Centos6配置ldap
设备基本信息:
1、系统基本信息
cat /etc/redhat-release
CentOS release 6.6 (Final)
uname -a
Linux master 2.6.32-504.el6.x86_64 #1 SMP Wed Oct 15 04:27:16 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux
2、软件版本基本信息,软件都是yum安装的
一、基础配置
1、关闭防火墙
iptables -F
/etc/init.d/iptables save
/etc/init.d/iptables stop
chkconfig --del iptables
2、关闭selinux
sed -i 's/SELINUX=enabled/SELINUX=disabled/g' /etc/selinux/config
setenforce 0
查看selinux
getenforce
3、配置域名解析hosts
echo "192.168.18.184 hxy.com" >> /etc/hosts
4、安装ldap
yum -y install openldap openldap-servers openldap-clients openldap-devel compat-openldap -y
5、查看安装完成后的结果:
[[email protected] ~]# tail -1 /etc/passwd
ldap:x:55:55:OpenLDAP server:/var/lib/ldap:/sbin/nologin
6、还可以通过rpm -qa|grep openldap看到安装了5个软件包
rpm -qa|grep openlda
openldap-servers-2.4.40-16.el6.x86_64
openldap-2.4.40-16.el6.x86_64
openldap-clients-2.4.40-16.el6.x86_64
compat-openldap-2.3.43-2.el6.x86_64
openldap-devel-2.4.40-16.el6.x86_64
7、复制配置文件
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf
8、生成密码:(密码你自己设定hxy123)这条命令是将输出结果输入到slapd.conf文件尾部
注:-s后面接的是你的密码
slappasswd -s hxy123|sed -e "s#{SSHA}#rootpw\t{SSHA}#g">>/etc/openldap/slapd.conf
tail -1 /etc/openldap/slapd.conf
rootpw {SSHA}8oL44HqnBOxEZyKGJr1Som2WV7apHHG0
9、查看slapd.conf配置文件:
grep -Ev "^$|^#" /etc/openldap/slapd.conf > /etc/openldap/slapd.conf_bak
\cp /etc/openldap/slapd.conf_bak /etc/openldap/slapd.conf
cat /etc/openldap/slapd.conf
include /etc/openldap/schema/corba.schema
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/duaconf.schema
include /etc/openldap/schema/dyngroup.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/java.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/ppolicy.schema
include /etc/openldap/schema/collective.schema
allow bind_v2
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
TLSCACertificatePath /etc/openldap/certs
TLSCertificateFile "\"OpenLDAP Server\""
TLSCertificateKeyFile /etc/openldap/certs/password
database config
access to *
by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
by * none
database monitor
access to *
by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read
by dn.exact="cn=Manager,dc=my-domain,dc=com" read
by * none
database bdb
suffix "dc=my-domain,dc=com"
checkpoint 1024 15
rootdn "cn=Manager,dc=my-domain,dc=com"
directory /var/lib/ldap
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index uid,memberUid eq,pres,sub
index nisMapName,nisMapEntry eq,pres,sub
rootpw {SSHA}8oL44HqnBOxEZyKGJr1Som2WV7apHHG0
10、修改配置文件
sed -i '[email protected]=Manager,dc=my-domain,[email protected]=Forand,dc=hxy,[email protected]' /etc/openldap/slapd.conf
sed -i '[email protected]=my-domain,[email protected]=hxy,[email protected]' /etc/openldap/slapd.conf
echo -e 'loglevel 296\ncachesize 1000'>>/etc/openldap/slapd.conf
vim /etc/openldap/slapd.conf
by dn.exact="cn=Forand,dc=hxy,dc=com" read
suffix "dc=hxy,dc=com"
rootdn "cn=Forand,dc=hxy,dc=com"
rootpw {SSHA}8oL44HqnBOxEZyKGJr1Som2WV7apHHG0
loglevel 296
cachesize 1000
这是和源文件不同的几个地方
11、修改完成后测试一下配置文件是否有问题
slaptest -f /etc/openldap/slapd.conf
我这里报错了!:
[[email protected] openldap]# slaptest -f /etc/openldap/slapd.conf -v
5b0d6f3d bdb_db_open: DB_CONFIG for suffix "dc=hxy,dc=com" has changed.
5b0d6f3d Performing database recovery to activate new settings.
5b0d6f3d bdb_db_open: database "dc=hxy,dc=com": recovery skipped in read-only mode. Run manual recovery if errors are encountered.
5b0d6f3d bdb_db_open: database "dc=hxy,dc=com": db_open(/var/lib/ldap/id2entry.bdb) failed: No such file or directory (2).
5b0d6f3d backend_startup_one (type=bdb, suffix="dc=hxy,dc=com"): bi_db_open failed! (2)
slap_startup failed (test would succeed using the -u switch)
在网上查了一下,
db_open(/var/lib/ldap/id2entry.bdb) failed: No such file or directory (2)
backend_startup_one (type=bdb, suffix="dc=hxy,dc=com"): bi_db_open failed! (2)
(这个文件需要登slapd启动时,才会生成 所以现在没有 不用管)
这里报错是因为在第三步后没有重新生成配置文件,启动slapd。而是直接修改配置文件去了
12、可以试下这样启动
slaptest -f /etc/openldap/slapd.conf -u
config file testing succeeded
测试配置文件没问题
13、启动服务
(1)问题1:
这里又报错,这是因为没有给/var/lib/ldap授权,授权后chown -R ldap.ldap /var/lib/ldap/,再重启slapd,/etc/init.d/slapd restart,可以看到成功的
chown -R ldap.ldap /var/lib/ldap/
/etc/init.d/slapd restart
Stopping slapd: [FAILED]
Starting slapd: [ OK ]
(2)问题2:如果出现:
报错原因为权限问题,解决方法为
rm -rf /etc/openldap/slapd.d/*
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/
chown -R ldap.ldap /etc/openldap/slapd.d
/etc/init.d/slapd restart
14、把ldap的日志加入系统日志记录
cp /etc/rsyslog.conf /etc/rsyslog.conf.bak.$(date +%F%T)
echo '#record ldap.log by hxy 2018-07-08' >> /etc/rsyslog.conf
echo 'local4.* /var/log/ldap.log'>> /etc/rsyslog.conf
tail -1 /etc/rsyslog.conf
#local4.* /var/log/ldap.log
service rsyslog restart
15、重新生成配置文件的配置信息:
先删除最先的配置文件生成的信息:
rm -rf /etc/openldap/slapd.d/*
重新生成:
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/
config file testing succeeded
查看是否生成的是自己修改的配置文件信息:
cat /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}bdb.ldif
他这里会输出一推信息,我们只关心我们的信息是否存在就行了:
cat /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}bdb.ldif|egrep "olcSuffix|olcRootDN"
olcSuffix: dc=hxy,dc=com
olcRootDN: cn=Forand,dc=hxy,dc=com
这样就OK了
授权, 重启:
chown -R ldap.ldap /etc/openldap/slapd.d/
/etc/init.d/slapd restart
16、配置ldap数据库权限
ll /var/lib/ldap/DB_CONFIG
chown ldap.ldap /var/lib/ldap/DB_CONFIG
chmod 700 /var/lib/ldap/
ls -l /var/lib/ldap/
17、验证是否成功:
slaptest -u
config file testing succeeded
18、创建一个账号,用于导入ldap数据库(密码123456)
useradd testuser
passwd testuser
useradd ldapuser
passwd ldapuser
19、至此,这些用户仅仅是系统上存在的用户(存储在/etc/passwd和/etc/shadow上),并没有在LDAP数据库里,所以要把这些用户导入到LDAP里面去。但LDAP只能识别特定格式的文件 即后缀为ldif的文件(也是文本文件),所以不能直接使用/etc/passwd和/etc/shadow。 需要migrationtools这个工具把这两个文件转变成LDAP能识别的文件。
20、安装配置migrationtools
yum install migrationtools -y
21、进入migrationtool配置目录
cd /usr/share/migrationtools/
23、首先编辑
sed -i 's/padl/hxy/g' migrate_common.ph
vim migrate_common.ph
改为
# Default DNS domain
$DEFAULT_MAIL_DOMAIN = "hxy.com";
# Default base
$DEFAULT_BASE = "dc=hxy,dc=com";
24、创建LDIF文件
拷贝密码和组的文件到tmp下面然后留下你需要的用户和组,不然整个用系统的文件有很多很杂,
cp /etc/passwd /tmp/
cp /etc/group /tmp/
cat /tmp/passwd
testuser:x:501:501::/home/testuser:/bin/bash
ldapuser:x:502:502::/home/ldapuser:/bin/bash
cat /tmp/group
testuser:x:501:
ldapuser:x:502:
25、下面利用pl脚本将/etc/passwd 和/etc/shadow生成LDAP能读懂的文件格式,保存在/tmp/下
cd /usr/share/migrationtools/
./migrate_base.pl > /tmp/base.ldif
./migrate_passwd.pl /tmp/passwd > /tmp/passwd.ldif
./migrate_group.pl /tmp/group > /tmp/group.ldif
26、下面就要把这三个文件导入到LDAP,这样LDAP的数据库里就有了我们想要的用户
ldapadd -x -D "cn=Forand,dc=hxy,dc=com" -W -f /tmp/base.ldif
ldapadd -x -D "cn=Forand,dc=hxy,dc=com" -W -f /tmp/passwd.ldif
ldapadd -x -D "cn=Forand,dc=hxy,dc=com" -W -f /tmp/group.ldif
过程若无报错,则LDAP服务端配置完毕
这过程中会让你输密码,密码就是你上面配置的密码
注:如果遇到如下错误:
解决办法是:
rm -rf /etc/openldap/slapd.d/*
chown -R ldap.ldap /etc/openldap
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
config file testing succeeded
27、测试查找内容
ldapsearch -LLL -W -x -H ldap://hxy.com -D "cn=Forand,dc=hxy,dc=com" -b "dc=hxy,dc=com" "(uid=*)"
如果找不到就重启下ldap就行
到这里ldap的基本配置算是完成了
我们还可以下载个web管理界面来更号的管理ldap
28、为ldap master配置web管理接口
①、安装lamp环境
yum install -y httpd php php-ldap php-gd
②、安装ldap-account-manager管理软件
https://www.ldap-account-manager.org/lamcms/releases?page=3
将ldap-account-manager-3.7.tar.gz安装包上传到/var/www/html目录
cd /var/www/html/
tar zxf ldap-account-manager-3.7.tar.gz
mv ldap-account-manager-3.7 ldap
cd ldap/config
cp config.cfg_sample config.cfg
cp lam.conf_sample lam.conf
sed -i 's#cn=Manager#cn=Forand#g' lam.conf
sed -i 's#dc=my-domain#dc=hxy#g' lam.conf
chown -R apache.apache /var/www/html/ldap
③页面登录一下
http://192.168.18.184/ldap/templates/login.php
密码就是上面你配置的ldap的密码
选择中文登录
④
点击建立
⑤查看你导入进来的用户
⑥新建新的用户
点击新用户
1)、编辑个人信息
2)、编辑unix信息
3)、再设置密码(123456),点击确定,然后点击保存
4)、再在用户里面查看一下
29、检查新建的ldap用户是否能够查询到
ldapsearch -LLL -W -x -H ldap://hxy.com -D "cn=Forand,dc=hxy,dc=com" -b "dc=hxy,dc=com" "(uid=test1)"
能查询到OK ldap配置完成
到此ldap配置完成
二、配置svn
1、安装svn
yum install -y subversion
2、新建svn目录
mkdir -p /root/svn/svnserver
4、启动svn
svnserve -d -r /root/svn/svnserver/
备注:如果要更改端口启动的时候接上“--listen-port”新端口。
5、创建版本库
svnadmin create /root/svn/svnserver/patch
6、修改svnserve.conf配置文件,在[general]下方加入这四行
> /root/svn/svnserver/patch/conf/svnserve.conf
cat >> /root/svn/svnserver/patch/conf/svnserve.conf<<EOF
[general]
anon-access = none
auth-access = write
password-db = passwd
authz-db = authz
realm = patch
[sasl]
use-sasl = true
EOF
vim /root/svn/svnserver/patch/conf/svnserve.conf
[general]
anon-access = none
auth-access = write
password-db = passwd
authz-db = authz
realm = patch
[sasl]
use-sasl = true
备注:realm 这行也可以不加。
7、创建svn用户和权限分配
在 /root/svn/svnserver/patch/conf目录下,有两个文件是配置用户账号密码和用户权限的。
passwd 此文件配置用户账号和密码
vim /root/svn/svnserver/patch/conf/passwd
[users]
svnTest= 123456
test = 123456
authz 此文件配置用户权限
vim /root/svn/svnserver/patch/conf/authz
[aliases]
[groups]
ldap_user = test1
admin = test
user = test,svnTest
[patch:/]
@admin = rw
@user = rw
@ldap_user = rw
备注:authz这个文件详细控制权限
9、在linux上检查命令是
svn checkout svn://192.168.18.184:3690/patch
输入完成后这个就是svn了
或者是在windows上面下个客户端做实验都行
三、SVN配置完成后配置saslauthd的认证方式
1、saslauthd
cat >> /etc/saslauthd.conf <<EOF
ldap_servers: ldap://hxy.com/
ldap_bind_dn: cn=Forand,dc=hxy,dc=com
ldap_bind_pw: hxy123
ldap_search_base: ou=People,dc=hxy,dc=com
ldap_filter: uid=%U
ldap_password_attr: userPassword
EOF
vim /etc/saslauthd.conf
ldap_servers: ldap://hxy.com/ #你的ldap地址
ldap_bind_dn: cn=Forand,dc=hxy,dc=com
ldap_bind_pw: hxy123 #你ldap的密码
ldap_search_base: ou=People,dc=hxy,dc=com
ldap_filter: uid=%U
ldap_password_attr: userPassword
2、修改saslauthd认证方式为ldap认证
sed -i 's/MECH=pam/MECH=ldap/' /etc/sysconfig/saslauthd
vim /etc/sysconfig/saslauthd
MECH=pam
改为
MECH=ldap
3、修改svn使用saslauthd认证
echo -e 'pwcheck_method: saslauthd\nmech_list: PLAIN LOGIN' >>/etc/sasl2/svn.conf
vim /etc/sasl2/svn.conf
pwcheck_method: saslauthd
mech_list: PLAIN LOGIN
4、然后重启saslauthd服务
/etc/init.d/saslauthd restart
5、然后试着验证一下ldap用户用
testsaslauthd -utest1 -p123456
这样就没问题了
6、在svn的server的配置文件上把saslauth的认证开启
7、取消这个的注释
vim /root/svn/svnserver/patch/conf/svnserve.conf
use-sasl = true
或者可以直接用sed
sed -i 's/# use-sasl = true/use-sasl = true/' /root/svn/svnserver/patch/conf/svnserve.conf
8、重启svn服务
pkill svn
svnserve -d -r /root/svn/svnserver/
9、然后用ldap账户提交svn
svn checkout svn://192.168.18.184/patch /tmp --username=test1 --password=123456
这样就没问题了
到此ldap+svn试验完成
本文参考:
https://www.cnblogs.com/dadong616/p/5092655.html
https://blog.csdn.net/reblue520/article/details/51804162
原文地址:http://blog.51cto.com/853056088/2138855