LDAP 的安装配置(centos)

最新推荐文章于 2022-07-22 16:56:32 发布
转载 最新推荐文章于 2022-07-22 16:56:32 发布 · 257 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/ashnah/blog/845499
文章标签:

#ldap #开发工具 #运维

本文详细介绍了在Centos6和Centos7系统中配置LDAP服务的步骤,包括安装、配置、测试及TLS加密连接配置。同时提供了客户端配置方法,以及解决常见问题的方案。

Centos6系统中LDAP配置

服务器:

安装

yum  install  openldap  openldap-servers  openldap-clients

安装后,把模板文件拷贝到配置文件目录并改名

cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf

执行slappasswd命令,生成密码(此处输入的为123)

slappasswd
New password: 
Re-enter new password: 
{SSHA}ChrYrSofelqU6wrzpPmj/qOWzyh2inDx

编辑配置文件/etc/openldap/slapd.conf

......
include		/etc/openldap/schema/cosine.schema
include		/etc/openldap/schema/core.schema   //include 中包含所需的SCHEMA
......
suffix		"dc=highgo,dc=com" 
rootdn		"cn=Manager,dc=highgo,dc=com" 
rootpw		{SSHA}ChrYrSofelqU6wrzpPmj/qOWzyh2inDx 	//填写slappasswd生成的密码

拷贝数据文件:

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

测试配置文件并生成配置数据slapd.d(slapd.d是真正读取配置的地方,当修改了配置文件时,需要重新生成slapd.d)

root权限执行slaptest:
slapd
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d 
config file testing succeeded

修改修改配置文件和数据目录的权限:(数据目录/var/lib/ldap/在配置文件slapd.conf的directory处)

chown –R ldap /etc/openldap/*
chown –R ldap /var/lib/ldap/*

启动服务

service slapd start

建立root.ldif文件,用以添加rootdn

dn:dc= highgo,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: highgo

dn:cn=Manager,dc= highgo,dc=com
objectclass:organizationalRole

添加rootdn:

ldapadd -x -D "cn=Manager,dc= highgo,dc=com" -w 123 -f root.dif

确认rootd已经添加:

ldapsearch -x -D "cn=Manager,dc= highgo,dc=com" -w 123 -b "dc= highgo,dc=com"
结果:
# highgo.com
dn: dc=highgo,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: highgo
dc: highgo

# Manager, highgo.com
dn: cn=Manager,dc=highgo,dc=com
objectClass: organizationalRole
cn: Manager

TSL连接配置:

生成ssl数字证书并签名。

若有签名的ssl证书,则只需要把证书拷贝到相应目录下,并在配置文件中写明路径即可。

若没有,可以使用以下步骤生成自签名的证书:

cd /etc/pki/CA
(1)生成根秘钥:
openssl genrsa -out private/cakey.pem 2048

(2)生成自签名的根证书:
openssl req -new -x509 -key private/cakey.pem -out cacert.pem

(3)初始化CA:
mkdir private newcerts
# touch newcerts index.txt serial
# echo "00" > serial
(4)创建cacerts文件夹
cd  /etc/openldap/
mkdir cacerts

(5)生成ldap服务器的秘钥和证书
cd  /etc/openldap/cacerts
生成服务器的私钥
openssl genrsa -out server.key
为ldap生成证书签署请求(所填内容与根证书相同)
openssl req -new -key server.key -out server.csr
ca根据请求签发证书,得到.crt证书文件
openssl ca -in server.csr -out server.crt

拷贝证书到ldap配置目录 并设置权限

cp /etc/pki/CA/cacert.pem /etc/openldap/cacerts

chown -R ldap /etc/openldap/cacerts/server.crt
chmod 644 /etc/openldap/cacerts/server.crt
chown -R ldap /etc/openldap/cacerts/server.key
chmod 400 /etc/openldap/cacerts/server.key

chown -R ldap /etc/openldap/cacerts/cacert.pem
chmod 644 /etc/openldap/cacerts/cacert.pem

配置/etc/openldap/slapd.conf

在 OpenLDAP 服务器上,将以下内容添加到 /etc/openldap/slapd.conf 文件的 global 
段下面。TLSCertificateFile 和 TLSCertificateKeyFile 指定了证书文件和私钥文件的路径

TLSCACertificatePath     /etc/openldap/cacerts/cacert.pem
TLSCertificateFile      /etc/openldap/cacerts/server.crt
TLSCertificateKeyFile   /etc/openldap/cacerts/server.key

编辑/etc/sysconfig/ldap,开启加密支持

vim /etc/sysconfig/ldap
    SLAPD_LDAPS=yes

重新生成slapd.d目录

rm -rf slapd.d/*
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
chown -R ldap /etc/openldap/slapd.d

重启LDAP服务

service slapd restart

通过命令netstat -ntulp |grep slapd可以看到389(普通连接)端口和636(加密端口都已经启动)

netstat -ntulp |grep slapd
tcp        0      0 0.0.0.0:636                 0.0.0.0:*                   LISTEN      4550/slapd          
tcp        0      0 0.0.0.0:389                 0.0.0.0:*                   LISTEN      4550/slapd          
tcp        0      0 :::636                      :::*                        LISTEN      4550/slapd          
tcp        0      0 :::389                      :::*                        LISTEN      4550/slapd

关闭防火墙

iptables -F
iptables -X

 

可能出现的问题:

ldap_bind: Invalid credentials (49)    提示密码不正确

解决方案:

参考 http://www.linuxfly.org/post/671/
清空slapd.d:
rm -rf /etc/openldap/slapd.d/*
重新生成slapd.d	
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d	
修改权限	
chown -R ldap.ldap slapd.d/	
	
重新拷贝 DB_CONFIG	
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG	
	
重启	
service slapd restart

客户端:

安装

yum install -y openldap-clients

编辑配置文件 /etc/openldap/ldap.conf 以支持TSL传输

加入以下内容:

TLS_REQCERT  never 
ssl start_tls
tls_checkpeer yes
#TLS_CACERTDIR   /etc/openldap/cacerts
#tls_cacertfile /etc/openldap/cacerts/cacert.pem

Centos7系统中的LDAP配置

服务器

安装

yum  install  openldap  openldap-servers  openldap-clients

执行slappasswd命令,生成密码(此处输入的为123)

slappasswd
New password: 
Re-enter new password: 
{SSHA}ChrYrSofelqU6wrzpPmj/qOWzyh2inDx

centos7系统中LDAP没有配置文件slapd.conf,所以需要以下的设置:

vim /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldif
修改如下内容:
olcSuffix: dc=highgo,dc=com
olcRootDN: cn=Manager,dc=highgo,dc=com
olcRootPW: {SSHA}ChrYrSofelqU6wrzpPmj/qOWzyh2inDx

vim /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{1\}monitor.ldif
修改olcAccess的dn.base 内容与上面的rootdn一样
olcAccess: {0}to * by dn.base="cn=Manager,dc=highgo,dc=com" read by * none

vim  /etc/openldap/slapd.d/cn\=config.ldif
添加如下内容:
olcAllows: bind_v2

拷贝数据文件 并 权限

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown -R ldap.ldap /var/lib/ldap

测试配置文件:

slaptest -u
56e7c83d ldif_read_file: checksum error on "/etc/openldap/slapd.d/cn=config/olcDatabase={1}monitor.ldif"
56e7c83d ldif_read_file: checksum error on "/etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif"
config file testing succeeded

启动

service slapd start

导入要使用的SCHEMA

cd /etc/openldap/schema/
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f core.ldif//一般默认有

建立root.ldif文件并添加rootdn(与Centos6相同)

vim root.ldif
添加如下内容
dn:dc= highgo,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: highgo

dn:cn=Manager,dc= highgo,dc=com
objectclass:organizationalRole
ldapadd -x -D "cn=Manager,dc= highgo,dc=com" -w 123 -f root.dif

TSL连接配置

生成ssl数字证书并签名。

若有签名的ssl证书,则只需要把证书拷贝到相应目录下,并在配置文件中写明路径即可。

若没有,可以使用以下步骤生成自签名的证书:(与Centos6相同)

cd /etc/pki/CA
(1)生成根秘钥:
openssl genrsa -out private/cakey.pem 2048

(2)生成自签名的根证书:
openssl req -new -x509 -key private/cakey.pem -out cacert.pem

(3)初始化CA:
mkdir private newcerts
# touch newcerts index.txt serial
# echo "00" > serial
(4)创建cacerts文件夹
cd  /etc/openldap/
mkdir cacerts

(5)生成ldap服务器的秘钥和证书
cd  /etc/openldap/cacerts
生成服务器的私钥
openssl genrsa -out server.key
为ldap生成证书签署请求(所填内容与根证书相同)
openssl req -new -key server.key -out server.csr
ca根据请求签发证书,得到.crt证书文件
openssl ca -in server.csr -out server.crt

配置证书路径

vim  /etc/openldap/slapd.d/cn=config.ldif
olcTLSCACertificatePath: /etc/openldap/cacerts/cacert.pem
olcTLSCertificateFile: /etc/openldap/cacerts/server.crt
olcTLSCertificateKeyFile: /etc/openldap/cacerts/server.key

开启系统加密支持

vim /etc/sysconfig/slapd
SLAPD_URLS="ldapi:/// ldap:/// ldaps:///"

测试配置文件(同centos6)

slaptest -u
56e7c83d ldif_read_file: checksum error on "/etc/openldap/slapd.d/cn=config/olcDatabase={1}monitor.ldif"
56e7c83d ldif_read_file: checksum error on "/etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif"
config file testing succeeded

重启

service slapd restart

关闭防火墙

iptables -F
iptables -X

客户端

配置与centos相同

安装

yum install -y openldap-clients

编辑配置文件 /etc/openldap/ldap.conf 以支持TSL传输

加入以下内容:

TLS_REQCERT  never 
ssl start_tls
tls_checkpeer yes
#TLS_CACERTDIR   /etc/openldap/cacerts
#tls_cacertfile /etc/openldap/cacerts/cacert.pem

 

 

补充:

-H指定url和端口:
ldapsearch -D "cn=Manager,dc=example,dc=com" -w 123 -b "dc=example,dc=com" -H ldaps://192.168.10.35:636
ldapsearch -D "cn=Manager,dc=example,dc=com" -w 123 -b "dc=example,dc=com" -H ldap://192.168.10.35:389  
TSL加密连接:url前缀为ldaps,端口为636
普通连接:url前缀为ldap,端口为389

-h -p指定url和端口
ldapsearch -x -D "cn=Manager,dc=example,dc=com" -w 123 -h 192.168.10.35 -p 389
ldapsearch -x -D "cn=Manager,dc=example,dc=com" -w 123 -h 192.168.10.35 -p 636 不好用
ldapsearch -x -D "cn=Manager,dc=example,dc=com" -w 123 -h ldaps://192.168.10.35 -p 636  OK
-h直接指定ip只能用普通连接,TSL无法连接(默认前缀为ldap)
TSL连接时,需要在-h指定前缀ldaps

slapd -h "ldap://:666 ldaps://:777" 可以指定启动端口

转载于:https://my.oschina.net/ashnah/blog/845499

chouchen5431
关注
Centos7安装配置OpenLDAPLDAPadmin
墨痕诉清风的博客
07-30 981
我不知道别人为什么安装很顺利,我这里出了一些报错,多加几个命令。修改数据目录权限给ldap用户,此用户在安装时已自动创建。执行命令,有5个modifying 表示修改全部修改成功。3. 在OpenLDAP DB上配置域信息。1. yum方式安装OpenLDAP服务。3. 拷贝数据库配置配置文件,并启动服务。1. 准备加密后的密码(加了盐)ladpadmin链接测试。4. 关闭匿名用户访问。
centos7ldap安装配置
邢宁
11-29 3380
前言 LDAP一般指轻型目录访问协议,基本概念这里就不介绍了,网上有很多相关的介绍。 公司内部服务很多,如gitlab、wiki、jira等,如果每个服务创建一个账户,维护起来很不方便,一般通过ldap来解决这种场景。 一、安装ldap 1、安装依赖 yum install *ltdl* gcc gcc-c++ -y 2、安装BDB tar -zxvf db-5.1.29.tar.gz cd db-5.1.29/build_unix/ ../dist/configure --prefix=/data/
RHEL6.3之OpenLDAP配置实践
ponymwt的专栏
12-28 2246
OpenLDAP服务器建设比较麻烦,一不注意就会出错,本人经过数十次尝试,总算搭起来了,现分享给大家,也方便自己日后回过头来看看。   I、OpenLDAP安装与基本配置 1  Yum安装 yum -y install openldap-servers openldap-clients 2  vi /etc/sysconfig/ldap,确保SLAPD_LDAPI=yes 3  创建
LDAP 安装配置-centos7.4
07-22 6743
ldap 安装配置 centos 7.4 环境中实现
搭建LDAP服务器详细流程
热门推荐
TJW729024716博客
04-06 2万+
本文详解的介绍了搭建LDAP服务器的详细流程,且亲自验证过。
ldap之openlda的安装(Centos) |第一章-yellowcong
01-15 651
Ldap是一个树状的用户管理数据库,很多服务都是支持ldap做认证的,这种方法可以和sso整合到一起,这样既满足的web服务的单点登陆,也解决了cs架构的用户认证。ldap的选型也有很多,我们使用的是开源的openldap。本文讲解了ldap安装配置,以及简单使用。
LDAPcentos搭建openldap
芒果黑的博客
03-13 1084
参考文章:https://cloud.tencent.com/developer/article/1026304 https://blog.csdn.net/weixin_41004350/article/details/89521170 操作过程中出现问题可查看这两篇文章做对比 准备 由于是首次搭建,需要完全参考别人的方法来尝试,所以安装的是centos7桌面版本,这样方便复制粘贴及使用目录结构查看文件 环境:VMware15.5 + CentOS...
centos7 ldap安装配置
oToyix的博客
02-21 1338
一、创建一个容器,这里是一个以centos7为基础镜像 docker run -itd --privileged \ -p 389:389/tcp \ -p 8222:22 \ -v /sys/fs/cgroup:/sys/fs/cgroup \ --name=ldap centos7_ssh:latest /usr/sbin/init -v /sys/fs/cgroup:/sys/fs/cgroup 在容器中创建服务时,带上这个会少很多报错 二、安装软件及启动 yum install openldap
ldap学习总结 centos7 配置ldap
qq_52037540的博客
10-21 3963
ldap学习总结什么是LDAP?一、 LDAP的存储方式?二、 ldap安装(Linux)1,使用如下命令安装OpenLDAP:2.读入数据总结 什么是LDAP? LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。 提示:以下是本篇文章正文内容,下面案例可供参考 一、 LDAP的存储方式? LDAP以树型结构存储,具体信息存储在条目的数据结构中。一个目录信息树由若干条目组成,一个条目一个对象,每个条目具有唯一的标识
LDAP】在Centos7环境搭建LDAP服务端
Meepoljd的博客
07-13 3167
Centos7中创建OpenLDAP服务端
IDAP出现的问题汇总
qq_35240226的博客
08-23 1361
目录 如何修改LDAP默认端口呢? 修改phpldapadmin的默认端口https://www.ilanni.com/?p=14000 如何查看yum安装了那些软件 如何查看yum安装的软件在哪里? LINUX所有服务的启动脚本都存放在___目录中 /etc/init.d linux 将自己的服务添加到系统service服务 LDAP错误码 ...
LDAP
happiness_799的博客
05-04 1230
LDAP本人在此忠告此实验必须手动,禁止粘贴复制一、OpenLDAP安装,确保安装centos7的虚拟机能正常上网。# yuminstall -y openldap-* openldap-clients openldap-servers migrationtoolsfreeradius-ldap freeradius-utils1、配置openLDAP #vim/etc/openldap/sla...
[LDAP] CentOS7安装OpenLDAP后启动报错解决
Cindy的博客
01-08 9978
问题 CentOS7.3下yum在线安装的openldap-servers-2.4.44-20.el7.x86_64,安装配置完成后启动报错,报错日志: [root@openldap ~]# systemctl start slapd Job for slapd.service failed because the control process exited with error code...
Cloudera Manager 配置 LDAP 集成 Kerberos
跟着大数据和AI去旅行
01-26 4987
本文主要记录 cdh hadoop 集群集成 ldap 的过程,这里 ldap 安装的是 OpenLDAPLDAP 用来做账号管理,Kerberos作为认证。授权一般由Sentry来决定的。 集群包括7个节点,每个节点的ip、主机名和部署的组件分配如下: 192.168.0.200 master Kerberos KDC 、OpenLDAP 192.168.0.2
Linux下/etc/sysconfig目录
编程岁月
05-18 3156
/etc/sysconfig目录下的文件几乎都是跟系统配置相关的文件! /etc/sysconfig/* 用途 authconfig 系统使用者所使用的认证方式,或者说是系统使用者使用以登入主机的密码管理方式。目前最常见的就是每部主机自己管理自己,也就是 /etc/shadow 这个档案,以及底下会再提到的档案认证方式 MD5 的编码格式!
/etc/sysconfig/目录详解
秋刀鱼的专栏
06-19 2万+
<br />/etc/sysconfig/目录包括了在红帽企业LINUX下各种系统配置文件,以下是在/etc/sysconfig/目录下的文件列表如图:<br /><br />如果一些在此列出的文件没有出现在你的/etc/sysconfig/目录中,可能是相应的程序没有安装的原因。下面将对这些文件进行分别介绍,在此只对这些配置文件进行一般程度的说明,如果要看它们的完整内容,请查看其手册页。<br />(1)/etc/sysconfig/amd<br />      此文件的内容是为启用amd守护进程提供它的
【转】/etc/sysconfig/目录详解
无心出岫
05-31 5380
<br /><br />/etc/sysconfig/目录包括了在红帽企业LINUX下各种系统配置文件,以下是在/etc/sysconfig/目录下的文件列表如图:<br />500)this.width=500;"><br />如果一些在此列出的文件没有出现在你的/etc/sysconfig/目录中,可能是相应的程序没有安装的原因。下面将对这些文件进行分别介绍,在此只对这些配置文件进行一般程度的说明,如果要看它们的完整内容,请查看其手册页。<br />(1)/etc/sysconfig/amd<br />
OpenLDAP详细配置
weixin_33895604的博客
01-18 1222
关于OepnLDAP的信息存储 OpenLDAP目录中的信息是以树状的层次结构来存储数据,最顶层即根部称作“基准DN”,形如“dc=domain,dc=com”或者“o=domain.com”,前一种方式更为灵活也是Windows AD中使用的方式。在根目录的下面有很多的文件和目录,为了把这些大量的数据从逻辑上分开,OpenLDAP像其它的目录服务协议...
LDAP部署统一认证机制以及phpldapadmin(Centos7环境)
weixin_34408624的博客
05-24 837
LDAP部署统一认证机制以及phpldapadmin 一、LDAP简介 由于公司内部系统剧增,服务器太多,每个系统、服务器的账号都各不相同。所以决定采用LDAP的方式来一统Linux用户统一认证。背景随着团队人员、服务器增多,每台服务器的账号都独立管理,从而导致:运维人员维护成本过高员工操作非常不便员工需要记住的账号太多没有明确的权限划分...
CentOS6.2开放LDAP源码安装配置指南
本文档详细介绍了在 CentOS 6.2 操作系统环境下,如何通过源码方式安装配置 openLDAP 服务。首先,你需要确保系统已经更新到最新,并且安装了必要的依赖包,如 http、php 和 perl。接着,通过 yum 命令安装 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值