0、设置主机名
hostnamectl set-hostname openldap.company.com vim /etc/hosts 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 openldap.company.com ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
1、关闭selinux和防火墙
sed -i ‘/SELINUX/s/enforcing/disabled/’ /etc/selinux/config && setenforce 0&& systemctl disable firewalld.service && systemctl stop firewalld.service && shutdown -r now
2、更新yum源
cd /etc/yum.repos.d/ wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo yum makecache yum -y update
3、使用如下命令安装OpenLDAP
yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools
4、查看OpenLDAP版本
slapd -VV
5、获得一个密码的离散值
slappasswd -s [管理员密码]
生成:{SSHA}XXXXXXXXXXXXXXXXXXXXXX
6、修改olcDatabase={2}hdb.ldif文件
vim /etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif 增加一行 olcRootPW: {SSHA}XXXXXXXXXXXXXXXXXXXXXX 然后修改域信息: olcSuffix: dc=company,dc=com olcRootDN: cn=Manager,dc=company,dc=com
7、修改olcDatabase={1}monitor.ldif文件 vim /etc/openldap/slapd.d/cn=config/olcDatabase\=\{1\}monitor.ldif olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern al,cn=auth" read by dn.base="cn=Manager,dc=company,dc=com" read by * none
8、验证OpenLDAP的基本配置 slaptest -u
9、启动OpenLDAP服务
systemctl enable slapd systemctl start slapd systemctl status slapd
10、OpenLDAP默认监听的端口是389,下面我们来看下是不是389端口
netstat -antup | grep 389
11、配置OpenLDAP数据库
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG chown ldap:ldap -R /var/lib/ldap chmod 700 -R /var/lib/ldap
12、导入基本Schema ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
13、修改migrate_common.ph文件,migrate_common.ph文件主要是用于生成ldif文件使用,修改migrate_common.ph文件
vim /usr/share/migrationtools/migrate_common.ph +71 $DEFAULT_MAIL_DOMAIN = "company.com"; $DEFAULT_BASE = "dc=company,dc=com"; $EXTENDED_SCHEMA = 1;
14、添加用户及用户组
groupadd ldapgroup1 groupadd ldapgroup2
useradd -g ldapgroup1 ldapuser1 useradd -g ldapgroup2 ldapuser2 echo '123456' passwd –stdin ldapuser1 echo '123456' passwd –stdin ldapuser2 把刚刚添加的用户和用户组提取出来 grep “:10[0-9][0-9]” /etc/passwd > /root/users grep “:10[0-9][0-9]” /etc/group > /root/groups
15、使用migrate_passwd.pl文件生成要添加用户和用户组的ldif
/usr/share/migrationtools/migrate_passwd.pl /root/users > /root/users.ldif /usr/share/migrationtools/migrate_group.pl /root/groups > /root/groups.ldif cat users.ldif cat groups.ldif
注意:ldif文件中,用户密码是错的,要自己生成。 生成的方法: slappasswd New password:[隐藏] Re-enter new password:[隐藏] {SSHA}XXXXXXXXXXXX
把{SSHA}XXXXXXXXXXXX更新到:users.ldif文件的userPassword属性
16、导入用户及用户组到OpenLDAP数据库 16.1 导入基础数据库,使用如下命令 cd /usr/share/migrationtools/ ./migrate_base.pl /root/base.ldif
把得出的信息保存到/root/base.ldif中。
ldapadd -x -w "[管理员密码]" -D "cn=Manager,dc=company,dc=com" -f /root/base.ldif
16.2导入用户到数据库 ldapadd -x -w "[管理员密码]" -D "cn=Manager,dc=company,dc=com" -f /root/users.ldif
16.3导入用户组到数据库 ldapadd -x -w "[管理员密码]" -D "cn=Manager,dc=company,dc=com" -f /root/groups.ldif
16.4把OpenLDAP用户加入到用户组 把ldapuser1用户加入到ldapgroup1用户组,新建添加用户到用户组的ldif文件 cat > add_user_to_groups.ldifdn: cn=ldapgroup1,ou=Group,dc=company,dc=com changetype: modify add: memberuid memberuid: ldapuser1
ldapadd -x -w "[管理员密码]" -D "cn=Manager,dc=company,dc=com" -f /root/add_user_to_groups.ldif
查询添加的OpenLDAP用户组 ldapsearch -LLL -x -D 'cn=Manager,dc=company,dc=com' -w "[管理员密码]" -b 'dc=company,dc=com' 'cn=ldapgroup1'
17、开启OpenLDAP日志访问功能 新建日志配置ldif文件 cat > /root/loglevel.ldifdn: cn=config changetype: modify replace: olcLogLevel olcLogLevel: stats
导入到OpenLDAP中,并重启OpenLDAP服务 ldapmodify -Y EXTERNAL -H ldapi:/// -f /root/loglevel.ldif systemctl restart slapd
修改rsyslog配置文件,并重启rsyslog服务 cat >> /etc/rsyslog.conflocal4.* /var/log/slapd.log systemctl restart rsyslog
首先安装Apache和PHP: yum -y install httpd php php-ldap php-gd php-mbstring php-pear php-bcmath php-xml yum -y install epel-release yum --enablerepo=epel -y install phpldapadmin
修改配置文件 vim /etc/phpldapadmin/config.php $servers->setValue('login','attr','dn'); // $servers->setValue('login','attr','uid');
vim /etc/httpd/conf.d/phpldapadmin.conf <IfModule mod_authz_core.c> # Apache 2.4 Require local Require ip 192.168.1.1/24 </IfModule>
设置开机自启并启动Apache:
[root@localhost ~]# systemctl enable httpd [root@localhost ~]# systemctl start httpd
