centos配置安裝LDAP基礎知識

LDAP 伺服端基本說明 389--Centos5

OPENLDAP 相關程式

slapd：openLDAP 的 daemon

slurpd：多個 LDAP 伺服器進行?寫時所用的程式

相關檔案及目錄

/etc/openldap：openldap 的主要目錄

/etc/openldap/slapd.conf：伺服器設定檔

/etc/openldap/cacerts：為一目錄，存放憑證相關資料

/etc/openldap/DB_CONFIG.example：資料庫設定檔範例

/etc/openldap/schema：為一目錄，存放綱要資料，支援哪種資料類型

/var/lib/ldap：資料庫的存放路徑

/etc/openldap/ldap.conf：使用者端設定檔

 

LDAP目錄結構組成

•DN(Distinguished Name)：識別名稱，一條記錄的位置

•RDN(Relative Distinguished Name)：相對識別名稱，(指的就是cn及cn的值 ex.cn=weithenn，獨一無二的屬性)

•CN(Common Name) /uid：顯示名稱，一條記錄的名字/ID

•OU(Organizational Unit)：組織，一條記錄所屬組織

•DC(Domain Componet)：網域元件，一條記錄所屬地區

包含 cn 的 dn 記錄：dn:cn=username,ou=group,dc=kh,dc=edu,dc=tw
 
LDAP伺服器設定

1.安裝 openldap-servers

yum -y install openldap openldap-devel openldap-servers

2.建立 LDAP 密碼

slappasswd
New password:
Re-enter new password:
{SSHA}dKmbTeq19LgSL9tLKEiv7nyrkCJhaa83

設定密碼
slappasswd -h {MD5}

3.設定slap.conf以下三個部份

vi /etc/openldap/slap.conf

先將預設的設定值加上#，把以下的規格全部放進來比較方便。
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/redhat/autofs.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/phpgwaccount.schema
include /etc/openldap/schema/phpgwcontact.schema
include /etc/openldap/schema/samba.schema
.
.
database ldbm
.
suffix          "dc=server,dc=kh,dc=edu,dc=tw"
rootdn          "cn=Manager,dc=domain,dc=kh,dc=edu, dc=tw"一般 cn 值是 Manager
rootpw        {SSHA}dKmbTeq19LgSL9tLKEiv7nyrkCJhaa83 可為明碼或加密碼

4.透過檔案傳輸（FTP）的方式，將原有的schema格式放到/etc/openldap/schema/

 

5.若要匯入原有的domain.ldif 檔案，記得檢查是否關掉ldap，並且清空原先資料庫檔案

service slapd stop

rm -rf /var/lib/ldap/*

6.準備好後，匯入之前的備份資料檔案

slapadd -l 來源

slapadd -l /etc/openldap/domain.ldif

.匯入後，記得修改資料庫目錄許可權

chown -R ldap:ldap /var/lib/ldap/*

啟動 LDAP 服務

service slapd start

用原domain.ldif內的使用者登入測試看看吧！
 
備份LDAP伺服器檔案

1.可用於定期備份的執行檔內

vi /root/back.sh

slapcat -b "dc=server,dc=kh,dc=edu,dc=tw" -l 存放位置

slapcat -b "dc=server,dc=kh,dc=edu,dc=tw" -l /tmp/domain.ldif 範例

存檔後，可立即執行

chmod 755 back.sh

./back.sh

2.或直接執行

slapcat -b "dc=server,dc=kh,dc=edu,dc=tw" -l /tmp/domain.ldif

 
 
LDAP 使用者端設定（Centos 6.2）
本檔案參考Server World - ネットワ?クサ?バ?構築

•http://www.server-world.info/
•http://www.server-world.info/en/note?os=CentOS_6&p=ldap&f=2
1.安裝相關套件

yum -y install openldap openldap-clients nss-pam-ldapd

2.設定 LDAP 服務

setup

 

 

伺服器：ldap://IP 或 ldap://主機名稱

ldap://ldap.do.kh.edu.tw

基底DN：dc=do,dc=kh,dc=edu,dc=tw

 

另外一法：可用修改設定檔

vi /etc/openldap/ldap.conf

URI ldap://ldap.do.kh.edu.tw
BASE dc=do,dc=kh,dc=edu,dc=tw
 

接下來，編輯以下四個檔案。

vi /etc/openldap/ldap.conf

# add at the last line
# LDAP server's URI
URI ldap://ldap.do.kh.edu.tw/

# specify Suffix
BASE dc=do,dc=kh,dc=edu,dc=tw
TLS_CACERTDIR /etc/openldap/cacerts 

 vi /etc/nslcd.conf

# line 131: specify URI, Suffix
uri ldap://163.32.X.X/
base dc=kh,dc=edu,dc=tw
ssl no
tls_cacertdir /etc/openldap/cacerts

 vi /etc/pam_ldap.conf

# line 17: make it comment
# host 127.0.0.1

# line 20: specify Suffix
base dc=do,dc=kh,dc=edu,dc=tw

# add at the last line
uri ldap://ldap.do.kh.edu.tw/
ssl no
tls_cacertdir /etc/openldap/cacerts
pam_password md5

 vi /etc/pam.d/system-auth（自行找到以下四列，再去修改）

auth        sufficient    pam_ldap.so use_first_pass
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
password   sufficient    pam_ldap.so use_authtok
session     optional      pam_ldap.so
# add if you need ( create home directory automatically if it's none )
session     optional      pam_mkhomedir.so skel=/etc/skel umask=077

 vi /etc/nsswitch.conf

passwd: files ldap # line 33: add
shadow: files ldap # add
group: files ldap # add
netgroup: ldap # line 57: change
automount: files ldap # line 61: change

vi /etc/sysconfig/authconfig

USELDAP= yes # line 18: change

設定開機啟用

chkconfig nslcd on
shutdown -r now

3.使用者端無法立即重新啟動，必須重新開機。

4.重新開機後，在Client端本機，用其他帳號登入測試看看！會出現沒有家目錄，是正常的，除非有安裝nfs，或自動建立原生目錄。

 
 
LDAP 使用者端，啟用SSHD + VSFTPD
之前已經完成LDAP Client端的設定與啟用。

接下來，我們再來將  VSFTPD 及 SSHD 也啟用服務吧！

VSFTPD（啟用FTP功能，好用！）

cp /etc/pam.d/vsftpd  /etc/pam.d/vsftpd.bk

vi /etc/pam.d/vsftpd

auth       include      system-auth
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
session    optional     pam_keyinit.so force revoke
session    include      system-auth
session    required     pam_loginuid.so

SSHD（其實，這個功能可以不用啟用，沒事開給使用者，沒什麽作用...）

cp /etc/pam.d/sshd /etc/pam.d/sshd.bk

vi  /etc/pam.d/sshd

auth       include      system-auth
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
session    optional     pam_keyinit.so force revoke
session    include      system-auth
session    required     pam_loginuid.so

 
LDAP 使用者端，結合openwebmail
設定整合之前，先確認perl-Authen-PAM有無安裝

yum -y install perl-Authen-PAM
 

1.修改openwebmail的設定檔，使用pam認證

vi /var/www/cgi-bin/openwebmail/etc/openwebmail.conf

auth_module auth_unix.pl 修改為 auth_module auth_pam.pl

另外再新增一行，這樣讓使用者登入時可以自動建立相關的目錄與檔案
create_syshomedir yes

2.在auth_pam.pl內參數，將login修改為 openwebmail
vi /var/www/cgi-bin/openwebmail/auth/auth_pam.pl

my $servicename = $conf{'servicename'} || "openwebmail";

3.??auth_pam.conf到主要位置

cp /var/www/cgi-bin/openwebmail/etc/defaults/auth_pam.conf /var/www/cgi-bin/openwebmail/etc/auth_pam.conf

4.修改auth_pam.conf內參數，servicename為openwebmail

vi /var/www/cgi-bin/openwebmail/etc/auth_pam.conf

servicename             openwebmail
passwdfile_plaintext    /etc/passwd
check_nologin           no
check_shell             no
check_cobaltuser        no

4.在/etc/pam.d/內新增openwebmail

vi /etc/pam.d/openwebmail

auth include system-auth
account include system-auth
password include system-auth
session include system-auth

5.（可以不用修改，測試用）修改auth_ldap.conf

vi /var/www/cgi-bin/openwebmail/etc/defaults/auth_ldap.conf

ldaphost 192.168.0.1 # LDAP SERVER IP
ou user # LDAP ORGANIZATIONAL UNIT
cn Manager # LDAP USER
dc1 domain
dc2 kh
dc3 edu
dc4 tw
password secret

另外，不要亂改，因為系統啟動時尚未啟用ldap服務，所以先做原先的認證即可。我修改順序後，導致開機異常。

vi /etc/nsswitch.conf

passwd:     files ldap shadow:     files ldap group:      files ldap 

5.重新啟動openwebmail

/var/www/cgi-bin/openwebmail/openwebmail-tool.pl --init

 
 
openwebmail與LDAP問題：無法更改密碼
問題描述
全部正常後，發現無法在openwebmail內修改個人檔案，出現訊息change password error auth_pam.pl, ret -4, pam_authtok() err 6, Permission denied 。

 

在ldap伺服器中加入以下許可權參數

vi /etc/openldap/slapd.conf

#使用者密碼只能由自己變更, 對於?棵?褂謎咧幌抻糜諉藶胙櫓? 其餘禁止取用

access to attrs=userPassword

by self write

by users read

by anonymous auth

#以上沒有規範到的部份, 都授予讀取許可權

access to * by * read
 
次要LDAP
Step1.停止 「主要LDAP」

service slapd stop

Step2.修改 「主要LDAP」 slapd.conf 內容

vi /etc/openldap/slapd.conf

replogfile /var/lib/ldap/slapd.replog //指定 slurpd 更新檔路徑
replica host=server.kh.edu.tw:389 // Slaver LDAP 主機
suffix="dc=server,dc=kh,dc=edu,dc=tw" //更新的 DN
binddn="uid=admin2,cn=Manager,dc=shsps,dc=kh,dc=edu,dc=tw" // Slaver LDAP RootDN
bindmethod=simple //認證方式
credentials=123456 //Manager2的密碼(注意須為明碼)
tls=yes //開啟 TLS 支援

Step3. 將 「主要LDAP」 BDB Copy To Slaver LDAP

方法一：直接??

在?? Master LDAP BDB 之前記得執行 db_checkpoint 已確保所有資料已寫入 BDB 資料庫中，本次我的實作為直接把 BDB 資料庫??到 Slaver LDAP 的 BDB 資料庫路徑。

先確保資料寫入資料庫中
db_checkpoint-4.3 -1 -h /var/db/openldap-data/
scp /var/lib/ldap/* root@wwww.shsps.kh.edu.tw:/var/lib/ldap/

方法二：按照步驟來

匯出「主要LDAP」資料庫資料

slapcat -b "dc=server,dc=kh,dc=edu,dc=tw" -l /tmp/contents.ldif

??資料到「次要LDAP」

scp /tmp/contents.ldif root@server.kh.edu.tw:/tmp/contents.ldif

匯入資料到「次要LDAP」

slapadd -l /tmp/contents.ldif

修該資料庫擁有者

chown ldap.ldap /var/lib/ldap/*.*

Step4. 修改 Slaver LDAP slapd.conf 內容

vi /etc/openldap/slapd.conf

rootdn "uid=donlboy,cn=Manager,dc=domain,dc=kh,dc=edu,dc=tw" //Slaver LDAP RootDN
rootpw {MD5}FkyWuaT5c+FdMK43DGG6GA== //( MD5加密)
updatedn "uid=admin2,cn=Manager,dc=domain,dc=kh,dc=edu,dc=tw" //Master LDAP slurpd ??
updateref ldap:// www.111cn.net //更新要求送給 Master LDAP

Step5. 先啟動 Slaver LDAP slapd daemon

service slapd start

Step6.後啟動 Master LDAP slapd daemon

service slapd start

測實驗證是否成功

ldapsearch -x -b "cn=Manager,dc=domain,dc=kh,dc=edu,dc=tw" uid=*