centos 6.5 配置LDAP服务器+客户端!
各種度娘!各種歌哥!網(wǎng)上教程參差不齊,歷時(shí)1天,終于完成,不敢獨(dú)享,遂,總結(jié)分享之,有問(wèn)題可以留言,知無(wú)不言。。。開(kāi)始吧
Note:
本次配置的服務(wù)器環(huán)境是<redhat enterprise linux 6.5>, Centos/Suse類似, Debian/Ubuntu安裝包可能略有不同,但是大致過(guò)程應(yīng)該相似。
PS:LDAP 是C/S結(jié)構(gòu)的,所以接下來(lái)我們要設(shè)計(jì)好哪臺(tái)機(jī)器上搭建LDAP Server,剩下的機(jī)器上安裝LDAP Client.
LDAP Server Machine:192.168.1.10 (此IP為機(jī)器的實(shí)際IP,自己配置時(shí)根據(jù)實(shí)際情況而定)
LDAP Client ? Machine:192.168.1.11?(此IP為機(jī)器的實(shí)際IP,自己配置時(shí)根據(jù)實(shí)際情況而定)
LDAP Client Machine N...... (其余N多的client機(jī)器不一一列舉,完成一個(gè)client配置后,其他機(jī)器Clone整個(gè)過(guò)程即可 :-))
××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××
?
1.LDAP Server Setup:
a.安裝LDAP服務(wù)(使用YUM本地光盤安裝)
rpm -qa | grep?openldap
查看是否包含這四個(gè)包:
openldap-devel-2.4.23-26.el6.x86_64
openldap-clients-2.4.23-26.el6.x86_64
openldap-2.4.23-26.el6.x86_64
openldap-servers-2.4.23-26.el6.x86_64
若不包含,那就需要安裝了。保證你機(jī)器能連外網(wǎng),然后運(yùn)行如下命令:
# yum install openldap-* -y
會(huì)提示安裝以下幾個(gè)必須的包,另外鑒于依賴,可能還會(huì)安裝一些其他的包,所以我們選擇-y:
openldap-devel-2.4.23-26.el6.x86_64
openldap-clients-2.4.23-26.el6.x86_64
openldap-2.4.23-26.el6.x86_64
openldap-servers-2.4.23-26.el6.x86_64
....
OpenLDAP 使用Berkely-DB來(lái)作為數(shù)據(jù)庫(kù)存儲(chǔ)信息,我們可以去官網(wǎng)下載解壓到本地安裝。But,用Yum的話,應(yīng)該會(huì)幫我們做好這一切事情。 我們只要在安裝完后檢查一下是否安裝了db4*相關(guān)的rpm包就可以了。If true,那恭喜,我們可以進(jìn)行下一步了。If not,請(qǐng)用yum命令安裝。
查看rpm安裝包的命令:rpm -qa | grep db4
b.拷貝LDAP配置文件到LDAP目錄(redhat6.3):
# cd /etc/openldap/
# cp /usr/share/openldap-servers/slapd.conf.obsolete slapd.conf
Note: redhat6.0或6.1版本配置文件在主目錄有備份:
# cd /etc/openldap/
# cp slapd.conf.bak slapd.conf
c.創(chuàng)建LDAP管理員密碼:
# slappasswd
這里我輸入的密碼是redhat,輸入完密碼后,返回一串密文,先保存到剪貼板,之后要復(fù)制到LDAP配置文件中使用:
{SSHA}pfAJm+JJa4ec2y8GjTc8uMEJpoR5YKLy
d.編譯配置文件
# vi /etc/openldap/slapd.conf
....
# enable server status monitoring (cn=monitor)
database monitor
access to *
? ? ? ? by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read
? ? ? ? by dn.exact="cn=admin,dc=test,dc=com" read
? ? ? ? by * none
#######################################################################
# database definitions
#######################################################################
database ? ? ? ?bdb
suffix ? ? ? ? ?"dc=test,dc=com"
checkpoint ? ? ?1024 15
rootdn ? ? ? ? ?"cn=admin,dc=test,dc=com"
# Cleartext passwords, especially for the rootdn, should
# be avoided. ?See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
# rootpw ? ? ? ? ? ? ? ?secret
# rootpw ? ? ? ? ? ? ? ?{crypt}ijFYNcSNctBYg
rootpw {SSHA}pfAJm+JJa4ec2y8GjTc8uMEJpoR5YKMn?
.......
保存退出。
e.拷貝DB_CONFIG文件到指定目錄
# cp /usr/share/openldap-servers/DB_CONFIG.example ?/var/lib/ldap/DB_CONFIG
刪除默認(rèn)/etc/openldap/slapd.d下面的所有內(nèi)容,否則后面在使用ldapadd的時(shí)候會(huì)報(bào)錯(cuò):
# rm -rf /etc/openldap/slapd.d/*
f.啟動(dòng)LDAP的slapd服務(wù),并設(shè)置自啟動(dòng):
# service slapd restart
# chkconfig slapd on
賦予配置目錄相應(yīng)權(quán)限:
# chown -R ldap:ldap /var/lib/ldap
# chown -R ldap:ldap /etc/openldap/
g.測(cè)試并生成配置文件:
slaptest ?-f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
返回config file testing succeeded,則配置成功。
賦予生成的配置文件予權(quán)限并重啟:
# chown -R ldap:ldap /etc/openldap/slapd.d
# service slapd restart
h.創(chuàng)建一個(gè)賬號(hào),以備客戶端測(cè)試登陸
# useradd?ldapuser1
# passwd ldapuser1
至此,這些用戶僅僅是系統(tǒng)上存在的用戶(存儲(chǔ)在/etc/passwd和/etc/shadow上),并沒(méi)有在LDAP數(shù)據(jù)庫(kù)里,所以要把這些用戶導(dǎo)入到LDAP里面去。但LDAP只能識(shí)別特定格式的文件 即后綴為ldif的文件(也是文本文件),所以不能直接使用/etc/passwd和/etc/shadow。 需要migrationtools這個(gè)工具把這兩個(gè)文件轉(zhuǎn)變成LDAP能識(shí)別的文件。
i.安裝配置migrationtools
# yum install migrationtools -y
j.進(jìn)入migrationtool配置目錄
# cd /usr/share/migrationtools/
首先編輯migrate_common.ph
# vi ?migrate_common.ph
...
# Default DNS domain
$DEFAULT_MAIL_DOMAIN = "test.com";
# Default base
$DEFAULT_BASE = "dc=test,dc=com";
.......
保存退出。:-)
K.下面利用pl腳本將/etc/passwd 和/etc/shadow生成LDAP能讀懂的文件格式,保存在/tmp/下
# ./migrate_base.pl > /tmp/base.ldif
# ./migrate_passwd.pl ?/etc/passwd > /tmp/passwd.ldif
# ./migrate_group.pl ?/etc/group > /tmp/group.ldif
L.下面就要把這三個(gè)文件導(dǎo)入到LDAP,這樣LDAP的數(shù)據(jù)庫(kù)里就有了我們想要的用戶
# ldapadd -x -D "cn=admin,dc=example,dc=com" -W -f /tmp/base.ldif
# ldapadd -x -D "cn=admin,dc=example,dc=com" -W -f /tmp/passwd.ldif
# ldapadd -x -D "cn=admin,dc=example,dc=com" -W -f /tmp/group.ldif
過(guò)程若無(wú)報(bào)錯(cuò),則LDAP服務(wù)端配置完畢
M.重啟slapd完成配置
# service slapd restart
N.現(xiàn)安裝NFS,并把ldapuser1的家目錄做NFS共享.
默認(rèn)REDHAT已安裝
# yum install nfs* -y
配置NFS共享:
# vi /etc/exports
--------------
/home/ldapuser1 ? ? ? ? *(rw,no_root_squash)
--------------
重啟nfs服務(wù):
# service rpcbind restart
# service nfs restart
PS.本地需要做ldap控制的賬號(hào)都要導(dǎo)入到LDAP DB中,否則客戶端配置無(wú)法正常識(shí)別登錄。
?
2.LDAP Client Setup:
a.安裝LDAP client認(rèn)證需要的pam包:
yum install nss-pam-ldapd pam_ldap -y?
安裝完成后,配置ldap 客戶端配置文件:
vim /etc/openldap/ldap.conf
添加
BASE:dc=test,dc=com
URL:192.168.1.10 ? ?--->此處為L(zhǎng)DAP Server IP
?
b.配置客戶端,是機(jī)器使用LDAP進(jìn)行賬戶驗(yàn)證:
LANG=C authconfig-tui
vim /etc/pam.d/system-auth ? 注釋掉創(chuàng)建家目錄,重啟sssd服務(wù)。
c. vim /etc/sssd/sssd.conf?
?添加enumerate=true,(因該不是必須的,但是加上為妙)
d. service sssd restart ? ? ? ?并重啟服務(wù)。 ? ? ? ?
e.進(jìn)行客戶端測(cè)試,看能否讀到LDAP user 相關(guān)信息
?getent passwd |grep ldapuser1
?
f.編輯系統(tǒng)認(rèn)證文件,保證使用LDAP來(lái)認(rèn)證:
?vim /etc/pam.d/system-auth ? ? ? ? ? update: pam_sss.so ?--> pam_ldap.so ?可以實(shí)現(xiàn)用戶su之間切換?
?******Please Makre sure all this updated*****************************************************************
?其中/etc/pam.d/
?
?vim /etc/pam.d/system-auth
?vim /etc/pam.d/password-auth
?
auth ? ? ? ?required ? ? ?pam_env.so
auth ? ? ? ?sufficient ? ?pam_fprintd.so
auth ? ? ? ?sufficient ? ?pam_unix.so nullok try_first_pass
auth ? ? ? ?requisite ? ? pam_succeed_if.so uid >= 500 quiet
auth ? ? ? ?sufficient ? ?pam_ldap.so
auth ? ? ? ?required ? ? ?pam_deny.so
account ? ? required ? ? ?pam_unix.so
account ? ? sufficient ? ?pam_localuser.so
account ? ? sufficient ? ?pam_succeed_if.so uid < 500 quiet
account ? ? [default=bad success=ok user_unknown=ignore] pam_ldap.so
account ? ? required ? ? ?pam_permit.so
password ? ?requisite ? ? pam_cracklib.so try_first_pass retry=3 type=
password ? ?sufficient ? ?pam_unix.so md5 shadow nullok try_first_pass use_authtok
password ? ?sufficient ? ?pam_ldap.so use_authtok
password ? ?required ? ? ?pam_deny.so
session ? ? optional ? ? ?pam_keyinit.so revoke
session ? ? required ? ? ?pam_limits.so
session ? ? [success=ok default=ignore] pam_succeed_if.so service in crond quiet use_uid
session ? ? required ? ? ?pam_unix.so
session ? ? required ? ? ?pam_mkhomedir.so skel=/etc/skel/ umask=0022
session ? ? optional ? ? ?pam_ldap.so
?配置文件是RHEL6實(shí)現(xiàn)用戶名驗(yàn)證機(jī)制配置文件,大多數(shù)服務(wù)的配置將都會(huì)調(diào)用它們。
?vim /etc/pam.d/system-auth ? ? ? ? ? update: pam_sss ?--> pam_ldap ?可以實(shí)現(xiàn)用戶su之間切換
?*********************************************************************************************************
?service nslcd restart
服務(wù)重啟之后因該就可以使用LDAP 服務(wù)了。
可以 su ldapsuer1或者ssh ldapuser1@xxxxx來(lái)使用。
?
客戶端配置完成!
?
3. LDAP數(shù)據(jù)庫(kù)相關(guān)增刪查改操作:
操作LDAP的方式有很多,下面以bash下用openldap-clients 套件提供的工具來(lái)進(jìn)行。
?
1、初始化數(shù)據(jù)
這一步通常是由特定的應(yīng)用程序根據(jù)其自身使用的需要?jiǎng)?chuàng)建的。包括兩部分的內(nèi)容:
a、創(chuàng)建.schema文件,該文件定義了后面ldap 中存放對(duì)象的類型和屬性,這已經(jīng)在上面sldapd.conf文件中定義;
b、初始化數(shù)據(jù)結(jié)構(gòu),其結(jié)構(gòu)必須由上面的.schema文件已經(jīng)定義的,并由應(yīng)用程序讀取和使用。
初始化文件通常為.ldif 結(jié)尾,稱為L(zhǎng)DIF數(shù)據(jù)交換格式。這種格式是行界定、冒號(hào)分隔的屬性-值對(duì)。例如:
引用
dn: dc=ldapuser1,ou=People,dc=test,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
....
導(dǎo)入時(shí),執(zhí)行:
# ldapadd -x -h 192.168.1.10 -D 'cn=admin,dc=test,dc=com' -W -f info.ldif
ldapadd 命令各參數(shù)含義如下:
-x 為使用簡(jiǎn)單密碼驗(yàn)證方式
-D 指定管理員DN(與slapd.conf中一致)
-W 為管理員密碼,可以使用-w password 直接輸入密碼
-f 為初始化數(shù)據(jù)LDIF的文件名
-h 為操作的服務(wù)器IP地址
2、搜索操作
LDAP是讀優(yōu)化數(shù)據(jù)庫(kù),因此,讀的速度很快,也很常用。但與關(guān)系數(shù)據(jù)庫(kù)不同,其以樹(shù)結(jié)構(gòu)形式讀取數(shù)據(jù),若不添加過(guò)濾,會(huì)顯示匹配節(jié)點(diǎn)下所有節(jié)點(diǎn)的內(nèi)容。若以ldif 的形式表達(dá),剛開(kāi)始可能不太習(xí)慣。
# ldapsearch -x -b 'dc=test,dc=com'
首先要留意的是,ldapsearch 不需要提供驗(yàn)證信息。因?yàn)檎缜懊嫣岬降?#xff0c;LDAP 默認(rèn)供任何人可讀。
-b 后面定義搜索節(jié)點(diǎn)位置,即從該節(jié)點(diǎn)往其子節(jié)點(diǎn)進(jìn)行搜索
3、身份驗(yàn)證
修改或添加內(nèi)容需進(jìn)行用戶驗(yàn)證,可通過(guò)下面的命令確認(rèn)驗(yàn)證信息:
# ldapwhoami -x -D 'cn=ldapuser1,dc=test,dc=com' -w 'yourpasswd'
dn:cn=admin,dc=test,dc=com
Result: Success (0)
4、修改操作
修改內(nèi)容通常由LDIF 文件提供。因此,可先用ldapsearch 導(dǎo)出節(jié)點(diǎn)內(nèi)容:
# ldapsearch -x -LLL -b 'dc=test,dc=com'
-LLL 表示不輸出注釋內(nèi)容,以便后續(xù)重新導(dǎo)入。
其實(shí)也可以使用文件進(jìn)行批量修改,我們只要把需要修改信息寫入文件即可,比如:
dn: uid=ldapuser1,ou=People,dc=test,dc=com
changetype: modify
replace: uidNumber
uidNumber: 1000
把以上內(nèi)容寫入test.ldif中,運(yùn)行如下命令:
ldapmodify -x -D "cn=admin,dc=test,dc=com" -w yourpasswd -f test.ldif
a、ldapadd 與ldapmodify -a 作用相同
b、如果在添加或修改時(shí),報(bào)Naming violation等錯(cuò)誤,則說(shuō)明添加或修改的內(nèi)容不符合schema中定義的對(duì)象屬性規(guī)范,需修改后才能重新操作。
?
5、刪除操作
刪除時(shí),給出DN即可:
# ldapdelete -x -D 'cn=admin,dc=test,dc=com' -w yourpasswd -r 'dc=test,dc=com'
-r 表示以遞歸模式刪除,即刪除該節(jié)點(diǎn)下面的所有子節(jié)點(diǎn)。
OK,到這里基本上完整的LDAP配置和使用方法已經(jīng)比較完整了,大家可以按照步驟自由的去嘗試,遇到新問(wèn)題也可以去google上找答案(Google is a great teacher! :-)).
Good Luck!
轉(zhuǎn)載于:https://www.cnblogs.com/dadong616/p/5092655.html
總結(jié)
以上是生活随笔為你收集整理的centos 6.5 配置LDAP服务器+客户端!的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: C编程规范
- 下一篇: 蓝牙-HCI错误码列表