首页> 系统技术> Linux openldap账户统一管理部署

[文章]Linux openldap账户统一管理部署

收藏
0 1052 0

【摘要】

从所周知Windows服务器的账号统一管理最好的工具是AD域,而AD域底层用于身份认证的技术,使用的是通用协议OpenLDAP,在WindowsLinuxUnix等等平台上都是适用,包括目前较常见的门户系统中,也常使用该协议进行身份认证。

OpenLDAP轻型目录访问协议Lightweight Directory Access ProtocolLDAP)的自由和开源的实现,在其OpenLDAP许可证下发行,并已经被包含在众多流行的Linux发行版中。 它主要包括下述4个部分: slapd - 独立LDAP守护服务 slurpd - 独立的LDAP更新复制守护服务 实现LDAP协议的库 工具软件和示例客户端

【正文】

一、    服务器端部署

1.         环境准备

A.        系统环境信息

操作系统:CentOS release 6.7

B.        基础的环境准备:

关闭防火墙:/etc/init.d/iptables stop  && chkconfig iptables off

关闭NetworkManager/etc/init.d/NetworkManager stop && chkconfig NetworkManager off

SeLinux设为disabledgetenforce 是否为Disabled,若不是,则修改:

         1:临时的生效  setenforce 0,再getenforce的时候为permissive

         2:修改配置文件,然后重启  vim /etc/sysconfig/selinux SELINUX=disabled

yum源仓库的配置:

         1mkdir /yum

         2vim /etc/yum.repos.d/ll.repo

                  [local]

                  name = local

                  baseurl = file:///yum

                  gpgcheck = 0

                  enabled = 1

         3)挂载 mount /mnt/hgfs/软件/CentOS-6.7-x86_64-bin-DVD1to2/CentOS-6.7-x86_64-bin-DVD1.iso /yum -o loop 

         4yum clean all 清除缓存

         5yum makecache 创建缓存

2.         OpenLDAP服务器的搭建

1)安装OpenLDAP的相关

         yum -y install openldap openldap-servers openldap-clients openldap-devel compat-openldap   其中compat-openldap这个包与主从有很大的关系 ,安装完后,可以看到自动创建了ldap用户:

      

可以通过rpm -qa |grep openldap查看安装了哪些包:

      

2OpenLDAP的相关配置文件信息

      /etc/openldap/slapd.confOpenLDAP的主配置文件,记录根域信息,管理员名称,密码,日志,权限等

      /etc/openldap/slapd.d/*:这下面是/etc/openldap/slapd.conf配置信息生成的文件,每修改一次配置信息,这里的东西就要重新生成

      /etc/openldap/schema/*OpenLDAPschema存放的地方

      /var/lib/ldap/*OpenLDAP的数据文件

      /usr/share/openldap-servers/slapd.conf.obsolete 模板配置文件

      /usr/share/openldap-servers/DB_CONFIG.example 模板数据库配置文件

      OpenLDAP监听的端口:

      默认监听端口:389(明文数据传输)

      加密监听端口:636(密文数据传输)          

3)初始化OpenLDAP的配置

      cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

      cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf

4)修改配置文件

      首先,slappasswd生成密文密码1qaz@WSX,拷贝这个到/etc/openldap/slapd.conf

     这里的rootpw必须顶格写,而且与后面的密码文件用Tab键隔开                 

  

            

5)重新生成配置文件信息文件

      先检测/etc/openldap/slapd.conf是否有错误:slaptest -f /etc/openldap/slapd.conf    


    这里报错是因为在第三步后没有重新生成配置文件,启动slapd。而是直接修改配置文件去了。先启动slapd/etc/init.d/slapd restart

                   

   这里有报错,这是因为没有给/var/lib/ldap授权,授权后chown -R ldap.ldap /var/lib/ldap/,再重启slapd/etc/init.d/slapd restart,可以看到成功的

    

  接着回到检测/etc/openldap/slapd.conf是否有错误:slaptest -f /etc/openldap/slapd.conf

  

  可以看到没问题,然后重新生成配置文件的配置信息:

  先删除最先的配置文件生成的信息:rm -rf /etc/openldap/slapd.d/*

  重新生成:slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

  查看是否生成的是自己修改的配置文件信息:cat /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}bdb.ldif

  

 授权:chown -R ldap.ldap /etc/openldap/slapd.d/

 重启:/etc/init.d/slapd restart


 到这里为止,OpenLDAP服务端基本上完成了

二、    客户端配置

在账号中,不能让每个用户都能登录系统,所以要限制用户登录

1vim /etc/pam.d/sshd 在这里加上pam_access.so模块


2vim /etc/security/access.conf  这里限制test2用户ssh登录系统


一、  测试:

可以看到就test3登录上了


 

系统技术
最近热帖
{{item.Title}} {{item.ViewCount}}
近期热议
{{item.Title}} {{item.PostCount}}