CentOS7 安裝 Openldap

0、設定主機名

hostnamectl set-hostname openldap.company.com

vim /etc/hosts

127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4 openldap.company.com

::1         localhost localhost.localdomain localhost6 localhost6.localdomain6

1、關閉selinux和防火牆

sed -i ‘/SELINUX/s/enforcing/disabled/’ /etc/selinux/config && setenforce 0&& systemctl disable firewalld.service && systemctl stop firewalld.service && shutdown -r now

2、更新yum源

cd /etc/yum.repos.d/

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

yum makecache

yum -y update

3、使用如下指令安裝OpenLDAP

yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools

4、檢視OpenLDAP版本

slapd -VV

5、獲得一個密碼的離散值

slappasswd -s [管理者密碼]

生成：{SSHA}XXXXXXXXXXXXXXXXXXXXXX

6、修改olcDatabase={2}hdb.ldif檔案

vim /etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif

增加一行

olcRootPW: {SSHA}XXXXXXXXXXXXXXXXXXXXXX

然後修改域資訊：

olcSuffix: dc=company,dc=com

olcRootDN: cn=Manager,dc=company,dc=com

7、修改olcDatabase={1}monitor.ldif檔案

vim /etc/openldap/slapd.d/cn=config/olcDatabase\=\{1\}monitor.ldif

olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern

al,cn=auth" read by dn.base="cn=Manager,dc=company,dc=com" read by * none

8、驗證OpenLDAP的基本配置

slaptest -u

9、啟動OpenLDAP服務

systemctl enable slapd

systemctl start slapd

systemctl status slapd

10、OpenLDAP預設監聽的端口是389，下面我們來看下是不是389端口

netstat -antup | grep 389

11、配置OpenLDAP資料庫

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

chown ldap:ldap -R /var/lib/ldap

chmod 700 -R /var/lib/ldap

12、導入基本Schema

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

13、修改migrate_common.ph檔案,migrate_common.ph檔案主要是用于生成ldif檔案使用，修改migrate_common.ph檔案

vim /usr/share/migrationtools/migrate_common.ph +71

$DEFAULT_MAIL_DOMAIN = "company.com";

$DEFAULT_BASE = "dc=company,dc=com";

$EXTENDED_SCHEMA = 1;

14、添加使用者及使用者組

groupadd ldapgroup1

groupadd ldapgroup2

useradd -g ldapgroup1 ldapuser1

useradd -g ldapgroup2 ldapuser2

echo '123456' passwd –stdin ldapuser1

echo '123456' passwd –stdin ldapuser2

把剛剛添加的使用者和使用者組提取出來

grep “:10[0-9][0-9]” /etc/passwd > /root/users

grep “:10[0-9][0-9]” /etc/group > /root/groups

15、使用migrate_passwd.pl檔案生成要添加使用者和使用者組的ldif

/usr/share/migrationtools/migrate_passwd.pl /root/users > /root/users.ldif

/usr/share/migrationtools/migrate_group.pl /root/groups > /root/groups.ldif

cat users.ldif

cat groups.ldif

注意：ldif檔案中，使用者密碼是錯的，要自己生成。

生成的方法：

slappasswd

New password:[隐藏]

Re-enter new password:[隐藏]

{SSHA}XXXXXXXXXXXX

把{SSHA}XXXXXXXXXXXX更新到：users.ldif檔案的userPassword屬性

16、導入使用者及使用者組到OpenLDAP資料庫

16.1

導入基礎資料庫，使用如下指令

cd /usr/share/migrationtools/

./migrate_base.pl /root/base.ldif

把得出的資訊儲存到/root/base.ldif中。

ldapadd -x -w "[管理者密碼]" -D "cn=Manager,dc=company,dc=com" -f /root/base.ldif

16.2導入使用者到資料庫

ldapadd -x -w "[管理者密碼]" -D "cn=Manager,dc=company,dc=com" -f /root/users.ldif

16.3導入使用者組到資料庫

ldapadd -x -w "[管理者密碼]" -D "cn=Manager,dc=company,dc=com" -f /root/groups.ldif

16.4把OpenLDAP使用者加入到使用者組

把ldapuser1使用者加入到ldapgroup1使用者組，建立添加使用者到使用者組的ldif檔案

cat > add_user_to_groups.ldif

dn: cn=ldapgroup1,ou=Group,dc=company,dc=com

changetype: modify

add: memberuid

memberuid: ldapuser1

ldapadd -x -w "[管理者密碼]" -D "cn=Manager,dc=company,dc=com" -f /root/add_user_to_groups.ldif

查詢添加的OpenLDAP使用者組

ldapsearch -LLL -x -D 'cn=Manager,dc=company,dc=com' -w "[管理者密碼]" -b 'dc=company,dc=com' 'cn=ldapgroup1'

17、開啟OpenLDAP日志通路功能

建立日志配置ldif檔案

cat > /root/loglevel.ldif

dn: cn=config

changetype: modify

replace: olcLogLevel

olcLogLevel: stats

導入到OpenLDAP中，并重新開機OpenLDAP服務

ldapmodify -Y EXTERNAL -H ldapi:/// -f /root/loglevel.ldif

systemctl restart slapd

修改rsyslog配置檔案，并重新開機rsyslog服務

cat >> /etc/rsyslog.conf

local4.* /var/log/slapd.log

systemctl restart rsyslog

首先安裝Apache和PHP：

yum -y install httpd php php-ldap php-gd php-mbstring php-pear php-bcmath php-xml

yum -y install epel-release

yum --enablerepo=epel -y install phpldapadmin

修改配置檔案

vim /etc/phpldapadmin/config.php

$servers->setValue('login','attr','dn');

// $servers->setValue('login','attr','uid');

vim /etc/httpd/conf.d/phpldapadmin.conf

<IfModule mod_authz_core.c>

# Apache 2.4

Require local

Require ip 192.168.1.1/24

</IfModule>

設定開機自啟并啟動Apache：

[[email protected] ~]# systemctl enable httpd

[[email protected] ~]# systemctl start httpd