CentOS7 + OpenLDAP2.4

安装指导

软件安装

yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools

设置管理员密码

slappasswd -s xxx

修改管理员信息，添加 olcRootPW

vi /etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif

修改监控文件信息

vi /etc/openldap/slapd.d/cn=config/olcDatabase\=\{1\}monitor.ldif

查看ldap版本号

slapd -VV

测试配置

slaptest -u
# 注：slaptest -u 会提示 checksum error，不用担心，因为以上步骤已变更这两个文档，只需关注“config file testing succeeded”即可

开机自启动

systemctl enable slapd

开启服务

systemctl start slapd

修改数据库配置

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown ldap:ldap -R /var/lib/ldap
chmod 700 -R /var/lib/ldap

导入基本数据库 schema

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

修改域信息

vi /usr/share/migrationtools/migrate_common.ph +71

$DEFAULT_MAIL_DOMAIN = “xxx.com”;
$DEFAULT_BASE = “dc=xxx,dc=com”;
$EXTENDED_SCHEMA = 1;

导入基本信息

vi /root/base.ldif
------------------------------------------
dn: dc=yt,dc=com
o: yt com
dc: yt
objectClass: top
objectClass: dcObject
objectclass: organization

dn: cn=Manager,dc=yt,dc=com
cn: Manager
objectClass: organizationalRole
description: Directory Manager

dn: ou=People,dc=yt,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit

dn: ou=Group,dc=yt,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit
------------------------------------------

ldapadd -x -w "123456" -D "cn=Manager,dc=yt,dc=com" -f /root/base.ldif

查看信息

ldapsearch -LLL -W -x -D "cn=Manager,dc=yt,dc=com" -H ldap://localhost -b"dc=yt,dc=com"

开启日志记录

vi /root/loglevel.ldif
------------------------------------------
dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: stats
------------------------------------------

ldapmodify -Y EXTERNAL -H ldapi:/// -f /root/loglevel.ldif
systemctl restart slapd

安装 phpldapadmin

yum -y install httpd php php-ldap php-gd php-mbstring php-pear php-bcmath php-xml
yum -y install epel-release
yum --enablerepo=epel -y install phpldapadmin

修改配置

vi /etc/phpldapadmin/config.php

# 397行取消注释，398行添加注释
$servers->setValue('login','attr','dn');
// $servers->setValue('login','attr','uid');

# 460行打开注释，关闭匿名登录，否则任何人都可以直接匿名登录查看所有人的信息
$servers->setValue('login','anon_bind',false);

允许任意 ip 访问

vi /etc/httpd/conf.d/phpldapadmin.conf

开机启动 httpd

systemctl enable httpd
systemctl start httpd

防火墙打开 80 和 389 端口 或者 关闭防火墙

# 改端口
sudo firewall-cmd --permanent --zone=public --add-port=80/tcp
sudo firewall-cmd --permanent --zone=public --add-port=389/tcp
sudo firewall-cmd --reload

#关闭防火墙
sudo systemctl stop firewalld
sudo systemctl disable firewalld

关闭selinux

sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config

访问http:// ip /phpldapadmin/
DN:cn=Manager,dc=yt,dc=com
密码：123456

phpldapadmin操作指导

https://www.cnblogs.com/xiaomifeng0510/p/9564688.html
https://blog.csdn.net/liumiaocn/article/details/84136967

踩过的坑

1. 登录报错：Unable to connect to LDAP server Local LDAP Server

出错: Can’t contact LDAP server (-1) for user
Failed to Authenticate to server
Invalid Username or Password.

解决方法：
关闭 selinux，重启

sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config
reboot

这个博客里面介绍的也很详细，评论中还有部分问题答案，可以参考学习
https://blog.csdn.net/weixin_41004350/article/details/89521170

2. gitlab 登陆用的是账号是 cn，gerrit 和 jenkins 登陆账号是 User Name。cn 和 User Name 写一样的名字就不存在这个问题了。

gerrit 安装完配置 LDAP，重启，登陆的第一个账号是管理员，非空 gerrit 配置 LDAP ，登陆没有管理员。
jenkins 建议配置 LDAP 后，在项目矩阵先加上账号配置管理员，会显示用户不存在，但重启后即生效。
gitlab 配置 LDAP 后，登录会出现 LDAP，管理员 root 选 Standard 登录即可。

gitlab:
https://blog.csdn.net/weixin_46557083/article/details/123610755?spm=1001.2014.3001.5502
gerrit:
https://blog.csdn.net/weixin_46557083/article/details/123395004?spm=1001.2014.3001.5502