Ldap HA超详细部署方案

最新推荐文章于 2025-08-01 13:56:59 发布
原创 最新推荐文章于 2025-08-01 13:56:59 发布 · 1.2k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

#两个主机都要操作,root下操作,
3、Ldap (主从)安装
#######################Ldap主从配置#####################

安装

yum -y install openldap-servers openldap-clients nss-pam-ldapd
#复制的是什么文件?
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown ldap:ldap /var/lib/ldap/DB_CONFIG

有问题可以考虑:chown -R ldap:ldap /etc/openldap/

启动(设置自启动)

systemctl start slapd
systemctl enable slapd

#设置密码

slappasswd -h {md5} -s "FCA6Pw2"
{MD5}qOykCIxA1***Nw==

vi set_rootpw.ldif
#################################################
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {MD5}qOykC***********LCSNw==
#################################################
ldapadd -Y EXTERNAL -H ldapi:/// -f set_rootpw.ldif

additional info: modify/add: olcRootPW: no equality matching rule 解决办法:
修改modify.ldif中对应选项的"add"为"replace"即可

#添加基础配置
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
#添加domain配置
vi set_domain.ldif
###################################
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base=“gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth”
read by dn.base=“cn=admin,dc=@@@,dc=com” read by * none

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=@@@,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=@@@,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {MD5}qOykCIx*******LCSNw==

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
dn=“cn=admin,dc=@@@,dc=com” write by anonymous auth by self write by * none
olcAccess: {1}to dn.base=“” by * read
olcAccess: {2}to * by dn=“cn=admin,dc=@@@,dc=com” write by * read
##########################################################
ldapmodify -Y EXTERNAL -H ldapi:/// -f set_domain.ldif

vi create_basedomain.ldif
##########################################################
dn: dc=@@@,dc=com
objectClass: top
objectClass: dcObject
objectclass: organization
o: Server com
dc: @@@

dn: cn=admin,dc=@@@,dc=com
objectClass: organizationalRole
cn: admin
description: Directory admin

dn: ou=People,dc=@@@,dc=com
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=@@@,dc=com
objectClass: organizationalUnit
ou: Group
##########################################################
ldapadd -x -D cn=admin,dc=@@@,dc=com -w*********FCA6Pw2 -f create_basedomain.ldif

#主从配置
------ master
vi sync_provider_addMode.ldif

###################################

create new

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: syncprov.la
####################################
ldapadd -Y EXTERNAL -H ldapi:/// -f sync_provider_addMode.ldif

vi sync_provider.ldif
#############################

create new

dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpSessionLog: 100
###############################
ldapadd -Y EXTERNAL -H ldapi:/// -f sync_provider.ldif

———slave

vi sync_consumer.ldif

修改sync_consumer.ldif中 provider=ldap://10.@@@.50:389/

##############################
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcSyncRepl
olcSyncRepl: rid=001
provider=ldap://10.@@@.50:389/
bindmethod=simple
binddn=“cn=admin,dc=@@@,dc=com”
credentials=2D0snAY**********6Pw2
searchbase=“dc=@@@,dc=com”
scope=sub
schemachecking=on
type=refreshAndPersist
retry=“30 5 300 3”
interval=00:00:05:00
################################

ldapadd -Y EXTERNAL -H ldapi:/// -f sync_consumer.ldif

#两个节点都执行
##其它 memberof配置
vi memberof_conf.ldif
#############################3
dn: cn=module,cn=config
cn: module
objectClass: olcModuleList
objectClass: top
olcModulePath: /usr/lib64/openldap
olcModuleLoad: memberof.la
############################

vi memberOfOverlay.ldif
#########################
dn: olcOverlay=memberof,olcDatabase={2}hdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcMemberOf
olcOverlay: {0}memberof
########################

ldapadd -Y EXTERNAL -H ldapi:/// -f memberof_conf.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f memberOfOverlay.ldif

master节点执行

#创建demo用户

#创建 demo 用户
vi create_user_demo.ldif
#################################3
dn: uid=demo,ou=People,dc=@@@,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: demo
sn: demo
userPassword: {MD5}qOyk***********q/ZLCSNw==
loginShell: /bin/bash
uidNumber: 1501
gidNumber: 1501
homeDirectory: /home/demo

dn: cn=demo,ou=Group,dc=@@@,dc=com
objectClass: posixGroup
cn: demo
gidNumber: 1501
memberUid: uid=demo,ou=People,dc=@@@,dc=com
########################################

ldapadd -x -D “cn=admin,dc=@@@,dc=com” -w 2***********CA6Pw2 -f create_user_demo.ldif

验证创建用户,两个主机验证同步

ldapsearch -x -b ‘ou=People,dc=@@@,dc=com’

ldapsearch -x

#LDAP HA操作#
#keepalive安装 两台主机都执行
#安装
yum install -y keepalived
#配置
mv /etc/keepalived/keepalived.conf /etc/keepalived/keepalived.conf.bak

master
vi /etc/keepalived/keepalived.conf

##########################################
vrrp_script check_ldap {
script “nc localhost 389 -w 1 </dev/null &>/dev/null || systemctl stop keepalived”
interval 2
weight 2
}
vrrp_instance LDAP_HA {
state MASTER
#state BACKUP
interface bond0
virtual_router_id 75
priority 100
nopreempt
advert_int 1
authentication {
auth_type PASS
auth_pass password123
}

    track_script {
      check_ldap
    }

    virtual_ipaddress {
        172.@@@.232
    }

}
#####################################

slave

vi /etc/keepalived/keepalived.conf

#############################33
vrrp_script check_ldap {
script “nc localhost 389 -w 1 </dev/null &>/dev/null || systemctl stop keepalived”
interval 2
weight 2
}
vrrp_instance LDAP_HA {
#state MASTER
state BACKUP
interface bond0
virtual_router_id 75
priority 90
nopreempt
advert_int 1
authentication {
auth_type PASS
auth_pass password123
}

    track_script {
      check_ldap
    }

    virtual_ipaddress {
        172.@@@.232
    }

}
###############################

启动命令:systemctl start keepalived
检查状态:systemctl status keepalived
验证:ping 172.@@@.232

#ldap 客户端配置 所有的主机执行
yum install -y openldap-clients nss-pam-ldapd
同步命令,所有主机
authconfig --enableldap --enableldapauth --ldapserver=172.@@@.232:389 --ldapbasedn=“dc=@@@,dc=com” --enablemkhomedir --update

非server主机,验证:ldapsearch -x -b ‘ou=People,dc=@@@,dc=com’

ldapwhoami -x -D “uid=ocdp,ou=People,dc=@@@,dc=com” -w ‘密码’

ldapsearch -x -b ‘ou=People,dc=@@@,dc=com’

ldapsearch -x

#Ranger HA操作
ranger keepalive安装
#安装
yum install -y keepalived
#配置
mv /etc/keepalived/keepalived.conf /etc/keepalived/keepalived.conf.bak

master
vi /etc/keepalived/keepalived.conf
#######################
vrrp_script check_ranger {
script “nc localhost 6080 -w 1 </dev/null &>/dev/null || systemctl stop keepalived”
interval 2
weight 2
}
vrrp_instance LDAP_HA {
state MASTER
#state BACKUP
interface bond0
virtual_router_id 70
priority 100
nopreempt
advert_int 1
authentication {
auth_type PASS
auth_pass password123
}

    track_script {
      check_ranger
    }

    virtual_ipaddress {
        172.@@@.231
    }

}
##############################

vi /etc/keepalived/keepalived.conf
#######################################
vrrp_script check_ranger {
script “nc localhost 6080 -w 1 </dev/null &>/dev/null || systemctl stop keepalived”
interval 2
weight 2
}
vrrp_instance LDAP_HA {
#state MASTER
state BACKUP
interface bond0
virtual_router_id 70
priority 90
nopreempt
advert_int 1
authentication {
auth_type PASS
auth_pass password123
}

    track_script {
      check_ranger
    }

    virtual_ipaddress {
        172.@@@.231
    }

}
########################################
启动命令:systemctl start keepalived
检查状态:systemctl status keepalived
验证:ping 172.@@@.231

sunxunyong
关注
LDAP部署文档
04-30
通过本文档,可以让使用者知道如何安装LDAP,实现单点登陆的相关部署
​​LDAP生产环境中的安装、配置与使用
最新发布
工作记录与分享,欢迎大家讨论指正
09-08 774
LDAP(轻量级目录访问协议)是一种开放的、跨平台的协议,用于访问和维护分布式目录信息服务。​:准备TLS加密所需的SSL证书(可以是自签名证书,但生产环境建议使用内部CA或公共CA签发的证书)。# 2. 创建CA证书目录并复制证书(如果使用自己的CA)# 1. 生成自签名证书(有公共CA证书则跳过)​,非常适合存储用户、组、设备等结构化信息。​LDAP服务器(主从复制),避免单点故障。LDAP安装后是空的,我们需要创建组织结构。其他配置可以暂时跳过,我们会手动配置。# 创建 Groups OU(存储组)
Ldap安装部署
zachz的博客
05-03 3803
openLdap 安装部署,包成!!!
LDAP 部署手册
qq_45894553的博客
10-21 2009
LDAP部署手册
LDAP 服务部署
Tyfly的博客
12-15 1821
LDAP 服务部署 1、实验环境: [root@ldapserver01 ~]# cat /etc/redhat-release CentOS Linux release 7.7.1908 (Core) [root@ldapserver01 ~]# ifconfig ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.191.131 netmask 255.255.255.0 bro
LDAP服务器部署(openldap、nginx、LAM)
东哥的博客
07-22 587
本文详细记录了在OpenEuler-24.03-LTS-SP1离线环境下部署OpenLDAP服务的完整过程。主要内容包括:1)安装OpenLDAP并进行初始配置,包括设置管理员密码、修改数据库配置、导入schema等;2)通过LAM(LDAP Account Manager)实现图形化管理,包括Nginx+PHP环境搭建、LAM安装与配置;3)安全加固,配置LDAPS加密通信。文中提供了详细的命令操作和配置示例,并特别强调了配置过程中的注意事项和常见问题解决方法。
LDAP服务(单点,主从,双主部署
lsdlq的博客
02-07 946
最近公司的LDAP服务器同步出现故障了,很多的服务都是连接ldap进行验证的,接着重新修复的机会写一下这个文档,LDAP基础的知识和实现我就不讲了,这次只写怎么部署和用的,那么废话不多说,上干货。
在Centos7上部署LDAP服务
weixin_44014460的博客
05-01 1311
部署一个ldap服务
Ldap双主模式+keepalived实现ldap高可用
08-08 2025
一.安装OpenLDAP yum install openldap openldap-clients openldap-servers 安装完直接启动 ``` systemctl start slapd ``` 设置管理员密码 ``` slappasswd -h {SSHA} ``` 然后会让你输入一个明文密码,返回给你一个加密的密码,记住这个返回的密码 使用ldap...
LDAP部署最佳实践】:如何在云平台上搭建稳定、可靠的LDAP服务
![【LDAP部署最佳实践】:如何在云平台上搭建稳定、可靠的LDAP服务]...接着,本文详细探讨了LDAP部署的架构设计,包括高可用性、
基于OpenShift的Mattermost高可用部署方案
“mattermost-openshift-customized”项目是一个高度集成的容器化部署解决方案,专为在OpenShift平台上实现Mattermost Team Edition的高可用性(High Availability, HA)架构而设计。该项目通过多个关键组件的协同...
私有云集群分布式部署方案,基于HAproxy负载均衡共享session模式
高级拳师的博客
08-09 1162
私有云集群分布式部署方案,基于HAproxy负载均衡共享session模式 nextcloud原文档连接:https://docs.nextcloud.com/server/11/admin_manual/installation/deployment_recommendations.html HAproxy负载均衡架构思路参考:https://linux.cn/article-4239-1.ht...
20、深入解析 Samba 集成:LDAP、域控与 Active Directory 的完美融合
desk3的博客
08-01 82
本文深入解析了 Samba 与 LDAP、域控制器以及 Active Directory 的集成方案,详细介绍了配置步骤和关键参数设置。内容涵盖 Samba 作为主域控制器的配置、与 Active Directory 的集成方法、使用 Winbind 实现跨平台用户验证,以及相关的优势、挑战和最佳实践建议。通过这些集成方案,可以实现集中化用户管理、增强的安全性和跨平台兼容性,为企业网络提供高效灵活的文件共享和管理解决方案
快速部署ldap服务
weixin_33966365的博客
06-14 868
                 快速部署ldap服务                                      作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任。 一.LDAP概述 1.什么是目录服务   (1)目录是一类为了浏览和搜索数据二十几的特殊的数据库,例如:最知名的的微软公司的活动目录(active directory)就是目录数...
部署LDAP
findstr的博客
03-24 268
#写在前面 凡是要vim 修改ldif文件的文档都是耍流氓 ,不可修改,只能通过新增ldif文件 changetype: modify来修改 1、yum 安装与配置 yum install -y openldap openldap-clients openldap-servers 复制一个默认配置到指定目录下,并授权,这一步一定要做,然后再启动服务,不然生产密码时会报错 cp /usr/sha...
LDAP部署与配置
weike_1005的博客
07-05 673
ldap部署与配置
ldap服务简单部署
weixin_33913332的博客
10-31 346
#安装openldap官网:http://www.openldap.org/http://www.openldap.org/doc/admin24/access-control.html两台服务器环境:[root@LDAP_M ~]# cat /etc/redhat-releaseCentOS release 6.5 (Final)[root@LDAP_M ~]# unam...
LDAP落地实战(一):OpenLDAP部署及管理维护
weixin_33806300的博客
07-16 524
公司内部会有许多第三方系统或服务,例如Svn,Git,VPN,Jira,Jenkins等等,每个系统都需要维护一份账号密码以支持用户认证,当然公司也会有许多的主机或服务器,需要开放登录权限给用户登录使用,每台主机需要添加登录的账号密码,这些操作不仅繁琐且不方便管理,密码记错或遗忘的情况时有发生。 引入一套支持各系统、服务、主机单点认证的服务就显得尤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值