转载请注明原文地址:基于 CentOS 8 搭建 openLDAP 服务器

环境

OS: CentOS 8.4.2105

PHP: 7.4.21

注意

CentOS 7 中可能默认提供了 openLDAP-servers 包,本文中部分流程可能不适用

文中针对 openLDAP 的所有配置中,请将 dc 中的 examplecom(例如 dc=example,dc=cn) 根据实际情况修改为自己的域(例如 dc=leviatan,dc=cn

文中由用户手动创建的 *.ldif 文件不要放在 /etc/openldap/slapd.d 目录下,本文中存储在 ~/openldap 目录下

线上大多数文档在 dn 中配置了 olcDatabase={2}hdb,cn=config,但笔者经过测试发现 /etc/openldap/slapd.d/cn=config 目录下只存在 olcDatabase={2}mdb,故进行了相应更改

安装 openLDAP

由于 CentOS 8 的仓库中取消了对 openLDAP-servers 包的支持,这里使用 Symas 提供的第三方仓库

wget -q https://repo.symas.com/configs/SOFL/rhel8/sofl.repo -O /etc/yum.repos.d/sofl.repo

dnf clean all

dnf makecache

dnf install symas-openldap-servers symas-openldap-clients

启动 openLDAP

systemctl start slapd

自启动

systemctl enable slapd

openLDAP 基础配置

生成并设置 openLDAP 管理员密码

openLDAP 中使用 slappasswd 来生成密码哈希,将哈希写入配置文件来修改密码

执行命令后输出如下

New password:

Re-enter new password:

{SSHA}xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

创建 chrootpw.ldif 文件,写入如下配置

dn: olcDatabase={0}config,cn=config

changetype: modify

add: olcRootPW

olcRootPW: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  1. dn 配置文件,这里指定为 /etc/openldap/slapd.d/cn=config/olcDatabase={0}config 文件
  2. changetype 指定类型为 modify,更改
  3. add 表示添加 olcRootPw 配置项
  4. 指定 olcRootPW 配置项的值

执行如下命令将配置中的操作动态载入 openLDAP 服务器

ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif

输出如下,表示操作成功

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

modifying entry "olcDatabase={0}config,cn=config"

导入基本 schema

openLDAP Server 默认提供了一些基本 schema 位于 /etc/openldap/schema 目录下,这些 schema 控制着条目拥有哪些对象类和属性,可以自行选择需要的进行导入,这里将所有 schema 都导入进去

ls /etc/openldap/schema/*.ldif | xargs -I {} ldapadd -Y EXTERNAL -H ldapi:/// -f {}

修改域并创建域管理账户

使用 slappasswd 命令为域管理员账户创建密码,记录哈希

创建 chdomain.ldif 文件并写入如下配置

dn: olcDatabase={1}monitor,cn=config

changetype: modify

replace: olcAccess

olcAccess: {0}to *

   by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read

   by dn.base="cn=admin,dc=example,dc=com" read

   by * none

dn: olcDatabase={2}mdb,cn=config

changetype: modify

replace: olcSuffix

olcSuffix: dc=example,dc=com

dn: olcDatabase={2}mdb,cn=config

changetype: modify

replace: olcRootDN

olcRootDN: cn=admin,dc=example,dc=com

dn: olcDatabase={2}mdb,cn=config

changetype: modify

replace: olcRootPW

olcRootPW: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

dn: olcDatabase={2}mdb,cn=config

changetype: modify

add: olcAccess

olcAccess: {0}to attrs=userPassword,shadowLastChange

   by dn="cn=admin,dc=example,dc=com" write

   by anonymous auth

   by self write

   by * none

olcAccess: {1}to dn.base="" by * read

olcAccess: {2}to *

   by dn="cn=admin,dc=example,dc=com" write

   by * read

载入修改

ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif

输出如下,表示操作成功

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

modifying entry "olcDatabase={1}monitor,cn=config"

modifying entry "olcDatabase={2}mdb,cn=config"

modifying entry "olcDatabase={2}mdb,cn=config"

modifying entry "olcDatabase={2}mdb,cn=config"

modifying entry "olcDatabase={2}mdb,cn=config"

启用 memberof 模块

这个模块的作用是当你建一个组的时候,把一些用户添加到这个组里去,它会自动给这些用户添加一个 memberOf 属性,有很多应用需要检查这个属性。

创建 add_memberof.ldif 文件并写入如下配置

dn: cn=module{0},cn=config

cn: modulle{0}

objectClass: olcModuleList

objectclass: top

olcModuleload: memberof.la

olcModulePath: /usr/lib64/openldap

dn: olcOverlay={0}memberof,olcDatabase={2}mdb,cn=config

objectClass: olcConfig

objectClass: olcMemberOf

objectClass: olcOverlayConfig

objectClass: top

olcOverlay: memberof

olcMemberOfDangling: ignore

olcMemberOfRefInt: TRUE

olcMemberOfGroupOC: groupOfUniqueNames

olcMemberOfMemberAD: uniqueMember

olcMemberOfMemberOfAD: memberOf

创建 refint1.ldif 文件并写入如下配置

dn: cn=module{0},cn=config

add: olcmoduleload

olcmoduleload: refint

创建 refint2.ldif 文件并写入如下配置

dn: olcOverlay=refint,olcDatabase={2}mdb,cn=config

objectClass: olcConfig

objectClass: olcOverlayConfig

objectClass: olcRefintConfig

objectClass: top

olcOverlay: refint

olcRefintAttribute: memberof uniqueMember  manager owner

依次执行如下命令

ldapadd -Q -Y EXTERNAL -H ldapi:/// -f add_memberof.ldif

ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f refint1.ldif

ldapadd -Q -Y EXTERNAL -H ldapi:/// -f refint2.ldif

依次返回如下

# ldapadd -Q -Y EXTERNAL -H ldapi:/// -f add_memberof.ldif

adding new entry "cn=module{0},cn=config"

adding new entry "olcOverlay={0}memberof,olcDatabase={2}mdb,cn=config"

# ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f refint1.ldif

modifying entry "cn=module{0},cn=config"

# ldapadd -Q -Y EXTERNAL -H ldapi:/// -f refint2.ldif

adding new entry "olcOverlay=refint,olcDatabase={2}mdb,cn=config"

创建组织及管理角色

在上述基础上,我们来创建一个叫做 WindSpirit 的组织,并在其下创建一个 admin 的组织角色(该组织角色内的用户具有管理整个 LDAP 的权限)和 People 和 Group 两个组织单元

创建 wsorg.ldif 文件并写入如下配置

dn: dc=example,dc=com

objectClass: top

objectClass: dcObject

objectClass: organization

o: WindSpirit Company

dc: example

dn: cn=admin,dc=example,dc=com

objectClass: organizationalRole

cn: admin

dn: ou=People,dc=example,dc=com

objectClass: organizationalUnit

ou: People

dn: ou=Group,dc=example,dc=com

objectClass: organizationalRole

cn: Group

载入修改

ldapadd -x -D cn=admin,dc=example,dc=com -W -f wsorg.ldif

输入密码后输出如下

adding new entry "dc=example,dc=com"

adding new entry "cn=admin,dc=example,dc=com"

adding new entry "ou=People,dc=example,dc=com"

adding new entry "ou=Group,dc=example,dc=com"

关闭匿名访问

创建 disabled_anon.ldif 文件并添加如下配置

dn: cn=config

changetype: modify

add: olcDisallows

olcDisallows: bind_anon

dn: cn=config

changetype: modify

add: olcRequires

olcRequires: authc

dn: olcDatabase={-1}frontend,cn=config

changetype: modify

add: olcRequires

olcRequires: authc

载入修改

ldapadd -Y EXTERNAL -H ldapi:/// -f disabled_anon.ldif

执行成功后输出如下

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

modifying entry "cn=config"

modifying entry "cn=config"

modifying entry "olcDatabase={-1}frontend,cn=config"

安装 phpLDAPadmin

该业务需要增加 php-ldpa 模块支持

作者使用的 PHP 是由 Remi 提供的仓库,使用如下命令安装模块

dnf install php74-php-ldap

还是由于 CentOS 8 中默认不提供 openLDAP-servers 包,phpLDAPadmin 包也默认不提供

可以直接在 Release - leenooks/phpLDAPadmin - GitHub 下载 Release 包

目前最新版本号为 1.2.6.2

wget https://github.com/leenooks/phpLDAPadmin/archive/refs/tags/1.2.6.2.tar.gz

将下载好的包移动到 Nginx 的 web 根目录下,解压并重命名为 pla

tar zxvf 1.2.6.2.tar.gz

mv phpLDAPadmin-1.2.6.2 pla

本次配置中使用二级域名 pla 访问该业务,设置好 DNS 解析后在 Nginx 中根据实际情况增加配置

server {

    listen      443 ssl;

    server_name pla.example.com;

    root        html/pla;

    location / {

        index     index.php;

        location ~ \.php(.*)$ {

            fastcgi_pass         php-handler;

            fastcgi_index        index.php;

            fastcgi_split_path_info    ^(.+\.php)(.*)$;

            fastcgi_param        PATH_INFO  $fastcgi_path_info;

            fastcgi_param        SCRIPT_FILENAME  $document_root$fastcgi_script_name;

            fastcgi_param        PATH_TRANSLATED  $document_root$fastcgi_path_info;

            fastcgi_param        HTTPS  on;

            include              fastcgi_params;

        }

    }

}

进入 phpLDAPadmin 目录下的 config 目录,将 config.php.example 复制为 config.php

配置 DN 登录

默认使用 uid 登录,修改为 dn

$servers->setValue('login','attr','dn');

关闭匿名登录

$servers->setValue('login','anon_bind',false);

设置用户属性的唯一性,这里使用了 cn 和 sn,以确保用户名的唯一性

$servers->setValue('unique','attrs',array('mail','uid','uidNumber','cn','sn'));

基于 CentOS 8 搭建 openLDAP 服务器的更多相关文章

  1. 基于 CentOS 7 搭建 Git服务器

    Git 是一款免费.开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目. ⒈安装依赖库和编译工具 1.安装依赖库 yum install -y curl-devel expat-devel ...

  2. CentOs上搭建git服务器

    CentOs上搭建git服务器 首先安装setuptools wget http://pypi.python.org/packages/source/s/setuptools/setuptools-0 ...

  3. 基于VMware Workstation搭建开发服务器

    基于VMware Workstation搭建开发服务器   文章为本人原创,转载请联系作者并注明出处.晓松 源URL: https://www.jianshu.com/p/e62ab7de0124 我 ...

  4. Centos 6 搭建邮箱服务器教程

    Centos 6 搭建邮箱服务器主要是是包括了Postfix, Dovecot和 MySQL了,下文我们详细的为各位介绍Centos 6 搭建邮箱服务器教程(Postfix, Dovecot和 MyS ...

  5. CentOS 下搭建FTP服务器

    vsftpd是Linux下比较著名的FTP服务器,搭建FTP服务器当然首选这个.本文介绍了在CentOS 6 4下安装vsftpd.配置虚拟用户登录FTP的过程.正 vsftpd是Linux下比较著名 ...

  6. CentOS 7搭建SVN服务器

    安装步骤如下: 1.yum install subversion 2.查看安装版本 svnserve --version 3.创建SVN版本库目录 mkdir -p /var/svn/svnrepos ...

  7. 应用SVN(CentOS中搭建SVN服务器)

    简单介绍如何在虚拟机 CentOS 中,搭建 SVN 服务器. 软件版本信息 Vmware 10.0.0 build-1295980 CentOS 7.0-1406-x64 Java 1.7.0_67 ...

  8. CentOS Linux搭建SVN服务器

    Linux系统:CentOS 安装步骤如下: 1.yum install subversion 2.输入rpm -ql subversion查看安装位置,如下图: 可以看到 svn在bin目录下生成了 ...

  9. 【Centos】搭建 SVN 服务器

    1.如果仅仅只是搭建 svn 服务器: (a).先检查 svn 是否已经安装了 rpm -qa subversion #输入这个命令后,会出现 subversion 版本号   (b).如果没有安装, ...

随机推荐

  1. CentOS/Linux内存占用大,用Shell脚本自动定时清除/释放内存

    CentOS/Linux内存占用大,用Shell脚本自动定时清除/释放内存来自:互联网 时间:2020-03-22 阅读:114以下情况可能造成Linux内存占用过高服务配置存在直接分配错误,或隐性分 ...

  2. LTP--linux稳定性测试 linux性能测试 ltp压力测试 ---IBM 的 linux test project

    LTP--linux稳定性测试 linux性能测试 ltp压力测试 ---IBM 的 linux test project Peter盼 2014-04-23 11:25:49  20302  收藏  ...

  3. 单独跑ltp-20200508 ./runltp

    # cat r3.sh#!/bin/bash # cat r3.sh#!/bin/bashi=1for ((; i<=1000; i++))do/opt/ltp/runltp -s fmtmsg ...

  4. 单臂路由实现不同vlan间通信

    单臂路由实现不同vlan间通信 拓扑图 PC配置 PC1 :192.168.1.1 vlan10 192.168.1.254 PC2 :192.168.2.1 vlan20 192.168.2.254 ...

  5. linux rpm包解压

    rpm2cpio xxx.rpm | cpio -div

  6. 设置添加SSH-(转自破男孩)

    很多朋友在用github管理项目的时候,都是直接使用https url克隆到本地,当然也有有些人使用 SSH url 克隆到本地.然而,为什么绝大多数人会使用https url克隆呢? 这是因为,使用 ...

  7. spring mvc下实现通过邮箱找回密码功能

    1功能分析 通过spring mvc框架实现通过邮箱找回密码. 2 实现分析 主要是借助某个邮箱的pop3/smtp服务实现的邮件代发功能. 3 源码分析 3.1首先在用户表对应的javabean中加 ...

  8. p4 学习笔记

    新版的p4编译器编译p4-14 p4c test.p4 -o meter --std p4-14 #p4-14和p4-16存在较大差异,参考p4代码时需注意 p4语言特性 无符号数bit类型的操作:此 ...

  9. GO语言异常处理02---返回错误

    package main import ( "errors" "fmt" "math" ) /*计算圆面积,同时返回[结果-错误对]*/ f ...

  10. App自动化测试之Appium环境安装(涉及雷电模拟器和真机)

    1.安装Microsoft .NET Framework 4.5 及以上版本 2.安装Appium 官方网站地址:http://appium.io/ 我装了1.17.0版本 3.安装JDK 1.8及以 ...