经过验证以下步骤:
domain.ldif
basedomain.ldif
可重复执行刷新配置,包括修改密码可直接刷新为新密码。
注意只能在basedomain.ldif没运行之前可更新domain配置。
2台均全部安装
Centos 7 下安装LDAP 双主同步
一,安装步骤(两台机器均执行)
安装OpenLDAP非常简单,直接安装这3个东西就够了,甚至运气好的话,也许你的操作系统已经自带安装好了:
yum install openldap openldap-clients openldap-servers compat-openldap
拷贝数据库配置文件
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown ldap:ldap /var/lib/ldap/DB_CONFIG
DB_CONIFG中主要是关于Berkeley DB的相关的一些配置
启动OpenLDAP Server:
设置开机启动
systemctl start slapd
systemctl enable slapd
systemctl status slapd
slapd即standard alone ldap daemon,该进程默认监听389端口
安装完了之后可以直接启动OpenLDAP服务,不需要做任何配置,我一开始还有顾虑,后来发现完全不用多想直接启动即可
先用一个命令生成一个LDAP管理用户root密码:
slappasswd
New password:
Re-enter new password:
{SSHA}krOGXDmiCdSXuXocOf10F96LJO5ijdXo #记住这个,下面会用到
152.2
{SSHA}+7LSGAl90MqJRrBOdG1PsupM9CStFnxy
152.4
{SSHA}vi+XGUJs536/MJDsldyG31gv/zfPWBPp
新建一个rootpwd.ldif(名称是自定义的)的文件:
vim rootpwd.ldif
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}+7LSGAl90MqJRrBOdG1PsupM9CStFnxy
ldapadd -Y EXTERNAL -H ldapi:/// -f rootpwd.ldif
导入schema
导入schema,schema包含为了支持特殊场景相关的属性,可根据选择导入,这里先全部导入:
ls /etc/openldap/schema/*.ldif | while read f; do ldapadd -Y EXTERNAL -H ldapi:/// -f $f; done
密码使用第一次生成的
ls /etc/openldap/slapd.d/cn=config
vim domain.ldif
dn: olcDatabase={
1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {
0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
read by dn.base="cn=Manager,dc=dev-bigdata,dc=beyonds,dc=tech" read by * none
dn: olcDatabase={
2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=dev-bigdata,dc=beyonds,dc=tech
dn: olcDatabase={
2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=dev-bigdata,dc=beyonds,dc=tech
dn: olcDatabase={
2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {
SSHA}cDYJrWnCKT1hGmceRNHEAJHOsDlCsyy
dn: olcDatabase={
2