如何为集中认证安装OpenLDAP服务器

最新推荐文章于 2024-05-04 14:01:43 发布
最新推荐文章于 2024-05-04 14:01:43 发布
阅读量536 收藏
点赞数
分类专栏: Linux笔记 文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuyuyuliang00/article/details/126735671
版权

轻量级目录访问协议(简称LDAP)是一个用于访问目录服务的工业标准的、轻量的、广泛使用的协议集。目录服务是一个用于访问、管理、组织和更新每天的项以及网络资源的共享信息基础设施,诸如用户、组、设备、邮件地址、电话号码、卷以及很多其它对象。

LDAP信息模型是基于entries。在一个LDAP目录中一个entry代表一个单元或信息并且唯一地被称为标识名(DN)的东西识别。这个entry的每个属性有一个类型以及一个或多个值。

一个属性是与一个entry关联的一段信息。类型一般是助记字符串,诸如"cn"对应常见名称、或者"mail"对应邮件地址。每个属性被分配一个或多个在空格分隔列表中组成的值。

以下是一个在LDAP目录中如何排列信息的说明。

本文讲解在CentOS7和Debain上如何为集中认证安装和配置OpenLDAP服务器。

第一步:安装LDAP服务器

1、首先通过以下命令安装OpenLDAP(一个LDAP的开源实现)以及一些传统的LDAP管理工具开始。

# Debain
root@gyl-huawei:/home/blctrl# apt install slapd ldap-utils  

# CentOS7
[root@bjAli ~]# yum install openldap openldap-servers openldap-clients nss-pam-ldapd

在Debian上,在这个包安装过程中,将提示你输入在你LDAP目录中用于admin entry的密码,设置一个安全密码并且确认它。

 在安装结束时,你可以按如下解释启动这个服务。

2、在CentOS7上,运行以下命令来启动openldap服务器守护进程,使它能在系统启动时自动启动并且检查它是否启动并且这个在运行。

[root@bjAli ~]# systemctl start slapd
[root@bjAli ~]# systemctl enable slapd
Created symlink from /etc/systemd/system/multi-user.target.wants/slapd.service to /usr/lib/systemd/system/slapd.service.
[root@bjAli ~]# systemctl status slapd
● slapd.service - OpenLDAP Server Daemon
   Loaded: loaded (/usr/lib/systemd/system/slapd.service; enabled; vendor preset: disabled)
   Active: active (running) since Tue 2022-09-06 23:30:16 CST; 29s ago
     Docs: man:slapd
           man:slapd-config
           man:slapd-hdb
           man:slapd-mdb
           file:///usr/share/doc/openldap-servers/guide.html
 Main PID: 2649 (slapd)
   CGroup: /system.slice/slapd.service
           └─2649 /usr/sbin/slapd -u ldap -h ldapi:/// ldap:///

3、接着,允许对LDAP服务器的请求通过防火墙。

[root@bjAli ~]# firewall-cmd --add-service=ldap
success

通过永远启用以下booleans确认SELinux在服务器和客户端都不妨碍。

[root@localhost ~]# setsebool -P allow_ypbind=0 authlogin_nsswitch_use_ldap=0

此处基于LDAP的授权需要allow_ypbind,并且可能某些程序需要authlogin_nsswitch_use_ldap。 

4、由于slapd服务以ldap用户运行(你可以用ps -e -o pid,uname,comm | grep slapd验证它),为了这个服务器能够修改只能由root运行的管理工具创建的entries,这个用户应该拥有/var/lib/ldap目录。

[root@localhost ~]# ps -e -o pid,uname,comm | grep slapd
20267 ldap     slapd

在更改递归地更改这个目录所有权前,为slapd复制示例数据库配置文件到它中:

[root@localhost ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@localhost ~]# chown -R ldap:ldap /var/lib/ldap

第二步:配置LDAP服务器

注意:不推荐手动编辑LDAP配置,你需要在一个文件中添加配置并且使用ldapadd或ldapmodify命令来装载它们到LDAP目录。

4、现在创建一个OpenLDAP管理用户并且为那个用户分配一个密码。在以下命令中,为指定密码创建一个哈希值,记住它,你将在LDAP配置文件中使用它。

[root@localhost ~]# slappasswd
New password:
Re-enter new password:
{SSHA}5sY+fTG3zsPB3D5Xunt3ousmoFhQMTne

5、接着创建一个LDIF文件(ldaprootpasswd.ldif),其用于添加一个entry到LDAP目录。

[root@localhost ~]# vim ldaprootpasswd.ldif

在以上文件中添加以下内容:

dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}5sY+fTG3zsPB3D5Xunt3ousmoFhQMTne

解释以上的属性-值对:

  • 1) olcDatabase:指明一个特定数据库实例名并且一般能在/etc/openldap/slapd.d/cn=config被找到。
  • 2) cn=config:指明全局的config选项。

指向先前提供地理论后台,ldaprootpasswd.ldif文件将添加一个entry到这个LDAP目录。在那个entry中,每行代表一个属性:值对(此处dn,changetype, add和olcRootPW是属性,每个冒号右边的字符串是它们对应的值)。

你会要记住随着深入,并且请注意我们在本文剩下部分使用相同的常见名称(cn=),每一步都取决于前一步。

6、现在,通过指定指向这个ldap服务器的URI添加相应的LDAP entry,此处只允许协议/主机/端口字段。输出应该类似以下:

[root@localhost ~]# ldapadd -H ldapi:/// -f ldaprootpasswd.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"

并且从/etc/openldap/schema目录导入一些基本的LDAP定义:

[root@localhost ~]# for def in cosine.ldif nis.ldif inetorgperson.ldif; do ldapadd -H ldapi:/// -f /etc/openldap/schema/$def; done
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=cosine,cn=schema,cn=config"

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=nis,cn=schema,cn=config"

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=inetorgperson,cn=schema,cn=config"

7、使LDAP使用在其数据库中你的域。创建有以下内容的另一个LDIF文件,我们称其ldapdomian.ldif,恰当地替换你的域(在Domain Component dc=)以及密码:

dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
  read by dn.base="cn=Manager,dc=mydomain,dc=com" read by * none

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=mydomain,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=mydomain,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}5sY+fTG3zsPB3D5Xunt3ousmoFhQMTne

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
  dn="cn=Manager,dc=mydomain,dc=com" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=Manager,dc=mydomain,dc=com" write by * read

接着,按如下装载它:

[root@localhost ~]# ldapmodify -H ldapi:/// -f ldapdomain.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

8、现在是时候添加一些entries到我们的LDAP目录。在以下称为baseldapdomain.ldif的文件中,我们通过一个冒号分隔属性和值。

dn: dc=mydomain,dc=com
objectClass: top
objectClass: dcObject
objectclass: organization
o: mydomain com
dc: mydomain

dn: cn=Manager,dc=mydomain,dc=com
objectClass: organizationalRole
cn: Manager
description: Directory Manager

dn: ou=People,dc=mydomain,dc=com
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=mydomain,dc=com
objectClass: organizationalUnit
ou: Group

添加entries到LDAP目录:

[root@localhost ~]# ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f baseldapdomain.ldif
Enter LDAP Password:
adding new entry "dc=mydomain,dc=com"

adding new entry "cn=Manager,dc=mydomain,dc=com"

adding new entry "ou=People,dc=mydomain,dc=com"

adding new entry "ou=Group,dc=mydomain,dc=com"

9、创建一个称为ldapuser的LDAP用户(adduser ldapuser),接着在ldapgroup.ldif中为一个LDAP组创建定义。

[root@localhost ~]# adduser ldapuser
[root@localhost ~]# vim ldapgroup.ldif

添加以下内容:

dn: cn=Manager,ou=Group,dc=mydomain,dc=com
objectClass: top
objectClass: posixGroup
gidNumber: 1001

此处gidNumber是在/etc/group中对应ldapuser的GID并且装载它:

[root@localhost ~]# ldapadd -x -W -D "cn=Manager,dc=mydomain,dc=com" -f ldapgroup.ldif
Enter LDAP Password:
adding new entry "cn=Manager,ou=Group,dc=mydomain,dc=com"

10、为用户ladpuser添加一个带有定义的LDIF文件(ldapuser.ldif):

dn: uid=ldapuser,ou=People,dc=mydomain,dc=com
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
cn: ldapuser
uid: ldapuser
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/ldapuser
userPassword: {SSHA}f5sY+fTG3zsPB3D5Xunt3ousmoFhQMTne
loginShell: /bin/bash
gecos: ldapuser
shadowLastChange: 0
shadowMax: 0
shadowWarning: 0

并且装载它:

[root@localhost ~]# ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f ldapuser.ldif
Enter LDAP Password:
adding new entry "uid=ldapuser,ou=People,dc=mydomain,dc=com"

同样,你可以删除你刚才创建的用户entry:

ldapdelete -x -W -D cn=Manager,dc=mydomain,dc=com "uid=ldapuser,ou=People,dc=mydomain,dc=com"

11、允许通信通过防火墙:

[root@localhost ~]# firewall-cmd --add-service=ldap
success

12、最后,但并非不重要,启用客户端使用LDAP验证。

在最后一步,我们将使用authconfig工具(一个用于配置系统验证资源的接口)。使用以下命令,如果在对LDAP服务器的身份验证成功后,对应被请求用户的家目录不存在,则创建它:

[root@localhost ~]#  authconfig --enableldap --enableldapauth --ldapserver=rhel7.mydomain.com --ldapbasedn="dc=mydomain,dc=com" --enablemkhomedir --update
EPICS Technical
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LDAPserver的安装
weixin_34393428的博客
10-11 99
源代码安装,以root用户进行 由于:由于openldap须要用Berkeley DB来存放数据,所以要先安装所以需先安装Berkeley DB 4.2.52数据库。 一 安装Berkeley DB   到http://dev.sleepycat.com/downloa ... ar.gz&prod=core   处下载db-4.2.52.tar.tar 1 解压安装包。ta...
yum安装openldap2.4.44,并配置增量复制(Delta-syncrepl)环境
王晓斌的博客
12-08 1141
openldap2.4.44配置增量(Delta-syncrepl)复制环境
2024年运维最全linux OpenLDAP客户端工具套件使用指南_linux ldap客户端(2),2024年最新真是经典中的经典
最新发布
2401_83739503的博客
05-04 611
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!套件为用户提供了与LDAP服务器交互的多个命令行工具。这些工具包括但不限于ldapsearchldapaddldapmodifyldapdelete和ldapmodrdn等。本文将重点介绍如何使用这些工具进行查询验证和修改密码。
LDAP server端安装
dacming的博客
01-13 1480
操作系统centos 7.9 server ip 192.168.10.43 client ip 192.168.10.44 CentOS 安装 OpenLDAP 安装 systemctl stop slapd yum erase openldap-clients openldap-servers wget -q https://repo.symas.com/configs/SOFL/rhel7/sofl.repo -O /etc/yum.repos.d/sofl.repo yum up
Centos-6.9 安装OpenLdap
正经的运维工程师的博客
08-20 997
欢迎使用Markdown编辑器写博客 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I...
Debian配置LDAP服务+Samba联动
weixin_54594245的博客
05-26 649
Debian配置LDAP服务+Samba联动
OpenLDAP安装测试
08-11
总之,OpenLDAP是管理大规模结构化数据的有效工具,尤其适用于需要快速查询和集中认证的场景。通过正确安装和配置,OpenLDAP可以成为企业或组织内部网络服务的重要组成部分,提高数据管理和用户认证的效率。
openldap-2.5.4
07-05
同时,OpenLDAP也可以作为其他应用程序的身份数据存储,如邮件服务器、文件服务器等,实现集中化的身份管理。 总之,OpenLDAP-2.5.4是一个强大且灵活的目录服务解决方案,适用于各种规模的组织,提供高效、安全的...
OpenLDAP文档.pptx
05-10
4. 实现用户的集中认证管理 5. 分布式结构,提供复制同步,可将主服务器上的数据通过推或拉的机制实现在从服务器上更新 OpenLDAP 使用 LMDB 数据库软件,LMDB 是基于 Btree-based 的高性能 mmap key-value 数据库,...
Linux下OpenLDAP安装软件
01-08
通过以上步骤,你可以在Linux环境中构建一个基本的OpenLDAP服务器,从而为你的网络环境提供强大的目录服务支持。不过,实际部署时还需考虑系统的具体需求和安全策略,以确保最佳的稳定性和安全性。
Windows下OpenLDAP安装及使用
02-27
OpenLDAP是一种开源的轻量级目录访问协议(Lightweight Directory Access Protocol)服务器,它用于存储和管理结构化数据,如用户账号、组信息等。在Windows环境下安装OpenLDAP,可以帮助组织构建自己的身份验证和...
ldap+openldap作postfix的sasl
09-12
ldap+openldap作postfix的sasl
如何利用OpenLDAP工具管理并使用LDAP Server
热门推荐
zstack_org的博客
04-18 1万+
提供:ZStack云计算 内容介绍如果对于相关工具以及LDAP所要求的信息及方法不太熟悉,LDAP系统的管理工作往往难度较高。在本教程中,我们将探讨如何利用由OpenLDAP团队开发的相关工具与LDAP目录服务器进行交互。先决条件在开始之前,大家首先需要拥有一套安装并配置了OpenLDAP的系统,具体方法参阅此文。另外,大家还应当参阅此篇教程以掌握LDAP目录服务的各基本术语及概念。安装工具在满足以
openldap(3)linux客户端 启用ldap、sssd 认证
chuaimai3167的博客
03-19 953
环境:CentOS 6.x 1,首先确保ldap服务器已经启用 tls/ssl 认证,并启动ldaps://传输协议 2,安装必要软件 # yum -y install sssd-ldap nss-pam-ldapd openldap openldap-clients oddjob-...
openldap更改管理员密码(亲测有效)
狂人日志
08-11 3242
网上有各种LDAP更改管理员密码得笔记,有些没有效果,有些写的很复杂,所以觉得有必要写一篇简洁明了,无坑得笔记。 root@localhost ~]# slappasswd -s zkdn58154 {SSHA}ipQGmoPyTV/s+H+fdMvldL3ZZ6wMuT54 #记住上述加密密码 [root@localhost ~]# vim changepwd.ldif dn: olcDatabase={0}config,cn=config changetype: modify replace:
Centos7 Openldap主从配置
htvxjl02的博客
05-16 4054
参考了网上多篇文档,大都是centos6.x系统上通过slapd.conf配置部署的,centos7上默认是动态部署的,通过yum安装发现无slapd.conf文件,研究了近半个多月,才初步实现如下所示的同步。环境:虚拟机centos7系统192.168.56.147 主openldap 192.168.56.148 从openldap  安装ldap服务viinstallOpenldap.s...
Centos7LDAP LDAPadmin的完整部署记录(改良版,其它文档太多坑)
weixin_30846599的博客
04-30 538
参考这篇文档的帮助对解决问题很有帮助:https://cloud.tencent.com/developer/article/1026304 复制的配置文件中前后若有空格必须删除! 开始部署! 1)安装openldap [root@test-vm002 ~]# vim /root/ldap_install.sh #!/bin/bash echo "install ldap rpm"...
Kerberos+LDAP+NFSv4 实现单点登录
尘埃落定
05-29 1538
Kerberos+LDAP+NFSv4 实现单点登录Kerberos : 身份认证 LDAP : 目录信息服务 NFSv4 : 网络共享实验环境 : debian 9三台主机: nfs服务器 : 192.168.1.103 nfs客户机 : 192.168.1.102 即SSSD客户端+NFS客户端 kdc服务器 : 192.168.1.101 即Kerberos+LDA...
LDAP了解
yangyangrenren的专栏
12-18 2347
LDAP概念 轻型目录访问协议(英文:Lightweight Directory Access Protocol,缩写:LDAP,/ˈɛldæp/)是一个开放的,中立的,工业标准的应用协议,通过IP协议提供访问控制和维护分布式信息的目录信息。 目录服务在开发内部网和与互联网程序共享用户、系统、网络、服务和应用的过程中占据了重要地位。例如,目录服务可能提供了组织有序的记录集合,通常有层级结构,例如公司电子邮件目录。同理,也可以提供包含了地址和电话号码的电话簿。 LDAP由互联网工程任务组(IETF)的文档RF
ldap 服务器性能调优,监控OpenLDAP服务器
06-06
1. 调整OpenLDAP服务器配置文件:可以通过修改OpenLDAP服务器配置文件来优化服务器性能。您可以尝试调整以下参数: - 缓存大小:增加缓存大小可以提高服务器性能,但是过大的缓存也会占用过多内存。 - 线程数:增加...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值