简介
最近梳理了下自己的自动化运维体系,发现目前运维管理中的各子系统都是独立运行。在管理过程中在各子系统中需要创建不同的账号,给管理及其他使用人员带来了极大的不便,需要记录各种登录密码。因此在消化总结其他人的知识图谱后,可以使用ldap来打通各子系统的账户体系,如zabbix、jenkins、jumpserver等。
基本概念
1.条目
条目entry 就是目录管理的对象,他是ldap中最基本的颗粒,就像字典中的词条,或是数据库中的记录。通常对ldap的添加、删除、更改、检索就是以条目为基本对象的。
每一个条目都有一个唯一的标识名(distinguished name,dn),如:
dc=test,dc=cn 有3个条目,而且它本身也是一个条目:
2.属性
每个条目可以有多个属性,常见的属性名称:
| 属性 | 别名 | 描述 | 值 |
|---|---|---|---|
| Common name | cn | 普通名字 | yanggd |
| surname | sn | 第一个名字 | yanggd |
| orgnization | o | 组织 | test |
| Orgnization unit | ou | 组织单元 | people |
安装
yum install -y openldap openldap-clients openldap-servers
# 复制一个默认配置到指定目录下,并授权,这一步一定要做,然后再启动服务,不然生产密码时会报错
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown -R ldap.ldap /var/lib/ldap/DB_CONFIG
systemctl enable slapd
systemctl start slapd
配置openldap
一、密码设置
1.生成管理员密码
[root@phab cn=config]# slappasswd -s test
{SSHA}0Pgrrxa0cczUisQSCNRjiDAdW8iSwHgW
2.新增修改密码文件
vim changepwd.ldif
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}0Pgrrxa0cczUisQSCNRjiDAdW8iSwHgW
3.执行命令如下:
[root@phab ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f changepwd.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"
执行完命令后,会在 /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{0\}config.ldif 文件中新增
olcRootPW:: e1NTSEF9eGNGRUZwRTBzb0cnRGNWVENHRRQmk0ZWIwVGErYVc=
注意:上面是一个完整的修改配置的过程,不能直接修改/etc/openldap/slapd.d/目录下的配置。
二、基础配置
1.导入基本的schema
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/collective.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/corba.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/duaconf.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/java.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/misc.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/openldap.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/pmi.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif
2.修改域名
vim changedomain.ldif
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=admin,dc=test,dc=cn" read by * none
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=test,dc=cn
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=test,dc=cn
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}xcFEFpE0smv4rtF5eD4tQBi4eb0Ta+aW
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=test,dc=cn" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=test,dc=cn" write by * read
执行命令
ldapmodify -Y EXTERNAL -H ldapi:/// -f changedomain.ldif
[root@phab ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f changedomain.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
三、新建组织
完成前面基础配置后,我们来新建test组织,并在其下创建一个 admin 的组织角色(该组织角色内的用户具有管理整个 LDAP 的权限)和 People 和 Group 两个组织单元:
1.配置文件
[root@phab ~]# vim basedomain.ldif
dn: dc=test,dc=cn
objectClass: top
objectClass: dcObject
objectClass: organization
o: test Company
dc: test
dn: cn=admin,dc=test,dc=cn
objectClass: organizationalRole
cn: admin
dn: ou=People,dc=test,dc=cn
objectClass: organizationalUnit
ou: People
dn: ou=Group,dc=test,dc=cn
objectClass: organizationalRole
cn: Group
检查是否存在此组织并创建
[root@phab ~]# ldapsearch -x -b "dc=test,dc=cn" -H ldap://127.0.0.1
[root@phab ~]# ldapadd -x -D cn=admin,dc=test,dc=cn -W -f basedomain.ldif
Enter LDAP Password:
adding new entry "dc=test,dc=cn"
adding new entry "cn=admin,dc=test,dc=cn"
adding new entry "ou=People,dc=test,dc=cn"
adding new entry "ou=Group,dc=test,dc=cn"
通过以上的所有步骤,我们就设置好了一个 LDAP 目录树:其中基准 dc=test,dc=cn 是该树的根节点,其下有一个管理域 cn=admin,dc=test,dc=cn 和两个组织单元 ou=People,dc=test,dc=cn 及 ou=Group,dc=test,dc=cn。
配置完成后,后面的步骤可以通过phpldapadmin在界面操作。
集成子系统
1.jumpserver
注意:ldap属性映射中由于映射了mail属性,因此在ldap中的用户中必须添加邮件属性,否则jumpserver在启用ldap认证中会报错。
2.zabbix
注意: zabbix的用户必须提前创建且和ldap中账户一致,也可通过脚本方式自动同步。
3.jenkins
jenkins设置完毕后,我们只需对账户进行分配相关项目即可。
901
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
