红帽linux加入ldap,Redhat6下构建LDAP服务

下周RHCE考试&＃xff0c;由于有几道题涉及LDAP服务&＃xff0c;中心有现成LDAP服务器&＃xff0c;但家练习的话就悲剧了&＃xff0c;所以和LDAP斗争了几天&＃xff0c;参考了中心老师和网上的文档配置方法和思路&＃xff0c;最终测试完毕。

现归纳成文档&＃xff0c;有兴趣的朋友可以作为参考&＃xff0c;如有遗漏&＃xff0c;还请回复指出。

实验环境&＃xff1a;

REDHAT6.3

LDAP server:172.24.30.20

LDAP clent: 172.24.30.25

准备工作&＃xff1a;

配置前先关闭iptables和SELINUX&＃xff0c;避免配置过程中报错。

# service iptables stop

# setenforce 0

# vi /etc/sysconfig/selinux

---------------

SELINUX&＃61;disabled

---------------

1.LDAP server端配置&＃xff1a;

安装LDAP服务(使用YUM本地光盘安装)

# yum install openldap-* -y

提示安装以下4个包

openldap-devel-2.4.23-26.el6.x86_64

openldap-clients-2.4.23-26.el6.x86_64

openldap-2.4.23-26.el6.x86_64

openldap-servers-2.4.23-26.el6.x86_64

拷贝LDAP配置文件到LDAP目录(redhat6.3)&＃xff1a;

# cd /etc/openldap/

# cp /usr/share/openldap-servers/slapd.conf.obsolete slapd.conf

redhat6.0或6.1版本配置文件在主目录有备份&＃xff1a;

# cd /etc/openldap/

# cp slapd.conf.bak slapd.conf

创建LDAP管理员密码&＃xff1a;

# slappasswd

这里我输入的密码是redhat,输入完密码后,返回一串密文&＃xff0c;先保存到剪贴板

{SSHA}pfAJm&＃43;JJa4ec2y8GjTc8uMEJpoR5YKLy

编译配置文件

# vi /etc/openldap/slapd.conf

找到115行&＃xff0c;默认如图&＃xff1a;

修改为&＃xff1a;

高亮部分为刚才生成的密码(加密后的)。

配置文件最后几行的权限部分我们也要做相应的更改&＃xff1a;

原内容&＃xff1a;

更改为&＃xff1a;

保存退出。

拷贝DB_CONFIG文件到指定目录

# cp /usr/share/openldap-servers/DB_CONFIG.example  /var/lib/ldap/DB_CONFIG

删除默认/etc/openldap/slapd.d下面的所有内容&＃xff0c;否则后面在使用ldapadd的时候会报错&＃xff1a;

# rm -rf /etc/openldap/slapd.d/*

启动LDAP的slapd服务,并设置自启动&＃xff1a;

# service slapd restart

# chkconfig slapd on

赋予配置目录相应权限&＃xff1a;

# chown -R ldap:ldap /var/lib/ldap

# chown -R ldap:ldap /etc/openldap/

测试并生成配置文件&＃xff1a;

slaptest  -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d

返回config file testing succeeded,则配置成功。

赋予生成的配置文件予权限并重启&＃xff1a;

# chown -R ldap:ldap /etc/openldap/slapd.d

# service slapd restart

创建一个账号&＃xff0c;以备客户端测试登陆

# useradd ldapuser1

# passwd ldapuser1

至此&＃xff0c;这些用户仅仅是系统上存在的用户(存储在/etc/passwd和/etc/shadow上)&＃xff0c;并没有在LDAP数据库里&＃xff0c;所以要把这些用户导入到LDAP里面去。但LDAP只能识别特定格式的文件 即后缀为ldif的文件(也是文本文件)&＃xff0c;所以不能直接使用/etc/passwd和/etc/shadow。 需要migrationtools这个工具把这两个文件转变成LDAP能识别的文件。

安装配置migrationtools

# yum install migrationtools -y

进入migrationtool配置目录

# cd /usr/share/migrationtools/

首先编辑migrate_common.ph

# vi  migrate_common.ph

找到如下内容(大概在70行)&＃xff1a;

修改为&＃xff1a;

下面利用pl脚本将/etc/passwd 和/etc/shadow生成LDAP能读懂的文件格式&＃xff0c;保存在/tmp/下

# ./migrate_base.pl > /tmp/base.ldif

# ./migrate_passwd.pl  /etc/passwd > /tmp/passwd.ldif

# ./migrate_group.pl  /etc/group > /tmp/group.ldif

下面就要把这三个文件导入到LDAP&＃xff0c;这样LDAP的数据库里就有了我们想要的用户

# ldapadd -x -D "cn&＃61;admin,dc&＃61;example,dc&＃61;com" -W -f /tmp/base.ldif

# ldapadd -x -D "cn&＃61;admin,dc&＃61;example,dc&＃61;com" -W -f /tmp/passwd.ldif

# ldapadd -x -D "cn&＃61;admin,dc&＃61;example,dc&＃61;com" -W -f /tmp/group.ldif

过程若无报错&＃xff0c;则LDAP服务端配置完毕

重启slapd完成配置

# service slapd restart

现安装NFS&＃xff0c;并把ldapuser1的家目录做NFS共享.

默认REDHAT已安装

# yum install nfs* -y

配置NFS共享&＃xff1a;

# vi /etc/exports

--------------

/home/ldapuser1         *(rw,no_root_squash)

--------------

重启nfs服务&＃xff1a;

# service rpcbind restart

# service nfs restart

2.LDAP 客户端配置

打开客户端图形化界面命令行

输入system-config-authentication&＃xff0c;按照如图配置&＃xff1a;

配置结束点Apply保存退出&＃xff0c;系统会自动重启sssd服务

配置autofs&＃xff0c;实现ldapuser1登录成功后&＃xff0c;能够访问本地家目录/home/ldapuser1&＃xff0c;该目录挂载于网内LDAP服务器172.24.30.20&＃xff1a;/home/ldapuser1下

# vi /etc/auto.master

添加一行&＃xff1a;

--------------

/home   /etc/auto.misc

--------------

# vi /etc/auto.master

添加一行&＃xff1a;

--------------

*               -fstype&＃61;nfs                     172.24.30.20:/home/&

--------------

重启autofs服务&＃xff1a;

# service autofs reload

登陆ldapuser1账户&＃xff1a;

若未返回系统未找到ldapuser1家目录报错信息&＃xff0c;则LDAP客户端配置成功。

注&＃xff1a;这里若仍无法登陆&＃xff0c;请进入setup模式配置LDAP登陆

# id ldapuser1

uid&＃61;500(ldapuser1) gid&＃61;500(ldapuser1) groups&＃61;500(ldapuser1)

# su - ldapuser1

# pwd

/home/ldapuser1

至此大功告成。。。

注&＃xff1a;LDAP服务需要服务器和客户端的时间保持大致一致&＃xff0c;否则在登陆ldapuser1账户时可能会报错&＃xff0c;这里NTP服务搭建省略&＃xff0c;可以手工修改两台服务器的时间保持一致。