新版的openldap弃用了sldap.conf配置文件,引入一种动态配置,所以尽量不要直接修改配文件

如果直接修改了配置文件可以用slaptest -u命令检查

1、安装openldap,可能需要epel源

yum install openldap openldap-clients openldap-servers

2、启动openldap

systemctl start slapd 
systemctl enable slapd

检查一下是否有输出

ldapsearch -x -b '' -s base'(objectclass=*)'

 

3、配置ldap超级管理员

生成密码,等一下作为 olcRootPW 的值

slappasswd -s "pass"

创建admin.ldif 文件

dn: olcDatabase={}hdb,cn=config

changetype: modify

replace: olcSuffix

olcSuffix: dc=example,dc=com

dn: olcDatabase={}hdb,cn=config

changetype: modify

replace: olcRootDN

olcRootDN: cn=example,dc=taovip,dc=com

dn: olcDatabase={}hdb,cn=config

changetype: modify

replace: olcRootPW

olcRootPW: {SSHA}FqSgnCQY0evw7T3pZRfnKVHByAOhNSFS4

dn: olcDatabase={}monitor,cn=config

changetype: modify

replace: olcAccess

olcAccess: {}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern

 al,cn=auth" read by dn.base="cn=root,dc=example,dc=com" read by * none

导入配置

ldapmodify -Y EXTERNAL -H ldapi:/// -f admin.ldif

4、配置数据库

openldap默认使用的数据库是BerkeleyDB

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

chown ldap:ldap /var/lib/ldap/DB_CONFIG

导入schema

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

5、创建默认DN

创建base.ldif 文件

dn: dc=example,dc=com

o: company

objectClass: top

objectclass: dcObject

objectclass: organization

dn: cn=root,dc=example,dc=com

cn: root

objectClass: organizationalRole

description: Directory Manage

导入配置

ldapadd -x -W -D "cn=root,dc=example,dc=com" -f base.ldif

修改/etc/openldap/ldap.conf 加入一行默认DN如果不加 ldapsearch 不指定DN是无法搜到数据

BASE    dc=example,dc=com

查一下是否有刚才加的DN

ldapsearch -x -D "cn=root,dc=example,dc=com" -W

6、开启memberOf

默认情况下openldap的用户组属性是Posixgroup,Posixgroup用户组属性和用户没有实际的对应关系。如果要对应起来的话,就需要单独把用户设置到Posixgroup中

开启memberOf之后可以配置groupOfUniqueNames用户组属性,可以根据用户组过滤用户,这个过滤是唯一的

开启memberof,并让新增用户支持memberof

创建 memberof_config.ldif

dn: cn=module{0},cn=config
cn: modulle{0}
objectClass: olcModuleList
objectclass: top
olcModuleload: memberof.la
olcModulePath: /usr/lib64/openldap

dn: olcOverlay={0}memberof,olcDatabase={2}hdb,cn=config
objectClass: olcConfig
objectClass: olcMemberOf
objectClass: olcOverlayConfig
objectClass: top
olcOverlay: memberof
olcMemberOfDangling: ignore
olcMemberOfRefInt: TRUE
olcMemberOfGroupOC: groupOfNames
olcMemberOfMemberAD: member
olcMemberOfMemberOfAD: memberOf

创建 refint1.ldif

dn: cn=module{0},cn=config

add: olcmoduleload

olcmoduleload: refint

创建 refint2.ldif

dn: olcOverlay=refint,olcDatabase={2}hdb,cn=config

objectClass: olcConfig

objectClass: olcOverlayConfig

objectClass: olcRefintConfig

objectClass: top

olcOverlay: refint

olcRefintAttribute: memberof member manager owner

导入配置

ldapadd -Q -Y EXTERNAL -H ldapi:/// -f memberof_config.ldif

ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f refint1.ldif

ldapadd -Q -Y EXTERNAL -H ldapi:/// -f refint2.ldif

验证一下配置,这个命令可以列出所有配置

slapcat -b cn=config

7、创建用户和组

创建文件add_user.ldif

dn: cn=user,dc=example,dc=com

cn: user

sn: user

uid: user

objectClass: top

objectClass: shadowAccount

objectClass: inetOrgPerson

objectClass: organizationalPerson

objectClass: person

userPassword: {MD5}ICy5YqxZB1uWSwcVLDFSDSNLcA==

创建add_group.ldif

dn: cn=users,dc=example,dc=com

objectClass: groupofnames

cn: users

description: default group

member: cn=user,dc=taovip,dc=com

导入配置

ldapadd -x -D cn=root,dc=example,dc=com -W -f add_user.ldif

ldapadd -x -D cn=root,dc=example,dc=com -W -f add_group.ldif

8、打开openldap日志

配置rsyslog

mkdir -p /var/log/slapd

touch /var/log/slapd/slapd.log

chown -R ldap.ldap /var/log/slapd
echo "local4.* /var/log/slapd/slapd.log" >> /etc/rsyslog.conf

systemctl restart rsyslog

注意olcLogLevel这个属性"-1"是指开启debug日志,请参考http://www.openldap.org/doc/admin24/slapdconf2.html

创建log.ldif

dn: cn=config

changetype: modify

add: olcLogLevel

olcLogLevel: -

导入配置

ldapadd -Q -Y EXTERNAL -H ldapi:/// -f log.ldif

9、禁止匿名访问

默认情况下匿名用户可以获取所有用户信息,甚至是密码字段,虽然密码字段是经过加密的那也很危险

创建disable_anon.ldif文件

dn: cn=config

changetype: modify

add: olcDisallows

olcDisallows: bind_anon

dn: cn=config

changetype: modify

add: olcRequires

olcRequires: authc

dn: olcDatabase={-}frontend,cn=config

changetype: modify

add: olcRequires

olcRequires: authc

导入配置

ldapadd -Q -Y EXTERNAL -H ldapi:/// -f disable_anon.ldif

10、设置ACL

拒绝所有用户查看用户信息,并且添加有ldap管理账号

创建acl.ldif

dn: olcDatabase={}hdb,cn=config

changetype: modify

replace: olcAccess

olcAccess: to attrs=userPassword

  by anonymous auth

  by dn.base="cn=ldapadmin,ou=manage,dc=taovip,dc=com" write

  by * none

olcAccess: to *

  by anonymous auth

  by dn.base="cn=ldapadmin,ou=manage,dc=taovip,dc=com" write

  by dn.base="cn=ldapread,ou=manage,dc=taovip,dc=com" read

  by * none

导入配置

ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f acl.ldif

删除ACL

创建文件del_acl.ldif

dn: olcDatabase={}hdb,cn=config

changetype: modify

delete: olcAccess

olcAccess: {}
ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f acl.ldif

创建管理用户

创建add_ou.ldif

dn: ou=manage,dc=example,dc=com

ou: manage

description: Directory Manage

objectClass: top

objectClass: organizationalUnit

创建add_manage_user.ldif

dn: cn=ldapadmin,ou=manage,dc=example,dc=com

cn: ldapadmin

sn: ldapadmin

uid: ldapadmin

objectClass: top

objectClass: shadowAccount

objectClass: inetOrgPerson

objectClass: organizationalPerson

objectClass: person

userPassword: {SSHA}4eDZHnxvfOOoAgSM6tDLDueCIUB9sRuDHVpVJ

dn: cn=ldapread,ou=manage,dc=example,dc=com

cn: ldapread

sn: ldapread

uid: ldapread

objectClass: top

objectClass: shadowAccount

objectClass: inetOrgPerson

objectClass: organizationalPerson

objectClass: person

userPassword: {SSHA}4eDZHnxvfOOoAgSM6tDLDueCIUB9sRuDHVpVJ

导入配置

ldapadd -x -D cn=root,dc=example,dc=com -W -f add_ou.ldif

ldapadd -x -D cn=root,dc=example,dc=com -W -f add_manage_user.ldif

openldap 2.4 centos7 常用配置的更多相关文章

  1. VMware中安装CentOS7网络配置静态IP地址,常用配置和工具安装

    VMware中安装CentOS7网络配置静态IP地址,常用配置和工具安装在阿里云开源镜像地址下载镜像Index of /centos/7.2.1511/isos/x86_64/http://mirro ...

  2. centOS7.2防火墙常用配置(转)

    centOS7.2防火墙常用配置   firewall-cmd --state #查看默认防火墙状态(关闭后显示not running,开启后显示running) systemctl stop fir ...

  3. httpd2.4常用配置

    author:JevonWei 版权声明:原创作品 httpd 2.4配置 切换使用的MPM Centos7:/etc/httpd/conf.modules.d/00-mpm.conf 启用要启用的M ...

  4. CENTOS7常用的基础命令集合(一)

    目录(?)[-] CentOS7 常用命令集合 常用命令 文件与目录操作 查看文件内容 文本内容处理 查询操作 压缩解压 yum安装器 网络相关 系统相关 系统服务启动相关 防火墙相关 RPM包管理 ...

  5. LINUX服务器搭建和常用配置介绍

    服务器搭建 : 搭建私有CA服务器 : http://www.cnblogs.com/zhaojiedi1992/p/zhaojiedi_linux_011_ca.html搭建samba服务器 : h ...

  6. Centos7安装配置Apache+PHP+Mysql+phpmyadmin

    转载自: Centos7安装配置Apache+PHP+Mysql+phpmyadmin 一.安装Apache yum install httpd 安装成功后,Apache操作命令: systemctl ...

  7. VMware14 安装CentOS7及其配置;CentOS7配置网桥,做远程连接;

    1.VMware14安装        进入百度链接,按照图形安装就好了.https://jingyan.baidu.com/article/9f7e7ec09da5906f281554d6.html ...

  8. centos7常用命令集合

    版权声明:本文为博主原创文章,未经博主允许不得转载.   目录(?)[+]   CentOS7 常用命令集合 这两天一直在对CentOS 7.2进行初体验,各种学习命令肿么用,不过其实大多和DOS是一 ...

  9. MySQL常用配置和性能压力测试:MySQL系列之十五

    一.MySQL常用配置 以下所有配置参数以32G内存的服务器为基 1.打开独立的表空间 innodb_file_per_table = 1 2.MySQL服务所允许的同时会话数的上限,默认为151,经 ...

随机推荐

  1. vue使用axios实现前后端通信

    安装依赖 npm install --save axios # vue-axios是对axios的简单封装 npm install --save vue-axios 用例 在main.js里面进行全局 ...

  2. USACO 2006 November Gold Fence Repair /// 贪心(有意思)(优先队列) oj23940

    题目大意: 输入N ( 1 ≤ N ≤ 20,000 ) :将一块木板分为n块 每次切割木板的开销为这块木板的长度,即将长度为21的木板分为13和8,则开销为21 接下来n行描述每块木板要求的长度Li ...

  3. C++返回引用的需求

    1.重载+=操作符返回*this或者某个参数的引用可以方便链式调用,比如C++流操作就是cout<< a << b << c这样的,就是靠不停返回stream的引用 ...

  4. LeetCode 237. 删除链表中的节点(Python3)

    题目: 请编写一个函数,使其可以删除某个链表中给定的(非末尾)节点,你将只被给定要求被删除的节点. 现有一个链表 -- head = [4,5,1,9],它可以表示为: 示例 1: 输入: head ...

  5. 2 _ 基本框架 _ 检测VMX环境

    VT 是先开为大,谁先开谁上层,谁上层 谁权限大. 1 判断是否支持 VMX intel 白皮书 第3卷 传入 参数eax =1, 返回值 ecx 的第5位 = 1 则 surpported VMX. ...

  6. idea-----Idea在不关闭project的情况下进行Import Project

    Idea在不关闭project的情况下进行Import Project 引用:https://blog.csdn.net/qq_28198181/article/details/83069667

  7. 洛谷P3376【模板】网络最大流  Dinic模板

    之前的Dinic模板照着刘汝佳写的vector然后十分鬼畜跑得奇慢无比,虽然别人这样写也没慢多少但是自己的就是令人捉急. 改成邻接表之后快了三倍,虽然还是比较慢但是自己比较满意了.虽然一开始ecnt从 ...

  8. WebSocket实践

    基本弄清楚了WebSocket的来龙去脉后,开始了实现WebSocket技术的探索. 看过一篇文章,测试了八种WebSocket框架性能,得以了解到实现WebSocket技术的框架有: Netty.U ...

  9. 阿里巴巴毕玄解密AIOps:一文读懂阿里巴巴运维体系的前世今生

    [编者按]林昊(毕玄),阿里巴巴研发效能事业部负责人.2007年加入阿里,10年间打造了阿里目前使用最为广泛的核心中间件之一的服务框架:建设了阿里的HBase团队,发展到今天HBase已经是阿里最重要 ...

  10. ES6之主要知识点(五)函数

    函数参数的默认值 作用域 ; function f(x, y = x) { console.log(y); } f() let x = ; function f(y = x) { let x = ; ...