LDAP統一賬號密碼管理工具搭建配置

轉載:http://www.cnblogs.com/lemon-le/p/6266921.html

文檔信息

目 的:搭建一套完整的OpenLDAP系統,實現賬號的統一管理。

                1:OpenLDAP服務端的搭建

                2:PhpLDAPAdmin的搭建

                3:OpenLDAP的打開日志信息

                4:OpenLDAP與migrationtools實現導入系統賬號的相關信息

                5:OpenLDAP客戶端的配置

                6:OpenLDAP與SSH

                7:OpenLDAP限制用戶登錄系統

                8:OpenLDAP強制用戶一登錄系統更改密碼

                9:OpenLDAP與系統賬號結合Samba

               10:OpenLDAP的主從

               11:OpenLDAP的雙主

作 者:李 樂

日 期:2017-01-09

聯系方式:836217653@qq.com

系統環境信息

操作系統:CentOS release 6.7

基礎的環境準備

關閉防火墻:/etc/init.d/iptables stop && chkconfig iptables off

關閉NetworkManager:/etc/init.d/NetworkManager stop && chkconfig NetworkManager off

SeLinux設為disabled:getenforce 是否為Disabled,若不是,則修改:

     1:臨時的生效  setenforce 0,再getenforce的時候為permissive

     2:修改配置文件,然后重啟  vim /etc/sysconfig/selinux 把SELINUX=disabled

yum源倉庫的配置

     1)mkdir /yum

     2)vim /etc/yum.repos.d/ll.repo

              [local]

              name = local

              baseurl = file:///yum

              gpgcheck = 0

              enabled = 1

     3)掛載 mount /mnt/hgfs/軟件/CentOS-6.7-x86_64-bin-DVD1to2/CentOS-6.7-x86_64-bin-DVD1.iso /yum -o loop 

     4)yum clean all 清除緩存

     5)yum makecache 創建緩存

一:OpenLDAP服務器的搭建

1)安裝OpenLDAP的相關

     yum -y install openldap openldap-servers openldap-clients openldap-devel compat-openldap   其中compat-openldap這個包與主從有很大的關系

安裝完后,可以看到自動創建了ldap用戶:

  ![](http://upload-images.jianshu.io/upload_images/9967595-e0e07ad76069def5.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

可以通過rpm -qa |grep openldap查看安裝了哪些包:

  ![image](http://upload-images.jianshu.io/upload_images/9967595-f01f33c8c45895c4.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

2)OpenLDAP的相關配置文件信息

  /etc/openldap/slapd.conf:OpenLDAP的主配置文件,記錄根域信息,管理員名稱,密碼,日志,權限等

  /etc/openldap/slapd.d/*:這下面是/etc/openldap/slapd.conf配置信息生成的文件,每修改一次配置信息,這里的東西就要重新生成

  /etc/openldap/schema/*:OpenLDAP的schema存放的地方

  /var/lib/ldap/*:OpenLDAP的數據文件

  /usr/share/openldap-servers/slapd.conf.obsolete 模板配置文件

  /usr/share/openldap-servers/DB_CONFIG.example 模板數據庫配置文件

  OpenLDAP監聽的端口:

  默認監聽端口:389(明文數據傳輸)

  加密監聽端口:636(密文數據傳輸)

3)初始化OpenLDAP的配置

  cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

  cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf

4)修改配置文件

  首先,slappasswd生成密文密碼123456,拷貝這個到/etc/openldap/slapd.conf里

  ![image](http://upload-images.jianshu.io/upload_images/9967595-d5eefcba569e8ceb.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

 這里的rootpw必須頂格寫,而且與后面的密碼文件用**Tab鍵**隔開                 

 ![image](http://upload-images.jianshu.io/upload_images/9967595-3355a6696e62d7ea.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

 修改對應的

 ![image](http://upload-images.jianshu.io/upload_images/9967595-eb1803d190995546.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

![image](http://upload-images.jianshu.io/upload_images/9967595-000ec216d18b7316.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

5)重新生成配置文件信息文件

  先檢測/etc/openldap/slapd.conf是否有錯誤:slaptest -f /etc/openldap/slapd.conf

  ![image](http://upload-images.jianshu.io/upload_images/9967595-e02da43631df9320.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

這里報錯是因為在第三步后沒有重新生成配置文件,啟動slapd。而是直接修改配置文件去了。先啟動slapd:/etc/init.d/slapd restart

![image](http://upload-images.jianshu.io/upload_images/9967595-c9efce1181203da8.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

這里又報錯,這是因為沒有給/var/lib/ldap授權,授權后chown -R ldap.ldap /var/lib/ldap/,再重啟slapd,/etc/init.d/slapd restart,可以看到成功的

![image](http://upload-images.jianshu.io/upload_images/9967595-e2eb7a5b38379ec3.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

接著回到檢測/etc/openldap/slapd.conf是否有錯誤:slaptest -f /etc/openldap/slapd.conf

image

可以看到沒問題,然后重新生成配置文件的配置信息:

先刪除最先的配置文件生成的信息:rm -rf /etc/openldap/slapd.d/*

重新生成:slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

查看是否生成的是自己修改的配置文件信息:cat /etc/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif

image

授權:chown -R ldap.ldap /etc/openldap/slapd.d/

重啟:/etc/init.d/slapd restart

image

到這里為止,OpenLDAP服務端基本上完成了,我們可以通過PhpLDAPAdmin來登錄看一下,那先得安裝PhpLDAPAdmin

二:PhpLDAPAdmin的搭建

1)安裝EPEL倉庫,鏡像里沒有PhpLDAPAdmin這個的安裝包,所以得安裝EPEL倉庫

  rpm -ivh  [http://mirrors.ukfast.co.uk/sites/dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm](http://mirrors.ukfast.co.uk/sites/dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm)        

  yum clean all 

  yum makecache

2)安裝PhpLDAPAdmin

 yum install -y phpldapadmin

3)修改phpldapadmin的配置文件,訪問控制權限vim /etc/httpd/conf.d/phpldapadmin.conf,允許誰訪問

image

4)修改配置文件:vim /etc/phpldapadmin/config.php

  $servers->setValue('login','attr','dn');    這一行的注釋去掉

//$servers->setValue('login','attr','uid');  這一行注釋掉

 ![image](http://upload-images.jianshu.io/upload_images/9967595-8f66c7b23852607b.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

5)重啟httpd服務/etc/init.d/httpd restart

6)在瀏覽器輸入OpenLDAP服務端的IP 10.0.0.138/ldapadmin

 ![image](http://upload-images.jianshu.io/upload_images/9967595-6afaf3329597292d.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

7)登錄,輸入管理員的DN,也就是配置文件里配置的

![image](http://upload-images.jianshu.io/upload_images/9967595-28a375049b81e61d.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

8)認證,報錯

image

這是因為在第一步搭建OpenLDAP服務端的時候,并沒有把管理員的賬號信息導入,編輯root.ldif,然后導入

dn: dc=lemon,dc=com

objectclass: dcObject

objectclass: organization

o: Yunzhi,Inc.

dc: lemon

dn: cn=Captain,dc=lemon,dc=com

objectclass: organizationalRole

cn: Captain

這里得注意每一個屬性: 后必須有空格,但是值的后面不能有任何空格

然后導入:ldapadd -x -D "cn=Captain,dc=lemon,dc=com" -W -f root.ldif

image

然后再通過瀏覽器去訪問的話:

image

也可以通過命令行查詢:ldapsearch -x -b "cn=Captain,dc=lemon,dc=com"

image

到這里,PhpLDAPAdmin搭建完了,接下來,咱們得把日志打開,這樣的話好排錯,嘿嘿嘿

三:OpenLDAP的打開日志信息

1:現在配置文件里加上日志行 ,這里的日志級別有很多種,-1的話會記錄很多日志信息

 vim /etc/openldap/slapd.conf 加上**loglevel -1**
image

這里修改了配置文件,所有得重新生成配置文件的信息

rm -rf /etc/openldap/slapd.d/*

slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

chown -R ldap.ldap /etc/openldap/slapd.d/

2:在 vim /etc/rsyslog.conf加上

  local4.*                                                /var/log/slapd/slapd.log

  ![image](http://upload-images.jianshu.io/upload_images/9967595-f9b2dfb062f224c5.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

 然后重啟/etc/init.d/rsyslog restart

3:創建日志文件目錄,授權

  mkdir /var/log/slapd

  chmod 755 /var/log/slapd/

  chown ldap.ldap /var/log/slapd/

4:重啟slapd服務,/etc/init.d/slapd restart

5:就可以看到日志信息了cat /var/log/slapd/slapd.log

四****:OpenLDAP與migrationtools實現導入系統賬號的相關信息

1:安裝migrationtools

   yum -y install migrationtools

2:修改migrationtools的配置文件,在/usr/share/migrationtools/這個目錄下有很多migrationtools的文件

  vim /usr/share/migrationtools/migrate_common.ph 修改以下的兩個地方

  ![image](http://upload-images.jianshu.io/upload_images/9967595-cf030a99e49ea238.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

3:生成基礎的數據文件,可以自己修改這個生成的base.ldif文件,把不需要的去掉

  /usr/share/migrationtools/migrate_base.pl > base.ldif

 ![image](http://upload-images.jianshu.io/upload_images/9967595-82d70c276005293d.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

4:把base.ldif導入OpenLDAP

  ldapadd -x -D "cn=Captain,dc=lemon,dc=com" -W -f base.ldif

  ![image](http://upload-images.jianshu.io/upload_images/9967595-355bb8d5b00c7df8.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

  這里會報錯,我們**可以通過-c參數強制加入**

   ![image](http://upload-images.jianshu.io/upload_images/9967595-e10bfc1284a764df.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

導入之后,通過PhpLdapAdmin可以看到已經導入進來了:

image

5:把系統的用戶生成ldif文件

    cd  /usr/share/migrationtools

   ./migrate_passwd.pl /etc/passwd passwd.ldif

   ./migrate_group.pl /etc/group group.ldif

  ![image](http://upload-images.jianshu.io/upload_images/9967595-2dde64175959c7a1.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

可以看到生成的文件,然后根據自己需要修改這兩個ldif文件:

passwd.ldif只留一個test1測試用戶:

image

group.ldif留對應的test1:

image

把用戶導入進去:ldapadd -x -D "cn=Captain,dc=lemon,dc=com" -W -f passwd.ldif

image

把組導進去:ldapadd -x -D "cn=Captain,dc=lemon,dc=com" -W -f group.ldif

image

然后就可以看到:

image

在這里就已經完成把系統的賬號屬性導入了OpenLDAP,然后就通過添加OpenLDAP用戶,來進行驗證,所以得先做好客戶端的設置

五:OpenLDAP客戶端的配置

1:停掉sssd服務 service sssd stop && chkconfig sssd off

2:安裝nslcd服務 yum install nss-pam-ldapd

3:修改vim /etc/nslcd.conf這個配置文件

 ![image](http://upload-images.jianshu.io/upload_images/9967595-1e4ae0510d9fc0c6.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

4:修改vim /etc/pam_ldap.conf

 ![image](http://upload-images.jianshu.io/upload_images/9967595-db04e7af2a10329f.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

![image](http://upload-images.jianshu.io/upload_images/9967595-d9fbedb9908f95a8.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

5: vim /etc/pam.d/system-auth 修改,把sss行的注釋掉,改成ldap的

image

6:vim /etc/nsswitch.conf 修改nsswitch.conf配置文件,修改后,默認登錄的用戶通過本地配置文件進行查找并匹配。當匹配不到用戶信息時,會通過后端配置的LDAP認證服務進行匹配

image

7:vim /etc/sysconfig/authconfig 確保標記的已打開為yes

 USESHADOW=yes 啟用密碼驗證

 USELDAPAUTH=yes 啟用OpenLDAP驗證

 USELOCAUTHORIZE=yes 啟用本地驗證

 USELDAP=yes  啟用LDAP認證協議

![image](http://upload-images.jianshu.io/upload_images/9967595-82121e40244a7579.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

8:重啟nslcd服務

 /etc/init.d/nslcd restart

9:驗證,先通過OpenLDAP增加一個用戶,在test1的基礎上,復制一個test2的條目

          ![image](http://upload-images.jianshu.io/upload_images/9967595-218ecce162474565.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
image

后面的根據自己的修改

image

可以看到已經成功的添加了test2的用戶,這是OpenLDAP添加的,在本地是沒有的,用cat /etc/passwd 看是沒有test2用戶的

測試:su - test2

image

在/etc/pam.d/system-auth配置文件里添加這一行:session optional pam_mkhomedir.so skel=/etc/skel/ umask=0022

image

重啟 /etc/init.d/nslcd restart

在進行測試:就可以了

image

查看系統用戶列表:

服務端查詢:ldapsearch -x -b "ou=People,dc=lemon,dc=com" |grep dn

客戶端查詢:ldapsearch -H ldap://10.0.0.138 -x -b "ou=People,dc=lemon,dc=com" |grep dn

image

查詢單個用戶:ldapsearch -x -b "uid=test1,ou=People,dc=lemon,dc=com" |grep dn

image

客戶端的配置到這里ok啦。有賬號肯定要能通過ssh登錄系統

六:OpenLDAP與SSH

1:vim /etc/ssh/sshd_config

image

2:vim /etc/pam.d/sshd 用于第一次登陸的賬戶自動創建家目錄

image

3:vim /etc/pam.d/password-auth

image

4:重啟sshd

七:OpenLDAP限制用戶登錄系統

在賬號中,不能讓每個用戶都能登錄系統,所以要限制用戶登錄

1:vim /etc/pam.d/sshd 在這里加上pam_access.so模塊

image

2:vim /etc/security/access.conf 這里限制test2用戶ssh登錄系統

image

測試:可以看到就只有test2登錄不上

image

八:OpenLDAP強制用戶一登錄系統更改密碼

1:修改配置文件

  在前面打開注釋

  moduleload ppolicy.la

  modulepath /usr/lib/openldap

  modulepath /usr/lib64/openldap

還要在database config前面加上這兩段

access to attrs=userPassword

** by self write**

** by anonymous auth**

** by dn="cn=Captain,dc=lemon,dc=com" write**

** by * none**

**access to ***

** by self write**

** by dn="cn=Captain,dc=lemon,dc=com" write**

** by * read**

image

在文件的末尾添加:

overlay ppolicy

ppolicy_default cn=Captain,ou=pwpolicies,dc=lemon,dc=com

image

2:重新生成配置文件數據庫:

[root@lele openldap]# vim /etc/openldap/slapd.conf

[root@lele openldap]# rm -rf /etc/openldap/slapd.d/*

[root@lele openldap]# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d

config file testing succeeded

[root@lele openldap]# chown -R ldap.ldap /etc/openldap/slapd.d/

[root@lele openldap]# /etc/init.d/slapd restart

Stopping slapd: [ OK ]

Starting slapd: [ OK ]

可以通過配置文件的數據信息看到ppolicy模塊已經加進來了

cat /etc/openldap/slapd.d/cn=config/cn=module{0}.ldif

image

3:編輯

cat 1.ldif

dn: ou=pwpolicies,dc=lemon,dc=com

objectClass: organizationalUnit

ou: pwpolicies

4:ldapadd -x -D "cn=Captain,dc=lemon,dc=com" -W -f 1.ldif

添加進去

image

可以在PhpLdapAdmin上看到:

image

5:添加cn=Captain,ou=pwpolicies,dc=lemon,dc=com這個的一些屬性值

[root@ll ~]# cat 2.ldif

[
復制代碼

](javascript:void(0); "復制代碼")

<pre style="margin-top: 0px; margin-bottom: 0px; white-space: pre-wrap; overflow-wrap: break-word; font-family: "Courier New" !important; font-size: 12px !important;">dn: cn=Captain,ou=pwpolicies,dc=lemon,dc=com
cn: Captain
objectClass: pwdPolicy
objectClass: person
pwdAllowUserChange: TRUE
pwdAttribute: userPassword
pwdExpireWarning: 259200 pwdFailureCountInterval: 0 pwdGraceAuthNLimit: 5 pwdInHistory: 5 pwdLockout: TRUE
pwdLockoutDuration: 300 pwdMaxAge: 2592000 pwdMaxFailure: 5 pwdMinAge: 0 pwdMinLength: 8 pwdMustChange: TRUE
pwdSafeModify: TRUE
sn: dummy value</pre>

[
復制代碼

](javascript:void(0); "復制代碼")

把屬性值添加進去

image

在PhpLdapAdmin可以看到:

image

6:在vim /etc/pam_ldap.conf中的末尾添加:使得客戶端能識別服務端的密碼策略

 pam_password md5

 bind_policy soft

 pam_lookup_policy yes

 pam_password clear_remove_old

7:重啟nslcd

 /etc/init.d/nslcd restart

8:測試

修改用戶的屬性,用test3做測試

[root@ll ~]# cat modify.ldif

dn: uid=test3,ou=people,dc=lemon,dc=com

changetype: modify

replace: pwdReset

pwdReset: TRUE

ldapmodify -x -D "cn=Captain,dc=le,dc=com" -W -f modify.ldif 導入

image

**ldapwhoami -x -D uid=test3,ou=people,dc=lemon,dc=com -W -e ppolicy -v **查看test3用戶的策略信息

image

這里顯示輸入test3 的原始密碼,然后輸入新修改的密碼

image

當修改完后,就沒有必須改變密碼的那一句話了

image

這里可以啦

九:OpenLDAP與系統賬號結合Samba

   默認的Samba服務器支持本地系統用戶(smbpasswd添加后)訪問Samba資源,不支持OpenLDAP服務器賬號訪問Samba共享資源,配置完后,OpenLDAP每新增一個用戶,就自動支持Samba,就可以用這個賬號直接訪問Samba,不需要存在于本地用戶,不用smbpasswd用戶

1:安裝samba

   yum -y install samba

2:把Samba.schema文件拷貝到LDAP的schema目錄下,把原來的覆蓋掉

   cp /usr/share/doc/samba-3.6.23/LDAP/samba.schema /etc/openldap/schema/

3:修改配置文件vim /etc/openldap/slapd.conf

  在include的地方,加上Samba的schema

  ![image](http://upload-images.jianshu.io/upload_images/9967595-79269252ca92bc3b.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

3:修改了配置文件,就有重新生成配置文件數據

  rm -rf /etc/openldap/slapd.d/*

  slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

  config file testing succeeded

  chown -R ldap.ldap /etc/openldap/slapd.d/

  /etc/init.d/slapd restart

4:修改Samba的配置文件

  添加:

  security = user

    passdb backend = ldapsam:ldap://10.0.0.138

    ldap suffix = "dc=lemon,dc=com"

    ldap group suffix = "cn=group"

    ldap user suffix = "ou=people"

    ldap admin dn = "cn=Captain,dc=lemon,dc=com"

    ldap delete dn = no

    pam password change = yes

    ldap passwd sync = yes

    ldap ssl = no
image

對應這里的

     ![image](http://upload-images.jianshu.io/upload_images/9967595-ee32e6d9931f27ca.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

在最后的時候添加共享的文件:

[public]

comment = Public Stuff

path = /tmp/lile

public = yes

writable = yes

printable = no

5:創建共享文件夾,并且授權

 mkdir /tmp/lile

 chmod 777 /tmp/lile/

6:把OpenLDAP的密碼傳給Samba,smbpasswd -w 123456 這里的密碼是OpenLDAP的管理員密碼

   ![image](http://upload-images.jianshu.io/upload_images/9967595-3d57ca7a9f82cc8b.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

 若不加,會報錯:

  ![image](http://upload-images.jianshu.io/upload_images/9967595-0779a22112a33f9f.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

7:重啟smb

  /etc/init.d/smb restart

  /etc/init.d/nmb restart

8: Samba開通之后,可以看到這里的開關也打開了

image

9:測試

先把系統用戶test1用smbpasswd -a test1 加到Samba的用戶下,就可以看到:

test1用戶下多了Samba的特性,原來是沒有的

image

然后基于test1,在PhpLdapAdmin添加test2用戶,不用smbpasswd,就只是OpenLDAP用戶,復制的時候一定要重新改一下這里的密碼,要不然登不進,

image
image

然后,就可以用windos去訪問了,這里有一個概念就是OpenLDAP添加了的用戶,不要再用smbpasswd去添加了,可以直接登錄Samba

十:OpenLDAP的主從

1:做主從和雙主的時候,一定要確認安裝了 compat-openldap這個包

2:在主上的配置文件 10.0.0.138

 備份原來的配置文件:cp /etc/openldap/slapd.conf /etc/openldap/slapd.bak

 先停掉服務 /etc/init.d/slapd stop

 vim /etc/openldap/slapd.conf 修改配置文件

 添加       index entryCSN,entryUUID                eq

 ![image](http://upload-images.jianshu.io/upload_images/9967595-28e6e6a02ceb6f71.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

 這里的注釋去掉:

 ![image](http://upload-images.jianshu.io/upload_images/9967595-5e805cbc42376f49.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

 ![image](http://upload-images.jianshu.io/upload_images/9967595-7ee87e1e2316626a.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

 在文件的最后添加:

 **overlay syncprov                      后端工作再overlay模式**

** syncprov-checkpoint 100 10 當滿足修改100個條目或者10分鐘的條件時主動以推的方式執行**

** syncprov-sessionlog 100 會話日志條目的最大數量**

 ![image](http://upload-images.jianshu.io/upload_images/9967595-b8c9129a2e6402f7.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

 然后重新生成配置文件的數據文件:

 rm -rf /etc/openldap/slapd.d/*

 slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

 chown -R ldap.ldap /etc/openldap/slapd.conf 

 chown -R ldap.ldap /etc/openldap/slapd.d

 /etc/init.d/slapd restart

3:導出主的數據文件 ldapsearch -x -b 'dc=lemon,dc=com' > root.ldif,拷貝到從上****scp scp root.ldif 10.0.0.140:~/

4:把主的配置文件slapd.conf 拷貝到從10.0.0.140上 用scp /etc/openldap/slapd.conf 10.0.0.140:~/

5:從上從主上拷貝了配置文件,

去掉

  overlay syncprov

  syncprov-checkpoint 100 10

  syncprov-sessionlog 100

然后再加上

image

syncrepl rid=003

provider=ldap://10.0.0.138:389/

type=refreshOnly

retry="60 10 600 +" 嘗試時間

interval=00:00:00:10 設置同步更新時間(日:時:分:秒)

**searchbase="dc=lemon,dc=com" **

scope=sub 匹配根域所有條目

schemachecking=off 同步更新時是否開啟schema語法檢測

bindmethod=simple 同步驗證模式為簡單模式(即明文)

binddn="cn=Captain,dc=lemon,dc=com" 使用Captain用戶讀取目錄樹信息

attrs=",+" 同步所有屬性信息*

credentials=123456 管理員密碼

重新生成數據配置文件

rm -rf /etc/openldap/slapd.d/*

slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

chown -R ldap.ldap /etc/openldap/slapd.conf

chown -R ldap.ldap /etc/openldap/slapd.d

/etc/init.d/slapd restart

6:測試

在主的10.0.0.138上添加一個test7的用戶,在從上刷新一下,是同步到的

image
image

** 十一:OpenLDAP的雙主**

在主從的基礎上,修改配置,這是主的

image

serverID 2

overlay syncprov

syncrepl rid=001 (這里的格式一定要注意,中間這一段要用Tab鍵Tab一下,如果不的話會報錯如下)

provider=ldap://10.0.0.140

type=refreshAndPersist

searchbase="dc=lemon,dc=com"

schemachecking=simple

binddn="cn=Captain,dc=lemon,dc=com"

credentials=123456

retry="60 +"

mirrormode on

image

這是從的

image

serverID 1

overlay syncprov

syncrepl rid=001 (這里的格式一定要注意,中間這一段要用Tab鍵Tab一下)

provider=ldap://10.0.0.138:389/

retry="60 10 600 +"

searchbase="dc=lemon,dc=com"

schemachecking=off

bindmethod=simple

binddn="cn=Captain,dc=lemon,dc=com"

credentials=123456

mirrormode on

測試:在兩臺機上分別新建一個用戶,看是否在對方能刷新到,主從與雙主都只是備份的關系,若一臺掛了,立即切換到另一臺,則需做高可用和負載均衡

?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容