柚子快報(bào)邀請(qǐng)碼778899分享：Linux安裝ldap服務(wù)端

http://yzkb.51969.com/

目錄

1.?概念介紹

1.1?LDAP的樹形結(jié)構(gòu)的概念理解

2.?安裝ldap服務(wù)端

2.1?安裝服務(wù)端

2.2?配置ldap服務(wù)器

2.3?配置監(jiān)視數(shù)據(jù)庫的配置文件

2.4?配置ldap數(shù)據(jù)庫

2.5?檢測(cè)配置是否正確

2.6?啟動(dòng)ldap，并設(shè)置開機(jī)自啟

2.7?啟動(dòng)ldap服務(wù)器的配置，需添加以下ldap模式

2.8?創(chuàng)建ldap DIT

2.9?生成一個(gè)基地，ldif文件為域的DIT

2.10?將基地上傳到ldap數(shù)據(jù)庫中

2.11?創(chuàng)建一些用戶和組，并遷移到ldap

2.12?使用migrationtools為這些用戶創(chuàng)建ldif文件

2.13?將這些用戶和組ldif文件上傳到ldap數(shù)據(jù)庫中

2.14?搜索LDAP DIT的所有記錄

2.15?開放端口

3.?電腦端安裝客戶端

3.1?ldapadmin官網(wǎng)下載地址

3.2?電腦端下載完成后，點(diǎn)擊進(jìn)入填寫ldap服務(wù)器地址

3.3?創(chuàng)建用戶組或用戶

3.4?設(shè)置密碼

3.5?登錄到ldap服務(wù)器去查看信息，就可以看到增加的一條信息如圖

4.?開啟ssl

1.?概念介紹

LDAP是輕量目錄訪問協(xié)議，英文全稱是Lightweight Directory Access Protocol，簡(jiǎn)稱為L(zhǎng)DAP。LDAP的目錄服務(wù)其實(shí)也是一種數(shù)據(jù)庫系統(tǒng)（Berkeley DB），只是這種數(shù)據(jù)庫是一種樹形結(jié)構(gòu)（B Tree），適合讀不適合頻繁寫，不支持事務(wù)不能回滾。

我們用LDAP實(shí)現(xiàn)多個(gè)組件的用戶管理，比如把gitlab和jenkins、harbor等組件的用戶放在LDAP一起管理，組件只負(fù)責(zé)權(quán)限管理。用戶在這些組件登錄時(shí)都走LDAP的認(rèn)證，讓用戶可以用一套用戶名密碼即可登錄所有組件。

1.1?LDAP的樹形結(jié)構(gòu)的概念理解

從葉子到根的這條“路徑”是一條數(shù)據(jù)，稱為條目（Entry），這條數(shù)據(jù)的全局唯一標(biāo)識(shí)叫做dn

dc（Domain Component）是域名的一部分，把完整的域名拆開。ou（Organization Unit）是組織單元。cn（Common Name）一般是用戶的名字。uid（User Id）一般是用戶登錄id。

簡(jiǎn)單理解就是：dn是 一條記錄的詳細(xì)位置； dc是一個(gè)區(qū)域（相當(dāng)于哪顆樹）；ou是一個(gè)組織（相當(dāng)于哪一個(gè)分支）；cn/uid（分支上的哪個(gè)蘋果）。

2.?安裝ldap服務(wù)端

2.1?安裝服務(wù)端

yum install -y openldap openldap-clients openldap-servers migrationtools

2.2?配置ldap服務(wù)器

vim /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldif

olcSuffix: dc=dzf,dc=com

olcRootDN: cn=auto,dc=dzf,dc=com

olcRootPW: 123456

2.3?配置監(jiān)視數(shù)據(jù)庫的配置文件

vim /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{1\}monitor.ldif

cn=auto,dc=dzf,dc=com

2.4?配置ldap數(shù)據(jù)庫

配置ldap數(shù)據(jù)庫 將/usr/share/openldap-servers/DB_CONFIG.example的文件復(fù)制到/var/lib/ldap/DB_CONFIG目錄下，并給文件授權(quán)l(xiāng)dap屬主屬組

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

chown -R ldap.ldap /var/lib/ldap/

2.5?檢測(cè)配置是否正確

slaptest -u

輸入命令出現(xiàn)succeeded表示驗(yàn)證成功

2.6?啟動(dòng)ldap，并設(shè)置開機(jī)自啟

systemctl start slapd

systemctl enable slapd

#檢測(cè)服務(wù)及端口

ss -antup | egrep "389|636"

2.7?啟動(dòng)ldap服務(wù)器的配置，需添加以下ldap模式

ls /etc/openldap/schema/*.ldif | xargs -I {} sudo ldapadd -Y EXTERNAL -H ldapi:/// -f {}

2.8?創(chuàng)建ldap DIT

vim /usr/share/migrationtools/migrate_common.ph

修改61行 ?$NAMINGCONTEXT{'group'} = "ou=Groups";

修改71行 ?$DEFAULT_MAIL_DOMAIN = "dzf.com";

修改74行 ?$DEFAULT_BASE = "dc=dzf,dc=com";

修改90行 ?$EXTENDED_SCHEMA = 1;

2.9?生成一個(gè)基地，ldif文件為域的DIT

切換到migrationtools目錄下執(zhí)行 ./migrate_base.pl > /root/base.ldif

cd /usr/share/migrationtools/

./migrate_base.pl > /root/base.ldif

2.10?將基地上傳到ldap數(shù)據(jù)庫中

ldapadd -x -W -D "cn=auto,dc=dzf,dc=com" -f /root/base.ldif

2.11?創(chuàng)建一些用戶和組，并遷移到ldap

mkdir -p /home/guests

useradd -d /home/guests/test12 test12

echo 123456 | passwd --stdin test12

過濾這些用戶和組以及/etc/shadow不同文件密碼

getent passwd | tail -n 5

getent shadow | tail -n 5 > /root/shadow

getent group | tail -n 5 > /root/groups

2.12?使用migrationtools為這些用戶創(chuàng)建ldif文件

切換到migrationtools目錄下編輯vim migrate_passwd.pl文件

cd /usr/share/migrationtools

vim migrate_passwd.pl

修改188行，把/etc/shadow換成/root/shadow

然后在當(dāng)前路徑下執(zhí)行下面的命令

./migrate_passwd.pl /root/users > users.ldif

./migrate_group.pl /root/groups > groups.ldif

2.13?將這些用戶和組ldif文件上傳到ldap數(shù)據(jù)庫中

ldapadd -x -W -D "cn=auto,dc=dzf,dc=com" -f users.ldif

ldapadd -x -W -D "cn=auto,dc=dzf,dc=com" -f groups.ldif

2.14?搜索LDAP DIT的所有記錄

現(xiàn)在搜索LDAP DIT的所有記錄（如果能搜索到就說明安裝成功了，至此ldap服務(wù)器安裝完成（按這個(gè)安裝只支持uid用戶的登錄））

ldapsearch -x -b "dc=dzf,dc=com" -H ldap://localhost

2.15?開放端口

3.?電腦端安裝客戶端

3.1?ldapadmin官網(wǎng)下載地址

3.2?電腦端下載完成后，點(diǎn)擊進(jìn)入填寫ldap服務(wù)器地址

3.3?創(chuàng)建用戶組或用戶

在ou=People下去創(chuàng)建用戶組或用戶（右擊--new--Group或User）

3.4?設(shè)置密碼

給用戶設(shè)置密碼（右擊--Set Password）

3.5?登錄到ldap服務(wù)器去查看信息，就可以看到增加的一條信息如圖

ldapsearch -x -b "dc=dzf,dc=com" -H ldap://localhost

這里的信息就是通過ldapadmin客戶端添加進(jìn)來的，到此全部部署完成

4.?開啟ssl

如果要開啟ssl要修改配置文件，要增加ldaps:///

vi /etc/sysconfig/slapd

SLAPD_URLS="ldapi:/// ldap:/// ldaps:///"

再重啟服務(wù)：

systemctl restart slapd.service

柚子快報(bào)邀請(qǐng)碼778899分享：Linux安裝ldap服務(wù)端

http://yzkb.51969.com/

參考鏈接