2023年6月21日发(作者:)
OpenLDAP2.4.44安装和配置背景:由于公司现有的sso(单点登录)对应的验证⽅式是访问数据库⽐较繁琐,考虑到以后跟别的公司对接时账号不⼀致,故想看看是否存在⼀个标准的解决⽅案,那么标准的⽬录协议(LDAP)出现了,⽤来解决sso ⽤户验证,只要以后对接的公司将对应的⽤户写⼊到LDAP即可。openLDAP 常⽤名词解释o– organization(组织-公司)ou – organization unit(组织单元/部门)c - countryName(国家)dc - domainComponent(域名组件)sn – suer name(真实名称)cn - common name(常⽤名称)dn - distinguished name(专有名称)注意事项:OpenLDAP不同版本之间配置不⼀样,此⽂章基于OpenLDAP2.4.44,⽹上好多⽂章写的缺胳膊少腿,下⾯基于实际验证的。OpenLDAP2.4.44安装和配置安装前系统设置1、防⽕墙设置centos7.0默认防⽕墙为firewalld#停⽌firewall# systemctl stop e#禁⽌firewall开机启动# systemctl disable e查看默认防⽕墙状态:# firewall-cmd --state2、修改selinux# vi /etc/selinux/config将SELINUX=enforcing改为:SELINUX=disabled# setenforce 0 或者重启,注意敲⿊板重点,之前没有执⾏改命令然后导致LDAP⼀直启动不成功,耗费了很长⼀段时间。⼀、安装OpenLDAP1、安装yum install -y openldap openldap-clients openldap-servers migrationtools2、设置OpenLDAP管理密码。slappasswdNew password: linux123Re-enter new password: linux123{SSHA}r2fcL6Exxgr8oKkaWROUQDCZKqXrH7bE3、修改根DN与添加密码vi /etc/openldap/slapd.d/cn=config/olcDatabase={2}修改内容:olcSuffix: dc=domian,dc=comolcRootDN: cn=root,dc=domian,dc=com添加内容:olcRootPW: {SSHA}r2fcL6Exxgr8oKkaWROUQDCZKqXrH7bE备注:密码就是{ssha}和后⾯的那⼀串,此处使⽤上⾯⽣成的密码替换。4、修改验证vi /etc/openldap/slapd.d/cn=config/olcDatabase={1}cAccess: {0}to * by ="gidNumber=0+uidNumber=0,cn=peercred,cn=extern al,cn=auth" read by ="cn=root,dc=domain,dc=com" read by * none5、配置DB数据库cp /usr/share/openldap-servers/DB_e /var/lib/ldap/DB_CONFIGchown ldap:ldap -R /var/lib/ldapchmod 700 -R /var/lib/ldap6、验证slaptest -u看见:config file testing succeeded #验证成功,否则失败。7、授权,若不授权启动时或报错,权限不⾜chown ldap:ldap -R /var/run/openldapchown -R ldap:ldap /etc/openldap/8、启动systemctl start slapdsystemctl enable slapd9、执⾏ldapsearch -x检查是否有如下输出ldapsearch -x -b '' -s base'(objectclass=*)'# extended LDIF## LDAPv3# base <> with scope baseObject# filter: (objectclass=*)# requesting: ALL##dn:objectClass: topobjectClass: OpenLDAProotDSE# search resultsearch: 2result: 0 Success如显⽰上⾯信息,表⽰服务已经启动成功。⼆、创建管理员账号1、编辑ldif⽂件vi : dc=domain,dc=como: domain comdc: domainobjectClass: topobjectClass: dcObjectobjectclass: organizationdn: cn=root,dc=domain,dc=comcn: rootobjectClass: organizationalRoledescription: Directory Managerdn: ou=People,dc=domain,dc=comou: PeopleobjectClass: topobjectClass: organizationalUnitdn: ou=Group,dc=domain,dc=comou: GroupobjectClass: topobjectClass: organizationalUnit2、导⼊数据库ldapadd -x -D "cn=root,dc=domain,dc=com" -W -f
还可以⽤LDAP ADMIN⼯具直接import,也是可以的,LDAP admin(可视化⼯具)下载路径见⽂章末尾。3、验证ldapsearch -x -b 'dc=domain,dc=com' '(objectClass=*)'三、OpenLDAP管理⼯具(LDAP Admin)连接数据库点击connect,选择new connection输⼊Host地址,Port默认为389(注意防⽕墙是否开放389端⼝)Base DN处"dc=domain,dc=com",Mechanism选择"Simple",username处输⼊"cn=root,dc=domain,dc=com",Password处填写相应密码,保存密码,点击"完成"即创建成功。 如下图所⽰⾄此就LDAP就搭建成功,,下篇⽂章将介绍 cas server 如何⽤普通的数据库以及LDAP进⾏⽤户验证。
2023年6月21日发(作者:)
OpenLDAP2.4.44安装和配置背景:由于公司现有的sso(单点登录)对应的验证⽅式是访问数据库⽐较繁琐,考虑到以后跟别的公司对接时账号不⼀致,故想看看是否存在⼀个标准的解决⽅案,那么标准的⽬录协议(LDAP)出现了,⽤来解决sso ⽤户验证,只要以后对接的公司将对应的⽤户写⼊到LDAP即可。openLDAP 常⽤名词解释o– organization(组织-公司)ou – organization unit(组织单元/部门)c - countryName(国家)dc - domainComponent(域名组件)sn – suer name(真实名称)cn - common name(常⽤名称)dn - distinguished name(专有名称)注意事项:OpenLDAP不同版本之间配置不⼀样,此⽂章基于OpenLDAP2.4.44,⽹上好多⽂章写的缺胳膊少腿,下⾯基于实际验证的。OpenLDAP2.4.44安装和配置安装前系统设置1、防⽕墙设置centos7.0默认防⽕墙为firewalld#停⽌firewall# systemctl stop e#禁⽌firewall开机启动# systemctl disable e查看默认防⽕墙状态:# firewall-cmd --state2、修改selinux# vi /etc/selinux/config将SELINUX=enforcing改为:SELINUX=disabled# setenforce 0 或者重启,注意敲⿊板重点,之前没有执⾏改命令然后导致LDAP⼀直启动不成功,耗费了很长⼀段时间。⼀、安装OpenLDAP1、安装yum install -y openldap openldap-clients openldap-servers migrationtools2、设置OpenLDAP管理密码。slappasswdNew password: linux123Re-enter new password: linux123{SSHA}r2fcL6Exxgr8oKkaWROUQDCZKqXrH7bE3、修改根DN与添加密码vi /etc/openldap/slapd.d/cn=config/olcDatabase={2}修改内容:olcSuffix: dc=domian,dc=comolcRootDN: cn=root,dc=domian,dc=com添加内容:olcRootPW: {SSHA}r2fcL6Exxgr8oKkaWROUQDCZKqXrH7bE备注:密码就是{ssha}和后⾯的那⼀串,此处使⽤上⾯⽣成的密码替换。4、修改验证vi /etc/openldap/slapd.d/cn=config/olcDatabase={1}cAccess: {0}to * by ="gidNumber=0+uidNumber=0,cn=peercred,cn=extern al,cn=auth" read by ="cn=root,dc=domain,dc=com" read by * none5、配置DB数据库cp /usr/share/openldap-servers/DB_e /var/lib/ldap/DB_CONFIGchown ldap:ldap -R /var/lib/ldapchmod 700 -R /var/lib/ldap6、验证slaptest -u看见:config file testing succeeded #验证成功,否则失败。7、授权,若不授权启动时或报错,权限不⾜chown ldap:ldap -R /var/run/openldapchown -R ldap:ldap /etc/openldap/8、启动systemctl start slapdsystemctl enable slapd9、执⾏ldapsearch -x检查是否有如下输出ldapsearch -x -b '' -s base'(objectclass=*)'# extended LDIF## LDAPv3# base <> with scope baseObject# filter: (objectclass=*)# requesting: ALL##dn:objectClass: topobjectClass: OpenLDAProotDSE# search resultsearch: 2result: 0 Success如显⽰上⾯信息,表⽰服务已经启动成功。⼆、创建管理员账号1、编辑ldif⽂件vi : dc=domain,dc=como: domain comdc: domainobjectClass: topobjectClass: dcObjectobjectclass: organizationdn: cn=root,dc=domain,dc=comcn: rootobjectClass: organizationalRoledescription: Directory Managerdn: ou=People,dc=domain,dc=comou: PeopleobjectClass: topobjectClass: organizationalUnitdn: ou=Group,dc=domain,dc=comou: GroupobjectClass: topobjectClass: organizationalUnit2、导⼊数据库ldapadd -x -D "cn=root,dc=domain,dc=com" -W -f
还可以⽤LDAP ADMIN⼯具直接import,也是可以的,LDAP admin(可视化⼯具)下载路径见⽂章末尾。3、验证ldapsearch -x -b 'dc=domain,dc=com' '(objectClass=*)'三、OpenLDAP管理⼯具(LDAP Admin)连接数据库点击connect,选择new connection输⼊Host地址,Port默认为389(注意防⽕墙是否开放389端⼝)Base DN处"dc=domain,dc=com",Mechanism选择"Simple",username处输⼊"cn=root,dc=domain,dc=com",Password处填写相应密码,保存密码,点击"完成"即创建成功。 如下图所⽰⾄此就LDAP就搭建成功,,下篇⽂章将介绍 cas server 如何⽤普通的数据库以及LDAP进⾏⽤户验证。
发布评论