基于 CentOS 8 搭建 openLDAP 服务器
转载请注明原文地址:基于 CentOS 8 搭建 openLDAP 服务器
环境
OS: CentOS 8.4.2105
PHP: 7.4.21
注意
CentOS 7 中可能默认提供了 openLDAP-servers 包,本文中部分流程可能不适用
文中针对 openLDAP 的所有配置中,请将 dc 中的 example、com(例如 dc=example,dc=cn) 根据实际情况修改为自己的域(例如 dc=leviatan,dc=cn)
文中由用户手动创建的 *.ldif 文件不要放在 /etc/openldap/slapd.d 目录下,本文中存储在 ~/openldap 目录下
线上大多数文档在 dn 中配置了 olcDatabase={2}hdb,cn=config,但笔者经过测试发现 /etc/openldap/slapd.d/cn=config 目录下只存在 olcDatabase={2}mdb,故进行了相应更改
安装 openLDAP
由于 CentOS 8 的仓库中取消了对 openLDAP-servers 包的支持,这里使用 Symas 提供的第三方仓库
wget -q https://repo.symas.com/configs/SOFL/rhel8/sofl.repo -O /etc/yum.repos.d/sofl.repo
dnf clean all
dnf makecache
dnf install symas-openldap-servers symas-openldap-clients
启动 openLDAP
systemctl start slapd
自启动
systemctl enable slapd
openLDAP 基础配置
生成并设置 openLDAP 管理员密码
openLDAP 中使用 slappasswd 来生成密码哈希,将哈希写入配置文件来修改密码
执行命令后输出如下
New password:
Re-enter new password:
{SSHA}xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
创建 chrootpw.ldif 文件,写入如下配置
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
dn配置文件,这里指定为/etc/openldap/slapd.d/cn=config/olcDatabase={0}config文件changetype指定类型为modify,更改add表示添加olcRootPw配置项- 指定
olcRootPW配置项的值
执行如下命令将配置中的操作动态载入 openLDAP 服务器
ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
输出如下,表示操作成功
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"
导入基本 schema
openLDAP Server 默认提供了一些基本 schema 位于 /etc/openldap/schema 目录下,这些 schema 控制着条目拥有哪些对象类和属性,可以自行选择需要的进行导入,这里将所有 schema 都导入进去
ls /etc/openldap/schema/*.ldif | xargs -I {} ldapadd -Y EXTERNAL -H ldapi:/// -f {}
修改域并创建域管理账户
使用 slappasswd 命令为域管理员账户创建密码,记录哈希
创建 chdomain.ldif 文件并写入如下配置
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to *
by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read
by dn.base="cn=admin,dc=example,dc=com" read
by * none
dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=example,dc=com
dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=example,dc=com
dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
dn: olcDatabase={2}mdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange
by dn="cn=admin,dc=example,dc=com" write
by anonymous auth
by self write
by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to *
by dn="cn=admin,dc=example,dc=com" write
by * read
载入修改
ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif
输出如下,表示操作成功
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"
modifying entry "olcDatabase={2}mdb,cn=config"
modifying entry "olcDatabase={2}mdb,cn=config"
modifying entry "olcDatabase={2}mdb,cn=config"
modifying entry "olcDatabase={2}mdb,cn=config"
启用 memberof 模块
这个模块的作用是当你建一个组的时候,把一些用户添加到这个组里去,它会自动给这些用户添加一个 memberOf 属性,有很多应用需要检查这个属性。
创建 add_memberof.ldif 文件并写入如下配置
dn: cn=module{0},cn=config
cn: modulle{0}
objectClass: olcModuleList
objectclass: top
olcModuleload: memberof.la
olcModulePath: /usr/lib64/openldap
dn: olcOverlay={0}memberof,olcDatabase={2}mdb,cn=config
objectClass: olcConfig
objectClass: olcMemberOf
objectClass: olcOverlayConfig
objectClass: top
olcOverlay: memberof
olcMemberOfDangling: ignore
olcMemberOfRefInt: TRUE
olcMemberOfGroupOC: groupOfUniqueNames
olcMemberOfMemberAD: uniqueMember
olcMemberOfMemberOfAD: memberOf
创建 refint1.ldif 文件并写入如下配置
dn: cn=module{0},cn=config
add: olcmoduleload
olcmoduleload: refint
创建 refint2.ldif 文件并写入如下配置
dn: olcOverlay=refint,olcDatabase={2}mdb,cn=config
objectClass: olcConfig
objectClass: olcOverlayConfig
objectClass: olcRefintConfig
objectClass: top
olcOverlay: refint
olcRefintAttribute: memberof uniqueMember manager owner
依次执行如下命令
ldapadd -Q -Y EXTERNAL -H ldapi:/// -f add_memberof.ldif
ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f refint1.ldif
ldapadd -Q -Y EXTERNAL -H ldapi:/// -f refint2.ldif
依次返回如下
# ldapadd -Q -Y EXTERNAL -H ldapi:/// -f add_memberof.ldif
adding new entry "cn=module{0},cn=config"
adding new entry "olcOverlay={0}memberof,olcDatabase={2}mdb,cn=config"
# ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f refint1.ldif
modifying entry "cn=module{0},cn=config"
# ldapadd -Q -Y EXTERNAL -H ldapi:/// -f refint2.ldif
adding new entry "olcOverlay=refint,olcDatabase={2}mdb,cn=config"
创建组织及管理角色
在上述基础上,我们来创建一个叫做 WindSpirit 的组织,并在其下创建一个 admin 的组织角色(该组织角色内的用户具有管理整个 LDAP 的权限)和 People 和 Group 两个组织单元
创建 wsorg.ldif 文件并写入如下配置
dn: dc=example,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: WindSpirit Company
dc: example
dn: cn=admin,dc=example,dc=com
objectClass: organizationalRole
cn: admin
dn: ou=People,dc=example,dc=com
objectClass: organizationalUnit
ou: People
dn: ou=Group,dc=example,dc=com
objectClass: organizationalRole
cn: Group
载入修改
ldapadd -x -D cn=admin,dc=example,dc=com -W -f wsorg.ldif
输入密码后输出如下
adding new entry "dc=example,dc=com"
adding new entry "cn=admin,dc=example,dc=com"
adding new entry "ou=People,dc=example,dc=com"
adding new entry "ou=Group,dc=example,dc=com"
关闭匿名访问
创建 disabled_anon.ldif 文件并添加如下配置
dn: cn=config
changetype: modify
add: olcDisallows
olcDisallows: bind_anon
dn: cn=config
changetype: modify
add: olcRequires
olcRequires: authc
dn: olcDatabase={-1}frontend,cn=config
changetype: modify
add: olcRequires
olcRequires: authc
载入修改
ldapadd -Y EXTERNAL -H ldapi:/// -f disabled_anon.ldif
执行成功后输出如下
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={-1}frontend,cn=config"
安装 phpLDAPadmin
该业务需要增加 php-ldpa 模块支持
作者使用的 PHP 是由 Remi 提供的仓库,使用如下命令安装模块
dnf install php74-php-ldap
还是由于 CentOS 8 中默认不提供 openLDAP-servers 包,phpLDAPadmin 包也默认不提供
可以直接在 Release - leenooks/phpLDAPadmin - GitHub 下载 Release 包
目前最新版本号为 1.2.6.2
wget https://github.com/leenooks/phpLDAPadmin/archive/refs/tags/1.2.6.2.tar.gz
将下载好的包移动到 Nginx 的 web 根目录下,解压并重命名为 pla
tar zxvf 1.2.6.2.tar.gz
mv phpLDAPadmin-1.2.6.2 pla
本次配置中使用二级域名 pla 访问该业务,设置好 DNS 解析后在 Nginx 中根据实际情况增加配置
server {
listen 443 ssl;
server_name pla.example.com;
root html/pla;
location / {
index index.php;
location ~ \.php(.*)$ {
fastcgi_pass php-handler;
fastcgi_index index.php;
fastcgi_split_path_info ^(.+\.php)(.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param PATH_TRANSLATED $document_root$fastcgi_path_info;
fastcgi_param HTTPS on;
include fastcgi_params;
}
}
}
进入 phpLDAPadmin 目录下的 config 目录,将 config.php.example 复制为 config.php
配置 DN 登录
默认使用 uid 登录,修改为 dn
$servers->setValue('login','attr','dn');
关闭匿名登录
$servers->setValue('login','anon_bind',false);
设置用户属性的唯一性,这里使用了 cn 和 sn,以确保用户名的唯一性
$servers->setValue('unique','attrs',array('mail','uid','uidNumber','cn','sn'));
基于 CentOS 8 搭建 openLDAP 服务器的更多相关文章
- 基于 CentOS 7 搭建 Git服务器
Git 是一款免费.开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目. ⒈安装依赖库和编译工具 1.安装依赖库 yum install -y curl-devel expat-devel ...
- CentOs上搭建git服务器
CentOs上搭建git服务器 首先安装setuptools wget http://pypi.python.org/packages/source/s/setuptools/setuptools-0 ...
- 基于VMware Workstation搭建开发服务器
基于VMware Workstation搭建开发服务器 文章为本人原创,转载请联系作者并注明出处.晓松 源URL: https://www.jianshu.com/p/e62ab7de0124 我 ...
- Centos 6 搭建邮箱服务器教程
Centos 6 搭建邮箱服务器主要是是包括了Postfix, Dovecot和 MySQL了,下文我们详细的为各位介绍Centos 6 搭建邮箱服务器教程(Postfix, Dovecot和 MyS ...
- CentOS 下搭建FTP服务器
vsftpd是Linux下比较著名的FTP服务器,搭建FTP服务器当然首选这个.本文介绍了在CentOS 6 4下安装vsftpd.配置虚拟用户登录FTP的过程.正 vsftpd是Linux下比较著名 ...
- CentOS 7搭建SVN服务器
安装步骤如下: 1.yum install subversion 2.查看安装版本 svnserve --version 3.创建SVN版本库目录 mkdir -p /var/svn/svnrepos ...
- 应用SVN(CentOS中搭建SVN服务器)
简单介绍如何在虚拟机 CentOS 中,搭建 SVN 服务器. 软件版本信息 Vmware 10.0.0 build-1295980 CentOS 7.0-1406-x64 Java 1.7.0_67 ...
- CentOS Linux搭建SVN服务器
Linux系统:CentOS 安装步骤如下: 1.yum install subversion 2.输入rpm -ql subversion查看安装位置,如下图: 可以看到 svn在bin目录下生成了 ...
- 【Centos】搭建 SVN 服务器
1.如果仅仅只是搭建 svn 服务器: (a).先检查 svn 是否已经安装了 rpm -qa subversion #输入这个命令后,会出现 subversion 版本号 (b).如果没有安装, ...
随机推荐
- 技术干货 | 基于MindSpore更好的理解Focal Loss
[本期推荐专题]物联网从业人员必读:华为云专家为你详细解读LiteOS各模块开发及其实现原理. 摘要:Focal Loss的两个性质算是核心,其实就是用一个合适的函数去度量难分类和易分类样本对总的损失 ...
- 阿里云上安装 OpenStack 是什么体验
阿里云上跑火车(安装 OpenStack Train 版本),猜猜最终花了多少钱? 前言 前面给大家提供了用虚拟机安装 OpenStack 的镜像,虽然已经很简便了,但还是略显笨重.一来镜像文件比较大 ...
- sosreport命令 然后diff 正常的操作系统例如centos
nux学习笔记:有用的linux命令 发表于 2018-06-25 | 分类于 linux| 字数统计: 1,269 | 阅读时长 ≈ 6 写在前面 这着笔记,整理一些网上搜集到有用的linu ...
- Zabbix 常用术语
Zabbix 常用术语 1.主机(host) 一台你想监控的网络设备,用IP或域名表示 2.主机组(host group) 主机的逻辑组;它包含主机和模板.-个主机组里的主机和模板之间并没有任何直接的 ...
- VMware安装RedHat7、CentOS7后无网卡解决办法
由于Vmware虚拟网卡和linux兼容问题导致驱动无法正常安装,默认的网卡类型不兼容找到我们的Vmware虚拟机文件夹,将VMware 虚拟机配置 (.vmx),追加一条设置,网卡类型etherne ...
- gpgj-19.高级课总结
19.高级课总结 1.高级课最终站 如何对公司估值 找到公司未来的真实盈利*回本年限=估值 如何计算公司未来的盈利 ROIC 资本回报率 零售公司 每平米净现金流 经营面积 高速公路 每 ...
- cgic: CGI的C函数库-(转自COS)
下载回源码包以后,就3个文件:cgic.c 函数库capture.c 一个很简单的CGI例子,仅仅输出两行提示文字cgictest.c 一个演示读取form表单数据的CGI例子 首先在 ...
- STM32 keil中编译遇到的问题
发现 移植的SPI程序 说里面的 SPI_InitTypeDef 所有有关 SPI库函数的都找不到 这是因为 用的是 原子的程序 在 config函数中 把这个注释了
- SUSE12 操作系统安装
今天开发同事需要一个客户的SUSE环境,原来没有安装过这个操作系统,网络配置方面有些问题见下一篇 镜像:SLE-12-SP3-Server-DVD-x86_64-GM-DVD1.iso 安装过程: 选 ...
- Hadoop系列番外篇之一文搞懂Hadoop RPC框架及细节实现
@ 目录 Hadoop RPC 框架解析 1.Hadoop RPC框架概述 1.1 RPC框架特点 1.2 Hadoop RPC框架 2.Java基础知识回顾 2.1 Java反射机制与动态代理 2. ...