標籤:openldap fedora centos6.5
目標:使用ldap做為系統使用者的資料目錄,基於web管理ldap資料。
安裝
使用 YUM 安裝方式 ,由於要使用web方式管理LDAP伺服器,也要安裝APACHE、PHP和ldap相關的軟體包,要想通過ldap驗證使用者,一定要安裝nss-pam-ldapd和pam_ldap。web管理使用ldap-account-manager或phpldapadmin,lam和phpldapadmin可以直接用rpm包安裝。centos 6.5 使用openldap 2.4.23, fedora 使用openldap 2.4.39。系統使用者檔案轉換為ldif使用migrationtools工具。
配置方面
centos 6.5
1. 使用/usr/share/openldap-servers/slapd.conf.obsolete 轉換為/etc/openldap/slapd.d 檔案夾方式,要先建好slapd.d 檔案夾,不然會報錯,轉換完成後要變更slapd.d 檔案夾的所有者 :chown -R ldap:ldap /etc/openldap/slapd.d。
2. 確認配置無誤後運行:slapd ,會在/var/lib/ldap檔案夾下產生資料庫檔案,同時要把/usr/share/openldap-servers/DB_CONFIG.example 複製為/var/lib/ldap/DB_CONFIG。完成後更改所有者:chown -R ldap:ldap /var/lib/ldap。然後可以啟動服務:service slapd start。
fedora 20
要將/usr/share/openldap-servers/slapd.ldif 轉換為/etc/openldap/slapd.d 檔案夾,使用命令:ldapadd -F /etc/openldap/slapd.d -n 0 -f /usr/share/openldap-servers/slapd.ldif。fedora 20 要在轉換前編輯slapd.ldif 檔案佈建服務,轉換後不能手動更改slapd.d檔案夾下檔案,要使用ldapmodify 命令編輯,不然會報錯,服務起不來,centos 6.5 可以直接編輯slapd.d 檔案夾下檔案。注意:fedora下要提前把schema寫入slapd.ldif,預設只包括了一個core.ldif schema,不自己添加的話,後面使用ldapadd 命令的時候會提示法錯誤。以後添加資料的時候看見語法錯誤都要看一看schema 裡面有沒有相應的資料類型。然後同centos 第2步。
製作系統使用者ldif檔案,進入到/usr/share/migrationtools檔案夾下,運行名字包括base,group,passwd,的指令碼產生ldif檔案。編輯group,passwd產生的ldif檔案,只保留自己添加的使用者資料。然後用ldapadd 命令添加到ldap伺服器:ldapadd -x -D "cn=Manager,dc=home,dc=com" -h 127.0.0.1 -p 389 -W -f base.ldif。 都加入後可以用ldapsearch 查詢:ldapsearch -x -b dc=home,dc=com -H ldap:///
資料製作完成後要啟用使用者用ldap所存使用者資料驗證登陸系統,首先要把系統中與ldap伺服器中相同的使用者資料刪除,包括/etc/passwd-、/etc/shadow-、/etc/group-中資料。修改/etc/sysconfig/authconfig中的:FORCELEGACY=no 改為:FORCELEGACY=yes,(不使用sssd服務),使用命令:authconfig --enableldap --enableldapauth --enablemkhomedir --ldapserver=xj.home.com --ldapbasedn="dc=home,dc=com" --update,啟用使用ldap中使用者資料。(在使用sssd服務時使用tls加密可能不會出錯,但是不用tls加密情況下會出現使用者無法登陸,提示incorrect password錯誤,)。同時編輯/etc/nsswich.conf檔案,其中幾條改為
passwd: files ldap
shadow: files ldap
group: files ldap
以上完成後真接用ldap中使用者登陸無提示錯誤。
使用web管理ldap時,在fedora 下要開啟selinux 布爾值,setsebool -P httpd_can_connect_ldap 1,不然selinux會提示錯誤,網頁提示無法訪問ldap服務。個人建議用lam,配置簡單。
本文出自 “龍騰” 部落格,請務必保留此出處http://xjhome.blog.51cto.com/221500/1433984
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
