ldap 轻量目录访问协议
- 目录服务
目录是一个为查询、浏览和搜索而优化的专业分布式数据库,它呈树状结构组织数据,就好象Linux/Unix系统中的文件目录一样。目录数据库和关系数据库不同,它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于存储修改频繁的数据。所以目录天生是用来查询的,就好象它的名字一样。
目录服务是由目录数据库和一套访问协议组成的系统。类似以下的信息适合储存在目录中:
企业员工信息,如姓名、电话、邮箱等;
公用证书和安全密钥;
公司的物理设备信息,如服务器,它的IP地址、存放位置、厂商、购买时间等;
LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写,LDAP是从X.500目录访问协议的基础上发展过来的,目前的版本是v3.0。与LDAP一样提供类似的目录服务软件还有ApacheDS、Active Directory、Red Hat Directory Service 。
- LDAP特点
LDAP的结构用树来表示,而不是用表格。正因为这样,就不能用SQL语句了
LDAP可以很快地得到查询结果,不过在写方面,就慢得多
LDAP提供了静态数据的快速查询方式
Client/server模型,Server 用于存储数据,Client提供操作目录信息树的工具
这些工具可以将数据库的内容以文本格式(LDAP 数据交换格式,LDIF)呈现在您的面前
LDAP是一种开放Internet标准,LDAP协议是跨平台的Interent协议
- 基本概念
在浏览LDAP相关文档时经常会遇见一些概念,下面是常见概念的简单解释。
4.1 Entry
条目,也叫记录项,是LDAP中最基本的颗粒,就像字典中的词条,或者是数据库中的记录。通常对LDAP的添加、删除、更改、检索都是以条目为基本对象的。
dn:每一个条目都有一个唯一的标识名(distinguished Name ,DN),如上图中一个 dn:”cn=baby,ou=marketing,ou=people,dc=mydomain,dc=org” 。通过DN的层次型语法结构,可以方便地表示出条目在LDAP树中的位置,通常用于检索。
rdn:一般指dn逗号最左边的部分,如cn=baby。它与RootDN不同,RootDN通常与RootPW同时出现,特指管理LDAP中信息的最高权限用户。
Base DN:LDAP目录树的最顶部就是根,也就是所谓的“Base DN”,如”dc=mydomain,dc=org”。
4.2 Attribute
每个条目都可以有很多属性(Attribute),比如常见的人都有姓名、地址、电话等属性。每个属性都有名称及对应的值,属性值可以有单个、多个,比如你有多个邮箱。
属性不是随便定义的,需要符合一定的规则,而这个规则可以通过schema制定。比如,如果一个entry没有包含在 inetorgperson 这个 schema 中的objectClass: inetOrgPerson,那么就不能为它指定employeeNumber属性,因为employeeNumber是在inetOrgPerson中定义的。
LDAP为人员组织机构中常见的对象都设计了属性(比如commonName,surname)。下面有一些常用的别名:
属性 别名 语法 描述 值(举例)
commonName cn Directory String 姓名 sean
surname sn Directory String 姓 Chow
organizationalUnitName ou Directory String 单位(部门)名称 IT_SECTION
organization o Directory String 组织(公司)名称 example
telephoneNumber Telephone Number 电话号码 110
objectClass 内置属性 organizationalPerson
4.3 ObjectClass
对象类是属性的集合,LDAP预想了很多人员组织机构中常见的对象,并将其封装成对象类。比如人员(person)含有姓(sn)、名(cn)、电话(telephoneNumber)、密码(userPassword)等属性,单位职工(organizationalPerson)是人员(person)的继承类,除了上述属性之外还含有职务(title)、邮政编码(postalCode)、通信地址(postalAddress)等属性。
通过对象类可以方便的定义条目类型。每个条目可以直接继承多个对象类,这样就继承了各种属性。如果2个对象类中有相同的属性,则条目继承后只会保留1个属性。对象类同时也规定了哪些属性是基本信息,必须含有(Must 活Required,必要属性):哪些属性是扩展信息,可以含有(May或Optional,可选属性)。
对象类有三种类型:结构类型(Structural)、抽象类型(Abstract)和辅助类型(Auxiliary)。结构类型是最基本的类型,它规定了对象实体的基本属性,每个条目属于且仅属于一个结构型对象类。抽象类型可以是结构类型或其他抽象类型父类,它将对象属性中共性的部分组织在一起,称为其他类的模板,条目不能直接集成抽象型对象类。辅助类型规定了对象实体的扩展属性。每个条目至少有一个结构性对象类。
对象类本身是可以相互继承的,所以对象类的根类是top抽象型对象类。以常用的人员类型为例,他们的继承关系:
下面是inetOrgPerson对象类的在schema中的定义,可以清楚的看到它的父类SUB和可选属性MAY、必要属性MUST(继承自organizationalPerson),关于各属性的语法则在schema中的attributetype定义。
inetOrgPerson
The inetOrgPerson represents people who are associated with an
organization in some way. It is a structural class and is derived
from the organizationalPerson which is defined in X.521 [X521].
objectclass ( 2.16.840.1.113730.3.2.2
NAME ‘inetOrgPerson’
DESC ‘RFC2798: Internet Organizational Person’
SUP organizationalPerson
STRUCTURAL
MAY (
audio $ businessCategory $ carLicense $ departmentNumber $
displayName $ employeeNumber $ employeeType $ givenName $
homePhone $ homePostalAddress $ initials $ jpegPhoto $
labeledURI $ mail $ manager $ mobile $ o $ pager $
photo $ roomNumber $ secretary $ uid $ userCertificate $
x500uniqueIdentifier $ preferredLanguage $
userSMIMECertificate $ userPKCS12 )
)
4.4 Schema
对象类(ObjectClass)、属性类型(AttributeType)、语法(Syntax)分别约定了条目、属性、值,他们之间的关系如下图所示。所以这些构成了模式(Schema)——对象类的集合。条目数据在导入时通常需要接受模式检查,它确保了目录中所有的条目数据结构都是一致的。
schema(一般在/etc/ldap/schema/目录)在导入时要注意前后顺序。
4.5 backend & database
ldap的后台进程slapd接收、响应请求,但实际存储数据、获取数据的操作是由Backends做的,而数据是存放在database中,所以你可以看到往往你可以看到backend和database指令是一样的值如 bdb 。一个 backend 可以有多个 database instance,但每个 database 的 suffix 和 rootdn 不一样。openldap 2.4版本的模块是动态加载的,所以在使用backend时需要moduleload back_bdb指令。
bdb是一个高性能的支持事务和故障恢复的数据库后端,可以满足绝大部分需求。许多旧文档里(包括官方)说建议将bdb作为首选后端服务(primary backend),但2.4版文档明确说hdb才是被首先推荐使用的,这从 2.4.40 版默认安装后的配置文件里也可以看出。hdb是基于bdb的,但是它通过扩展的索引和缓存技术可以加快数据访问,修改entries会更有效率,有兴趣可以访问上的链接或slapd.backends。
另外config是特殊的backend,用来在运行时管理slapd的配置,它只能有一个实例,甚至无需显式在slapd.conf中配置。
4.6 TLS & SASL
分布式LDAP 是以明文的格式通过网络来发送信息的,包括client访问ldap的密码(当然一般密码已然是二进制的),SSL/TLS 的加密协议就是来保证数据传送的保密性和完整性。
SASL (Simple Authenticaion and Security Layer)简单身份验证安全框架,它能够实现openldap客户端到服务端的用户验证,也是ldapsearch、ldapmodify这些标准客户端工具默认尝试与LDAP服务端认证用户的方式(前提是已经安装好 Cyrus SASL)。SASL有几大工业实现标准:Kerveros V5、DIGEST-MD5、EXTERNAL、PLAIN、LOGIN。
Kerveros V5是里面最复杂的一种,使用GSSAPI机制,必须配置完整的Kerberos V5安全系统,密码不再存放在目录服务器中,每一个dn与Kerberos数据库的主体对应。DIGEST-MD5稍微简单一点,密码通过saslpasswd2生成放在sasldb数据库中,或者将明文hash存到LDAP dn的userPassword中,每一个authid映射成目录服务器的dn,常和SSL配合使用。参考将 LDAP 客户端配置为使用安全性
EXTERNAL一般用于初始化添加schema时使用,如ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/core.ldif。
4.7 LDIF
LDIF(LDAP Data Interchange Format,数据交换格式)是LDAP数据库信息的一种文本格式,用于数据的导入导出,每行都是“属性: 值”对,见 openldap ldif格式示例
OpenLDAP(2.4.3x)服务器安装配置方法
系统环境信息
操作系统:CentOS release 6.7
基础的环境准备:
关闭防火墙:/etc/init.d/iptables stop && chkconfig iptables off
关闭NetworkManager:/etc/init.d/NetworkManager stop && chkconfig NetworkManager off
SeLinux设为disabled:getenforce 是否为Disabled,若不是,则修改:
1:临时的生效 setenforce 0,再getenforce的时候为permissive
2:修改配置文件,然后重启 vim /etc/sysconfig/selinux 把SELINUX=disabled
yum源仓库的配置:
1)mkdir /yum
2)vim /etc/yum.repos.d/ll.repo
[local]
name = local
baseurl = file:///yum
gpgcheck = 0
enabled = 1
3)挂载 mount /mnt/hgfs/软件/CentOS-6.7-x86_64-bin-DVD1to2/CentOS-6.7-x86_64-bin-DVD1.iso /yum -o loop
4)yum clean all 清除缓存
5)yum makecache 创建缓存
一:OpenLDAP服务器的搭建
1)安装OpenLDAP的相关
yum -y install openldap openldap-servers openldap-clients openldap-devel compat-openldap 其中compat-openldap这个包与主从有很大的关系
安装完后,可以看到自动创建了ldap用户:
| 可以通过rpm -qa | grep openldap查看安装了哪些包: |
2)OpenLDAP的相关配置文件信息
/etc/openldap/slapd.conf:OpenLDAP的主配置文件,记录根域信息,管理员名称,密码,日志,权限等
/etc/openldap/slapd.d/:这下面是/etc/openldap/slapd.conf配置信息生成的文件,每修改一次配置信息,这里的东西就要重新生成
/etc/openldap/schema/:OpenLDAP的schema存放的地方
/var/lib/ldap/*:OpenLDAP的数据文件
/usr/share/openldap-servers/slapd.conf.obsolete 模板配置文件
/usr/share/openldap-servers/DB_CONFIG.example 模板数据库配置文件
OpenLDAP监听的端口:
默认监听端口:389(明文数据传输)
加密监听端口:636(密文数据传输)
3)初始化OpenLDAP的配置
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf
4)修改配置文件
首先,slappasswd生成密文密码123456,拷贝这个到/etc/openldap/slapd.conf里
这里的rootpw必须顶格写,而且与后面的密码文件用Tab键隔开
修改对应的
5)重新生成配置文件信息文件
先检测/etc/openldap/slapd.conf是否有错误:slaptest -f /etc/openldap/slapd.conf
这里报错是因为在第三步后没有重新生成配置文件,启动slapd。而是直接修改配置文件去了。先启动slapd:/etc/init.d/slapd restart
这里又报错,这是因为没有给/var/lib/ldap授权,授权后chown -R ldap.ldap /var/lib/ldap/,再重启slapd,/etc/init.d/slapd restart,可以看到成功的
接着回到检测/etc/openldap/slapd.conf是否有错误:slaptest -f /etc/openldap/slapd.conf
可以看到没问题,然后重新生成配置文件的配置信息:
先删除最先的配置文件生成的信息:rm -rf /etc/openldap/slapd.d/*
重新生成:slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/
查看是否生成的是自己修改的配置文件信息:cat /etc/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
授权:chown -R ldap.ldap /etc/openldap/slapd.d/
重启:/etc/init.d/slapd restart
到这里为止,OpenLDAP服务端基本上完成了,我们可以通过PhpLDAPAdmin来登录看一下,那先得安装PhpLDAPAdmin
二:PhpLDAPAdmin的搭建
1)安装EPEL仓库,镜像里没有PhpLDAPAdmin这个的安装包,所以得安装EPEL仓库
rpm -ivh http://mirrors.ukfast.co.uk/sites/dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
yum clean all
yum makecache
2)安装PhpLDAPAdmin
yum install -y phpldapadmin
3)修改phpldapadmin的配置文件,访问控制权限vim /etc/httpd/conf.d/phpldapadmin.conf,允许谁访问
4)修改配置文件:vim /etc/phpldapadmin/config.php
$servers->setValue(‘login’,’attr’,’dn’); 这一行的注释去掉
//$servers->setValue(‘login’,’attr’,’uid’); 这一行注释掉
5)重启httpd服务/etc/init.d/httpd restart
6)在浏览器输入OpenLDAP服务端的IP 10.0.0.138/ldapadmin
7)登录,输入管理员的DN,也就是配置文件里配置的
8)认证,报错
这是因为在第一步搭建OpenLDAP服务端的时候,并没有把管理员的账号信息导入,编辑root.ldif,然后导入
dn: dc=lemon,dc=com
objectclass: dcObject
objectclass: organization
o: Yunzhi,Inc.
dc: lemon
dn: cn=Captain,dc=lemon,dc=com
objectclass: organizationalRole
cn: Captain
这里得注意每一个属性: 后必须有空格,但是值的后面不能有任何空格
然后导入:ldapadd -x -D “cn=Captain,dc=lemon,dc=com” -W -f root.ldif
然后再通过浏览器去访问的话:
也可以通过命令行查询:ldapsearch -x -b “cn=Captain,dc=lemon,dc=com”
到这里,PhpLDAPAdmin搭建完了,接下来,咱们得把日志打开,这样的话好排错,嘿嘿嘿
三:OpenLDAP的打开日志信息
1:现在配置文件里加上日志行 ,这里的日志级别有很多种,-1的话会记录很多日志信息
vim /etc/openldap/slapd.conf 加上loglevel -1
这里修改了配置文件,所有得重新生成配置文件的信息
rm -rf /etc/openldap/slapd.d/*
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/
chown -R ldap.ldap /etc/openldap/slapd.d/
2:在 vim /etc/rsyslog.conf加上
local4.* /var/log/slapd/slapd.log
然后重启/etc/init.d/rsyslog restart
3:创建日志文件目录,授权
mkdir /var/log/slapd
chmod 755 /var/log/slapd/
chown ldap.ldap /var/log/slapd/
4:重启slapd服务,/etc/init.d/slapd restart
5:就可以看到日志信息了cat /var/log/slapd/slapd.log
四:OpenLDAP与migrationtools实现导入系统账号的相关信息
1:安装migrationtools
yum -y install migrationtools
2:修改migrationtools的配置文件,在/usr/share/migrationtools/这个目录下有很多migrationtools的文件
vim /usr/share/migrationtools/migrate_common.ph 修改以下的两个地方
3:生成基础的数据文件,可以自己修改这个生成的base.ldif文件,把不需要的去掉
/usr/share/migrationtools/migrate_base.pl > base.ldif
4:把base.ldif导入OpenLDAP
ldapadd -x -D "cn=Captain,dc=lemon,dc=com" -W -f base.ldif
这里会报错,我们可以通过-c参数强制加入
导入之后,通过PhpLdapAdmin可以看到已经导入进来了:
5:把系统的用户生成ldif文件
cd /usr/share/migrationtools
./migrate_passwd.pl /etc/passwd passwd.ldif
./migrate_group.pl /etc/group group.ldif
可以看到生成的文件,然后根据自己需要修改这两个ldif文件:
passwd.ldif只留一个test1测试用户:
group.ldif留对应的test1:
把用户导入进去:ldapadd -x -D “cn=Captain,dc=lemon,dc=com” -W -f passwd.ldif
把组导进去:ldapadd -x -D “cn=Captain,dc=lemon,dc=com” -W -f group.ldif
然后就可以看到:
在这里就已经完成把系统的账号属性导入了OpenLDAP,然后就通过添加OpenLDAP用户,来进行验证,所以得先做好客户端的设置
五:OpenLDAP客户端的配置
1:停掉sssd服务 service sssd stop && chkconfig sssd off
2:安装nslcd服务 yum install nss-pam-ldapd
3:修改vim /etc/nslcd.conf这个配置文件
4:修改vim /etc/pam_ldap.conf
5: vim /etc/pam.d/system-auth 修改,把sss行的注释掉,改成ldap的
6:vim /etc/nsswitch.conf 修改nsswitch.conf配置文件,修改后,默认登录的用户通过本地配置文件进行查找并匹配。当匹配不到用户信息时,会通过后端配置的LDAP认证服务进行匹配
7:vim /etc/sysconfig/authconfig 确保标记的已打开为yes
USESHADOW=yes 启用密码验证
USELDAPAUTH=yes 启用OpenLDAP验证
USELOCAUTHORIZE=yes 启用本地验证
USELDAP=yes 启用LDAP认证协议
8:重启nslcd服务
/etc/init.d/nslcd restart
9:验证,先通过OpenLDAP增加一个用户,在test1的基础上,复制一个test2的条目
后面的根据自己的修改
可以看到已经成功的添加了test2的用户,这是OpenLDAP添加的,在本地是没有的,用cat /etc/passwd 看是没有test2用户的
测试:su - test2
在/etc/pam.d/system-auth配置文件里添加这一行:session optional pam_mkhomedir.so skel=/etc/skel/ umask=0022
重启 /etc/init.d/nslcd restart
在进行测试:就可以了
查看系统用户列表:
服务端查询:ldapsearch -x -b “ou=People,dc=lemon,dc=com” |grep dn
客户端查询:ldapsearch -H ldap://10.0.0.138 -x -b “ou=People,dc=lemon,dc=com” |grep dn
| 查询单个用户:ldapsearch -x -b “uid=test1,ou=People,dc=lemon,dc=com” | grep dn |
客户端的配置到这里ok啦。有账号肯定要能通过ssh登录系统
六:OpenLDAP与SSH
1:vim /etc/ssh/sshd_config
2:vim /etc/pam.d/sshd 用于第一次登陆的账户自动创建家目录
3:vim /etc/pam.d/password-auth
4:重启sshd
七:OpenLDAP限制用户登录系统
在账号中,不能让每个用户都能登录系统,所以要限制用户登录
1:vim /etc/pam.d/sshd 在这里加上pam_access.so模块
2:vim /etc/security/access.conf 这里限制test2用户ssh登录系统
测试:可以看到就只有test2登录不上
八:OpenLDAP强制用户一登录系统更改密码
1:修改配置文件
在前面打开注释
moduleload ppolicy.la
modulepath /usr/lib/openldap
modulepath /usr/lib64/openldap
还要在database config前面加上这两段
access to attrs=userPassword
by self write
by anonymous auth
by dn=”cn=Captain,dc=lemon,dc=com” write
by * none
access to *
by self write
by dn=”cn=Captain,dc=lemon,dc=com” write
by * read
在文件的末尾添加:
overlay ppolicy
ppolicy_default cn=Captain,ou=pwpolicies,dc=lemon,dc=com
2:重新生成配置文件数据库:
[root@lele openldap]# vim /etc/openldap/slapd.conf
[root@lele openldap]# rm -rf /etc/openldap/slapd.d/*
[root@lele openldap]# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
config file testing succeeded
[root@lele openldap]# chown -R ldap.ldap /etc/openldap/slapd.d/
[root@lele openldap]# /etc/init.d/slapd restart
Stopping slapd: [ OK ]
Starting slapd: [ OK ]
可以通过配置文件的数据信息看到ppolicy模块已经加进来了
cat /etc/openldap/slapd.d/cn=config/cn=module{0}.ldif
3:编辑
cat 1.ldif
dn: ou=pwpolicies,dc=lemon,dc=com
objectClass: organizationalUnit
ou: pwpolicies
4:ldapadd -x -D “cn=Captain,dc=lemon,dc=com” -W -f 1.ldif
添加进去
可以在PhpLdapAdmin上看到:
5:添加cn=Captain,ou=pwpolicies,dc=lemon,dc=com这个的一些属性值
[root@ll ~]# cat 2.ldif
dn: cn=Captain,ou=pwpolicies,dc=lemon,dc=com
cn: Captain
objectClass: pwdPolicy
objectClass: person
pwdAllowUserChange: TRUE
pwdAttribute: userPassword
pwdExpireWarning: 259200
pwdFailureCountInterval: 0
pwdGraceAuthNLimit: 5
pwdInHistory: 5
pwdLockout: TRUE
pwdLockoutDuration: 300
pwdMaxAge: 2592000
pwdMaxFailure: 5
pwdMinAge: 0
pwdMinLength: 8
pwdMustChange: TRUE
pwdSafeModify: TRUE
sn: dummy value
把属性值添加进去
在PhpLdapAdmin可以看到:
6:在vim /etc/pam_ldap.conf中的末尾添加:使得客户端能识别服务端的密码策略
pam_password md5
bind_policy soft
pam_lookup_policy yes
pam_password clear_remove_old
7:重启nslcd
/etc/init.d/nslcd restart
8:测试
修改用户的属性,用test3做测试
[root@ll ~]# cat modify.ldif
dn: uid=test3,ou=people,dc=lemon,dc=com
changetype: modify
replace: pwdReset
pwdReset: TRUE
ldapmodify -x -D “cn=Captain,dc=le,dc=com” -W -f modify.ldif 导入
ldapwhoami -x -D uid=test3,ou=people,dc=lemon,dc=com -W -e ppolicy -v 查看test3用户的策略信息
这里显示输入test3 的原始密码,然后输入新修改的密码
当修改完后,就没有必须改变密码的那一句话
这里可以啦
九:OpenLDAP与系统账号结合Samba
默认的Samba服务器支持本地系统用户(smbpasswd添加后)访问Samba资源,不支持OpenLDAP服务器账号访问Samba共享资源,配置完后,OpenLDAP每新增一个用户,就自动支持Samba,就可以用这个账号直接访问Samba,不需要存在于本地用户,不用smbpasswd用户
1:安装samba
yum -y install samba
2:把Samba.schema文件拷贝到LDAP的schema目录下,把原来的覆盖掉
cp /usr/share/doc/samba-3.6.23/LDAP/samba.schema /etc/openldap/schema/
3:修改配置文件vim /etc/openldap/slapd.conf
在include的地方,加上Samba的schema
3:修改了配置文件,就有重新生成配置文件数据
rm -rf /etc/openldap/slapd.d/*
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/
config file testing succeeded
chown -R ldap.ldap /etc/openldap/slapd.d/
/etc/init.d/slapd restart
4:修改Samba的配置文件
添加:
security = user
passdb backend = ldapsam:ldap://10.0.0.138
ldap suffix = “dc=lemon,dc=com”
ldap group suffix = “cn=group”
ldap user suffix = “ou=people”
ldap admin dn = “cn=Captain,dc=lemon,dc=com”
ldap delete dn = no
pam password change = yes
ldap passwd sync = yes
ldap ssl = no
对应这里的
在最后的时候添加共享的文件:
[public]
comment = Public Stuff
path = /tmp/lile
public = yes
writable = yes
printable = no
5:创建共享文件夹,并且授权
mkdir /tmp/lile
chmod 777 /tmp/lile/
6:把OpenLDAP的密码传给Samba,smbpasswd -w 123456 这里的密码是OpenLDAP的管理员密码
若不加,会报错:
7:重启smb
/etc/init.d/smb restart
/etc/init.d/nmb restart
8: Samba开通之后,可以看到这里的开关也打开了
9:测试
先把系统用户test1用smbpasswd -a test1 加到Samba的用户下,就可以看到:
test1用户下多了Samba的特性,原来是没有的
然后基于test1,在PhpLdapAdmin添加test2用户,不用smbpasswd,就只是OpenLDAP用户,复制的时候一定要重新改一下这里的密码,要不然登不进,
然后,就可以用windos去访问了,这里有一个概念就是OpenLDAP添加了的用户,不要再用smbpasswd去添加了,可以直接登录Samba
十:OpenLDAP的主从
1:做主从和双主的时候,一定要确认安装了 compat-openldap这个包
2:在主上的配置文件 10.0.0.138:
备份原来的配置文件:cp /etc/openldap/slapd.conf /etc/openldap/slapd.bak
先停掉服务 /etc/init.d/slapd stop
vim /etc/openldap/slapd.conf 修改配置文件
添加 index entryCSN,entryUUID eq
这里的注释去掉:
在文件的最后添加:
overlay syncprov 后端工作再overlay模式
syncprov-checkpoint 100 10 当满足修改100个条目或者10分钟的条件时主动以推的方式执行
syncprov-sessionlog 100 会话日志条目的最大数量
然后重新生成配置文件的数据文件:
rm -rf /etc/openldap/slapd.d/*
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/
chown -R ldap.ldap /etc/openldap/slapd.conf
chown -R ldap.ldap /etc/openldap/slapd.d
/etc/init.d/slapd restart
3:导出主的数据文件 ldapsearch -x -b ‘dc=lemon,dc=com’ > root.ldif,拷贝到从上scp scp root.ldif 10.0.0.140:~/
4:把主的配置文件slapd.conf 拷贝到从10.0.0.140上 用scp /etc/openldap/slapd.conf 10.0.0.140:~/
5:从上从主上拷贝了配置文件,
去掉:
overlay syncprov
syncprov-checkpoint 100 10
syncprov-sessionlog 100
然后再加上
syncrepl rid=003
provider=ldap://10.0.0.138:389/
type=refreshOnly
retry=”60 10 600 +” 尝试时间
interval=00:00:00:10 设置同步更新时间(日:时:分:秒)
searchbase=”dc=lemon,dc=com”
scope=sub 匹配根域所有条目
schemachecking=off 同步更新时是否开启schema语法检测
bindmethod=simple 同步验证模式为简单模式(即明文)
binddn=”cn=Captain,dc=lemon,dc=com” 使用Captain用户读取目录树信息
attrs=”,+” 同步所有属性信息
credentials=123456 管理员密码
重新生成数据配置文件
rm -rf /etc/openldap/slapd.d/
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/
chown -R ldap.ldap /etc/openldap/slapd.conf
chown -R ldap.ldap /etc/openldap/slapd.d
/etc/init.d/slapd restart
6:测试
在主的10.0.0.138上添加一个test7的用户,在从上刷新一下,是同步到的
十一:OpenLDAP的双主
在主从的基础上,修改配置,这是主的
serverID 2
overlay syncprov
syncrepl rid=001 (这里的格式一定要注意,中间这一段要用Tab键Tab一下,如果不的话会报错如下)
provider=ldap://10.0.0.140
type=refreshAndPersist
searchbase=”dc=lemon,dc=com”
schemachecking=simple
binddn=”cn=Captain,dc=lemon,dc=com”
credentials=123456
retry=”60 +”
mirrormode on
这是从的:
serverID 1
overlay syncprov
syncrepl rid=001 (这里的格式一定要注意,中间这一段要用Tab键Tab一下)
provider=ldap://10.0.0.138:389/
retry=”60 10 600 +”
searchbase=”dc=lemon,dc=com”
schemachecking=off
bindmethod=simple
binddn=”cn=Captain,dc=lemon,dc=com”
credentials=123456
mirrormode on
测试:在两台机上分别新建一个用户,看是否在对方能刷新到,主从与双主都只是备份的关系,若一台挂了,立即切换到另一台,则需做高可用和负载均衡
