linux7 openldap,centos7 openldap主从部署安装

最新推荐文章于 2024-06-20 17:00:04 发布
最新推荐文章于 2024-06-20 17:00:04 发布
阅读量385 收藏
点赞数
文章标签: linux7 openldap

安装说明:

从OpenLDAP2.4.23版本开始所有配置数据都保存在slapd.d目录中,不再使用slapd.conf作为配置文件

有两种配置方式,一种是通过修改slapd.conf,再用slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/导入。一种是通过编辑ldif文件,再用ldapadd命令导入。本文采用第二种方式,这种方式网上文档比较少,不好弄

如果使用第一种方法,centos7系统yum安装后没有slapd.conf.obsolete文件,可以选择从centos6上复制过来

安装环境

centos 7.3

ldap主1服务器:test1 192.168.255.124

ldap主2服务器:test2 192.168.255.125

OpenLDAP2.4.44

一、安装ldap服务器端,在主1和主2执行下面的步骤

1、安装

[root@test1] ~$ yum install openldap openldap-servers openldap-clients compat-openldap

#可以通过rpm -ql ,来查看每个安装包都有哪些文件

openldap: #OpenLDAP配置文件、库和文档

openldap-servers: #服务器进程及相关命令、迁移脚本和相关文件

openldap-clients: #客户端进程及相关命令,用来访问和修改 OpenLDAP 目录

compat-openldap: #与主从配置相关

#安装过程中会自动创建ldap用户和ldap组

#复制数据库模板

[root@test1] ~$ cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

[root@test1] ~$ chown ldap. /var/lib/ldap/DB_CONFIG

[root@test1] ~$ systemctl enable slapd

[root@test1] ~$ systemctl start slapd

[root@test1] /etc/openldap/slapd.d/cn=config$ netstat -tunlp |grep slapd

tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 62756/slapd

tcp6 0 0 :::389 :::* LISTEN 62756/slapd

#ldap服务端进程为slapd,端口389,默认情况下数据为明文传输,添加ssl配置后为密文数据传输,端口636

2、使用 slappasswd 命令生成管理员(admin)密码,编写 LDIF(一种LDAP 专用的数据交换格式)文件并通过ldapadd命令将管理员密码导入到 LDAP配置文件中

[root@test1] ~$ slappasswd

New password:

Re-enter new password:

{SSHA}BXTlwAUMwVSgqHr0WlIEud3iu9ddjvQE

[root@test1] ~$ vim chrootpw.ldif

dn: olcDatabase={0}config,cn=config

changetype: modify

add: olcRootPW

olcRootPW: {SSHA}BXTlwAUMwVSgqHr0WlIEud3iu9ddjvQE

[root@test1] ~$ ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

modifying entry "olcDatabase={0}config,cn=config"

3.我们需要向 LDAP 中导入一些基本的 Schema。这些 Schema 文件位于 /etc/openldap/schema/ 目录中,schema控制着条目拥有哪些对象类和属性

[root@test1] /etc/openldap/schema$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

adding new entry "cn=cosine,cn=schema,cn=config"

[root@test1] /etc/openldap/schema$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

adding new entry "cn=nis,cn=schema,cn=config"

[root@test1] /etc/openldap/schema$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

adding new entry "cn=inetorgperson,cn=schema,cn=config"

4、配置 LDAP 的根域(以 dc=baidu,dc=com 为例)及其管理域:

# 编辑

[root@test1] ~$ vim chdomain.ldif

#用你自己的域名代替"dc=***,dc=***"语句块

dn: olcDatabase={1}monitor,cn=config

changetype: modify

replace: olcAccess

olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"

read by dn.base="cn=admin,dc=baidu,dc=com" read by * none

dn: olcDatabase={2}hdb,cn=config

changetype: modify

replace: olcSuffix

olcSuffix: dc=baidu,dc=com

dn: olcDatabase={2}hdb,cn=config

changetype: modify

replace: olcRootDN

olcRootDN: cn=admin,dc=baidu,dc=com

dn: olcDatabase={2}hdb,cn=config

changetype: modify

add: olcRootPW

olcRootPW: {SSHA}BXTlwAUMwVSgqHr0WlIEud3iu9ddjvQE

dn: olcDatabase={2}hdb,cn=config

changetype: modify

add: olcAccess

olcAccess: {0}to attrs=userPassword,shadowLastChange by

dn="cn=admin,dc=baidu,dc=com" write by anonymous auth by self write by * none

olcAccess: {1}to dn.base="" by * read

olcAccess: {2}to * by dn="cn=admin,dc=badiu,dc=com" write by * read

#导入

[root@test1] ~$ ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

modifying entry "olcDatabase={1}monitor,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

5、在上述基础上,我们来创建一个叫做 baidu company 的组织,并在其下创建一个 admin 的组织角色(该角色内的用户具有管理整个 LDAP 的权限)和 People 和 Group 两个组织单元:

[root@test1] ~$ vim basedomain.ldif

dn: dc=baidu,dc=com

objectClass: top

objectClass: dcObject

objectClass: organization

o: Baidu Company

dc: baidu

dn: cn=admin,dc=baidu,dc=com

objectClass: organizationalRole

cn: admin

dn: ou=People,dc=baidu,dc=com

objectClass: organizationalUnit

ou: People

dn: ou=Group,dc=baidu,dc=com

objectClass: organizationalRole

cn: Group

[root@test1] ~$ ldapadd -x -D cn=admin,dc=baidu,dc=com -W -f basedomain.ldif

Enter LDAP Password: #输入上面设置的管理员密码(明文)

adding new entry "dc=baidu,dc=com"

adding new entry "cn=admin,dc=baidu,dc=com"

adding new entry "ou=People,dc=baidu,dc=com"

adding new entry "ou=Group,dc=baidu,dc=com"

通过以上的所有步骤,我们就设置好了一个 LDAP 目录树:其中基准 dc=baidu,dc=com 是该树的根节点,其下有一个管理域 cn=admin,dc=baidu,dc=com 和两个组织单元 ou=People,dc=baidu,dc=com 及 ou=Group,dc=baidu,dc=com。

至此ldap1服务器端已配置完成。

接下来,我们来创建一个叫作tom 的员工并将其分配到 SRE 组来验证上述配置是否生效。

[root@test1] ~$ vim ldapuser.ldif

dn: uid=tom,ou=People,dc=baidu,dc=com

objectClass: inetOrgPerson

objectClass: posixAccount

objectClass: shadowAccount

uid: tom

cn: tom

sn: tom

userPassword: {SSHA}i62EIL9tklQjQJvO8PrxEyGVidSUL8Fq

uidNumber: 1100

gidNumber: 1100

homeDirectory: /home/tom

dn: cn=SRE,ou=Group,dc=baidu,dc=com

objectClass: posixGroup

cn: SRE

gidNumber: 1100

memberUid: SRE

[root@test1] ~$ ldapadd -x -D cn=admin,dc=baidu,dc=com -W -f ldapuser.ldif

Enter LDAP Password:

adding new entry "uid=tom,ou=People,dc=baidu,dc=com"

adding new entry "cn=SRE,ou=Group,dc=baidu,dc=com"

我们也可以使用 ldapsearch 命令来查看 LDAP 目录服务中的所有条目信息:

[root@test1] ~$ ldapsearch -x -b "dc=baidu,dc=com" -H ldap://127.0.0.1

删除条目

ldapdelete -x -W -D 'cn=admin,dc=baidu,dc=com' "uid=tom,ou=People,dc=baidu,dc=com"

二、配置双主复制,在主1和主2上执行下面的步骤

添加syncprov模块

[root@test1] ~/ldif$ vim mod_syncprov.ldif

# create new

dn: cn=module,cn=config

objectClass: olcModuleList

cn: module

olcModulePath: /usr/lib64/openldap

olcModuleLoad: syncprov.la

[root@test1 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f mod_syncprov.ldif

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

adding new entry "cn=module,cn=config"

[root@test1] ~/ldif$ vim syncprov.ldif

# create new

dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config

objectClass: olcOverlayConfig

objectClass: olcSyncProvConfig

olcOverlay: syncprov

olcSpSessionLog: 100

[root@test1 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov.ldif

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

adding new entry "olcOverlay=syncprov,olcDatabase={2}hdb,cn=config"

在主1和主2上执行下面的步骤,但是注意需要替换olcServerID和provider的值

[root@test1] ~/ldif$ vim master01.ldif

# create new

dn: cn=config

changetype: modify

replace: olcServerID

# specify uniq ID number on each server

olcServerID: 0 #主2上替换为1

dn: olcDatabase={2}hdb,cn=config

changetype: modify

add: olcSyncRepl

olcSyncRepl: rid=001

provider=ldap://192.168.255.125:389/ #主2上替换为192.168.255.124:389

bindmethod=simple

binddn="cn=admin,dc=baidu,dc=com"

credentials=123456 #明文密码

searchbase="dc=baidu,dc=com"

scope=sub

schemachecking=on

type=refreshAndPersist

retry="30 5 300 3"

interval=00:00:05:00

-

add: olcMirrorMode

olcMirrorMode: TRUE

dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config

changetype: add

objectClass: olcOverlayConfig

objectClass: olcSyncProvConfig

olcOverlay: syncprov

[root@test1 ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f master01.ldif

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

modifying entry "cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

adding new entry "olcOverlay=syncprov,olcDatabase={2}hdb,cn=config"

配置ldap客户端监听所有的ldap服务器(?)

authconfig --ldapserver=192.168.255.124,192.168.255.125 --update

三、测试(我测试没通过,上一步应该不正确或者不完整,待续)

在主1上进行测试

1)添加一个test用户,然后分别在两个节点上进行查询操作,test.ldif参考上文。

[root@test1 ~]# ldapadd -x -D "cn=admin,dc=baidu,dc=com" -W -f test.ldif

adding new entry "uid=test,ou=People,dc=baidu,dc=com"

[root@test1] ~$ ldapsearch -x -b "dc=baidu,dc=com" -H ldap://127.0.0.1|grep uid=test

[root@test2] ~$ ldapsearch -x -b "dc=baidu,dc=com" -H ldap://127.0.0.1|grep uid=test

2)删除test用户,然后分别在两个节点上进行查询操作

[root@test1 ~]# ldapdelete -x -D "cn=admin,dc=baidu,dc=com" -W "uid=test,ou=People,dc=baidu,dc=com"

[root@test1 ~]# ldapsearch -x -H ldap://127.0.0.1 -b "dc=baidu,dc=com" |grep uid=test

[root@test2 ~]# ldapsearch -x -H ldap://127.0.0.1 -b "dc=baidu,dc=com" |grep uid=test

在主2上测试

同上

至此双主部署完成

参考文章:

流浪的夏先森
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Centos7 Openldap主从配置
htvxjl02的博客
05-16 4054
参考了网上多篇文档,大都是centos6.x系统上通过slapd.conf配置部署的,centos7上默认是动态部署的,通过yum安装发现无slapd.conf文件,研究了近半个多月,才初步实现如下所示的同步。环境:虚拟机centos7系统192.168.56.147 主openldap 192.168.56.148 从openldap  安装ldap服务viinstallOpenldap.s...
Centos7OpenLDAP主从配置
05-16
本文档是参考了官网文档及网上多篇openldap安装主从部署文档,详细描述了部署过程
Centos7搭建LDAP
HK_boy的博客
05-11 443
设置docker开机自启。下载docker镜像。
OpenLDAP主从
wuxingge的博客
06-14 420
参考 https://blog.csdn.net/oyym_mv/article/details/94639020 安装至少两个ldap节点 参考 https://blog.csdn.net/wuxingge/article/details/117780560 主节点配置(192.168.41.13),添加模块syncprov vim mod_syncprov.ldif dn: cn=module,cn=config objectClass: olcModuleList cn: module olcModu
Centos7安装部署openLDAP并springboot集成openLDAP
卖辣椒也用券
12-02 1138
springboot集成openLDAP
CentOS7OpenLDAP统一认证的主从环境部署记录
justlpf的专栏
04-17 641
同样,在slave上也需要配置syncrepl,因为syncrepl实现的主从复制是单向的,即master的所有操作都会同步到slave上,slave无法同步到master上,为了避免master与slave上的数据不一致,slave上禁止对ldap信息的增删改操作,只允许查询操作。Ldap由于scheam的控制,文件里的属性有严格的控制,错误的或者不存在的属性将无法执行ldif文件,所以ldif文件的字体颜色会帮助我们配置ldif文件(属性:绿色,属性值:红色)同步系统时间(两个节点机器上都要操作)
CentOS7安装openLDAP和phpldapadmin.pdf
10-28
搭建openldap来统一用户名和密码,centos7下环境实现。踩坑》镜像欢迎》踩坑》还原。。。成功啦~
CentOS 7 环境下 OpenLDAP安装与配置
11-02
centos环境 openldap环境搭建与配置
openldap2.4.48-centos7部署日志
07-31
此文件为centos7部署openldap全过程的日志文件,非常详细,照此操作基本无误 ######################################## #### OS:CentOS Linux release 7.3.1611 (Core) #### db:berkeleydb-5.1.29 #### lpad:...
openldap-2.4.40-centos7.zip
04-21
OpenLDAP 2.4.40 在 CentOS7 上的安装与配置详解》 OpenLDAP,全称为 Open Source LDAP(轻量级目录访问协议)服务器,是开源社区提供的一种实现 LDAP 标准的服务,用于存储和检索用户信息,广泛应用于身份验证、...
生产环境OpenLDAP主从集群
最新发布
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
06-20 743
需要注意的是认证用户一定要使用超级管理员,如果使用普通用户连接master的话,slave将不会同步用户的密码字段信息。对于slave节点,也参照前述章节安装并配置,但只到执行ldapdomain.ldif文件后就行。通过上图,我们可以很明显的看到slave机器上slapd服务没有报错,而且已经在同步相关openldap数据。slave机器上配置完毕后,无需重启master机器和slave机器的slapd服务。1、在master节点上修改用户字段信息,slave节点上应能同步到修改信息。
centos6.7OpenLDAP主从配置
05-15
该文档主要介绍在centos6.7系统上部署openldap主从配置
openldap主从服务器配置(备忘)
zouahaijun的专栏
08-31 2090
 Setup two OpenLDAP servers, one Master, one Slave, so when an entry in one of the servers is changed it is automatically changed in the other server. This is handy so you can distribute the load be
OpenLDAP开启MemberOf及配置主从
格子的博客
07-05 1412
很多场景下,我们需要快速的查询某一个用户是属于哪一个或多个组的。`memberOf` 正是提供了这样的一个功能:如果某个组中通过 `member` 属性新增了一个用户,`OpenLDAP` 便会自动在该用户上创建一个 `memberOf` 属性,其值为该组的 `dn`。遗憾的是,`OpenLDAP` 默认并不启用这个特性,因此我们需要通过相关的配置开启它...............
openldap2.4主从服务器配置
zouahaijun的专栏
09-09 5302
master slapd.conf配置:## See slapd.conf(5) for details on configuration options.# This file should NOT be world readable.#include         /etc/openldap/openldap/schema/core.schemainclude    
Red Hat 6.6安装OpenLDAP 2.4.39
过去过去,未来未来,当下永恒!
05-26 270
1实验环境 系统版本:Red Hat Enterprise Linux 6.6 x86_x64—桌面 语言:中文 主机名:ldap IP:192.168.43.20 部署OpenLDAP 1.1设置HostName [root@ldap ~]# vi /etc/hosts 192.168.43.15 ldapmaster [root@ldap ~]# vi /etc/sysconfig/network hostname ldapmaster(立即生效) 验证:ping ldapmaster 1.2关闭防
openldap安装
借风拥你
05-18 2249
一、LDAP理论 使用场景: 一般公司内部都会有多个系统,而每个系统都有自己的一套用户认证。每次新进或离职一位同事,我们这边OPS运维组的小伙伴们,都要在每个系统上去添加用户,这样是非常不方便的。为了统一管理所有系统的用户认证,ldap是最合适不过了。这样每个系统的用户认证全部通过ldap来进行,而每个系统的权限就使用各自系统的权限管理即可。 1.LDAP服务的概念 LDAP:Lightweight Directory Access Protocol,轻量目录访问协议。 LDAP服务是一个为只读(查询、浏览
ubuntu 12.04下安装openldap,slapd.conf找不到的解决方法
weixin_34344677的博客
01-13 920
https://help.ubuntu.com/12.04/serverguide/openldap-server.html   ubuntu安装openldap经历了一系列挫折,网上找了半天资料都是一模一样,根本不能解决问题。 1.使用 apt-get install slapd ldap-utils,提示已经是最新版本   2. 在/etc/ldap目录下看到了有ldap.c...
oracle ldap 配置,ldap 安装
weixin_39562579的博客
04-11 449
一、安装步骤1:配置yum源挂着盘镜像时用到: 这里不做解释;(yum clean all && yum makecache)2:安装OpenLDAP组件1)安装OpenLDAP组件命令如下:[root@gitea ~]# yum install openldap openldap-servers openldap-clients openldap-devel compat-ope...
OpenLDAP Centos7部署详细步骤
05-02
以下是在CentOS 7上部署OpenLDAP的详细步骤: 1. 安装OpenLDAP和相关软件包 在终端中执行以下命令: ``` sudo yum install openldap openldap-servers openldap-clients migrationtools ``` 2. 配置OpenLDAP 在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值