Linux下ldap服务端安装全过程

1. 概念介绍

LDAP是轻量目录访问协议，英文全称是Lightweight Directory Access Protocol，简称为LDAP。LDAP的目录服务其实也是一种数据库系统（Berkeley DB），只是这种数据库是一种树形结构（B Tree），适合读不适合频繁写，不支持事务不能回滚。

我们用LDAP实现多个组件的用户管理，比如把gitlab和jenkins、harbor等组件的用户放在LDAP一起管理，组件只负责权限管理。用户在这些组件登录时都走LDAP的认证，让用户可以用一套用户名密码即可登录所有组件。

1.1 LDAP的树形结构的概念理解

从叶子到根的这条“路径”是一条数据，称为条目（Entry），这条数据的全局唯一标识叫做dn

• dc（Domain Component）是域名的一部分，把完整的域名拆开。
• ou（Organization Unit）是组织单元。
• cn（Common Name）一般是用户的名字。
• uid（User Id）一般是用户登录id。

简单理解就是：dn是 一条记录的详细位置； dc是一个区域（相当于哪颗树）；ou是一个组织（相当于哪一个分支）；cn/uid（分支上的哪个苹果）。

2. 安装ldap服务端

2.1 安装服务端

yum install -y openldap openldap-clients openldap-servers migrationtools

2.2 配置ldap服务器

vim /etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif

olcSuffix: dc=dzf,dc=comolcRootDN: cn=auto,dc=dzf,dc=comolcRootPW: 123456

2.3 配置监视数据库的配置文件

vim /etc/openldap/slapd.d/cn=config/olcDatabase={1}monitor.ldif

cn=auto,dc=dzf,dc=com

2.4 配置ldap数据库

配置ldap数据库 将

/usr/share/openldap-servers/DB_CONFIG.example

的文件复制到

/var/lib/ldap/DB_CONFIG

目录下，并给文件授权ldap属主属组

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIGchown -R ldap.ldap /var/lib/ldap/

2.5 检测配置是否正确

slaptest -u

• 输入命令出现succeeded表示验证成功

2.6 启动ldap，并设置开机自启

systemctl start slapdsystemctl enable slapd#检测服务及端口ss -antup | egrep "389|636"

2.7 启动ldap服务器的配置，需添加以下ldap模式

ls /etc/openldap/schema/*.ldif | xargs -I {} sudo ldapadd -Y EXTERNAL -H ldapi:/// -f {}

2.8 创建ldap DIT

vim /usr/share/migrationtools/migrate_common.ph

修改61行  $NAMINGCONTEXT{'group'} = "ou=Groups";

修改71行  $DEFAULT_MAIL_DOMAIN = "dzf.com";

修改74行  $DEFAULT_BASE = "dc=dzf,dc=com";

修改90行  $EXTENDED_SCHEMA = 1;

2.9 生成一个基地，ldif文件为域的DIT

• 切换到migrationtools目录下执行

  ./migrate_base.pl > /root/base.ldif

cd /usr/share/migrationtools/./migrate_base.pl > /root/base.ldif

2.10 将基地上传到ldap数据库中

ldapadd -x -W -D "cn=auto,dc=dzf,dc=com" -f /root/base.ldif

2.11 创建一些用户和组，并迁移到ldap

mkdir -p /home/guestsuseradd -d /home/guests/test12 test12echo 123456 | passwd --stdin test12

• 过滤这些用户和组以及

  /etc/shadow

  不同文件密码

getent passwd | tail -n 5getent shadow | tail -n 5 > /root/shadowgetent group | tail -n 5 > /root/groups

2.12 使用migrationtools为这些用户创建ldif文件

切换到migrationtools目录下编辑

vim migrate_passwd.pl

文件

cd /usr/share/migrationtoolsvim migrate_passwd.pl修改188行，把/etc/shadow换成/root/shadow

• 然后在当前路径下执行下面的命令

./migrate_passwd.pl /root/users > users.ldif./migrate_group.pl /root/groups > groups.ldif

2.13 将这些用户和组ldif文件上传到ldap数据库中

ldapadd -x -W -D "cn=auto,dc=dzf,dc=com" -f users.ldifldapadd -x -W -D "cn=auto,dc=dzf,dc=com" -f groups.ldif

2.14 搜索LDAP DIT的所有记录

现在搜索LDAP DIT的所有记录（如果能搜索到就说明安装成功了，至此ldap服务器安装完成（按这个安装只支持uid用户的登录））

ldapsearch -x -b "dc=dzf,dc=com" -H ldap://localhost

2.15开放端口

3. 电脑端安装客户端

3.1 ldapadmin官网下载地址

3.2 电脑端下载完成后，点击进入填写ldap服务器地址

3.3 创建用户组或用户

在ou=People下去创建用户组或用户（右击--new--Group或User）

3.4 设置密码

给用户设置密码（右击--Set Password）

3.5 登录到ldap服务器去查看信息，就可以看到增加的一条信息如图

ldapsearch -x -b "dc=dzf,dc=com" -H ldap://localhost

• 这里的信息就是通过ldapadmin客户端添加进来的，到此全部部署完成

4. 开启ssl

• 如果要开启ssl要修改配置文件，要增加ldaps:///

vi  /etc/sysconfig/slapd

SLAPD_URLS="ldapi:///  ldap:///  ldaps:///"

• 再重启服务：

systemctl restart slapd.service

总结

以上为个人经验，希望能给大家一个参考，也希望大家多多支持本站。

您可能感兴趣的文章:

• 配置Linux使用LDAP用户认证的方法
• Linux Docker安装Jenkins并实现Maven工程自动化部署过程
• 在Linux/WSL2环境下安装和配置Claude Code的全过程
• linux安装python3.7全过程
• linux centos7安装ftp及用户权限配置方式
• linux安装anaconda全过程