LDAP部署

1、安装LDAP

1
yum install -y openldap-* migrationtools

2、设置全局链接密码

1
2
3
[root@server0 ~]# slappasswd -s Huawei@123 -n > /etc/openldap/passwd
[root@server0 ~]# cat /etc/openldap/passwd 
{SSHA}da7Ye4nOqrzmRnr1kFN7YYWSSSSDHGpH

3、生成LDAP基础数据并设置权限

1
2
3
# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG 
# chown -R ldap:ldap /var/lib/ldap/*
# slaptest 测试(有报错可以不用管)

4、启动服务、设置开机自启

1
2
3
4
# systemctl start/restart slapd
# systemctl enable slapd
# systemctl status slapd
# 启动失败先查看slapd状态,如果出现/var/lib/ldap/认证失败,重新执行chown -R ldap:ldap /var/lib/ldap/*

5、设置LDAP日志文件,保存日志信息

1
2
3
[root@server0 ~]# cd /etc/openldap/schema/
[root@server0 schema]# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f cosine.ldif
[root@server0 schema]# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f nis.ldif

6、配置自定义结构文件导入服务器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
vim /etc/openldap/changes.ldif

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=huawei100d,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=huawei100d,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}da7Ye4nOqrzmRnr1kFN7YYWSSSSDHGpH

dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: -1

dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=admin,dc=huawei100d,dc=com" read by * none

7、将新的配置文件更新到slapd服务器

1
[root@server0 openldap]# ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/changes.ldif

8、创建/etc/openldap/base.ldif文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[root@server0 schema]# vi /etc/openldap/base.ldif
dn: dc=huawei100d,dc=com
dc: huawei100d
objectClass: top
objectClass: domain

dn: ou=People,dc=huawei100d,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit

dn: ou=Group,dc=huawei100d,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit

9、创建目录的结构服务

1
[root@server0 ~]# ldapadd -x -w Huawei@123 -D cn=admin,dc=huawei100d,dc=com -f /etc/openldap/base.ldif

10、配置迁移工具

1
2
3
4
5
6
7
8
9
10
## 更改为设置的域名
[root@server0 ~]# vi /usr/share/migrationtools/migrate_common.ph 

 # Default DNS domain

$DEFAULT_MAIL_DOMAIN = "huawei100d.com";

# Default base

$DEFAULT_BASE = "dc=huawei100d,dc=com";

11、导入用户、用户组

1
2
3
4
5
6
7
8
9
10
11
cd /usr/share/migrationtools/
[root@server0 migrationtools]# grep ":10[0-9][0-9]" /etc/passwd > passwdtest
[root@server0 migrationtools]# cat passwdtest
[root@server0 migrationtools]# ./migrate_passwd.pl passwdtest users.ldif   --执行该命令把上一步创建的passwd文件转换成LDAP能识别的ldif格式的文件。
[root@server0 migrationtools]# cat users.ldif
[root@server0 migrationtools]# ldapadd -x -w Huawei@123 -D cn=admin,dc=huawei100d,dc=com -f user.ldif 
[root@server0 migrationtools]# grep ":10[0-9][0-9]" /etc/group > grouptest
[root@server0 migrationtools]# cat grouptest 
[root@server0 migrationtools]# ./migrate_group.pl grouptest group.ldif
[root@server0 migrationtools]# cat group.ldif 
[root@server0 migrationtools]# ldapadd -x -w Huawei@123 -D cn=admin,dc=huawei100d,dc=com -f group.ldif

12、测试

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
[root@server0 migrationtools]# ldapsearch -x cn=testldapuser3 -b dc=huawei100d,dc=com   随便查一个用户信息,看是否能查到。

# extended LDIF

#

# LDAPv3

# base <dc=huawei100d,dc=com> with scope subtree

# filter: cn=testldapuser3

# requesting: ALL

#

# testldapuser3, People, huawei100d.com

dn: uid=testldapuser3,ou=People,dc=huawei100d,dc=com
uid: testldapuser3
cn: testldapuser3
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword:: e2NyeXB0fSQ2JEFNcHZTanhWJEdvMzVHVGU3Lm0xWG8xMTlWejJBaklTVnlDTjl
 2a00uQVRoNWcuV0k1QnNzSmVjbGd4cjRqV3ZWbXBHWlF6RFNGWDVYMVQ3VE9yNjFyTVhjU0JUQkUx
shadowLastChange: 17524
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1003
gidNumber: 1003
homeDirectory: /home/guests/testldapuser3

# testldapuser3, Group, huawei100d.com

dn: cn=testldapuser3,ou=Group,dc=huawei100d,dc=com
objectClass: posixGroup
objectClass: top
cn: testldapuser3
userPassword:: e2NyeXB0fXg=
gidNumber: 1003

# search result

search: 2
result: 0 Success

# numResponses: 3

# numEntries: 2

13、用户管理

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
1、添加用户
编辑文件:testuser.ldif

dn: cn=testuser,ou=People,dc=huawei100d,dc=com
objectClass: top
objectClass: organizationalPerson
objectClass: person
sn: testuser
cn: testuser
userPassword: testpasswd(使用明文密码添加即可)

运行ldapadd命令添加:
root@ldaptest2:~# ldapadd -x -D "cn=admin,dc=huawei100d,dc=com" -w passwd -f testuser.ldif
adding new entry "cn=testuser,ou=People,dc=huawei100d,dc=com"

2、修改用户密码:
编辑文件:changepasswd.ldif
dn: cn=testuser,ou=People,dc=huawei100d,dc=com
changetype: modify
#add: mail
#mail: modme@example.com
replace: userPassword
userPassword: testpass123

运行ldapmodify命令修改:
root@ldaptest2:~# ldapmodify -x -D "cn=admin,dc=huawei100d,dc=com" -w passwd -f changepasswd.ldif
modifying entry "cn=testuser,ou=People,dc=huawei100d,dc=com"

3、删除用户:
运行ldapdelete命令删除该用户目录
ldapdelete -x -D "cn=admin,dc=huawei100d,dc=com" -w passwd 'cn=testuser,ou=People,dc=huawei100d,dc=com'
Linux
#Linux #LDAP
LDAP部署
https://www.zhoumx.net/LDAP部署.html
作者
阿星
发布于
2022年8月30日
许可协议