centos 7 部署LDAP服务

172.21.251.111 server
172.21.251.112 node

{SSHA}gGQUjzyJX+Oi7ZJCURCVmqq2UmtVWHZd
一、环境准备
关闭 selinux firewalld
setenforce 0
systemctl stop firewalld.service
systemctl disable firewalld.service
二、OPENLDAP服务搭建
1、安装LDAP服务器和客户端，migrationtools工具包
yum install -y openldap-servers openldap-clients migrationtools
2、设置openldap管理员密码
slappasswd
然后根据提示输入密码：
New password: 123456
Re-enter new password: 123456
会返回加密的密码字符串，保存好这个字符串
{SSHA}f13zZnx/b4LQ/ErM+Rf9VSVEJqIE7yHM
3、更改openldap配置
查看安装了哪些文件（如果熟悉目录结构可以略过）
rpm -ql openldap
rpm -ql openldap-servers
修改配置
vim /etc/openldap/slapd.d/cn\=config\/olcDatabase\={2}hdb.ldif
找到olcSuffix，修改为你的dc，如:
dc=mypaas,dc=com
下一行olcRootDN, 修改为你的用户名，如:
cn=Manager,dc=mypaas,dc=com
在文件末尾添加一行，设置刚才的密码：
olcRootPW: {SSHA}f13zZnx/b4LQ/ErM+Rf9VSVEJqIE7yHM
4、更改监控认证配置
vim /etc/openldap/slapd.d/cn\=config\/olcDatabase\={1}monitor.ldif
修改 olcAccess 中的dn.base=”cn=xxxxxxx”这行为刚才设置的用户名，如：
dn.base=”cn=Manager,dc=mypaas,dc=com”
5、设置DB Cache
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown -R ldap:ldap /var/lib/ldap/
6、测试配置文件
slaptest -u
末尾出现configfile testing successed 说明成功了
7、启动OpenLDAP和开机启动
systemctl start slapd.service
systemctl enable slapd.service
8、导入模板
ls /etc/openldap/schema/*.ldif | xargs -I {} sudo ldapadd -Y EXTERNAL -H ldapi:/// -f {}
三、安装Web管理服务
1、 安装httpd服务器
yum install httpd -y
2、修改配置文件httpd.conf
vim /etc/httpd/conf/httpd.conf
找到AllowOverride一行，修改none为all
如果想修改端口号，修改Listen 80一行
3、启动服务，测试页面
systemctl start httpd.service
systemctl enable httpd.service
curl http://127.0.0.1/
4、安装phpldapadmin
yum install phpldapadmin
（如果找不到软件包，重新设置一下yum源）
yum localinstall http://rpms.famillecollet.com/enterprise/remi-release-7.rpm
5、修改配置文件
vim /etc/phpldapadmin/config.php
找到并取消下面几行的注释：
$servers->setValue(‘server’,’host’,’127.0.0.1’);
$servers->setValue(‘server’,’port’,389);
$servers->setValue(‘server’,’base’,array(‘dc=mypaas,dc=com’));
（array里加上openldap配置文件中设置的olcSuffix）
$servers->setValue(‘login’,’auth_type’,’session’);
$servers->setValue(‘login’,’attr’,’dn’);
把它的下一行注释掉
#$servers->setValue(‘login’,’attr’,’uid’);
6、修改访问配置文件，允许任意ip访问
vim /etc/httpd/conf.d/phpldapadmin.conf
取消Order Deny,Allow的注释
7、创建基础目录
在/etc/openldap目录下添加base.ldif文件
cd /etc/openldap/
vim base.ldif
在文件中添加以下内容
dn: dc=mypaas,dc=com
o: ldap
objectclass: dcObject
objectclass: organization
dc: mypaas
（dc 修改为你自己的内容）
8、重启httpd服务
systemctl restart httpd.service
9、访问web管理端
访问 http://ip/phpldapadmin
登陆用户名：cn=Manager,dc=mypaas,dc=com
四、常见问题
1、httpd 无法启动
先用systemctl status httpd 查看一下日志
1、提示端口号是否冲突，修改httpd.conf端口号
2、提示没有权限：检查selinux，防火墙是否关闭或者正确配置防火墙
2、phpldapadmin 用户名密码提示错误
检查/etc/phpldapadmin/config.php 中的参数是否正确配置
3、phpldapadmin创建子条目时，模板不能选中
未导入openldap的schema文件，执行下[1.8节]的命令试试

导入帐号：
vim /etc/openldap/base.ldif
dn: dc=wangqing,dc=com
o: ldap
objectclass: dcObject
objectclass: organization
dc: wangqing

ldapadd -f base.ldif -x -D cn=Manager,dc=wangqing,dc=com -w123456

Alias /phpldapadmin /usr/share/phpldapadmin/htdocs
Alias /ldapadmin /usr/share/phpldapadmin/htdocs

<Directory /usr/share/phpldapadmin/htdocs>
<IfModule mod_authz_core.c>
# Apache 2.4
Require local
Options FollowSymLinks
AllowOverride None
Order deny,allow
Allow from all
Require ip 172.0.0.0/8
</IfModule>
<IfModule !mod_authz_core.c>
</IfModule>
</Directory>