com,dc=cn"

mkdir -p /etc/openldap/ldif.d
/usr/share/migrationtools/migrate_base.pl |sed -n "1,7p"            > /etc/openldap/ldif.d/base.ldif
/usr/share/migrationtools/migrate_base.pl |sed -n "/ou=People/,+6p" >> /etc/openldap/ldif.d/base.ldif
/usr/share/migrationtools/migrate_base.pl |sed -n "/ou=Group/,+6p"  >> /etc/openldap/ldif.d/base.ldif

#导入base配置
olcSuffix="dc=hpc,dc=example,dc=com,dc=cn"
ldapadd -x -W -D "cn=admin,${olcSuffix}" -f /etc/openldap/ldif.d/base.ldif
#Enter LDAP Password:
#adding new entry "dc=hpc,dc=example,dc=com,dc=cn"
#adding new entry "ou=Group,dc=hpc,dc=example,dc=com,dc=cn"
#adding new entry "ou=People,dc=hpc,dc=example,dc=com,dc=cn"

三、Ldap同步

cat << "EOF"> /etc/openldap/ldif.d/mod_syncprov.ldif
dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: syncprov.la
EOF
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif.d/mod_syncprov.ldif

导入同步配置

cat << "EOF" > /etc/openldap/ldif.d/syncprov.ldif 
dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpCheckpoint:100 10
olcSpSessionLog: 100
EOF
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif.d/syncprov.ldif

节点【192.168.0.199】执行

cat << "EOF"> /etc/openldap/ldif.d/olcServerID01.ldif
dn: cn=config
changetype: modify
replace: olcServerID
olcServerID: 1
EOF

cat << "EOF"> /etc/openldap/ldif.d/master01.ldif
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcSyncRepl
olcSyncRepl: rid=001
  provider=ldap://192.168.0.200:389/
  bindmethod=simple
  binddn="cn=admin,dc=hpc,dc=example,dc=com,dc=cn"
  credentials=hsizLFlwlTuDm855zk6d
  searchbase="dc=hpc,dc=example,dc=com,dc=cn"
  scope=sub
  schemachecking=off
  attrs="*,+"
  type=refreshAndPersist
  retry="5 5 300 +"
  interval=interval=00:00:01:00
-
add: olcMirrorMode
olcMirrorMode: TRUE
-
add: olcDbIndex
olcDbIndex: entryUUID eq
-
add: olcDbIndex
olcDbIndex: entryCSN eq
EOF
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif.d/master01.ldif -W

节点【192.168.0.200】执行

cat << "EOF"> /etc/openldap/ldif.d/master02.ldif
# node: 192.168.0.200
dn: cn=config
changetype: modify
replace: olcServerID
olcServerID: 2

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcSyncRepl
olcSyncRepl: rid=001
  provider=ldap://192.168.0.199:389/
  bindmethod=simple
  binddn="cn=admin,dc=hpc,dc=example,dc=com,dc=cn"
  credentials=hsizLFlwlTuDm855zk6d
  searchbase="dc=hpc,dc=example,dc=com,dc=cn"
  scope=sub
  schemachecking=off
  attrs="*,+"
  type=refreshAndPersist
  retry="5 5 300 +"
  interval=interval=00:00:01:00
-
add: olcMirrorMode
olcMirrorMode: TRUE
-
add: olcDbIndex
olcDbIndex: entryUUID eq
-
add: olcDbIndex
olcDbIndex: entryCSN eq
EOF
#执行
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/ldif.d/master02.ldif -W

四、维护

创建全局只读账号【Jumpserver】

LDAP_READONLY_USER_PW=$(slappasswd -s pEhJwx9bDXREa6QTTByd)
echo ${LDAP_READONLY_USER_PW}
#{SSHA}xxxxxxx
LDAP_BASE_DN="dc=hpc,dc=example,dc=com,dc=cn"

#账号设置
cat <<EOF > /etc/openldap/ldif.d/readonly.ldif
dn: cn=readonly,${LDAP_BASE_DN}
cn: readonly
objectClass: simpleSecurityObject
objectClass: organizationalRole
description: LDAP read only user
userPassword: ${LDAP_READONLY_USER_PW}
EOF

#导入
ldapadd -x -D cn=admin,${LDAP_BASE_DN} -W -f /etc/openldap/ldif.d/readonly.ldif
#删除
#ldapdelete -x -D "cn=admin,dc=hpc,dc=example,dc=com,dc=cn" -W "cn=readonly,dc=hpc,dc=example,dc=com,dc=cn"

#权限设置
cat <<EOF > /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{1\}hdb.ldif
dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to * by dn.base="cn=readonly,${LDAP_BASE_DN}" read by * none
EOF

systemctl restart slapd

日志

echo "local4.* /var/log/ldap.log" >> /etc/rsyslog.conf
systemctl restart rsyslog
saikey0379
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenLdap HA高可用Mirror Mode模式配置
跟着大数据和AI去旅行
12-15 407
OpenLdap HA高可用Mirror Mode模式配置。
OpenLDAP部署
weixin_60197334的博客
04-16 622
OpenLDAP是轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)的自由和开源的实现,在其OpenLDAP许可证下发行,并已经被包含在众多流行的Linux发行版中。slapd - 独立LDAP守护服务;slurpd - 独立的LDAP更新复制守护服务;实现LDAP协议的库;工具软件和示例客户端;
生产环境 OpenLDAP 部署流程
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
05-16 892
一个目录,除了支持基本的查找和更新功能外,是一个特别设计用来搜索和浏览的专门的数据库。目录倾向于包含描述性的、基于属性的信息,并支持精细的过滤能力。目录通常不支持复杂的事务和回滚机制,这与关系数据库不一样。
OpenLDAP 介绍及安装部署实战
cc20100608的专栏
04-25 2606
ldap 介绍测试环境安装 LDAP 服务端设置 LDAP 的 root 密码配置 LDAP 服务端创建 LDAP 证书设置 LDAP 数据库创建 LDAP 用户添加防火墙规则开启 LDAP 日志配置 LDAP 客户端验证 LDAP 登录附录使用 Docker 部署 OpenLDAPOpenLDAP 是由 OpenLDAP 项目开发的轻量级目录访问协议的开源实现。LDAP 是一种互联网协议,电子邮件和其他程序用于从服务器查找联系人信息。它在 OpenLDAP 公共许可证下发布;
OpenLdap-install-and-config.rar_openldap_openldap-2.2.29
09-24
在本压缩包文件“OpenLdap-install-and-config.rar”中,包含了一份关于OpenLDAP的入门文档,主要针对OpenLDAP 2.2.29版本的安装与配置进行了详细讲解。以下将对这一主题进行深入探讨。 1. **OpenLDAP简介** ...
openldap-servers-sql-2.4.44-24.el7_9.x86_64.rpm
12-21
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
openldap-clients-2.4.44-22.el7.x86_64.rpm
12-21
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
openldap-2.2.29-db-4.3.29-openssl-0.9.8a-win32_Setup.7z
02-17
这款"openldap-2.2.29-db-4.3.29-openssl-0.9.8a-win32_Setup.7z"压缩包文件包含的是OpenLDAP 2.2.29版本针对Windows操作系统的安装程序,特别之处在于它是一个“免密钥”版本,意味着用户无需担心授权问题,可以...
openldap-clients-2.4.44-24.el7_9.x86_64.rpm
12-21
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
【持续集成_05课_Linux部署SonarQube及结合开发项目部署
weixin_42333261的博客
07-12 283
前置条件:sonarQube不能使用root账号进行启动,所以需要创建普通用户及。3)CMD上传qube文件-不能传到home路径下哦。2)添加用户、组名、密码。4)检查并解压上传的包。
Linux C | 管道open打开方式
I_feige的博客
07-12 328
1.
LINUX:懒汉单例模式线程池
W2155的博客
07-16 221
创建一个线程,就是要这个线程去完成某种任务的。池化技术就是,提前创建一批线程,有任务这一批线程就会执行。而不是有任务的时候在去创建线程。池化技术有着更高的效率,因为线程都是提前创建好的,直接执行任务。
Linux中的文件夹作用
qq_36634055的博客
07-16 256
这里放的是系统管理员(超级用户)使用的特殊工具,就像是工具箱里的专业工具,比如ifconfig(网络配置)、fdisk(磁盘分区)等,普通用户一般用不到。:这个目录存放了一些基本的用户命令,就像是工具箱里常用的工具,比如ls(列出文件)、cp(复制文件)等,这些命令对于普通用户和系统管理员都是可用的。:这个目录存放了各种可变数据,包括日志文件、邮件队列、打印队列等,就像是家里放杂物的地方,随着时间的推移,里面的东西会不断变化。:这里放的是可选的软件包,就像是额外的娱乐设施,可以根据需要添加。
Linux 安装 Docker Compose
m0_63004677的博客
07-12 346
Linux 系统安装 Docker Compose
Linux --- 高级IO
V_zjs的博客
07-12 837
Linux --- 高级IO
Linux】文件管理常用命令【超详细】
最新发布
2301_82023330的博客
07-16 372
这篇博客介绍了Linux系统中的常用文件管理命令,包括`ls`、`cd`、`cp`、`mv`、`rm`和`mkdir`等。通过这些命令,用户可以高效地浏览目录、复制和移动文件、删除文件以及创建新目录。文章详细讲解了每个命令的基本用法和常见选项,并通过实例演示了这些命令在实际操作中的应用,帮助读者掌握文件管理的基本技能,提升Linux系统的使用效率。
Linux】基本指令
2302_79031646的博客
07-16 361
Linux基本指令
openldap部署
08-06
OpenLDAP部署可以按照以下步骤进行: 1. 在目标主机上安装OpenLDAP组件: 使用命令"yum install -y openldap openldap-clients openldap-servers compat-openldap openldap-devel"来安装OpenLDAP组件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值