RHEL 60 RHCSA Openldap安装配置文档Word文档格式.docx
《RHEL 60 RHCSA Openldap安装配置文档Word文档格式.docx》由会员分享,可在线阅读,更多相关《RHEL 60 RHCSA Openldap安装配置文档Word文档格式.docx(14页珍藏版)》请在冰豆网上搜索。
97:
96:
05"
NM_CONTROLLED="
yes"
ONBOOT="
static"
IPADDR=192.168.37.37
NETMASK=255.255.255.0
GATEWAY=192.168.37.1
DNS1=192.168.37.37
3.主机名配置
[root@ldap~]#cat/etc/sysconfig/network
NETWORKING=yes
HOSTNAME=
二.安装配置BindDNSServer
4.安装软件Bind软件包
Linux下面使用的DNS服务端软件叫bindrpm-qa|grepbind#查询是否安装了bind软件如果没有安装就需要安装了yuminstallbind*-y
5.修改Bind配置文件
修改根域配置文件如下,三个any。
最后一个指向是区域配置文件的位置,主要为了和根域配置文件分离,方便管理。
[root@ldap~]#vim/etc/named.conf
options{
listen-onport53{any;
};
listen-on-v6port53{any;
allow-query{any;
include"
/etc/named.rfc1912.zones"
;
修改区域配置文件,添加如下信息,一个是正向解析,一个是方向解析。
[root@ldap~]#tail/etc/named.rfc1912.zones
zone"
"
IN{
typemaster;
file"
example.master"
allow-update{none;
};
37.168.192.in-addr.arpa"
example.ptr"
6.创建正向和方向解析文件
区域配置文件可以通过拷贝named.localhost文件获得
[root@ldapnamed]#pwd
/var/named
[root@ldapnamed]#ls
chrootdynamicexample.ptrnamed.emptynamed.loopback
dataexample.masternamed.canamed.localhostslaves
[root@ldapnamed]#catexample.master
$TTL1D
@INSOA@rname.invalid.(
0;
serial
1D;
refresh
1H;
retry
1W;
expire
3H);
minimum
NS@
A127.0.0.1
AAAA:
:
1
ldapA192.168.37.37
node1A192.168.37.21
instructorA192.168.37.20
[root@ldapnamed]#catexample.ptr
NS@
A127.0.0.1
AAAA:
37PTR
20PTR
38PTR
三.安装配置openldapServer
7.配置好本地yum源
[root@ldapldapuser1]#cat/etc/yum.repos.d/rhel.repo
[server]
name=server
baseurl=file:
///mnt
enable=1
gpgcheck=0
#yum-yinstallopenldap-serversopenldap-clients
[root@ldap~]#rpm-qa|grepopenldap-*
openldap-clients-2.4.19-15.el6.x86_64
openldap-2.4.19-15.el6.x86_64
openldap-servers-2.4.19-15.el6.x86_64
8.生成密码
slappasswd复制显示的密码
[root@ldap~]#slappasswd
Newpassword:
#根据自己的习惯设置响应的密码,此密码为
Re-enternewpassword:
#LDAP密码,导入用户和登陆phpldapadmin
{SSHA}GXM2gG/n8jyIoFvTzTzo3Isgq9jUKEXk-#redhat,牢记后面有用。
9.生成openldap的公钥和私钥
#opensslreq-new-x509-nodes-out/etc/pki/tls/certs/slapdcert.pem–keyout/etc/pki/tls/certs/slapdkey.pem-days365
10.编辑ldap数据库文件
#vim/etc/openldap/slapd.d/cn=config/olcDatabase={1}bdb.ldif
将dc=my-domain,dc=com替换为dc=example,dc=com
在该文件最后增加以下三行
olcRootPW:
{SSHA}GXM2gG/n8jyIoFvTzTzo3Isgq9jUKEXk此处为前面生成的密码,及我的环境的redhat
olcTLSCertificateFile:
/etc/pki/tls/certs/slapdcert.pem
olcTLSCertificateKeyFile:
/etc/pki/tls/certs/slapdkey.pem
11.指定管理员root的DN
#vim/etc/openldap/slapd.d/cn=config/olcDatabase={2}monitor.ldif
将cn=manager,dc=my-domain,dc=com替换为cn=Manager,dc=example,dc=com
12.生成DB配置文件
DB_CONFIG.example复制到/var/lib/ldap重命令为DB_CONFIG
Rhel6.0
$cp/usr/share/doc/openldap-servers-2.4.19/DB_CONFIG.example>
/var/lib/ldap/DB_CONFIG
Rhel6.1
$cp/usr/share/openldap-servers/DB_CONFIG.example/var/lib/ldap/DB_CONFIG
13.开启slapd的tls功能
#vim/etc/sysconfig/ldap
将SLAPD=LDAPS=no将的注释取消掉,同时将no改为yes
14.测试ldap的配置并启动
#slaptest-u
#serviceslapdstart
#chkconfigslapdon
#ldapsearch-x-b"
dc=example,dc=com"
15.迁移本地帐户到ldapserver
1.安装迁移包
#yum-yinstallmigrationtools
2.修改迁移脚本
#vim/usr/share/migrationtools/migrate_common.ph
将else部分中的
$NAMINGCONTEXT{'
group'
}="
ou=Group"
改为
ou=Groups"
修改以下两行
$DEFAULT_MAIL_DOMAIN=””;
$DEFAULT_BASE=”dc=example,dc=com”;
将$EXTENDED_SCHEMA=0;
改为$EXTENDED_SCHEMA=1;
16.生成base.ldif文件
[root@ldapmigrationtools]#pwd
/usr/share/migrationtools
#./migrate_base.pl>
/tmp/base.ldif
将/etc/passwd,/etc/group当中需要迁移到ldapserver的用户及组的条目分别复制到
/tmp/passwd,/tmp/group中,也可以全部复制过去。
生成passwd.ldif,group.ldif
#./migrate_passwd.plpasswd>
/tmp/passwd.ldif
#./migrate_group.plgroup>
/tmp/group.ldif
17.导入ldif文件到ldap
此处会提示你输入密码,此密码即为前面生成的加密密码,我这里是redhat。
#ldapadd-x-W-D”cn=Manager,dc=example,dc=com”-f/tmp/base.
ldif
#ldapadd-x-W-D”cn=Manager,dc=example,dc=com”-f/tmp/passwd.ldif
#ldapadd-x-W-D”cn=Manager,dc=example,dc=com”-f/tmp/group.ldif
成功完成,Ok!
!
四.安装配置phpldapadminGUIWeb
18.下载pgpldapadmin软件
到此网址下载:
19.安装依赖软件包
主要依赖apache和PHP来实现:
#yuminstallphp-ldapphphttpd-y
20.配置phpldapadmin
#cd/var/www/html
#tarzxfphpldapadmin-1.2.2.tgz
#mvphpldapadmin-1.2.2myldap
#cdmyldap/config
#cpconfig.php.exampleconfig.php
#/etc/init.d/httpdrestart//如果httpd服务没安装,要先安装
五.访问LDAPWeb-GUI界面
21.登陆GUI
http:
//192.168.37.37/myldap
登录的时候:
DN框输入:
cn=Manager,dc=example,dc=com
密码框输入:
redhat
22.查看用户和组信息
六.配置客户端自动登陆
23.发布客户端认证所需的TLS证书(未成功)
将/etc/pki/tls/certs/slapdcert.pem拷贝到apache的目录下面,发布,供客户端下载认证使用。
客户端访问获得证书路径
24.配置客户端登陆认证(未成功)
勾选使用TLS来加密连接,这是选择下载证书,输入上述客户端访问的证书的绝对路径,并下载。
点击应用,此时会推出图形化,然后启动一个叫sssd的进程,为了下次开机启动,需要将其加入开机启动项,Chkconfigsssdon。
查看证书是否下载可以到此目录下面去查看是否有文件存在,默认是没有任何文件的。
[root@client~]#cd/etc/openldap/cacerts/
[root@clientcacerts]#ls
43eecb21.0authconfig_downloaded.pem
本文采用证书认证的方式未成功!
但是通过非认证方式可以,估计是本文的证书有问题,所以这里暂且用非证书认证。
运行setup,命令:
[root@client~]#tail/etc/passwd
postfix:
x:
89:
/var/spool/postfix:
/sbin/nologin
avahi:
70:
AvahimDNS/DNS-SDStack:
/var/run/avahi-daemon:
ntp:
38:
/etc/ntp:
rpcuser:
RPCServiceUser:
/var/lib/nfs:
nfsnobody:
65534:
AnonymousNFSUser:
pulse:
496:
494:
PulseAudioSystemDaemon:
/var/run/pulse:
gdm:
42:
/var/lib/gdm:
sshd:
74:
Privilege-separatedSSH:
/var/empty/sshd:
tcpdump:
72:
/:
client:
500:
/home/client:
/bin/bash
[root@client~]#su-ldapuser1
su:
warning:
cannotchangedirectoryto/home/guests/ldapuser1:
Nosuchfileordirectory
此报错为可以登陆,但是没有家目录,下面通过autofs来实现家目录的自动挂载。
-bash-4.1$id
uid=1001(ldapuser1)gid=1001(ldapuser1)组=1001(ldapuser1)环境=unconfined_u:
unconfined_r:
unconfined_t:
s0-s0:
c0.c1023
-bash-4.1$exit
logout
[root@client~]#
25.配置自动登陆
服务器端需要通过nfs共享用户的家目录
[root@ldaphome]#cat/etc/exports
/home/guests*(rw,sync)
客户端需要配置autofs,在auto.master文件中添加如下行:
[root@node1~]#grephome/etc/auto.master
/home/guests/etc/auto.misc
创建自动挂载配置文件并添加如下行:
[root@node1~]#grephome/etc/auto.misc
*-fstype=nfs.rw:
/home/guests/&
启动服务并设置开机启动:
[root@client~]#serviceautofsrestart
正在启动automount:
automount:
programisalreadyrunning.
[root@client~]#chkconfigautofson
26.LDAP用户登陆
[root@node1~]#su-ldapuser1
[ldapuser1@node1~]$id
uid=1001(ldapuser1)gid=1001(ldapuser1)组=1001(ldapuser1)
[ldapuser1@node1~]$pwd
/home/guests/ldapuser1
[ldapuser1@node1~]$
升级会员 