LDAP服务(单点,主从,双主部署)

最新推荐文章于 2025-06-20 10:57:34 发布
原创 最新推荐文章于 2025-06-20 10:57:34 发布 · 785 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维

     最近公司的LDAP服务器同步出现故障了,很多的服务都是连接ldap进行验证的,接着重新修复的机会写一下这个文档,LDAP基础的知识和实现我就不讲了,这次只写怎么部署和用的,那么废话不多说,上干货。

基础设计

服务器名称操作系统IP地址
LDAP1Centos710.1.1.5
LDAP2Centos710.1.1.6

ldap服务需要使用CA服务签发的证书

所以第一步进行CA的操作

CA服务器生成证书

(1)更新服务

yum install -y openssl

(2)签发CA准备工作

cd /etc/pki/CA/
touch index.txt
echo 01 > serial

cp -a /etc/pki/tls/openssl.cnf{,$(date +%F)}
sed -i "50s/cacert.pem/CA.crt/" /etc/pki/tls/openssl.cnf
sed -i "55s/cakey.pem/CA.key/" /etc/pki/tls/openssl.cnf

(3)生成私钥与证书

umask 077 ; openssl genrsa -out private/CA.key
openssl req -new -x509 -days 3650 -key private/CA.key  -subj "/C=CN/ST=LiaoNing/L=ShenYang/O=example/OU=devops/CN=ca.example.cn/emailAddress=develop.example.cn"> CA.crt
##让其有效期为十年

(4)在OpenLDAP服务端生成CSR

mkdir /root/SSL
cd /root/SSL
openssl genrsa -out ldap.key
openssl req -new -days 3650 -key ldap.key  -subj "/C=CN/ST=LiaoNing/L=ShenYang/O=linlong/OU=devops/CN=ldap.example.cn/emailAddress=develop.example.cn" -out ldap.csr
openssl ca -days 3650 -in /root/SSL/ldap.csr -out /root/SSL/ldap.crt
cd /root/SSL
cp ldap.crt /etc/openldap/certs/
cp ldap.key /etc/openldap/certs/
cp /etc/pki/CA/CA.crt /etc/openldap/certs/
cp /etc/pki/CA/private/CA.key /etc/openldap/certs/

部署LDAP单点

(1)安装服务

yum install -y openldap openldap-servers openldap-clients compat-openldap
chown -R ldap.ldap /etc/openldap/
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown ldap.ldap /var/lib/ldap/DB_CONFIG

(2)启动并配置基础设置

systemctl restart slapd
mkdir /ldif_file
cd /ldif_file

        开启SSL功能

        cat /ldif_file/ssl.ldif

dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/openldap/certs/CA.crt
 
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/certs/ldap.crt
 
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/certs/ldap.key

        执行ldif配置文件

cd /ldif_file
ldapmodify -Y EXTERNAL -H ldapi:/// -f ssl.ldif
sed -i "s#ldap:\/\/\/#& ldaps:\/\/\/#" /etc/sysconfig/slapd
systemctl restart slapd

        验证


openssl verify -CAfile /etc/pki/CA/CA.crt /etc/openldap/certs/ldap.crt


会出现/etc/openldap/certs/ldapsrv.crt: OK


openssl s_client -connect $(hostname):636 -showcerts -state -CAfile /etc/openldap/certs/CA.crt

会出现SSL配置

(3)设置服务器密码

slappasswd


输入密码后会出现加密的密码举例如下
{SSHA}POLKU+dbVNqTYwFMTecd+PHwT249222
需要牢记保存好后续会用到,同时明文密码也要保存好后续会用到

(4)设置创建管理用户以及设置密码

           cat /ldif_file/pw.ldif

dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}POLKU+dbVNqTYwFMTecd+PHwT249222

        执行命令

ldapadd -Y EXTERNAL -H ldapi:/// -f pw.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

(5)配置域

         cat /ldif_file/main.ldif

dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=admin,dc=example,dc=cn" read by * none

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=example,dc=cn

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=example,dc=cn

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}POLKU+dbVNqTYwFMTecd+PHwT249222

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=example,dc=cn" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=example,dc=cn" write by * read

 执行命令

ldapmodify -Y EXTERNAL -H ldapi:/// -f main.ldif

(6)创建管理admin角色

        cat admin.ldif

dn: dc=example,dc=cn
objectClass: top
objectClass: dcObject
objectclass: organization
o: LinLong company
dc: example

dn: cn=admin,dc=example,dc=cn
objectClass: organizationalRole
cn: admin
description: administrator

        执行命令

ldapadd -x -D cn=admin,dc=1shitou,dc=cn -W -f admin.ldif

(7)创建用户创建组

        cat group.ldif

dn: ou=People,dc=example,dc=cn
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=example,dc=cn
objectClass: organizationalUnit
ou: Group

dn: ou=Shenyang,ou=People,dc=example,dc=cn
objectClass: organizationalUnit
ou: Shenyang

dn: ou=liu,ou=People,dc=example,dc=cn
objectClass: organizationalUnit
ou: liu

执行命令


ldapadd -x -D cn=admin,dc=1shitou,dc=cn -W -f group.ldif

cat user.ldif

dn: uid=liu,ou=liu,ou=People,dc=example,dc=cn
cn: liu
userPassword: liu
displayname: 刘
gidnumber: 10002
uid: liu
uidnumber: 10002
sn: liu
homedirectory: /home/liu
mail: liu@qq.com
loginshell: /bin/bash
objectclass: top
objectClass: posixAccount
objectclass: inetOrgPerson
objectClass: shadowAccount

执行命令

ldapadd -x -D cn=admin,dc=example,dc=cn -w 明文密码 -f user.ldif

LDAP (双主)集群部署

上面的是单点的部署方式,集群双主则是按单点的方式部署两台

注意事项

(1)CA签发的证书使用一致的

(2)ldap版本一致

(3)同步时间

(4)ldap创建的组以及已有的用户一致,同步之前进行操作

部署操作

ldap集群的操作是通过syncprov.la模块实现的这是镜像同步的模块

        同步时间

yum install -y ntpdate
echo "0 * * * * /usr/sbin/ntpdate cn.pool.ntp.org" >> /var/spool/cron/root

        cat mod_syncprov.ldif

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: syncprov.la

        执行命令


ldapadd -Y EXTERNAL -H ldapi:/// -f mod_syncprov.ldif
     修改OpenLDAP的配置

cat syncprov.ldif

dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpSessionLog: 100

执行 

ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov.ldif

在ldap1上

dn: cn=config
changetype: modify
replace: olcServerID
olcServerID: 0
 
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcSyncRepl
olcSyncRepl: rid=001
  provider=ldaps://对端IP地址:636
  bindmethod=simple
  binddn="cn=admin,dc=example,dc=cn"
  credentials=明文密码
  searchbase="dc=example,dc=cn"
  tls_reqcert=allow
  scope=sub
  schemachecking=on
  type=refreshAndPersist
  retry="30 5 300 3"
  interval=00:00:05:00
-
add: olcMirrorMode
olcMirrorMode: TRUE
 
dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
ldapmodify -Y EXTERNAL -H ldapi:/// -f master_1.ldif

cat master_2.ldif 

dn: cn=config
changetype: modify
replace: olcServerID
olcServerID: 1
 
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcSyncRepl
olcSyncRepl: rid=001
  provider=ldaps://对端IP地址:636
  bindmethod=simple
  binddn="cn=admin,dc=example,dc=cn"
  credentials=明文密码
  searchbase="dc=example,dc=cn"
  tls_reqcert=allow
  scope=sub
  schemachecking=on
  type=refreshAndPersist
  retry="30 5 300 3"
  interval=00:00:05:00
-
add: olcMirrorMode
olcMirrorMode: TRUE
 
dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov

执行

ldapmodify -Y EXTERNAL -H ldapi:/// -f master_2.ldif

lsdlq
关注
在Centos7上部署LDAP服务
weixin_44014460的博客
05-01 1227
部署一个ldap服务
已有统一身份认证平台,兼容ldap和cas设计(一)概念简介和ldap兼容
No system is safe
07-09 1320
背景 已有用java自研的统一身份认证平台。 目的 有运维提出需要兼容cas+ldap单点登录。
LDAP (OpenLDAP)+ CentOS7.5 部署与实践
06-12
本套系统旨在 ” 带领大家搭建起公司内部的一套高可用支持TLS/SSL加密的统一账号管理系统OpenLDAP” ,但同样也如实告诉大家一点:这个教程并没有特深入的讲解 OpenLDAP 的理论知识,更加深入的学习,任重而道远,让我们共同探索未来的道路。
LDAP 服务部署
Tyfly的博客
12-15 1731
LDAP 服务部署 1、实验环境: [root@ldapserver01 ~]# cat /etc/redhat-release CentOS Linux release 7.7.1908 (Core) [root@ldapserver01 ~]# ifconfig ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.191.131 netmask 255.255.255.0 bro
LDAP 认证系列(一):LDAP Server 安装
最新发布
yangmf2040的博客
06-20 663
LDAP是企业数字身份管理的核心技术,通过集中存储用户信息、组织架构和权限,实现高效统一的身份认证管理。文章介绍了使用Docker快速部署OpenLDAP服务器和管理端的方法,包括创建测试用户组和查询验证。LDAP已成为现代IT架构中身份与访问管理(IAM)的重要支柱,适用于从本地系统到云环境的各种场景。
Ldap安装部署
zachz的博客
05-03 3549
openLdap 安装部署,包成!!!
LDAP协议简介以及OpenLDAP服务搭建
ximingren的博客
05-06 6764
我这篇文章是自己在学习LDAP的时候,为了记录下来,将自己收集的资料集合成一篇文章而成的仅供参考,并非原创。参考过的文章有点击打开链接点击打开链接点击打开链接点击打开链接一:LDAP协议简介LDAP,全称为轻量级目录访问协议,是一项开放协议,用于通过分层目录结构对数据进行存储与检索。LDAP是一种灵活得解决方案,适用于定义各类条目及相关性质。OpenLDAP项目是实现了LDAP协议的开源软件。基本...
LDAP 部署手册
qq_45894553的博客
10-21 1911
LDAP部署手册
LDAP服务部署
weixin_34381687的博客
10-22 178
1.安装基本环境 # yum -y install openldap openldap-devel openldap-servers openldap-clients 2.配置LDAP服务端 (1)拷贝LDAP配置文件至配置目录 # cp /usr/share/openldap-servers/slapd.conf.obsolete.slapd.conf /etc/openldap/slapd....
LDAP服务
热门推荐
yolo2016的博客
12-04 1万+
LDAP服务基本概念LDAP定义LDAP的特点LDAP的主要应用场景产品ldap的信息模型LDAP的objectClassLDAP常用关键字列表LDAP用户组织模型OpenLDAP服务部署OpenLDAP客户端配置及验证ldap命令参考资料 基本概念 Openldap 官方入口 ===》 OpenLDAP Software 2.6 Administrator’s Guide LDAP定义 LDAP是轻量目录访问协议,英文全称是LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL,
快速部署ldap服务
weixin_33966365的博客
06-14 826
                 快速部署ldap服务                                      作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任。 一.LDAP概述 1.什么是目录服务   (1)目录是一类为了浏览和搜索数据二十几的特殊的数据库,例如:最知名的的微软公司的活动目录(active directory)就是目录数...
ldap安装以及部署相关文档
01-28
1. **身份验证与授权**:为各种应用提供单点登录(SSO)服务。 2. **企业资源目录**:存储员工信息,便于查找和管理。 3. **网络设备管理**:为路由器、交换机等设备配置用户账户和权限。 4. **邮件系统集成**:与...
ldap学习文档
10-14
4. **主从复制**:在大型部署中,可能需要设置主从OpenLDAP服务器以实现数据冗余和故障切换。主服务器负责更新,从服务器通过同步协议获取最新的数据。 5. **用户认证**:OpenLDAP也可用于用户身份验证,通过将用户...
Shiro与SpringMVC结合实现单点登录系统
单点登录(Single Sign-On,简称SSO)技术能够让用户在多个应用系统中通过一次登录就可以访问所有相互信任的应用系统。本文将详细介绍如何利用Shiro安全框架结合SpringMVC、Redis和MySQL来实现单点登录机制。 ### ...
LDAP软件介绍及其安装指南解析
在企业环境中,LDAP目录服务可以作为企业用户管理的基础,实现跨平台的用户管理和单点登录(SSO)。 9. LDAP的未来发展方向 随着技术发展,LDAP协议及其软件也在不断演进。云计算和容器技术的兴起为LDAP带来新的...
LDAP部署与配置
weike_1005的博客
07-05 630
ldap部署与配置
LDAP-2-部署
qq_55282290的博客
08-26 1714
Linux(Debian)环境下部署OpenLDAP
部署LDAP
findstr的博客
03-24 244
#写在前面 凡是要vim 修改ldif文件的文档都是耍流氓 ,不可修改,只能通过新增ldif文件 changetype: modify来修改 1、yum 安装与配置 yum install -y openldap openldap-clients openldap-servers 复制一个默认配置到指定目录下,并授权,这一步一定要做,然后再启动服务,不然生产密码时会报错 cp /usr/sha...
ldap服务简单部署
weixin_33913332的博客
10-31 329
#安装openldap官网:http://www.openldap.org/http://www.openldap.org/doc/admin24/access-control.html两台服务器环境:[root@LDAP_M ~]# cat /etc/redhat-releaseCentOS release 6.5 (Final)[root@LDAP_M ~]# unam...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值