官方介绍文档:http://www.openldap.org/doc/admin24/intro.html
中文资料:http://learn.hnvs.cy.edu.tw/course/view.php?id=72
LDIF文件格式例子:
1: dn:dc=dlw,dc=com 2: objectclass:top 3: objectclass:dcobject 4: objectclass:organization 5: dc:dlw 6: o:dlw,Inc. 7: 8: dn:ou=managers, dc=dlw, dc=com 9: ou:managers 10: objectclass:organizationalUnit 11: 12: dn:cn=dlw,ou=managers,dc=dlw,dc=com 13: cn:dlw 14: sn:dongliwei 15: objectclass:person 16: 17: dn:cn=test,ou=managers,dc=dlw,dc=com 18: cn:test 19: sn:Test User 20: objectclass:person
官方文档:http://www.openldap.org/doc/admin24/
一:LDAP-master安装和配置
----------------------------------
1.LDAP安装:
yum install openldap openldap-*
yum install nscd nss-pam-ldapd nss-* pcre pcre-*
rpm -qa |grep openldap 安装完成后查看下有5个以上包
2.复制配置文件到目录:
cd /etc/openldap/
cp /usr/share/openldap-servers/slapd.conf.obsolete slapd.conf (这是2.3的老办法,还可以用)
3.生成密码:
slappasswd -s wmj #生成密码,密码为wmj
slappasswd -s wmj |sed -e "s#{SSHA}#rootpw\t{SSHA}#g" >>slapd.conf (生成root密码写入配置文件)
4.编辑配置文件:
cp slapd.conf slapd.conf.ori (先备份)
vim /etc/openldap/slapd.conf
database bdb #checkpoint 1024 15 suffix "dc=wmj,dc=com" rootdn "cn=admin,dc=wmj,dc=com" (管理员dc)
5.配置rsyslog来记录ldap的日志:
echo "local4.* /var/log/ldap.log" >>/etc/rsyslog.conf
/etc/init.d/rsyslog restart
6.配置ldap数据库路径:
grep "directory" slapd.conf (可以修改数据库默认路径)
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG (复制默认数据库)
chown ldap:ldap /var/lib/ldap/DB_CONFIG
chmod 700 /var/lib/ldap/DB_CONFIG
slaptest -u (检查配置文件命令)
7.启动ldap服务:
/etc/init.d/slapd start
8.查询ldap所有条目:
ldapsearch -LLL -W -x -H ldap://127.0.0.1 -D "cn=admin,dc=wmj,dc=com" -b "dc=wmj,dc=com" "(uid=*)"
如果报错:ldap_bind: Invalid credentials (49) 说明其他配置正确了。 这是因为2.4和2.3配置文件兼容问题。 参考:http://www.openldap.org/doc/admin24/appendix-common-errors.html 需要先删除默认的配置文件,根据2.3的配置文件重新生成一份。rm -rf /etc/openldap/slapd.d/*
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d (重新生成配置文件)
chown -R ldap:ldap /etc/openldap/slapd.d/
/etc/init.d/slapd restart (再重启下服务)
9.修改后以后再查询一遍:
ldapsearch -LLL -W -x -H ldap://127.0.0.1 -D "cn=admin,dc=wmj,dc=com" -b "dc=wmj,dc=com" "(uid=*)" No such object (32) (出现这个说明正确了)
10.安装ldap的web管理服务:
yum install httpd php php-ldap php-gd
https://www.ldap-account-manager.org/ (通过官网下载3.9版本的客户端)
ldap-account-manager-3.9.tar.gz
mv ldap-account-manager-3.9 /var/www/html/ldap (解压以后移动到php默认目录,必须改名成ldap)
11.配置ldap-account-manager服务:
cd /var/www/html/ldap/config
cp config.cfg_sample config.cfg
cp lam.conf_sample lam.conf
vim lam.conf
admins: cn=admin,dc=wmj,dc=com types: suffix_user: ou=People,dc=wmj,dc=com types: suffix_group: ou=group,dc=wmj,dc=com types: suffix_host: ou=machines,dc=wmj,dc=com types: suffix_smbDomain: dc=wmj,dc=com
chown -R apache:apache /var/www/html/ldap/
12.启动ldap-web服务:
/etc/init.d/httpd restart
http://172.16.1.210/ldap/ (访问地址)
13.ldap-web的使用:
进入web以后,点击右上角的
LAM configuration
输入默认密码“lam”
点击,
,在最下面配置下密码就可以了,
回到首页,输入之前生成的ldap的admin密码,我这里是“wmj”进入web页面。
第一次进入会要建立初始化数据,点建立就可以。
14.数据导出备份:
ldapsearch -LLL -w wmj -x -H ldap://127.0.0.1 -D "cn=admin,dc=wmj,dc=com" -b "dc=wmj,dc=com" >/tmp/bak-ldap.ldif -w:后面是ldap的密码 -W:交互式输入密码
15.备份数据导入:
ldapadd -x -H ldap://127.0.0.1 -D "cn=admin,dc=wmj,dc=com" -W -f /tmp/bak-ldap.ldif
二:LDAP-client安装和配置
--------------------------------------
1.安装相关服务:
yum install openldap-clients openldap nss nscd nss-pam-ldapd nss_ldap
2.修改配置:
一:交互式图形化配置办法,
使用setup,选择“Authentication configuration”,勾选下面三项“Use LDAP”,“Use LDAP Authentication”,“Local authorization is sufficient”,下一步输入ldap地址。
二. 命令行配置:
authconfig --enablemd5 --enablemkhomedir --enableldap --enableldapauth --enablelocauthorize \ --ldapserver=ldap://172.16.1.210 --ldapbasedn="dc=wmj,dc=com" --update --enablemkhomedir:会在ldap首次登陆后自动创建家目录
三.手动修改配置文件:
vim /tmp/nsswitch.conf
passwd: files ldap shadow: files ldap group: files ldap netgroup: files ldap automount: files ldap
vim /etc/sysconfig/authconfig
USELDAPAUTH=yes USELDAP=yes USELOCAUTHORIZE=yes
vim /etc/pam.d/system-auth
#%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_fprintd.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account [default=bad success=ok user_unknown=ignore] pam_ldap.so account required pam_permit.so password requisite pam_cracklib.so try_first_pass retry=3 type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password sufficient pam_ldap.so use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so session optional pam_ldap.so
vim /etc/openldap/ldap.conf
TLS_CACERTDIR /etc/openldap/cacerts URI ldap://172.16.1.210/ BASE dc=wmj,dc=com
vim /etc/pam_ldap.conf
#host 127.0.0.1 base dc=wmj,dc=com ----------底部加上------------ uri ldap://172.16.1.210/ ssl no tls_cacertdir /etc/openldap/cacerts pam_password md5
4.测试:
直接输入id wmj04 就可以看到用户了
5.ldap用户可以直接使用visudo 来配置。
6.只允许某些LDAP用户组登陆主机:
vim /etc/nslcd.conf
filter passwd (|(gidNumber=10002)(gidNumber=10001)) 限制gid为10001,10002的ldap用户才能登陆主机。(配置文件底部追加)
/etc/init.d/nslcd restart
三:LDAP-slave主从同步配置
---------------------------------------------
1.安装LDAP服务:
重复第一章的1-9步骤即可。
2.配置主从同步(2.4):
修改主配置文件 vim /etc/openldap/slapd.conf
moduleload syncprov.la index entryCSN,entryUUID eq overlay syncprov syncprov-checkpoint 100 10 syncprov-sessionlog 100
修改从配置文件 vim /etc/openldap/slapd.conf
index entryCSN,entryUUID eq
syncrepl
rid=123
provider=ldap://172.16.1.210:389
type=refreshOnly
interval=00:00:03:00 #同步时间间隔 天:小时:分钟:秒
retry="60 10 300 +"
searchbase="dc=wmj,dc=com"
filter="(objectClass=*)"
scope=sub
attrs="*,+"
schemachecking=off
bindmethod=simple
binddn="cn=admin,dc=wmj,dc=com"
credentials=wmj #密码
两台服务都要记得重新生成配置文件:
rm -rf /etc/openldap/slapd.d/* slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d chown -R ldap:ldap /etc/openldap/slapd.d service slapd restart
3.允许用户自行修改密码:
vim /etc/openldap/slapd.conf
修改配置文件,在database config前添加如下内容(注意格式!)
access to attrs=userPassword by self write
by anonymous auth
by * none
access to * by * read |
相关推荐
OpenLDAP安装测试 OpenLDAP学习 OpenLDAP教程
OpenLDAP文档.pptx
主讲OpenLdap安装及配置,OpenLdap是配置ldap的服务器。
openldap ,这个压缩包十分完整,带浏览器
openldap-2.5.4
openldap安装配置 java操作ldap
openldap 开启TLS全步骤
附近为整理好的openldap工程,可以直接在VC9上编译openldap
包含了openldap的所有依赖 cyrus-sasl-2.1.26-23.el7.x86_64.rpm cyrus-sasl-lib-2.1.26-23.el7.x86_64.rpm cyrus-sasl-devel-2.1.26-23.el7.x86_64.rpm compat-openldap-2.3.43-5.el7.x86_64.rpm openldap-2.4.44...
集中式认证系统(CAS,jasig组织开发的)主要用于实现单点登录。该系统常常要求连到一个集中式管理用户...本文描述了cas如何配置才能连上OpenLDAP。假设你的OpenLDAP已正确安装。文中的dc,读者可视自己的情况进行替换。
OpenLdap2.4各版本,版本根据linux版本,有的Openldap与linux不兼容。 OpenLdap2.4各版本,版本根据linux版本,有的Openldap与linux不兼容。
openLDAP 管理员手册
OpenLDAP安装配置文档 配置OpenLDAP服务器 关闭防火墙或清空防火墙规则 一、 安装 二、 配置 三、 迁移密码和shadow信息 配置OpenLDAP客户端 OpenLDAP客户端sudo提权设定
openldap 2.4 user guide
OpenLdap 是一个开源的Ldap 服务实现, OpenLdap2.4 实现了RFC4533 规定的数据同步协议,不再使用老版本的slurpd推送方式来同步数据。OpenLdap 同步时,采用sLapd 派生的线程来进行同步操作。新的同步方式比老的方式...
java代码操作linux上的openldap目录服务器,进行增删改查操作
db-4.7.25.tar.gz freetype-2.3.5.tar.gz ...openldap-2.4.38.tgz php-5.2.9.tar.gz phpldapadmin-0.9.8.5.tar.gz zlib-1.2.8.tar 包含上述安装包,都是源码包,通过编译安装,在CentOs5.0下运行通过
官方手册openldap-admini-guide,pdf阅读
openldap 技术,轻量级目录访问协议。可做权限模型
OpenLDAP2.4管理员指南 OpenLDAP2.4管理员指南