ldap的安装

ldap的简介

LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。

选择一个域名

我个人的域名为linuxpanda.tech,我给ldap服务配置一个域名为ldap.aibeike.com。通过dns解析添加一个A记录值为我自己的ldap服务器的外网ip。

测试域名正确性。

[root@VM_0_15_centos ~]# ping -c  ldap.linuxpanda.tech

PING ldap.linuxpanda.tech (39.106.157.220) () bytes of data.

 bytes from 39.106.157.220 (39.106.157.220): icmp_seq= ttl= time=3.40 ms

 bytes from 39.106.157.220 (39.106.157.220): icmp_seq= ttl= time=3.37 ms

--- ldap.linuxpanda.tech ping statistics ---

 packets transmitted,  received, % packet loss, time 1000ms

rtt min/avg/max/mdev = 3.370/3.385/3.401/0.060 ms

安装openldap服务端

[root@VM_0_15_centos ~]# yum install openldap-servers openldap-clients -y ^C

[root@VM_0_15_centos ~]# cp /usr/share/openldap-servers/DB_CONFIG.example  /var/lib/ldap/DB_CONFIG

[root@VM_0_15_centos ~]# chown -R ldap.ldap /var/lib/ldap

[root@VM_0_15_centos ~]# systemctl enable slapd

Created symlink from /etc/systemd/system/multi-user.target.wants/slapd.service to /usr/lib/systemd/system/slapd.service.

[root@VM_0_15_centos ~]# systemctl start slapd
[root@VM_0_15_centos ~]# systemctl status slapd

设置ldap的管理员用户的密码

# 设置ldap的管理员密码,用户名为root
[root@VM_0_15_centos ~]# slappasswd

New password:

Re-enter new password:

{SSHA}6qygfSS2fBqjb0KhiaPo21btIt9+8EbL


# 创建ldif文件

[root@VM_0_15_centos ldap]# cd /etc/openldap/

[root@VM_0_15_centos openldap]# mkdir myself

[root@VM_0_15_centos openldap]# cd myself/

[root@VM_0_15_centos myself]# vim chrootpw.ldif

dn: olcDatabase={}config,cn=config

changetype: modify

add: olcRootPW

olcRootPW: {SSHA}6qygfSS2fBqjb0KhiaPo21btIt9+8EbL


# 根据文件导入

[root@VM_0_15_centos myself]# ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif

SASL/EXTERNAL authentication started

SASL username: gidNumber=+uidNumber=,cn=peercred,cn=external,cn=auth

SASL SSF:

modifying entry "olcDatabase={0}config,cn=config"

添加基础的schema

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

设置根域和数据库超级管理员

这里的根域和上面提到的linuxpanda.tech不是一回事,我们这里为了和自身域名还是保持一致好些,设置为dc=linuxpanda.tech,dc=com。

这里的数据库管理员和上面的超级管理员也不是一回事,为了方便,我们还是使用上面的管理员密码来设置数据库库的密码。

[root@VM_0_15_centos myself]# vim domain-dbadmin.ldif

[root@VM_0_15_centos myself]# cat domain-dbadmin.ldif

dn: olcDatabase={}monitor,cn=config

changetype: modify

replace: olcAccess

olcAccess: {}to *

  by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read

  by dn.base="cn=admin,dc=linuxpanda,dc=tech" read

  by * none

dn: olcDatabase={}hdb,cn=config

changetype: modify

replace: olcSuffix

olcSuffix: dc=linuxpanda,dc=tech

dn: olcDatabase={}hdb,cn=config

changetype: modify

replace: olcRootDN

olcRootDN: cn=admin,dc=linuxpanda,dc=tech

dn: olcDatabase={}hdb,cn=config

changetype: modify

add: olcRootPW

olcRootPW: {SSHA}6qygfSS2fBqjb0KhiaPo21btIt9+8EbL

dn: olcDatabase={}hdb,cn=config

changetype: modify

add: olcAccess

olcAccess: {}to attrs=userPassword,shadowLastChange

  by dn="cn=admin,dc=linuxpanda,dc=tech" write

  by anonymous auth

  by self write

  by * none

olcAccess: {}to dn.base=""

  by * read

olcAccess: {}to *

  by dn="cn=admin,dc=linuxpanda,dc=tech" write

  by * read

[root@VM_0_15_centos myself]# ldapadd  -Y EXTERNAL -H ldapi:/// -f domain-dbadmin.ldif

创建基本的用户节点,组节点,数据库管理员

[root@VM_0_15_centos myself]# vim basedomain.ldif

[root@VM_0_15_centos myself]# cat basedomain.ldif

dn: dc=linuxpanda,dc=tech

objectClass: top

objectClass: dcObject

objectclass: organization

o: Example Inc.

dc: linuxpanda

dn: ou=people,dc=linuxpanda,dc=tech

objectClass: organizationalUnit

ou: user

dn: ou=group,dc=linuxpanda,dc=tech

objectClass: organizationalUnit

ou: group

dn: cn=admin,dc=linuxpanda,dc=tech

objectClass: organizationalRole

cn: admin

description: Directory Administrator

[root@VM_0_15_centos myself]# ldapadd  -x -D cn=admin,dc=linuxpanda,dc=tech -W -f basedomain.ldif

Enter LDAP Password:

adding new entry "dc=linuxpanda,dc=tech"

adding new entry "ou=people,dc=linuxpanda,dc=tech"

adding new entry "ou=group,dc=linuxpanda,dc=tech"

adding new entry "cn=admin,dc=linuxpanda,dc=tech"

防火墙设置

[root@VM_0_15_centos myself]# firewall-cmd --permanent --add-service=ldap

success

[root@VM_0_15_centos myself]# firewall-cmd --reload

success

配置日志

[root@VM_0_15_centos myself]# vim log.ldif

[root@VM_0_15_centos myself]# cat log.ldif

dn: cn=config

changetype: modify

add: olcLogLevel

olcLogLevel:      

"log.ldif" [New] 4L, 66C written

[root@VM_0_15_centos myself]# ldapmodify -Y EXTERNAL -H ldapi:/// -f log.ldif

SASL/EXTERNAL authentication started

SASL username: gidNumber=+uidNumber=,cn=peercred,cn=external,cn=auth

SASL SSF:

modifying entry "cn=config"

[root@VM_0_15_centos myself]# mkdir -p /var/log/slapd

[root@VM_0_15_centos myself]# chown ldap:ldap /var/log/slapd/

[root@VM_0_15_centos myself]# echo "local4.* /var/log/slapd/slapd.log" >> /etc/rsyslog.conf

[root@VM_0_15_centos myself]# systemctl restart rsyslog
[root@VM_0_15_centos myself]# systemctl restart slapd

[root@VM_0_15_centos myself]# tail -n  /var/log/slapd/slapd.log

Sep   :: VM_0_15_centos slapd[]: => test_filter

Sep   :: VM_0_15_centos slapd[]:    PRESENT

Sep   :: VM_0_15_centos slapd[]: <= test_filter

Sep   :: VM_0_15_centos slapd[]: slapd starting

使用工具连接

有些人喜欢安装套ldap环境来管理ldap用户, 我这里使用ldapadmin.exe来管理。下载地址为:

连接信息如下:

主界面如下:

这里强烈建议给每个用户配置邮箱。

添加用户或者测试组

常用查询命令

# 查询主域下的信息
[root@VM_0_15_centos ~]# ldapsearch  -LLL -w oracle  oracle -x -H ldap://58.87.98.84 -D"cn=admin,dc=linuxpanda,dc=tech" -b "dc=linuxpanda,dc=tech"

dn: dc=linuxpanda,dc=tech

dn: ou=people,dc=linuxpanda,dc=tech

dn: ou=group,dc=linuxpanda,dc=tech

dn: cn=admin,dc=linuxpanda,dc=tech

dn: uid=test01,ou=people,dc=linuxpanda,dc=tech

# 查询people组下面的uid=test01的用户

[root@VM_0_15_centos ~]# ldapsearch  -LLL -w oracle  oracle -x -H ldap://58.87.98.84 -D"cn=admin,dc=linuxpanda,dc=tech" -b "ou=people,dc=linuxpanda,dc=tech" "(uid=test01)"

dn: ou=people,dc=linuxpanda,dc=tech

dn: uid=test01,ou=people,dc=linuxpanda,dc=tech

# 备份

[root@VM_0_15_centos ~]# ldapsearch  -LLL -w oracle  oracle -x -H ldap://58.87.98.84 -D"cn=admin,dc=linuxpanda,dc=tech" -b "dc=linuxpanda,dc=tech" "(uid=test01)" >linuxpanda.tech.ldap.bak

参考

李广慧: https://www.jianshu.com/p/dc7112873e68

ldap-how-to: https://www.itzgeek.com/how-tos/linux/centos-how-tos/step-step-openldap-server-configuration-centos-7-rhel-7.html

wiki: https://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol

ldap配置系列一:ldap的安装的更多相关文章

  1. ldap配置系列二:jenkins集成ldap

    ldap配置系列二:jenkins集成ldap jenkins简介 jenkins是一个独立的.开放源码的自动化服务器,它可以用于自动化与构建.测试.交付或部署软件相关的各种任务. jenkins官方 ...

  2. ldap配置系列三:grafana集成ldap

    ldap配置系列三:grafana集成ldap grafana的简介 grafana是一个类似kibana的东西,是对来自各种数据源的数据进行实时展示的平台,拥有这牛逼的外观.给一个官方的demo体验 ...

  3. java web开发环境配置系列(二)安装tomcat

    在今天,读书有时是件“麻烦”事.它需要你付出时间,付出精力,还要付出一份心境.--仅以<java web开发环境配置系列>来祭奠那逝去的…… 1.下载tomcat压缩包,进入官网http: ...

  4. java web开发环境配置系列(一)安装JDK

    在今天,读书有时是件“麻烦”事.它需要你付出时间,付出精力,还要付出一份心境.--仅以<java web开发环境配置系列>来祭奠那逝去的…… 1.下载JDK文件(http://www.or ...

  5. Centos 7 vsftpd ldap 配置

    #ldap 安裝配置 环境Centos7#安装 yum install -y openldap openldap-clients openldap-servers migrationtools pam ...

  6. ldap配置记录

    记录一下最近研究ldap+nfs的情况 ldap这个东西上次研究nis的时候就有人说那是上个世纪的老东西了,不应该继续使用.虽然意识到如此但时间不够还是使用了nis,这次乘着重做就干脆切换到ldap, ...

  7. centos6.5环境openldap实战之ldap配置详解及web管理工具lam(ldap-account-manager)使用详解

    ldap常用名称解释 1.环境搭建 操作系统:centos6.5 x86_64 关闭防火墙.selinux 开启时间同步 # crontab -e 加入 # time sync */5 * * * * ...

  8. ldap 配置过程详解

    ldap常用名称解释 1.环境搭建 操作系统:centos6.5 x86_64关闭防火墙.selinux开启时间同步# crontab -e加入# time sync*/5 * * * * /usr/ ...

  9. ArcGIS for Server安全与LDAP配置

    ArcGIS for Server安全与LDAP配置 1.安全性概述 ArcGIS Server使用基于角色的访问控制来管理对受保护资源的访问.访问GIS资源的权限只能分配给角色.单独的用户只能通过从 ...

随机推荐

  1. 为什么目前无法再docker for windows中调用GPU

    本随笔记载与2019年1月23日,若随着技术发展,本随笔记录的困难被攻克也是可能的. 参考(https://www.reddit.com/r/docker/comments/86vzna/gpu_ac ...

  2. REM——适合移动开发的自适应方案

    文章目录 1.什么是REM 2.REM和EM的区别 3.手机端方案的特点 4.使用JS动态调整REM 5.REM与其他单位同时存在 1.什么是REM 先来认识几个常见单位: px:像素,这个大家都知道 ...

  3. 阿里云消息队列(MQ)服务

    A.首先在阿里云上申请消息队列MQ服务: B.然后创建一个Topic(主题,一级主题):然后创建生产者与消费者: C.不过此时还没有结束 ,还需要创建一个AccessKey和AccessSecret( ...

  4. 虚拟机上的Ubuntu 文件系统成为只读模式的解决办法

    虚拟机环境的Linux系统由于是虚拟化虚拟出来的主机环境,因此 经常会出现一些操作系统的问题,今天我遇到了一个Ubuntu操作系统文件系统成了只读模式,无法进行系统的操作,由于出问题的主机是我个人搭建 ...

  5. php面向对象三大特征

    封装:对外只告诉你如何操作,内部结构不需要你知道. 对外只提供可操作的接口(方法),对内的数据操作不可见 继承:子类可以继承父类的属性和方法,但是有限继承,public  protected  pri ...

  6. hibernate框架中注意的几个问题

    使用hibernate框架中,session.createSQLQuery创建sql语句的时候遇到的问题 1.  select e.id,d.id from emp e,dept d where e. ...

  7. laravel 目录权限

    chown -R www:www /data/wwwroot   #变更目录所有者并向下传递 find /data/wwwroot/ -type d -exec chmod 755 {} \;   # ...

  8. kvm虚拟机克隆

    1.先关闭被克隆的虚拟机: 2.克隆命令 virt-clone -o 192.168.0.242_sw_web -n 192.168.0.163_nginx -f /data/kvm/images/1 ...

  9. HTML图片标签路径解析

    img标签中src属性表示的是引用的图片路径,有两种路径类型: 1. 绝对路径    2. 相对路径. 绝对路径:使用图片在硬盘上的绝对位置来访问图片,通常是从根目录开始,向下一个目录一个目录的寻找. ...

  10. 【DFS】素数环问题

    题目: 输入正整数n,对1-n进行排列,使得相邻两个数之和均为素数,输出时从整数1开始,逆时针排列.同一个环应恰好输出一次.n<=16 如输入: 6 输出: 1 4 3 2 5 6 1 6 5 ...