openLDAP高可用部署

最新推荐文章于 2024-09-02 08:57:50 发布
原创 最新推荐文章于 2024-09-02 08:57:50 发布 · 562 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python 

yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools
关闭selinux
getenforce 
Disabled
​
#关闭防火墙
systemctl stop firewalld
systemctl disable firewalld
​
#时间同步
ntpdate  -u cn.ntp.org.cn
​
#安装LDAP
yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools
​
#生成密码
slappasswd -s Ys4funPassword123.com
{SSHA}GDpheyNdNy0CGgriLJnPa9eB4y3oJpko
​
#修改域、管理员信息
vim /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldif 
需要修改内容如下:
olcSuffix:dc=ys4fun,dc=com #修改dc名称
olcRootDN: cn=admin,dc=ys4fun,dc=com #修改cn名称、dc名称
olcRootPW: {SSHA}GDpheyNdNy0CGgriLJnPa9eB4y3oJpko #该行为新增行,指定管理员密码,该行为新增行(新增加一行)

image-20231016184758697

#修改监控文件信息
vim /etc/openldap/slapd.d/cn=config/olcDatabase={1}monitor.ldif
​
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern
 al,cn=auth" read by dn.base="cn=admin,dc=ys4fun,dc=com" read by * none  #修改dn.base 部分,即dn.base="cn=admin,dc=ys4fun,dc=com"
#查看ldap版本号及检测
slapd -VV
slaptest -u
#设置DB
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
​
#修改ldap数据库配置目录归属用户
chown ldap:ldap -R /var/lib/ldap
​
#修改ldap数据库配置目录权限
chmod 700 -R /var/lib/ldap
​
#启动ldap
systemctl start  slapd
systemctl enable slapd
systemctl status slapd
​
#导入基本的数据库schema
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/collective.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/corba.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/duaconf.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/java.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/misc.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/openldap.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/pmi.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif
​
​
#修改migrate_common.ph
vim /usr/share/migrationtools/migrate_common.ph
​
# Default DNS domain
$DEFAULT_MAIL_DOMAIN = "ys4fun.com";
​
# Default base 
$DEFAULT_BASE = "dc=ys4fun,dc=com";
$EXTENDED_SCHEMA = 1;
 systemctl restart slapd

配置自己的属性

cd /etc/openldap/slapd.d/cn=config/cn=schema
vim cn\=\{14\}ys4fun.ldif
​
#UTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
# CRC32 1cdd9020
dn: cn={14}ys4fun
objectClass: olcSchemaConfig
cn: {14}ys4fun
olcAttributeTypes: {0}( 1.3.6.1.4.1.4203.666.1.90 NAME 'userName' DESC 'logi
 n name' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.
 3.6.1.4.1.1466.115.121.1.15 )
olcAttributeTypes: {1}( 1.3.6.1.4.1.4203.666.1.91 NAME 'ysid' DESC 'yongshi 
 ID' EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.
 1.4.1.1466.115.121.1.15 )
olcAttributeTypes: {2}( 1.3.6.1.4.1.4203.666.1.92 NAME 'phoneNumber' DESC 'p
 hone Number +86' EQUALITY telephoneNumberMatch SUBSTR telephoneNumberSubstr
 ingsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.50 )
olcAttributeTypes: {3}( 1.3.6.1.4.1.4203.666.1.93 NAME 'ysemail' DESC 'email
  address' EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch S
 YNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {4}( 1.3.6.1.4.1.4203.666.1.94 NAME 'group' DESC 'group o
 f user' EQUALITY caseIgnoreMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )
olcAttributeTypes: {5}( 1.3.6.1.4.1.4203.666.1.95 NAME 'password' DESC 'user
 s login password' EQUALITY octetStringMatch SYNTAX 1.3.6.1.4.1.1466.115.121
 .1.40 )
olcObjectClasses: {0}( 2.16.840.1.113730.3.2.201 NAME 'ys4fun' DESC 'RFC2798
 : Internet Organizational Person' STRUCTURAL MUST ( userName $ displayName 
 $ userid $ telephoneNumber $ mail $ group $ userPassword ) )
structuralObjectClass: olcSchemaConfig
#下面的内容配置成自己的
entryUUID: 4341327a-005e-103e-94c0-51f179114b79
creatorsName: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
createTimestamp: 20231016105528Z
entryCSN: 20231016105528.633267Z#000000#000#000000
modifiersName: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
modifyTimestamp: 20231016105528Z
​

ldap 双主高可用keepalived 部署

  • 添加syncprov module,两个节点上均执行

mkdir /data/
cd /data/
​
#创建 mod_syncprov.ldif 
# cat mod_syncprov.ldif 
# create new
dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: syncprov.la
​
#执行添加操作
ldapadd -Y EXTERNAL -H ldapi:/// -f mod_syncprov.ldif

  • 创建syncprov.ldif,两个节点上均执行

    # cat syncprov.ldif 
# create new
dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpCheckpoint:100 10
olcSpSessionLog: 100
​
#执行添加操作
ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov.ldif
​
#####
​
## olcSpCheckpoint: 100 10:这个设置用于配置同步检查点(Checkpoint)的频率。它表示每100个操作(例如添加、删除或修改条目)将触发一次同步检查点,而检查点的写入间隔不超过10秒。同步检查点用于记录同步的状态,以便在发生故障时可以从上一个检查点恢复。
### olcSpSessionLog: 100:这个设置用于配置同步会话日志的大小。它表示同步会话日志将保留最近的100个条目。同步会话日志记录了同步操作的详细信息,可用于故障排除和审计。
​

  • 准备主主节点的配置文件

#ldap master01 10.65.10.57 配置文件
# cat master01.ldif 
dn: cn=config
changetype: modify
replace: olcServerID
olcServerID: 1
​
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcSyncRepl
olcSyncRepl: rid=001
  provider=ldap://10.65.91.52:389/
  bindmethod=simple
  binddn="cn=admin,dc=moviebook,dc=cn"
  credentials=m2i3sc
  searchbase="dc=moviebook,dc=cn"
  scope=sub
  schemachecking=off
  attrs="*,+"
  type=refreshAndPersist
  retry="5 5 300 +"
  interval=interval=00:00:01:00
-
add: olcMirrorMode
olcMirrorMode: TRUE
-
add: olcDbIndex
olcDbIndex: entryUUID eq
-
add: olcDbIndex
olcDbIndex: entryCSN eq
​
#执行
ldapadd -Y EXTERNAL -H ldapi:/// -f master01.ldif -W
​
##################################################################
​
#ldap master02 10.65.91.52 配置文件
# cat master02.ldif 
dn: cn=config
changetype: modify
replace: olcServerID
olcServerID: 2
​
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcSyncRepl
olcSyncRepl: rid=001
  provider=ldap://10.65.10.57:389/
  bindmethod=simple
  binddn="cn=admin,dc=moviebook,dc=cn"
  credentials=m2i3sc
  searchbase="dc=moviebook,dc=cn"
  scope=sub
  schemachecking=off
  attrs="*,+"
  type=refreshAndPersist
  retry="5 5 300 +"
  interval=interval=00:00:01:00
-
add: olcMirrorMode
olcMirrorMode: TRUE
-
add: olcDbIndex
olcDbIndex: entryUUID eq
-
add: olcDbIndex
olcDbIndex: entryCSN eq
​
​
#执行
ldapadd -Y EXTERNAL -H ldapi:/// -f master02.ldif -W
​
################
参数说明:
​
     provider 为ldap master的地址 ;
     binddn:为域的基本信息,注这里一定要用管理员进行登录,否则同步不到用户的密码。
     credentials: ldap管理员的密码
     searchbase:选择要同步的独立域,根节点
     scope:设置所有的条目匹配
     schemachecking:设置同步更新时间检测
     type:同步模式为refreshAndPersist, refreshOnly 模式下后续操作由客户端轮询完成
     retry:同步更新重试次数和时间刚开始的5秒重试5次,以后每300秒重试一次
     attrs:复制全部属性
     interval 这里设置更新时间,这里为3秒一次,倒数第二个是分钟 以此类推。
#验证,登录ldap master01 创建一个用户
vim adduser.ldif
​
dn: userName=akc,ou=yongshi,dc=ys4fun,dc=com
objectClass: ys4fun
displayName: AI-akc
userName: akc
uid: 2105
group: yongshi
userPassword: {SSHA}Z/n5GQgh4jhFTh4hjAC6p7bl/ZiW0XU6
mail: akc@ys4fun.com
telephoneNumber: 18035159477
​
ldapadd -x -D "cn=admin,dc=ys4fun,dc=com"  -w Ys4funPassword123.com -f adduser.ldif 
#如何查看两个服务器是否都有这个用户
ldapsearch -x -b "dc=ys4fun,dc=com"  -D "cn=admin,dc=ys4fun,dc=com"  -w Ys4funPassword123.com uid=2105
​
#都有说明搭建成功

keepalived 部署

#安装 keepalived(两台机器均执行)
yum -y install keepalived
​
#10.66.10.28 keepalived配置
​
# cat /etc/keepalived/keepalived.conf 
global_defs {
     notification_email {
     xinliang_li@moviebook.cn
     }
     notification_email_from root@kubernetes1.yp14.cn
                 smtp_server exmail.qq.com
                 smtp_connect_timeout 30
                 router_id master01_11
}
​
vrrp_script check_svr {
    script "/root/keep/chk_server.sh"
    interval 20
    weight 5
 }
​
vrrp_instance VI_1 {
    state MASTER
    interface ens33
    virtual_router_id 98
    priority 100
    advert_int 2
    authentication {
        auth_type PASS
        auth_pass 1111
    }
    unicast_src_ip 10.66.10.28 label ens33:0
    unicast_peer {
        10.66.10.29
    }
​
    virtual_ipaddress {         ##主节点上的vip
        10.66.10.88/24 dev ens33 label ens33:0
        #vip2 dev eth0 label eth0:1    ##如果每个节点上有多个vip,一个一行填上,只填单个节点上的vip
    }
​
    track_script {
        check_svr
    }
}
​
​
​
#准备/root/keep/chk_server.sh文件
# cat /root/keep/chk_server.sh
#!/bin/bash
counter=$(ps -C slapd --no-heading|wc -l)
if [ "${counter}" = "0" ]; then
    systemctl start slapd
    sleep 2
    counter=$(ps -C slapd --no-heading|wc -l)
    if [ "${counter}" = "0" ]; then
    systemctl stop keepalived
    fi
fi
​
​
#授权
chmod  755 /moviebook/scripts/chk_server.sh
​
#启动keepalived
systemctl start keepalived
systemctl enable keepalived
​
#10.66.10.29 keepalived配置
#  cat  /etc/keepalived/keepalived.conf 
global_defs {
     notification_email {
     xinliang_li@moviebook.cn
     }
     notification_email_from root@kubernetes1.yp14.cn
                 smtp_server exmail.qq.com
                 smtp_connect_timeout 30
                 router_id master01_12
}
​
vrrp_script check_svr {
    script "/root/keep/chk_server.sh"
    interval 20
    weight 5
 }
​
vrrp_instance VI_1 {
    state BACKUP
    interface ens33
    virtual_router_id 98
    priority 90
    advert_int 2
    authentication {
        auth_type PASS
        auth_pass 1111
    }
    unicast_src_ip 10.66.10.29 label ens33:0
    unicast_peer {
        10.66.10.28
    }
​
    virtual_ipaddress {         ##主节点上的vip
        10.66.10.88/24 dev ens33 label ens33:0
        #vip2 dev eth0 label eth0:1    ##如果每个节点上有多个vip,一个一行填上,只填单个节点上的vip
    }
​
    track_script {
        check_svr
    }
}
​
​
#准备/root/keep/chk_server.sh文件
# cat /root/keep/chk_server.sh
#!/bin/bash
counter=$(ps -C slapd --no-heading|wc -l)
if [ "${counter}" = "0" ]; then
    systemctl start slapd
    sleep 2
    counter=$(ps -C slapd --no-heading|wc -l)
    if [ "${counter}" = "0" ]; then
    systemctl stop keepalived
    fi
fi
​
​
#授权
chmod  755 /moviebook/scripts/chk_server.sh
​
#启动keepalived
systemctl start keepalived
systemctl enable keepalived
​
​
​
#验证高可用,对外ldap 将使用10.66.10.88:389 提供服务,测试停止10.66.10.28 ldap、keepalived,虚ip飘至  10.66.10.29,仍然正常使用,rancher 绑定ldap 虚IP使用服务
​
OpenLDAP 介绍及安装部署实战
cc20100608的专栏
04-25 3427
ldap 介绍测试环境安装 LDAP 服务端设置 LDAP 的 root 密码配置 LDAP 服务端创建 LDAP 证书设置 LDAP 数据库创建 LDAP 用户添加防火墙规则开启 LDAP 日志配置 LDAP 客户端验证 LDAP 登录附录使用 Docker 部署 OpenLDAPOpenLDAP 是由 OpenLDAP 项目开发的轻量级目录访问协议的开源实现。LDAP 是一种互联网协议,电子邮件和其他程序用于从服务器查找联系人信息。它在 OpenLDAP 公共许可证下发布;
OpenLDAP 部署及实践(三)
展春秋的博客
02-05 1365
OpenLDAP-高可用 双主 镜像模式 角色 主机名 操作系统 IP地址 备注 CA-server CA-server CentOS7 192.168.3.254 作为签发ca使用,可复用dap1 ldap-1 ldap1 CentOS7 192.168.3.11 VIP 192.168.3.10 ldap-2 ldap2 CentOS7 192.168.3.12 VIP 192.168.3.10 1. 双主部署前期准备 在两台ldap上都需要安装及配置完全一样的OpenLDA
OpenLDAP+PhpLdapAdmin高可用模式部署记录(个人完整版本)
08-28
本篇文章是基于本人在测试环境下的OpenLDAP+phpldapadmin高可用方案实施手册,完整部署过程,测试通用!
CentOS6下OpenLDAP+PhpLdapAdmin高可用部署记录(个人精华版)
09-02
本篇文档详细记录了CentOS6下OpenLDAP+PhpLdapAdmin高可用部署过程,本人线上实操手册,验证无误!特在此分享,希望能帮助到有用到的朋友.
基于OpenLDAP_MirrorMode的OpenLDAP高可用
weixin_33919941的博客
12-24 965
背景: 某客户做用户中心项目。使用OpenLDAP做为存储用户信息。LDAP是一款轻量级目录访问协议(Lightweight Directory Access Protocol,简称LDAP),属于开源集中账号管理架构的实现,且支持众多系统版本,被广大互联网公司所采用。目录服务是一种特殊的数据库系统,对于数据的读取、浏览、搜索有很好的效果。同时做为用户中...
基于docker的高可用openldap(包含lam-admin网页和sudo,ppolicy模块)
qq_38120778的博客
06-21 4253
基于docker的高可用openldap(包含lam-admin网页和sudo,ppolicy模块) 你好! 这是本人第一次写博客,请大家多多包涵
OPENLDAP部署完整版(Linux)附一键式脚本,建议在干净的环境运行。
haodayizhizhuzhu的博客
02-17 3481
章节目录1,系统环境2,域信息(本章节使用)1,ladp部署
OpenLdap HA高可用Mirror Mode模式配置
wangkuangood3200的专栏
09-12 1527
版权声明:本文为博主原创文章,未经博主允许不得转载。 一、前言 网上关于opeldap ha的配置文章不少,但基本上都是基于2.4.4之前的版本的,一些配置目录和文件都已发生变化,并不适用我们的实际环境,因此特将HA配置步骤进行记录,已供后人少走弯路。 LDAP主从同步从2.4之后较之前版本发生了较大改动,新版本的主从同步模式有5种: 模式 特点 Syncrepl Sl...
服务器集群配置LDAP统一认证高可用集群(配置tsl安全链接)-centos9stream-openldap2.6.2
Innocence_0的博客
08-05 1685
因之前集群为centos6,已经很久没升级了,所以这次配置统一用户认证也是伴随系统升级到centos9时一起做的配套升级。新版的openldap配置大致与老版本比较相似,但有些地方配置还是有变化,另外,铺天盖地的帮助文档有相当一部分是直接搬砖过来的,所以参考时容易出错,这里将自己实践的内容一一共享,让大家更方便,更实用。另外,openldap的配置一般都采用ldif文件配置后使用命令导入,如果有人写的是要直接修改config目录下的文件的话赶紧绕道吧,那不是推荐的写法,会把你的配置搞乱的。
LDAP (OpenLDAP)+ CentOS7.5 部署与实践
06-12
本套系统旨在 ” 带领大家搭建起公司内部的一套高可用支持TLS/SSL加密的统一账号管理系统OpenLDAP” ,但同样也如实告诉大家一点:这个教程并没有特深入的讲解 OpenLDAP 的理论知识,更加深入的学习,任重而道远,让我们共同探索未来的道路。
CentOS6下OpenLDAP+PhpLdapAdmin基本安装及主从/主主高可用模式部署记录
weixin_33890499的博客
05-17 842
  下面测试的部署机ip地址为:192.168.10.2051)yum安装OpenLDAP [root@openldap-server ~]# yum install openldap openldap-* -y 2)配置ldap,包括准备DB_CONFIG和slapd.conf [root@openldap-server ~]# cp /usr/share/openldap-server...
openldap mirrorMode主主实现高可用
developerinit的专栏
09-03 1821
转载:http://www.ttlsa.com/database/openldap-mirrormode-cluster/ MirrorMode(镜像同步)两个节点都可读可写,当线上使用的主节点宕机之后,可以立即切换到从节点上。从节点大部分情况下是openldap的实时备份节点。如果想实现故障转移,还需要程序的配合。但是对于系统管理员来说,会在ip层面上来实现故障转移, 这时需要
安全镜像高可用OpenLDAP集群
wilbertzhou的专栏
01-09 8169
安全镜像高可用OpenLDAP集群 原文:http://www.grantcohoe.com/blog/2013/01/03/secure-mirroring-highly-available-openldap-cluster/ 背景 我的组织在OpenLDAP目录服务器中存储用户信息,这包括联系信息,性格喜好,iButton的标识等。目录服务器不存储用户密码,并依赖于一个Kerber
【亲测免费】 推荐项目:Helm OpenLDAP —— 构建高效可扩展的OpenLDAP服务
最新发布
gitblog_01013的博客
09-02 887
推荐项目:Helm OpenLDAP —— 构建高效可扩展的OpenLDAP服务 在快速发展的云原生环境中,对目录服务的需求日益增长。今天,我们为大家介绍一款名为Helm OpenLDAP的开源项目,这是一款基于Kubernetes的OpenLDAP部署解决方案,旨在简化企业级身份管理和访问控制的部署流程。 项目介绍 Helm OpenLDAP是一个精心设计的Helm图表,用于在Kubernete...
一、最全的openldap安装部署
热门推荐
dockj的博客
11-22 1万+
执行安装命令 yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-devel
高可用OpenLDAP在CentOS7.5上的部署与实践指南
6. **高可用性的实现**:讲述如何配置OpenLDAP的主从复制或者使用其他方法如负载均衡来提高系统的可用性和稳定性。 ### 后续深入学习 虽然本教程主要侧重于实践操作,对于OpenLDAP的理论知识没有深入讲解,但对于...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

米利都

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值