其他優秀參考博客:https://segmentfault.com/a/1190000014683418?utm_source=tag-newest
https://blog.csdn.net/weixin_42578481/article/details/80863890
1.LDAP的部署
1.安裝openldap
#同步時間,關閉seliunx和firewalld,重啟服務器
[root@linux-test-no ~]# ntpdate -u ntp1.aliyun.com && sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config &&
setenforce 0 && systemctl disable firewalld.service && systemctl stop firewalld.service && shutdown -r now
#使用yum安裝openldap及其相關包 [root@linux-no ~]# yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools #安裝包說明
#查看安裝的版本
[root@linux-no ~]# slapd -VV
@(#) $OpenLDAP: slapd 2.4.44 (Jan 29 2019 17:42:45) $
mockbuild@x86-01.bsys.centos.org:/builddir/build/BUILD/openldap-2.4.44/openldap-2.4.44/servers/slapd
#安裝完成之后,會自動生成一個OpenLDAP的系統賬號
[root@linux-no ~]# cat /etc/passwd
。。。。。
ldap:x:55:55:OpenLDAP server:/var/lib/ldap:/sbin/nologin
。。。。。
# 復制一個默認配置到指定目錄下,並授權,這一步一定要做,然后再啟動服務,不然生產密碼時會報錯
[root@linux-test-no ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@linux-test-no ~]# chown -R ldap. /var/lib/ldap/DB_CONFIG
# 啟動服務,先啟動服務,配置后面再進行修改
[root@linux-test-no ~]# systemctl start slapd
[root@linux-test-no ~]# systemctl enable slapd
Created symlink from /etc/systemd/system/multi-user.target.wants/slapd.service to /usr/lib/systemd/system/slapd.service.
[root@linux-test-no ~]# systemctl status slapd #查看狀態,正常啟動則OK
2.修改openldap配置
這里就是重點中的重點了,從openldap2.4.23版本開始,所有配置都保存在/etc/openldap/slapd.d目錄下的cn=config文件夾內,不再使用slapd.conf作為配置文件。配置文件的后綴為 ldif,且每個配置文件都是通過命令自動生成的,任意打開一個配置文件,在開頭都會有一行注釋,說明此為自動生成的文件,請勿編輯,使用ldapmodify命令進行修改
# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
安裝openldap后,會有三個命令用於修改配置文件,分別為ldapadd, ldapmodify, ldapdelete,顧名思義就是添加,修改和刪除。而需要修改或增加配置時,則需要先寫一個ldif后綴的配置文件,然后通過命令將寫的配置更新到slapd.d目錄下的配置文件中去,完整的配置過程如下,跟着我做就可以了:
#生成管理員密碼,記錄下這個密碼,后面需要用到 [root@linux-test-no ~]# slappasswd New password: Re-enter new password: {SSHA}y9uEdHzwOgf6yG1tXSmhHS/mLE0j0vtw ## 新增修改密碼文件,ldif為后綴,文件名隨意,不要在/etc/openldap/slapd.d/目錄下創建類似文件 # 生成的文件為需要通過命令去動態修改ldap現有配置,如下,我在家目錄下,創建文件 [root@linux-test-no ~]# vim changepwd.ldif dn: olcDatabase={0}config,cn=config changetype: modify add: olcRootPW olcRootPW: {SSHA}y9uEdHzwOgf6yG1tXSmhHS/mLE0j0vtw # 這里解釋一下這個文件的內容: # 第一行執行配置文件,這里就表示指定為 cn=config/olcDatabase={0}config 文件。你到/etc/openldap/slapd.d/目錄下就能找到此文件 # 第二行 changetype 指定類型為修改 # 第三行 add 表示添加 olcRootPW 配置項 # 第四行指定 olcRootPW 配置項的值 # 在執行下面的命令前,你可以先查看原本的olcDatabase={0}config文件,里面是沒有olcRootPW這個項的,執行命令后,你再看就會新增了olcRootPW項,而且內容是我們文件中指定的值加密后的字符串 # 執行命令,修改ldap配置,通過-f執行文件,出現下面輸出則為正常 [root@linux-test-no ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f changepwd.ldif SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 modifying entry "olcDatabase={0}config,cn=config" #查看olcDatabase={0}config內容,新增了一個olcRootPW項 [root@linux-test-no ~]# cat /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{0\}config.ldif # AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify. # CRC32 dd117abc dn: olcDatabase={0}config objectClass: olcDatabaseConfig olcDatabase: {0}config olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern al,cn=auth" manage by * none structuralObjectClass: olcDatabaseConfig entryUUID: 97da77ca-592b-103a-9591-b5fa934588bd creatorsName: cn=config createTimestamp: 20200713080709Z olcRootPW:: e1NTSEF9eTl1RWRIendPZ2Y2eUcxdFhTbWhIUy9tTEUwajB2dHc= entryCSN: 20200713082821.418880Z#000000#000#000000 modifiersName: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth modifyTimestamp: 20200713082821Z
上面就是一個完整的修改配置的過程,切記不能直接修改/etc/openldap/slapd.d/目錄下的配置。你修改了它之后,它的md5校驗值會匹配不上,造成更多的問題
好了,下面繼續進行配置
# 我們需要向 LDAP 中導入一些基本的 Schema。這些 Schema 文件位於 /etc/openldap/schema/ 目錄中,schema控制着條目擁有哪些對象類和屬性,可以自行選擇需要的進行導入, # 依次執行下面的命令,導入基礎的一些配置,我這里將所有的都導入一下,其中core.ldif是默認已經加載了的,不用導入
[root@linux-test-no ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
[root@linux-test-no ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
[root@linux-test-no ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
[root@linux-test-no ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/collective.ldif
[root@linux-test-no ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/corba.ldif
[root@linux-test-no ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/duaconf.ldif
[root@linux-test-no ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif
[root@linux-test-no ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/java.ldif
[root@linux-test-no ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/misc.ldif
[root@linux-test-no ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/openldap.ldif
[root@linux-test-no ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/pmi.ldif
[root@linux-test-no ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif
# 如果要修改,則修改文件中相應的dc=qingbai,dc=com為自己的域名
[root@linux-test-no ~]# vim changedomain.ldif
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=admin,dc=qingbai,dc=com" read by * none
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=qingbai,dc=com
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=qingbai,dc=com
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}y9uEdHzwOgf6yG1tXSmhHS/mLE0j0vtw #這里填一開始我們生成的管理員密碼
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=yaobili,dc=com" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=qingbai,dc=com" write by * read
#執行命令,修改配置,最后這里有5個修改,所以執行會輸出5行表示成功。
[root@linux-test-no ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f changedomain.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
然后,啟用memberof功能
# 新增add-memberof.ldif, #開啟memberof支持並新增用戶支持memberof配置
[root@linux-test-no ~]# vim add-memberof.ldif
dn: cn=module{0},cn=config
cn: modulle{0}
objectClass: olcModuleList
objectclass: top
olcModuleload: memberof.la
olcModulePath: /usr/lib64/openldap
dn: olcOverlay={0}memberof,olcDatabase={2}hdb,cn=config
objectClass: olcConfig
objectClass: olcMemberOf
objectClass: olcOverlayConfig
objectClass: top
olcOverlay: memberof
olcMemberOfDangling: ignore
olcMemberOfRefInt: TRUE
olcMemberOfGroupOC: groupOfUniqueNames
olcMemberOfMemberAD: uniqueMember
olcMemberOfMemberOfAD: memberOf
# 新增refint1.ldif文件新增refint2.ldif文件
[root@linux-test-no ~]# vim refint2.ldif
dn: olcOverlay=refint,olcDatabase={2}hdb,cn=config
objectClass: olcConfig
objectClass: olcOverlayConfig
objectClass: olcRefintConfig
objectClass: top
olcOverlay: refint
olcRefintAttribute: memberof uniqueMember manager owner
[root@linux-test-no ~]# ldapadd -Q -Y EXTERNAL -H ldapi:/// -f add-memberof.ldif
[root@linux-test-no ~]# ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f refint1.ldif
[root@linux-test-no ~]# ldapadd -Q -Y EXTERNAL -H ldapi:/// -f refint2.ldif
到此,配置修改完了,在上述基礎上,我們來創建一個叫做 qingbai company 的組織,並在其下創建一個 admin 的組織角色(該組織角色內的用戶具有管理整個 LDAP 的權限)和 People 和 Group 兩個組織單元:
#新增配置文件 [root@linux-test-no ~]# vim base.ldif dn: dc=qingbai,dc=com objectClass: top objectClass: dcObject objectClass: organization o: Qingbai Company dc: qingbai dn: cn=admin,dc=qingbai,dc=com objectClass: organizationalRole cn: admin dn: ou=People,dc=qingbai,dc=com objectClass: organizationalUnit ou: People dn: ou=Group,dc=qingbai,dc=com objectClass: organizationalRole cn: Group #執行命令,添加配置, 這里要注意修改域名為自己配置的域名,然后需要輸入上面我們生成管理員密碼時輸入的密碼
[root@linux-test-no ~]# ldapadd -x -D cn=admin,dc=qingbai,dc=com -W -f base.ldif
Enter LDAP Password:
adding new entry "dc=qingbai,dc=com"
adding new entry "cn=admin,dc=qingbai,dc=com"
adding new entry "ou=People,dc=qingbai,dc=com"
adding new entry "ou=Group,dc=qingbai,dc=com"
通過以上的所有步驟,我們就設置好了一個 LDAP 目錄樹:其中基准 dc=qingbai,dc=com 是該樹的根節點,其下有一個管理域 cn=admin,dc=qingbai,dc=com 和兩個組織單元 ou=People,dc=qingbai,dc=com 及 ou=Group,dc=qingbai,dc=com。
2.安裝phpldapadmin
1.安裝過程
ldap裝好后,下面安裝web界面phpldapadmin。
# yum安裝時,會自動安裝apache和php的依賴。 # 注意: phpldapadmin很多沒更新了,只支持php5,如果你服務器的環境是php7,則會有問題,頁面會有各種報錯 [root@linux-test-no ~]# yum install -y phpldapadmin
# 修改apache的phpldapadmin配置文件 # 修改如下內容,放開外網訪問,這里只改了2.4版本的配置,因為centos7 默認安裝的apache為2.4版本。所以只需要改2.4版本的配置就可以了 # 如果不知道自己apache版本,執行 rpm -qa|grep httpd 查看apache版本 [root@linux-test-no ~]# vim /etc/httpd/conf.d/phpldapadmin.conf
#修改配置用DN登錄ldap
[root@linux-test-no ~]# vim /etc/phpldapadmin/config.php
# 398行,默認是使用uid進行登錄,我這里改為cn,也就是用戶名
$servers->setValue('login','attr','cn');
# 460行,關閉匿名登錄,否則任何人都可以直接匿名登錄查看所有人的信息
$servers->setValue('login','anon_bind',false);
# 519行,設置用戶屬性的唯一性,這里我將cn,sn加上了,以確保用戶名的唯一性
$servers->setValue('unique','attrs',array('mail','uid','uidNumber','cn','sn'))
# 啟動apache
[root@linux-test-no ~]# systemctl start httpd
[root@linux-test-no ~]# systemctl enable httpd
Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.
[root@linux-test-no ~]# systemctl enable httpd
Created symlink from /etc/systemd/system/multi-user.target.wants/httpd.service to /usr/lib/systemd/system/httpd.service.
2.登錄phpldapadmin界面
上一步,啟動了apache服務后,在瀏覽器上訪問: http://ip/ldapadmin ,然后使用上面定義的用戶,進行登錄,如下:
如果你前面一切都設置對了,那么這里就可以登錄進去了。