OpenLDAP 在 CentOS 7 上的極速搭建教程

這是一篇在 CentOS 7 上快速搭建 OpenLDAP 的文檔,主要目的是留存一份能夠迅速搭建 OpenLDAP 環(huán)境的材料,以備不時(shí)之需。啥也別說战惊,先點(diǎn)右上角收藏,未來的你可能會(huì)感謝現(xiàn)在的自己扎即。

依照本文進(jìn)行配置之后吞获,讀者將搭建一臺(tái)單機(jī)况凉、具有用戶和用戶組結(jié)構(gòu)、無備份各拷、無證書加密的 OpenLDAP 實(shí)例刁绒。備份和證書加密的內(nèi)容將放在其他文章中。

1. 為服務(wù)器選定一個(gè) FQDN烤黍,并且配置為該服務(wù)器的主機(jī)名

這里知市,我們將服務(wù)器命名為 ldap.colinlee.fish,并將該 FQDN 連同主機(jī)名配置在 /etc/hosts 中速蕊。除非你有什么特殊的原因?qū)е虏荒芘渲?FQDN嫂丙,否則強(qiáng)烈建議配置:該 FQDN 在為 OpenLDAP 設(shè)置 CA 證書時(shí)有非常大的作用。

[root@ldap ~]# hostnamectl set-hostname ldap.colinlee.fish

/etc/hosts

127.0.1.1    ldap.colinlee.fish ldap
127.0.0.1    localhost
2. 安裝 OpenLDAP 服務(wù)端规哲,設(shè)置數(shù)據(jù)庫配置文件跟啤,啟動(dòng) OpenLDAP 服務(wù)
[root@ldap ~]# yum -y openldap-servers openldap-clients
[root@ldap ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@ldap ~]# chown ldap.ldap /var/lib/ldap/DB_CONFIG
[root@ldap ~]# systemctl start slapd
[root@ldap ~]# systemctl enable slapd
3. 設(shè)置 OpenLDAP 的管理員用戶 root 的密碼

首先,使用 slappasswd 命令唉锌,為 OpenLDAP 的超級管理員用戶(root)生成密碼隅肥。

[root@ldap ~]# slappasswd
New password:
Re-enter new password:
{SSHA}xxxxxxxxxxxxxxxxxxxxxxxx

將生成的密碼添加至 OpenLDAP 的 ldif 文件中。LDIF 是修改 OpenLDAP 內(nèi)容的標(biāo)準(zhǔn)文本格式袄简。

chrootpw.ldif

dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxx

接下來武福,執(zhí)行編輯好的 chrootpw.ldif 文件。

[root@ldap ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"
4. 添加幾個(gè)基礎(chǔ)的 Schema

此處添加的 Schema 主要用于記錄人員信息痘番。如果搭建該 OpenLDAP 的目的為用戶認(rèn)證捉片,一般都會(huì)導(dǎo)入以下 Schema;如果使用 OpenLDAP 有別的用處汞舱,請確認(rèn)用處后再考慮導(dǎo)入哪些 Schema伍纫。

[root@ldap ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=cosine,cn=schema,cn=config"

[root@ldap ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=nis,cn=schema,cn=config"

[root@ldap ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=inetorgperson,cn=schema,cn=config"
5. 在 LDAP 數(shù)據(jù)庫中設(shè)置根域和數(shù)據(jù)庫超級管理員

這里的“根域”可以和這臺(tái)服務(wù)器 FQDN 中的根域不同,此處我們設(shè)置為 dc=colinlee,dc=fish昂芜。

數(shù)據(jù)庫管理員和上面設(shè)置過的 OpenLDAP 超級管理員并非同一管理員莹规,而且這里設(shè)置的管理員目前尚未創(chuàng)建。此處的設(shè)置同樣需要一個(gè)用 slappasswd 命令生成的密碼泌神,為了方便管理良漱,我們使用剛剛生成的密碼,不再重新生成欢际。

創(chuàng)建一個(gè)新的 ldif 文件母市,設(shè)置以上內(nèi)容。

domain-dbadmin.ldif

dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to *
  by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read
  by dn.base="cn=admin,dc=colinlee,dc=fish" read
  by * none

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=colinlee,dc=fish

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=colinlee,dc=fish

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxx

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange
  by dn="cn=admin,dc=colinlee,dc=fish" write
  by anonymous auth
  by self write
  by * none
olcAccess: {1}to dn.base=""
  by * read
olcAccess: {2}to *
  by dn="cn=admin,dc=colinlee,dc=fish" write
  by * read

然后執(zhí)行該 ldif 文件损趋。

[root@ldap ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f domain-dbadmin.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"
6. 創(chuàng)建用戶節(jié)點(diǎn)患久、組節(jié)點(diǎn)和數(shù)據(jù)庫超級管理員

同樣創(chuàng)建一個(gè)新的 ldif 文件,并填入節(jié)點(diǎn)信息。

basedomain.ldif

dn: dc=colinlee,dc=fish
objectClass: top
objectClass: dcObject
objectclass: organization
o: Example Inc.
dc: colinlee

dn: ou=user,dc=colinlee,dc=fish
objectClass: organizationalUnit
ou: user

dn: ou=group,dc=colinlee,dc=fish
objectClass: organizationalUnit
ou: group

dn: cn=admin,dc=colinlee,dc=fish
objectClass: organizationalRole
cn: admin
description: Directory Administrator

執(zhí)行該文件使內(nèi)容生效蒋失。這里的執(zhí)行方式和前面幾次有所不同返帕,此處使用了數(shù)據(jù)庫超級管理員的身份,而且需要輸入之前設(shè)置的密碼篙挽。

[root@ldap ~]# ldapadd -x -D cn=admin,dc=colinlee,dc=fish -W -f basedomain.ldif
Enter LDAP Password:
adding new entry "dc=colinlee,dc=fish"

adding new entry "ou=user,dc=colinlee,dc=fish"

adding new entry "ou=group,dc=colinlee,dc=fish"

adding new entry "cn=admin,dc=colinlee,dc=fish"
7. 配置防火墻

如果使用了防火墻荆萤,需要開啟針對 LDAP 的策略。

[root@ldap ~]# firewall-cmd --add-service=ldap --permanent
success
[root@ldap ~]# firewall-cmd --reload
success

如果不使用防火墻铣卡,直接關(guān)閉即可观腊。

[root@ldap ~]# systemctl stop firewalld
[root@ldap ~]# systemctl disable firewalld

參考資料:

https://www.server-world.info/en/note?os=CentOS_7&p=openldap
http://www.itzgeek.com/how-tos/linux/centos-how-tos/step-step-openldap-server-configuration-centos-7-rhel-7.html

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個(gè)濱河市算行,隨后出現(xiàn)的幾起案子梧油,更是在濱河造成了極大的恐慌,老刑警劉巖州邢,帶你破解...
    沈念sama閱讀 212,718評論 6 492
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件儡陨,死亡現(xiàn)場離奇詭異,居然都是意外死亡量淌,警方通過查閱死者的電腦和手機(jī)骗村,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,683評論 3 385
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來呀枢,“玉大人胚股,你說我怎么就攤上這事∪骨铮” “怎么了琅拌?”我有些...
    開封第一講書人閱讀 158,207評論 0 348
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長摘刑。 經(jīng)常有香客問我进宝,道長,這世上最難降的妖魔是什么枷恕? 我笑而不...
    開封第一講書人閱讀 56,755評論 1 284
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任党晋,我火速辦了婚禮,結(jié)果婚禮上徐块,老公的妹妹穿的比我還像新娘未玻。我一直安慰自己,他們只是感情好胡控,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,862評論 6 386
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布扳剿。 她就那樣靜靜地躺著,像睡著了一般铜犬。 火紅的嫁衣襯著肌膚如雪舞终。 梳的紋絲不亂的頭發(fā)上轻庆,一...
    開封第一講書人閱讀 50,050評論 1 291
  • 城市分裂傳說
    那天癣猾,我揣著相機(jī)與錄音敛劝,去河邊找鬼。 笑死纷宇,一個(gè)胖子當(dāng)著我的面吹牛夸盟,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播像捶,決...
    沈念sama閱讀 39,136評論 3 410
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼上陕,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了拓春?” 一聲冷哼從身側(cè)響起释簿,我...
    開封第一講書人閱讀 37,882評論 0 268
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎硼莽,沒想到半個(gè)月后庶溶,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 44,330評論 1 303
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡懂鸵,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,651評論 2 327
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年偏螺,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片匆光。...
    茶點(diǎn)故事閱讀 38,789評論 1 341
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡套像,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出终息,到底是詐尸還是另有隱情夺巩,我是刑警寧澤,帶...
    沈念sama閱讀 34,477評論 4 333
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布周崭,位于F島的核電站劲够,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏休傍。R本人自食惡果不足惜征绎,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 40,135評論 3 317
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望磨取。 院中可真熱鬧人柿,春花似錦、人聲如沸忙厌。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,864評論 0 21
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽逢净。三九已至哥放,卻和暖如春歼指,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背甥雕。 一陣腳步聲響...
    開封第一講書人閱讀 32,099評論 1 267
  • 情欲美人皮
    我被黑心中介騙來泰國打工踩身, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人社露。 一個(gè)月前我還...
    沈念sama閱讀 46,598評論 2 362
  • 代替公主和親
    正文 我出身青樓挟阻,卻偏偏與公主長得像,于是被迫代替她去往敵國和親峭弟。 傳聞我的和親對象是個(gè)殘疾皇子附鸽,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,697評論 2 351

推薦閱讀更多精彩內(nèi)容