Openldap centos 7 установка и настройка
Обновлено: 02.07.2024
Развертывание LDAP в CentOS в качестве агента сервера каталогов, агента системы каталогов или DSA (все эти сокращения одинаковы) аналогично более ранним установкам Novell Netware с использованием структуры дерева каталогов с NDS.
Краткая история LDAP
LDAP был в основном создан как эффективный способ доступа к каталогам X.500 с помощью корпоративных ресурсов. И X.500, и LDAP имеют одинаковые характеристики и настолько похожи, что клиенты LDAP могут обращаться к каталогам X.500 с некоторыми помощниками. Хотя LDAP также имеет свой собственный сервер каталогов под названием slapd . Основное различие между LDAP и DAP состоит в том, что облегченная версия предназначена для работы через TCP.
В то время как DAP использует полную модель OSI. С появлением Интернета, TCP / IP и Ethernet в современных сетях редко можно встретить имплантацию служб каталогов, использующую как DAP, так и собственные корпоративные каталоги X.500, выходящие за рамки конкретных моделей устаревших вычислений.
Основные компоненты, используемые с openldap для CentOS Linux:
| OpenLDAP | Библиотеки поддержки LDAP |
|---|---|
| OpenLDAP-сервер | Сервер LDAP |
| OpenLDAP-клиенты | Клиентские возможности LDAP |
| OpenLDAP-разви | Библиотеки разработки для OpenLDAP |
| Компай-OpenLDAP | Общие библиотеки OpenLDAP |
| Slapd | Сервер каталогов демон OpenLDAP |
| Slurpd | Используется для репликации LDAP через домен предприятия |
Установите Open LDAP на CentOS
Установите openldap, openldap-серверы, openldap-клиенты и миграционные инструменты из YUM .
Теперь давайте убедимся, что у нас есть структура openldap в / etc / openldap .
Затем убедитесь, что наш сервис slapd запущен.
Далее, давайте настроим нашу установку Open LDAP .
Убедитесь, что наш системный пользователь ldap создан.
Создайте наши учетные данные LDAP.
Нам нужно сохранить вывод из slappasswd.
Настроить Open LDAP
Во-первых, мы хотим настроить нашу среду openLDAP. Ниже приведен шаблон для использования с командой ldapmodify .
OpenLDAP - это легкий протокол доступа к каталогам. Учетная запись является единственной записью в системе. Чтобы войти в систему, система должна сначала иметь учетную запись (/ etc / passwd) и информацию о пароле (/ etc / shadow), используемую для входа в систему. Для персонала по управлению учетными записями, если число компьютеров достигает более 1000, персонал по управлению учетными записями перегружен рядом операций, таких как создание учетной записи, утилизация, распределение разрешений, политика паролей и аудит безопасности учетной записи. В это время появилось ПО для централизованного управления учетными записями OpenLDAP, которое может осуществлять централизованное обслуживание и управление учетной записью. Для этого нужно только добавить управляемую машину на сервер. После этого все стратегии, связанные с учетной записью, реализуются на сервере. Проблемы управления, вызванные случаями эксплуатации и обслуживания.
Подготовка сетевой среды
| Имя | IP-адрес | Hostname |
|---|---|---|
| Openldap сервер | 13.10.29.3 | node29.3 |
| Openldap клиент | 13.10.29.2 | node292 |
Подготовка сетевой среды
Подготовка перед установкой *
1. Остановите брандмауэр
2. Запретить запуск брандмауэра
2. Изменить Selinux
Измените SELINUX = принудительно на: SELINUX = отключено и выполните setenforce 0 Сделайте его эффективным немедленно, конечно, вы можете перезагрузить машину
Настроить сервер Openldap
1. Установите пакет программного обеспечения
2. Установите пароль управления Openldap
3. Измените корневой DN и добавьте пароль
Модификации: olcSuffix: dc =domain,dc=com
olcRootDN: cn=root,dc=domain,dc=com
Добавить содержимое: olcRootPW: dmVe9cQJu / 8xyHKI0dMjUxft + nz6rPA4
Добавленный здесь пароль - это пароль, созданный на предыдущем шаге.
4. Модификация и проверка
olcAccess: to * by dn.base=“gidNumber=0+uidNumber=0,cn=peercred,cn=extern al,cn=auth” read by dn.base=“cn=root,dc=domain,dc=com” read by * none
5. Настройте базу данных БД
7. Дайте соответствующие разрешения для файла запуска
8. Запустите службу и установите автоматический запуск загрузки
9. Проверьте, успешно ли запущен сервис, если вывод такой, как показано на рисунке, запуск успешен
10. Импортируйте базовый шаблон ldif, сначала подготовьтесь к импорту отдела сотрудников и групп в домене.
11. Импорт базы данных
В настоящее время очень вероятно сообщить об ошибке, я обнаружил ошибку 49, это должен быть неправильный пароль
Также обнаружена ошибка 21, затем необходимо импортировать базовую схему, используйте следующую команду:
12. Убедитесь, что импорт выполнен успешно
Если есть импортированная информация, это означает успех
13. Далее можно начать импорт пользователей и групп пользователей, сначала создать пользователей и группы пользователей.
14. В настоящее время вы можете использовать cat / etc / passwd и cat / etc / group для просмотра созданных пользователей и групп пользователей и их извлечения. Я обнаружил, что оба идентификатора пользователя и идентификатор группы пользователей - 1001, поэтому я извлек их в файл.
15. Атрибуты пользователя и группы пользователей, сгенерированные выше, используйте файл migrate_passwd.pl для генерации ldif для добавления пользователей и групп пользователей.
Если вы непосредственно выполнили две вышеупомянутые команды для генерации, это на самом деле не правильно. Вы можете просмотреть содержимое файла ldif. Вы можете увидеть, что в нем записаны dc = padl и dc = com. Это не dc = domain, dc = com, который мы установили выше, и шаблон должен быть изменен в это время.
Как показано на рисунке, пользователь будет сгенерирован в отделе людей по умолчанию, а группа пользователей будет сгенерирована в группе групп по умолчанию.Если его необходимо создать в других отделах, предпосылка заключается в том, что этот отдел уже существует. Вы можете создавать новые отделы с помощью шагов 10
16. Импорт в ldap
Если импорт уже существует, добавьте параметр -c
Настроить клиент openldap
1. Установочный пакет
Также может быть установлен непосредственно с помощью графического интерфейса настройки
3. Настройте пароли для пользователей ldap
4. Перезапустите службу nslcd.
Интеллектуальная рекомендация
[Makefile от более мелких к более глубоким полная запись обучения 4] Переменные и различные методы присвоения
Давайте сегодня узнаем о различных методах присваивания переменных в Makefile! Смысл тяжелой работы, чтобы бедность больше не ограничивать свое воображение! Добавьте QQ, чтобы вместе учиться и обменив.
[Luogu P3147] [BZOJ 4576] [USACO16OPEN]262144
Портал Луогу БЗОЙ Портал Описание заголовка Bessie likes downloading games to play on her cell phone, even though she doesfind the small touch screen rather cumbersome to use with her large hooves. Sh.
Информационная модель LDAP основана на записях.
Запись в каталоге LDAP представляет собой отдельную единицу или информацию и уникально идентифицируется тем, что называется отличительным именем (DN). Каждый из атрибутов записи имеет тип и одно или несколько значений.
Атрибут является частью информации, связанной с записью.
Типами обычно являются мнемонические строки, такие как «cn» для общего имени или «mail» для адреса электронной почты.
Каждому атрибуту присваивается одно или несколько значений, состоящих из списка через пробел.
Ниже приведена иллюстрация того, как информация размещена в каталоге LDAP.
В этой статье мы покажем, как установить и настроить сервер OpenLDAP для централизованной аутентификации в Ubuntu 16.04 / 18.04 и CentOS 7.
Шаг 1: Установка сервера LDAP
1. Сначала начните с установки OpenLDAP, реализации LDAP с открытым исходным кодом и некоторых традиционных утилит управления LDAP с помощью следующих команд.
В Ubuntu во время установки пакета вам будет предложено ввести пароль для записи администратора в вашем каталоге LDAP, установить безопасный пароль и подтвердить его.
После завершения установки вы можете запустить службу, как описано далее.
2. В CentOS 7 выполните следующие команды, чтобы запустить демон сервера openldap, включить его автоматический запуск во время загрузки и проверить, работает ли он и запущен (в Ubuntu служба должна запускаться автоматически в systemd, вы можете просто проверить его статус)
3. Затем разрешите запросы к демону сервера LDAP через брандмауэр, как показано далее
Шаг 2. Настройка сервера LDAP
Примечание. Не рекомендуется редактировать конфигурацию LDAP вручную, вам необходимо добавить конфигурации в файл и использовать команду ldapadd или ldapmodify, чтобы загрузить их в каталог LDAP, как показано ниже.
4. Теперь создайте пользователя-администратора OpenLDAP и назначьте пароль для этого пользователя.
В приведенной ниже команде для данного пароля создается хэшированное значение, запомните его, вы будете использовать его в файле конфигурации LDAP.
5. Затем создайте файл LDIF (ldaprootpasswd.ldif), который используется для добавления записи в каталог LDAP.
Добавьте следующее содержание:
объяснение пар атрибут-значение выше:
- olcDatabase: указывает конкретное имя экземпляра базы данных и обычно находится в /etc/openldap/slapd.d/cn=config.
- cn = config: указывает глобальные параметры конфигурации.
- PASSWORD: это хэшированная строка, полученная при создании админиского кароля
6. Затем добавьте соответствующую запись LDAP, указав URI со ссылкой на сервер ldap и файл выше.
Шаг 3. Настройка базы данных LDAP
7. Теперь скопируйте пример файла конфигурации базы данных для slapd в каталог /var/lib/ldap и установите правильные права для файла.
8. Затем импортируйте некоторые базовые схемы LDAP из каталога /etc/openldap/schema следующим образом.
9. Теперь добавьте ваш домен в базу данных LDAP и создайте файл с именем ldapdomain.ldif для вашего домена.
Добавьте в него следующее содержимое (замените пример своим доменом и PASSWORD на хеш-значение, полученное ранее):
10. Затем добавьте указанную выше конфигурацию в базу данных LDAP с помощью следующей команды.
11. На этом этапе нам нужно добавить несколько записей в наш каталог LDAP.
Создайте другой файл с именем baseldapdomain.ldif со следующим содержимым.
Сохраните файл и затем добавьте записи в каталог LDAP.
12. Следующим шагом является создание пользователя LDAP, например, tecmint и установка пароля для этого пользователя следующим образом.
13. Затем создайте определения для группы LDAP в файле с именем ldapgroup.ldif со следующим содержимым.
14. Затем создайте другой файл LDIF с именем ldapuser.ldif и добавьте определения для пользователя tecmint.
затем загрузите конфигурацию в каталог LDAP.
Заключение
В этой статье мы показали, как установить и настроить сервер OpenLDAP для централизованной аутентификации, в Ubuntu 16.04 / 18.04 и CentOS 7.
Если у вас есть вопросы или мысли, которыми вы можете поделиться, не стесняйтесь обращаться к нам через форму комментариев ниже.
Он хранит и предоставляет доступ к информации, которая должна быть разделена между приложениями или иметь высокую степень распространения.
Службы каталогов играют важную роль в разработке приложений для интрасети и Интернета, помогая вам обмениваться информацией о пользователях, системах, сетях, приложениях и службах по всей сети.
Типичным вариантом использования LDAP является централизованное хранение имен пользователей и паролей.
Это позволяет различным приложениям (или службам) подключаться к серверу LDAP для проверки пользователей.
После настройки работающего сервера LDAP вам необходимо установить библиотеки на клиенте для подключения к нему.
В этой статье мы покажем, как настроить клиент LDAP для подключения к внешнему источнику аутентификации.
Я надеюсь, что у вас уже есть работающая среда сервера LDAP.
Как установить и настроить клиент LDAP в Ubuntu и CentOS
В клиентских системах вам нужно будет установить несколько необходимых пакетов для правильной работы механизма аутентификации на сервере LDAP.
Настройте клиент LDAP в Ubuntu 16.04 и 18.04
Сначала начните с установки необходимых пакетов, выполнив следующую команду.
Во время установки вам будет предложено ввести информацию о вашем сервере LDAP (укажите значения в соответствии с вашей средой).
Обратите внимание, что автоматически устанавливаемый пакет ldap-auth-config выполняет большинство конфигураций на основе введенных вами данных.
Далее введите имя базы LDAP, для этого вы можете использовать компоненты своих доменных имен, как показано на скриншоте.
Также выберите версию LDAP для использования и нажмите Ok.
Теперь настройте опцию, чтобы позволить вам создавать утилиты паролей и нажмите Yes
Затем отключите требование входа в базу данных LDAP, используя следующую опцию.
Также определите учетную запись LDAP для root и нажмите Ok.
Затем введите пароль для использования, когда ldap-auth-config пытается войти в каталог LDAP, используя учетную запись LDAP пользователя root.
Результаты диалога будут сохранены в файле /etc/ldap.conf.
Если вы хотите внести какие-либо изменения, откройте и отредактируйте этот файл, используя ваш любимый редактор командной строки.
Затем настройте профиль LDAP для NSS, запустив.
Затем настройте систему на использование аутентификации LDAP, обновив конфигурации PAM.
В меню выберите LDAP и любые другие необходимые вам механизмы аутентификации.
Теперь вы должны войти в систему, используя учетные данные на основе LDAP.
Если вы хотите, чтобы домашний каталог пользователя создавался автоматически, вам необходимо выполнить еще одну настройку в файле PAM общего сеанса.
Добавьте эту строку в него.
Сохраните изменения и закройте файл.
Затем перезапустите службу NCSD (Name Service Cache Daemon) с помощью следующей команды.
Примечание. Если вы используете репликацию, клиенты LDAP должны будут ссылаться на несколько серверов, указанных в /etc/ldap.conf.
Вы можете указать все серверы в этой форме:
Чтобы проверить записи LDAP для конкретного пользователя с сервера, выполните, например, команду getent.
Если приведенная выше команда отображает сведения об указанном пользователе из файла /etc/passwd, ваш клиентский компьютер теперь настроен для аутентификации на сервере LDAP, вы сможете войти в систему с использованием учетных данных на основе LDAP.
Настройка клиента LDAP в CentOS 7
Чтобы установить необходимые пакеты, выполните следующую команду.
Обратите внимание, что в этом разделе, если вы работаете с системой как пользователь без полномочий root, используйте команду sudo для запуска всех команд.
Затем включите клиентскую систему для аутентификации с использованием LDAP.
Вы можете использовать утилиту authconfig, которая является интерфейсом для настройки ресурсов аутентификации системы.
Затем, проверьте, есть ли записи LDAP для конкретного пользователя с сервера, например user tecmint.
Приведенная выше команда должна отображать сведения об указанном пользователе из файла /etc/passwd, что означает, что клиентский компьютер теперь настроен для аутентификации на сервере LDAP.
Важное замечание: Если в вашей системе включен SELinux, вам нужно добавить правило, позволяющее mkhomedir автоматически создавать домашние каталоги.
LDAP, широко используемый протокол для запросов и изменения службы каталогов.
В этом руководстве мы показали, как настроить клиент LDAP для подключения к внешнему источнику аутентификации на клиентских компьютерах Ubuntu и CentOS.
Вы можете оставить любые вопросы или комментарии, которые у вас могут возникнуть, используя форму обратной связи ниже.
Читайте также: