1、97:96:05NM_CONTROLLED=yesONBOOT=staticIPADDR=192.168.37.37NETMASK=255.255.255.0GATEWAY=192.168.37.1DNS1=192.168.37.373. 主机名配置rootldap # cat /etc/sysconfig/networkNETWORKING=yesHOSTNAME=二. 安装配置Bind DNS Server4. 安装软件Bind软件包Linux下面使用的DNS服务端软件叫bindrpm -qa | grep bind #查询是否安装了bind软件如果没有安装就需要安装了yum instal
2、l bind* -y5. 修改Bind配置文件修改根域配置文件如下,三个any。最后一个指向是区域配置文件的位置,主要为了和根域配置文件分离,方便管理。rootldap # vim /etc/named.confoptions listen-on port 53 any; ; listen-on-v6 port 53 any; allow-query any;include /etc/named.rfc1912.zones;修改区域配置文件,添加如下信息,一个是正向解析,一个是方向解析。rootldap # tail /etc/named.rfc1912.zoneszone IN type m
3、aster; file example.master allow-update none;37.168.192.in-addr.arpaexample.ptr6. 创建正向和方向解析文件区域配置文件可以通过拷贝named.localhost文件获得rootldap named# pwd/var/namedrootldap named# lschroot dynamic example.ptr named.empty named.loopbackdata example.master named.ca named.localhost slavesrootldap named# cat examp
4、le.master $TTL 1D IN SOA rname.invalid. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum NS A 127.0.0.1 AAAA :1ldap A 192.168.37.37node1 A 192.168.37.21instructor A 192.168.37.20rootldap named# cat example.ptr NS A 127.0.0.1 AAAA :37 PTR 20 PTR 38 PTR 三. 安装配置openldapServer7. 配置好本地yum源
5、rootldap ldapuser1# cat /etc/yum.repos.d/rhel.repo servername=serverbaseurl=file:/mntenable=1gpgcheck=0# yum -y install openldap-servers openldap-clientsrootldap # rpm -qa |grep openldap-*openldap-clients-2.4.19-15.el6.x86_64openldap-2.4.19-15.el6.x86_64openldap-servers-2.4.19-15.el6.x86_648. 生成密码sl
6、appasswd 复制显示的密码rootldap # slappasswdNew password: #根据自己的习惯设置响应的密码,此密码为Re-enter new password: #LDAP密码,导入用户和登陆phpldapadminSSHAGXM2gG/n8jyIoFvTzTzo3Isgq9jUKEXk -#redhat,牢记后面有用。9. 生成openldap的公钥和私钥# openssl req -new -x509 -nodes -out /etc/pki/tls/certs/slapdcert.pem keyout/etc/pki/tls/certs/slapdkey.pem
7、 -days 36510. 编辑ldap 数据库文件# vim /etc/openldap/slapd.d/cn=config/olcDatabase=1bdb.ldif将dc=my-domain,dc=com 替换为dc=example,dc=com在该文件最后增加以下三行olcRootPW: SSHAGXM2gG/n8jyIoFvTzTzo3Isgq9jUKEXk此处为前面生成的密码,及我的环境的redhatolcTLSCertificateFile: /etc/pki/tls/certs/slapdcert.pemolcTLSCertificateKeyFile: /etc/pki/tl
8、s/certs/slapdkey.pem11. 指定管理员root 的DN# vim /etc/openldap/slapd.d/cn=config/olcDatabase=2monitor.ldif将cn=manager,dc=my-domain,dc=com 替换为cn=Manager,dc=example,dc=com12. 生成DB配置文件DB_CONFIG.example 复制到 /var/lib/ldap 重命令为DB_CONFIGRhel6.0$ cp /usr/share/doc/openldap-servers-2.4.19/DB_CONFIG.example /var/li
9、b/ldap/DB_CONFIGRhel6.1$ cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG13. 开启slapd 的tls 功能# vim /etc/sysconfig/ldap将SLAPD=LDAPS=no 将的注释取消掉,同时将no改为yes14. 测试ldap 的配置并启动# slaptest -u# service slapd start# chkconfig slapd on# ldapsearch -x -b dc=example,dc=com15. 迁移本地帐户到ldap se
10、rver1. 安装迁移包# yum -y install migrationtools2. 修改迁移脚本# vim /usr/share/migrationtools/migrate_common.ph将else部分中的$NAMINGCONTEXTgroup = ou=Group改为ou=Groups修改以下两行$DEFAULT_MAIL_DOMAIN = ”;$DEFAULT_BASE = ”dc=example,dc=com”;将$EXTENDED_SCHEMA = 0; 改为 $EXTENDED_SCHEMA = 1;16. 生成base.ldif 文件rootldap migratio
11、ntools# pwd/usr/share/migrationtools# ./migrate_base.pl /tmp/base.ldif将/etc/passwd, /etc/group 当中需要迁移到ldapserver 的用户及组的条目分别复制到/tmp/passwd, /tmp/group 中,也可以全部复制过去。生成passwd.ldif, group.ldif# ./migrate_passwd.pl passwd /tmp/passwd.ldif# ./migrate_group.pl group /tmp/group.ldif17. 导入ldif 文件到ldap此处会提示你输入
12、密码,此密码即为前面生成的加密密码,我这里是redhat。# ldapadd -x -W -D ”cn=Manager,dc=example,dc=com” -f /tmp/base.ldif# ldapadd -x -W -D ”cn=Manager,dc=example,dc=com” -f /tmp/passwd.ldif# ldapadd -x -W -D ”cn=Manager,dc=example,dc=com” -f /tmp/group.ldif成功完成,Ok!四. 安装配置phpldapadmin GUI Web18. 下载pgpldapadmin软件到此网址下载:19. 安
13、装依赖软件包主要依赖apache和PHP来实现:#yum install php-ldap php httpd -y 20. 配置phpldapadmin#cd /var/www/html#tar zxf phpldapadmin-1.2.2.tgz #mv phpldapadmin-1.2.2 myldap #cd myldap/config #cp config.php.example config.php#/etc/init.d/httpd restart /如果httpd服务没安装,要先安装五. 访问LDAP Web-GUI界面21. 登陆GUIhttp:/192.168.37.37/
14、myldap登录的时候:DN框输入:cn=Manager,dc=example,dc=com密码框输入:redhat22. 查看用户和组信息六. 配置客户端自动登陆23. 发布客户端认证所需的TLS证书(未成功)将/etc/pki/tls/certs/slapdcert.pem拷贝到apache的目录下面,发布,供客户端下载认证使用。客户端访问获得证书路径24. 配置客户端登陆认证(未成功)勾选使用TLS来加密连接,这是选择下载证书,输入上述客户端访问的证书的绝对路径,并下载。点击应用,此时会推出图形化,然后启动一个叫sssd的进程,为了下次开机启动,需要将其加入开机启动项,Chkconfig
15、 sssd on。查看证书是否下载可以到此目录下面去查看是否有文件存在,默认是没有任何文件的。rootclient # cd /etc/openldap/cacerts/rootclient cacerts# ls43eecb21.0 authconfig_downloaded.pem本文采用证书认证的方式未成功!但是通过非认证方式可以,估计是本文的证书有问题,所以这里暂且用非证书认证。运行setup,命令:rootclient # tail /etc/passwdpostfix:x:89:/var/spool/postfix:/sbin/nologinavahi:70:Avahi mDNS/
16、DNS-SD Stack:/var/run/avahi-daemon:ntp:38:/etc/ntp:rpcuser:RPC Service User:/var/lib/nfs:nfsnobody:65534:Anonymous NFS User:pulse:496:494:PulseAudio System Daemon:/var/run/pulse:gdm:42:/var/lib/gdm:sshd:74:Privilege-separated SSH:/var/empty/sshd:tcpdump:72:/:client:500:/home/client:/bin/bashrootclie
17、nt # su - ldapuser1su: warning: cannot change directory to /home/guests/ldapuser1: No such file or directory此报错为可以登陆,但是没有家目录,下面通过autofs来实现家目录的自动挂载。-bash-4.1$ iduid=1001(ldapuser1) gid=1001(ldapuser1) 组=1001(ldapuser1) 环境=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023-bash-4.1$ exitlogoutrootc
18、lient #25. 配置自动登陆服务器端需要通过nfs共享用户的家目录rootldap home# cat /etc/exports /home/guests *(rw,sync)客户端需要配置autofs,在auto.master文件中添加如下行:rootnode1 # grep home /etc/auto.master /home/guests /etc/auto.misc创建自动挂载配置文件并添加如下行:rootnode1 # grep home /etc/auto.misc * -fstype=nfs.rw :/home/guests/&启动服务并设置开机启动:rootclient # service autofs restart正在启动 automount:automount: program is already running.rootclient # chkconfig autofs on26. LDAP用户登陆rootnode1 # su - ldapuser1ldapuser1node1 $ iduid=1001(ldapuser1) gid=1001(ldapuser1) 组=1001(ldapuser1)ldapuser1node1 $ pwd/home/guests/ldapuser1ldapuser1node1 $
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 