1.ldap簡介
今天我們來介紹ldap伺服器的搭建和用戶端的通路,但是主要的問題在前者。首先我們要知道什麼是ldap。
在日常交談中,你可能會聽到有些人這麼說:"我們要把那些東西存在ldap中嗎?",或者"從ldap資料庫中取出那些資料!",又或者"我們怎麼把ldap和關系型資料庫內建在一起?"。嚴格地說,ldap根本不是資料庫而是用來通路存儲在資訊目錄(也就是ldap目錄)中的資訊的協定。更為确切和正式的說法應該是象這樣的:"通過使用ldap,可以在資訊目錄的正确位置讀取(或存儲)資料"。
ldap的優點:
(1)跨平台和标準協定
(2)安裝簡單,易于維護,和關系形資料庫相比更易維護。
ldap所要存儲和共享的東西一般是不經常改變的,例如我們現在要把公司員工的使用者密碼存放在ldap伺服器上,這樣我們在任何一台隻要能夠通路ldap伺服器的機子上都可以使用指定的使用者進行登入,而不是像以前一樣隻能在每台機子的本地使用者進行登入了。是不是更加的友善了。那麼我們現在就着手來搭建一下ldap伺服器。
2.搭建ldap伺服器
(1)準備工作
我們需要兩台主機,可以一個是真機,另外一個是虛拟機,隻要他們在同一個網段能夠通信就可以了。
兩個主機的版本号都為redhat6.4(其他的版本可能配置方法與此有些出入)
(2)開始配置
1.第一個是服務端,我們首先要安裝ldap伺服器:
2.把配置檔案的模闆拷貝到配置目錄上:
3.删除掉沒有用的配置檔案lapd.conf
4.修改配置檔案權限和使用者:
5.編輯配置檔案,修改一下幾處:
(1)tls開頭加密的那幾行注釋掉;
(2)這個部分注釋掉:
(3)這些做如下修改:
要非常注意的是:rootpw一定要在這行的開頭,否則是不生效的!!!
(4)然後重新開機sldap服務:
6.雖然服務已經配置好了,但是我們還沒有建立要共享的使用者,下面我們用腳本建立100個使用者:
執行使用者建立過程,但是因為是shell編寫的腳本,執行過程會比較緩慢,耐性等等,你可以在/etc/passwd檔案中檢視建立進度。
我們可以看到100個新使用者已經建立成功了:
但是有一個問題,這些使用者的書寫格式是無法直接導入到ldap伺服器上的,是以我們一定要采用格式轉換工具來轉變格式:
migrationtools是一個格式轉換工具,我們先來安裝它:
安裝完以後我們跳轉到它的目錄下,發現有很多可執行腳本用來限制格式的:
在migrate_common.ph中修改一下幾項:
然後把基本的導入模型進行設定:分為兩個部分,産生base.ldif和修改base.ldif:
因為我們隻設定它的使用者群組,所有隻留下這兩個部分,其他的全部删除:
把base.ldif轉移到/ldapuser目錄下:
下面這兩個操作是最關鍵的,我們要把共享的使用者群組的資訊從passwd和group中截取出來:
然後把這些使用者群組的資訊轉換成可以放到ldap伺服器上的格式:
轉換使用者:
轉換組:
先導入基本模闆,然後導入使用者群組資訊:
完成後重新開機slapd服務并重新整理火牆。
至此,沒有安全密鑰的ldap服務端就配置完成了,我們使用另外一台機子的服務端對其進行通路,并且切換使用者:
寫入服務端的ip:
好了!!最激動人心的時候到了,我們切換使用者到myldapuser1下,這個使用者在用戶端的機子上是沒有的,但是現在卻可以登入。
說明服務端的使用者共享是成功的,可以被其他機子通路。而且最大的優點是:我們可以隻更改服務端的使用者群組資訊就可以完成對其他用戶端的影響了。非常的實用友善。這個隻是ldap服務的一個功能。以後遇到了會更深入的了解。
注:這個服務是rhca階段的配置,如果感覺第一次比較吃力的話,多配幾次,總結成文檔,對ldap的了解就會加深。