LDAP配置与安装

LDAP配置与安装

一、安装LDAP1、安装OpenLDAP及相关依赖包2、查看OpenLDAP版本3、配置OpenLDAP数据库4、设置OpenLDAP的管理员密码5、修改配置文件5.1. 修改{2}SEO靠我hdb.ldif文件5.2. 修改{1}monitor.ldif文件5.3. 修改{-1}frontend.ldif文件 6、验证LDAP的基本配置7、修改LDAP文件权限、端口（不强求）8、启动OpSEO靠我enLDAP服务9、导入基本Schema10、修改migrate_common.ph文件11、配置LDAP基础数据库12、导入基础数据库13、添加用户及用户组14、查询LDAP的相关信息15、开启OpSEO靠我enLDAP日志访问功能 二、安装PHPldapAdmin管理软件1、安装2、修改配置文件3、启动httpd 三、使用LdapAdmin四、数据迁移1、获取数据到指定文件2、查看数据是否备份成功3、插SEO靠我入数据 五、卸载LDAP参考

一、安装LDAP

1、安装OpenLDAP及相关依赖包

[root@nano ~]# yum -y install openldap compat-openldap openlSEO靠我dap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools

2、查看OpenLDAP版本

[root@nSEO靠我ano ~]# slapd -VV

3、配置OpenLDAP数据库

# OpenLDAP默认使用的数据库是BerkeleyDB，/var/lib/ldap/就是BerkeleyDB数据库默认存储的路径： SEO靠我 [root@localhost cn=config]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DSEO靠我B_CONFIG

4、设置OpenLDAP的管理员密码

（格式——slappasswd -s [password]）

[root@nano ~]# slappasswd -s huawei SEO靠我{SSHA}TlGs09uMOeFa5UJNhy1LB6cGW9i8N+tt # 记住该密码，下面配置要用

5、修改配置文件

定位到/etc/openldap/slapd.d/cn=config中，修改相SEO靠我关配置文件{1}monitor.ldif、{2}hdb.ldif、{-1}frontend.ldif：

[root@nano ~]# cd /etc/openldap/slapd.d/cn\=confiSEO靠我g [root@nano cn=config]# ll > 总用量 24 drwxr-x---. 2 ldap 4096 3月 2 10:14 cn=schema SEO靠我 > -rw-------. 1 ldap 378 3月 2 10:14 cn=schema.ldif > -rw-------. 1 ldap 513 3月 2 10:14SEO靠我 olcDatabase={0}config.ldif > -rw-------. 1 ldap ldap 443 3月 2 10:14 olcDatabase={-1}frontenSEO靠我d.ldif > -rw-------. 1 ldap ldap 562 3月 2 10:14 olcDatabase={1}monitor.ldif > -rw---SEO靠我----. 1 ldap ldap 609 3月 2 10:14 olcDatabase={2}hdb.ldif

5.1. 修改{2}hdb.ldif文件

[root@nano cn=config]# vSEO靠我im olcDatabase\=\{2\}hdb.ldif 修改域信息： olcSuffix: dc=ss,dc=com olcRootDN: cn=admin,dc=ss,dc=SEO靠我com定位到最后添加一行密码： olcRootPW: {SSHA}dXgO/Ipy5SQiKFZ0u7m79Xo7uzKIr038注意：其中cn=admin中的admin表示OpenLDAP管理员的用SEO靠我户名，dc为ldap的服务器域名（dc=ss是自行创建的服务器域名），olcRootPW表示OpenLDAP管理员的密码

5.2. 修改{1}monitor.ldif文件

[root@nano cn=coSEO靠我nfig]# vim olcDatabase\=\{1\}monitor.ldif

5.3. 修改{-1}frontend.ldif文件

[root@localhost cn=config]# vim oSEO靠我lcDatabase\=\{-1\}frontend.ldif # 权限设置，指定用户密码只能由本人和管理员能更改。添加如下两行代码：olcAccess: {0}to attrs=usSEO靠我erPassword by self write by anonymous auth by users noneolcAccess: {1}to * by * read

6、验证LDAP的基本配置

# 若SEO靠我出现succeeded就表示成功了 [root@nano cn=config]# slaptest -u

7、修改LDAP文件权限、端口（不强求）

[root@localhost cn=cSEO靠我onfig]# chown -R ldap:ldap /var/lib/ldap/ [root@localhost cn=config]# chown -R ldap:ldap /etSEO靠我c/openldap/# OpenLDAP默认监听的端口是389，我们可在/etc/sysconfig/slapd文件中修改其监听端口，如下修改为4567端口 [root@localhSEO靠我ost cn=config]# vim /etc/sysconfig/slapd SLAPD_URLS= "ldapi://0.0.0.0:4567/ldap://0.0.0.0:45SEO靠我67/"

8、启动OpenLDAP服务

[root@localhost cn=config]# systemctl enable --now slapd # 设置slapd服务开机自启，并启动# 验证端口SEO靠我状态 # 前提是要安装net-tools才能使用netstat命令 [root@localhost cn=config]# netstat -antup | grep SEO靠我389

9、导入基本Schema

导入基本Schema，使用如下命令：

[root@nano cn=config]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/opeSEO靠我nldap/schema/cosine.ldif [root@nano cn=config]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/opeSEO靠我nldap/schema/nis.ldif [root@nano cn=config]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldSEO靠我ap/schema/inetorgperson.ldif

10、修改migrate_common.ph文件

# migrate_common.ph文件主要是用于生成ldif文件使用，修改migrate_cSEO靠我ommon.ph文件，如下： [root@localhost cn=config]# vim /usr/share/migrationtools/migrate_common.ph +SEO靠我71

11、配置LDAP基础数据库

# 配置如下信息（修改对应的dc数据值）： [root@localhost ~]# mkdir /root/openldap [rootSEO靠我@localhost ~]# vim openldap/base.ldif #管理员信息 dn: dc=ss,dc=com o: ss com SEO靠我 dc: ss objectClass: top objectClass: dcObject objectclass: organizationdSEO靠我n: cn=admin,dc=ss,dc=com cn: admin objectClass: organizationalRole descriptiSEO靠我on: Directory Manager#基本分组 dn: ou=People,dc=ss,dc=com ou: People objectClassSEO靠我: top objectClass: organizationalUnitdn: ou=Group,dc=ss,dc=com ou: Group objSEO靠我ectClass: top objectClass: organizationalUnit

12、导入基础数据库

# -x 进行简单认证、-D 用来绑定服务器的DN、-w 绑定管理员的密码SEO靠我（最开始设置的） [root@localhost ~]# ldapadd -x -D cn=admin,dc=ss,dc=com -w 123456 -f /root/openldapSEO靠我/base.ldif

13、添加用户及用户组

默认情况下OpenLDAP是没有普通用户的，只有一个管理员用户（最开始配置的）

[root@localhost ~]# groupadd ldapgroup1 SEO靠我 [root@localhost ~]# groupadd ldapgroup2 [root@localhost ~]# useradd -g ldapgroup1 ldSEO靠我apuser1 [root@localhost ~]# useradd -g ldapgroup2 ldapuser2 [root@localhost ~]# echoSEO靠我 123456 | passwd --stdin ldapuser1 [root@localhost ~]# echo 123456 | passwd --stdin ldapuserSEO靠我2# 提取刚添加的用户和用户组相关信息 [root@localhost ~]# grep ":10[0-9][0-9]" /etc/passwd > /root/openldap/usSEO靠我ers [root@localhost ~]# grep ":10[0-9][0-9]" /etc/group > /root/openldap/groups [rooSEO靠我t@localhost ~]# cat openldap/users [root@localhost ~]# cat openldap/groups# 使用migrate_passwdSEO靠我.pl文件生成要添加用户和用户组的ldif [root@localhost ~]# /usr/share/migrationtools/migrate_group.pl /root/oSEO靠我penldap/groups > /root/openldap/groups.ldif [root@localhost ~]# /usr/share/migrationtools/miSEO靠我grate_passwd.pl /root/openldap/users > /root/openldap/users.ldif# 导入用户及用户组到Ldap数据库 [root@locSEO靠我alhost ~]# ldapadd -x -w 123456 -D cn=admin,dc=ss,dc=com -f /root/openldap/groups.ldif [rootSEO靠我@localhost ~]# ldapadd -x -w 123456 -D cn=admin,dc=ss,dc=com -f /root/openldap/users.ldif

把LDAP用户加入到用SEO靠我户组

# 尽管我们已经把用户和用户组信息，导入到OpenLDAP数据库中了。但实际上目前OpenLDAP用户和用户组之间是没有任何关联的 # 如果我们要把OpenLDAP数据库中的用户和SEO靠我用户组关联起来的话，我们还需要做另外单独的配置 [root@localhost ~]# cat > /root/openldap/add_user_to_groups.ldif << SEO靠我"EOF" dn: cn=ldapgroup1,ou=Group,dc=ss,dc=com changetype: modify add: memberSEO靠我uid memberuid: ldapuser1dn: cn=ldapgroup2,ou=Group,dc=ss,dc=com changetype: modify SEO靠我 add: memberuid memberuid: ldapuser2 EOF [root@localhost ~]# ldapadd -SEO靠我x -w 123456 -D cn=admin,dc=ss,dc=com -f /root/openldap/add_user_to_groups.ldif

14、查询LDAP的相关信息

1》 查询LDASEO靠我P全部信息

[root@localhost ~]# ldapsearch -x -b dc=ss,dc=com -H ldap://127.0.0.1

2》 查询添加的LDAP用户组信息

[root@locSEO靠我alhost ~]# ldapsearch -LLL -x -D cn=admin,dc=ss,dc=com -w 123456 -b dc=ss,dc=com cn=ldapgroup1

3》 查询添SEO靠我加的LDAP用户信息

[root@localhost ~]# ldapsearch -LLL -x -D cn=admin,dc=ss,dc=com -w 123456 -b dc=ss,dc=com SEO靠我uid=ldapuser1

15、开启OpenLDAP日志访问功能

默认情况下OpenLDAP是没有启用日志记录功能的，但是在实际使用过程中，我们为了定位问题需要使用到OpenLDAP日志

# 新建日志配置SEO靠我ldif文件，如下： [root@localhost ~]# cat > /root/openldap/loglevel.ldif << EOF dn: cn=confSEO靠我ig changetype: modify replace: olcLogLevel olcLogLevel: stats EOF SEO靠我 [root@localhost ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f /root/openldap/loglevel.ldif# 修改rsySEO靠我slog配置文件，并重启rsyslog服务，如下： [root@localhost ~]# cat >> /etc/rsyslog.conf << EOF local4SEO靠我.* /var/log/slapd.log EOF# 重启服务 [root@localhost ~]# systemctl restart rsyslog SEO靠我 [root@localhost ~]# systemctl restart slapd# 使用ldapuser1认证下 [root@localhost ~]# ldapwhoamiSEO靠我 -x -D uid=ldapuser1,ou=People,dc=ss,dc=com -w 123456

查看OpenLDAP日志，如下：

[root@localhost ~]# tail /var/lSEO靠我og/slapd.log

到此，LDAP已配置完成。

二、安装PHPldapAdmin管理软件

1、安装

先安装Apache和PHP：

[root@localhost ~]# yum -y install htSEO靠我tpd php php-ldap php-gd php-mbstring php-pear php-bcmath php-xml

再安装phpldapadmin：

[root@localhost ~]# SEO靠我yum -y install epel-release [root@localhost ~]# yum --enablerepo=epel -y install phpldapadmiSEO靠我n

2、修改配置文件

》修改config.php文件：

[root@nano cn=config]# vim /etc/phpldapadmin/config.php +397 > // SEO靠我397行取消注释，398行添加注释 > $servers->setValue(login,attr,dn); > // $servers->setValue(loginSEO靠我,attr,uid);

》修改phpldapadmin.conf文件：

[root@nano cn=config]# vim /etc/httpd/conf.d/phpldapadmin.conf +11SEO靠我 > <IfModule mod_authz_core.c> > # Apache 2.4 > Require local > # 添SEO靠我加一行内容，指定可访问的ip段 或者输入：Require all granted 开放外网访问 > Require ip 192.168.77.0/24 > </IfMSEO靠我odule>

3、启动httpd

修改Apache的端口！一般来说80端口会被占用，所以需要改一下端口，如果不需要的可以跳过此步骤。

vim /etc/httpd/conf/httpd.conf SEO靠我 将配置文件中的Listen 80 改成Listen 8081

启动httpd

[root@nano cn=config]# systemctl enable --now httpd

浏览器访问 phpSEO靠我ldapadmin：

url: http://服务器地址/phpldapadmin/用户名：cn=admin,dc=ss,dc=com密码：设定的管理员密码

Phpldap使用方法参考：https://bSEO靠我log.csdn.net/u010543388/article/details/107682769

三、使用LdapAdmin

该软件更容易创建用户组、用户和移动等

四、数据迁移

1、获取数据到指定文件

[roSEO靠我ot@nano cn=config]# ldapsearch -LLL -W -x -D "cn=admin,dc=ss,dc=com" -b "dc=ss,dc=com" > ldap_data_2SEO靠我023.ldif

如果公司有多个域，请将命令执行多次，修改命令中-b 后面的域名就行；

注意： 以上命令只适合数据量小的时候，数据量在10000以内可以这么做，如果超过了请就选择其他方法；

2、查看数据是否SEO靠我备份成功

[root@nano cn=config]# cat ldap_data_2023.ldif

3、插入数据

[root@nano cn=config]# ldapadd -x -D "cn=admSEO靠我in,dc=ss,dc=com" -w "你的密码" -f ldap_data_2023.ldif

若出现如下报错，则证明数据库中已有该条记录，需要到ldap_data_2023.ldif中删除，再继续SEO靠我导入即可

adding new entry "dc=test,dc=com"

ldap_add: Already exists (68)

五、卸载LDAP

1、停止openldap

[root@nano cn=SEO靠我config]# systemctl stop slapd [root@nano cn=config]# systemctl disable slapd

2、卸载

[root@nano cSEO靠我n=config]# yum -y remove openldap-servers openldap-clients

3、删除残留文件

[root@nano cn=config]# rm -rf /varSEO靠我/lib/ldap

4、删除ldap用户

[root@nano cn=config]# userdel ldap

5、删除openldap目录

[root@nano cn=config]# rm -rf /eSEO靠我tc/openldap

参考

OpenLDAP安装与配置 -博客园

LDAP安装、LDAP数据迁移、LDAP卸载指南及PHPldapAdmin管理软件安装-博客园

在CentOS 7上安装OpenLDAP服务SEO靠我器 - 简书 (jianshu.com)