ldap 搭建及應用
node1: 192.168.118.14
node2: 192.168.118.25
ldap server : 192.168.118.14
1. 安裝LDAP服務器
[root@node1 ~]# yum install openldap-servers -y # 安裝ldap服務器端軟件 [root@node1 openldap]# cp -a /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf # 主配置文件 [root@node1 openldap]# cp -a /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG [root@node1 openldap]# slappasswd # 生成加密密碼 New password: Re-enter new password: {SSHA}ToeOEviUjgqhRK7YYn3frPrdf6yAGETM [root@node1 openldap]# vim slapd.conf # 修改主配置文件的dc 114 database bdb 115 suffix "dc=super,dc=com" 116 checkpoint 1024 15 117 rootdn "cn=Manager,dc=super,dc=com" 118 # Cleartext passwords, especially for the rootdn, should 119 # be avoided. See slappasswd(8) and slapd.conf(5) for details. 120 # Use of strong authentication encouraged. 121 # rootpw secret 122 # rootpw {crypt}ijFYNcSNctBYg 123 rootpw {SSHA}ToeOEviUjgqhRK7YYn3frPrdf6yAGETM # 將上面slappasswd 生成的密碼寫在這里 [root@node1 openldap]# rm -rf slapd.d/* # 刪除原始的文件 [root@node1 openldap]# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/ # 重新生成一下,這里很重要 config file testing succeeded [root@node1 openldap]# chown -R ldap:ldap /etc/openldap/slapd.d/ # 記得權限問題,不然啟動服務會報錯。 [root@node1 openldap]# chown -R ldap:ldap /var/lib/ldap/ [root@node1 slapd.d]# service slapd start Starting slapd: [ OK ] [root@node1 slapd.d]# netstat -ntplu | grep slapd # ldap監聽端口為tcp: 389 tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 2633/slapd tcp 0 0 :::389 :::* LISTEN 2633/slapd [root@node1 slapd.d]# yum install migrationtools -y [root@node1 slapd.d]# cd /usr/share/migrationtools/ [root@node1 migrationtools]# mkdir /ldaphome [root@node1 migrationtools]# useradd -d /ldaphome/ldapuser1 ldapuser1 # 創建ldap測試用戶,ldap用戶是基於服務端本地的用戶 [root@node1 migrationtools]# echo redhat | passwd ldapuser1 --stdin # 設置登錄密碼 Changing password for user ldapuser1. passwd: all authentication tokens updated successfully. [root@node1 migrationtools]# ./migrate_base.pl > /tmp/base.ldif # 生成三個文件: base.ldif、passwd.ldif、group.ldif [root@node1 migrationtools]# grep ldapuser1 /etc/passwd > /tmp/passwd.in [root@node1 migrationtools]# ./migrate_passwd.pl /tmp/passwd.in > /tmp/passwd.ldif [root@node1 migrationtools]# grep ldapuser1 /etc/group > /tmp/group.in [root@node1 migrationtools]# ./migrate_group.pl /tmp/group.in > /tmp/group.ldif [root@node1 migrationtools]# vim /tmp/base.ldif # 編輯base.ldif修改如下 dn: dc=super,dc=com dc: super objectClass: top objectClass: domain dn: ou=People,dc=super,dc=com ou: People objectClass: top objectClass: organizationalUnit dn: ou=Group,dc=super,dc=com ou: Group objectClass: top objectClass: organizationalUnit [root@node1 migrationtools]# cat /tmp/passwd.ldif dn: uid=ldapuser1,ou=People,dc=super,dc=com uid: ldapuser1 cn: ldapuser1 objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword: {crypt}$6$3ZJY7iN1$N/RPvsQwIOH/chUV6B4K4V6ddSKWO0GcIBdB9nfWHPbkugS34L9zWBeOuQhiWtbuQ9svukuwY1qWvp8Nfr2V0/ shadowLastChange: 16990 shadowMin: 0 shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 500 gidNumber: 500 homeDirectory: /ldaphome/ldapuser1 [root@node1 migrationtools]# cat /tmp/group.ldif dn: cn=ldapuser1,ou=Group,dc=super,dc=com objectClass: posixGroup objectClass: top cn: ldapuser1 userPassword: {crypt}x gidNumber: 500 [root@node1 migrationtools]# ldapadd -x -D 'cn=Manager,dc=super,dc=com' -W -f /tmp/base.ldif Enter LDAP Password: # 注意這里如果很久都沒有跳出來,請檢查selinxu是否為Permissive狀態,輸入的密碼為上面設置的redhat adding new entry "dc=super,dc=com" adding new entry "ou=People,dc=super,dc=com" adding new entry "ou=Group,dc=super,dc=com" # 把三個文件導入ldap,這樣ldap數據庫里就有我們想要是用戶 [root@node1 migrationtools]# ldapadd -x -D 'cn=Manager,dc=super,dc=com' -W -f /tmp/passwd.ldif Enter LDAP Password: adding new entry "uid=ldapuser1,ou=People,dc=super,dc=com" [root@node1 migrationtools]# ldapadd -x -D 'cn=Manager,dc=super,dc=com' -W -f /tmp/group.ldif Enter LDAP Password: adding new entry "cn=ldapuser1,ou=Group,dc=super,dc=com" 這樣就已經配置一個ldapuser1用戶為ldap用戶。 [root@node1 ~]# yum install nfs-utils -y # 配置nfs服務器,將ldapuser1家目錄共享出去。 [root@node1 ~]# vim /etc/exports /ldaphome 192.168.118.0/24(rw,async,root_squash) [root@node1 ~]# service rpcbind start Starting rpcbind: [ OK ] [root@node1 ~]# service nfs start Starting NFS services: [ OK ] Starting NFS mountd: [ OK ] Starting NFS daemon: [ OK ] Starting RPC idmapd: [ OK ]
2. 配置ldap client端
配置setup內容,建議使用setup命令直接配置。
配置setup內容,建議使用setup命令直接配置。 [root@node2 ~]# yum install setuptool -y # 安裝setup包 [root@node2 ~]# setup # 直接運行setup進行配置 Authentication configuration
安裝這樣的選項
這里缺少什么組件就安裝什么 yum install /lib64/security/pam_fprintd.so -y
這里不使用 TLS Server為服務器地址,DN為主配置文件中的配置
setup配置完成就可以嘗試登錄ldapuser1 [root@node2 ~]# su - ldapuser1 su: warning: cannot change directory to /ldaphome/ldapuser1: No such file or directory -bash-4.1$ 這里已經登錄成功,表示ldap服務工作正常了,只是在客戶端登錄沒有找到家目錄。這里通過autofs方式,登錄時自動掛載家目錄 [root@node2 ~]# yum install nfs-utils -y # 安裝nfs-utils 使用showmount 查看服務器共享目錄 [root@node2 ~]# showmount -e 192.168.118.14 # 查看到node1共享了/ldaphome Export list for 192.168.118.14: /ldaphome 192.168.118.0/24 [root@node2 ~]# yum install autofs -y # 安裝autofs包 [root@node2 ~]# vim /etc/auto.master /ldaphome /etc/auto.nfs # 添加一條新的規則 [root@node2 ~]# vim /etc/auto.nfs # 添加自動掛載的規則 * -fstype=nfs,rw,async 192.168.118.14:/ldaphome/& # 掛載192.168.118.14:/ldaphome/到本地的/ldaphome [root@node2 ~]# service autofs start # 啟動autofs服務 Loading autofs4: [ OK ] Starting automount: [ OK ] [root@node2 ~]# su - ldapuser1 # 直接測試 [ldapuser1@node2 ~]$ pwd /ldaphome/ldapuser1 [ldapuser1@node2 ~]$ df Filesystem 1K-blocks Used Available Use% Mounted on /dev/mapper/VolGroup-lv_root 18003272 838212 16243872 5% / tmpfs 502384 0 502384 0% /dev/shm /dev/sda1 487652 33246 428806 8% /boot /dev/sr0 3803432 3803432 0 100% /mnt/iso 192.168.118.14:/ldaphome/ldapuser1 18003328 802432 16279680 5% /ldaphome/ldapuser1 查看上面已經掛載成功。