OpenLDAP

简单说一下OPENLDAP对运维管理的价值，支撑企业技术发展比如GIT，ZABBIX，JUMPSERVER，OA等大大小小系统，乃至Windows，Linux系统的认证登录。 如果每个平台都需要维护一个用户管理体系，那么如果一个员工拥有N个平台权限离职及常规权限变更，对于的管理无疑也是一个挑战，也无法做到精细化权限管理。 通过LDAP技术我们可以实现多平台账号集中管理，权限灵活控制，密码强度及其有效期的约束，将用户管理与各个平台解耦，最终实现一次修改N处生效。 OpenLDAP快速安装 本次实验环境安装以CentOS7.4+OpenLDAP2.4.4为基础环境 安装包说明 包名 作用 openldap OpenLDAP服务端和客户端用的库文件 openldap-servers 服务端程序 openldap-clients 客户端程序 openldap-devel 开发包，可选 openldap-servers-sql 支持sql模块，可选 migrationtools 实现OpenLDAP用户及用户组的添加，导入系统账户，可选 compat-openldap OpenLDAP 兼容性库 借鉴链接： 相关链接：< https://ldapwiki.com/wiki/0.9.2342.19200300.100.4.13> ; 配置repo源 mkdir /etc/yum.repos.d

1. 概述 2. 服务端部署过程 2.1 软件包说明 2.2 部署过程 2.3 配置过程 3. 测试 4. 生成LDIF格式文件 4.1 安装migrationtools工具 4.2 用migrationtools生成ldif文件 4.3 添加ldif到ldap数据库 5. 日志配置 5.1 openldap的日志级别 5.2 配置日志功能 6. 客户端配置 6.1 基础环境准备 6.2 配置nslcd客户端 7. 添加系统用户 7.1 添加用户 7.2 产生ldif文件 7.3 添加ldif文件至LDAP数据库中 7.4 验证 1. 概述 本篇博客主要记录如何部署一台LDAP服务器，用于在内网集群节点中，进行全局用户认证。 注：有关LDAP的理论部分，参见博客《LDAP协议详解.md》 本篇博客主要的部署环境为：CentOS6.5_x86_64部署openldap，通过YUM安装相关环境。 2. 服务端部署过程 2.1 软件包说明 软件包 软件包说明 openldap 服务端和客户端必须用的库文件 openldap-clients 在LDAP服务端使用，用户增删改查的命令行环境 openldap-servers 用于启动服务和配置，包括单独的LDAP后台守护进程 openldap-servers-sql 支持SQL模块 compat-openldap openldap兼容性库环境

OpenLDAP主从同步 阅读视图 部署环境 OpenLDAP服务器初始化 配置主服务器同步策略 配置从服务器 OpenLDAP主从同步验证 故障诊断 1. 部署环境 本文以两台服务器为蓝本演示其同步过程, 配置如下 主机名 IP地址 OpenLDAP软件版本 系统版本 主服务器 mldap01.gdy.com 192.168.244.17 openldap-servers-2.4.40-16.el6 <br /> openldap-devel-2.4.40-16.el6 <br /> openldap-clients-2.4.40-16.el6 <br /> openldap-2.4.40-16.el6 Centos6.9最小化安装 从服务器 mldap02.gdy.com 192.168.244.25 如上 如上 本文 OpenLDAP环境 均按照 openldap服务端安装配置 2. OpenLDAP服务器初始化 配置时间同步 [root@mldap01 log]# crontab -l */5 * * * * /usr/sbin/ntpdate ntp1.aliyun.com &> /dev/null OpenLDAP服务器目录树条目保持一致 备忘录：某些客户端导出的时候会选择 Search Scope包括以下三个选项 Base(base dn only)

openldap同步原理 阅读视图 openldap同步原理 syncrepl、slurpd同步机制优缺点 OpenLDAP同步条件 OpenLDAP同步参数 1. openldap同步原理 OpenLDAP同步复制(简称syncrepl)机制是消费方的一个复制引擎，能让消费者服务器维护一个抽取片段的影子副本。 2. syncrepl、slurpd同步机制优缺点 3. OpenLDAP同步条件 OpenLDAP的5种同步模式需要满足以下6点要求。 1. OpenLDAP服务器之间需要保持时间同步 ```shell 配置时间同步 ``` 2. OpenLDAP软件包保持版本一致 ```shell 配置版本一致 ``` 3. OpenLDAP节点之间域名可以相互解析 ```shell 配置hosts ``` 4. 配置OpenLDAP同步复制，需要提供完全一样的配置及目录树信息。 5. 数据条目保持一致 6. 额外的schema文件保持一致 4. OpenLDAP同步参数 OpenLDAP主服务器参数的含义如下： # 后端工作在overlay模式 overlay syncprov # 设置同步条件 syncprov-checkpoint 100 10 # 当满足修改100条目或者10分钟的条件时主动以推的方式进行 # 会话日志条目的最大数量 syncprov-sessionlog

本文主要讲述在docker环境下如何进行 OpenLDAP 多主复制，至于 OpenLDAP 原理可以先参考这篇文章了解： https://cloud.tencent.com/developer/article/1490857 首先先拉取docker镜像 服务端镜像 docker pull osixia/openldap 客户端镜像 docker pull ldapaccountmanager/lam 启动两个服务端容器 LDAP_ORGANISATION LDAP组织名，可以自定义设置，如果不设置默认为 Example Inc ，一般定义公司名 LDAP_DOMAIN LDAP域名，可以自定义设置，如果不设置默认为 example.org，一般定义公司域名 LDAP_REPLICATION=true 开启多主复制 hostname 名称可以自定义，但是必须和LDAP_REPLICATION_HOSTS 其中的值一致 LDAP_REPLICATION_HOSTS 为同步的服务器列表，必须和hostname对应上，并且保证两台机器网络互相访问正常 LDAP_ADMIN_PASSWORD 可以自定义设置，如果不设置默认为admin 容器1： docker run --name ldap1 --restart=always --hostname ldap1.example.com -

【今日推荐】：为什么一到面试就懵逼！>>> wget https://nchc.dl.sourceforge.net/project/ss5/ss5/3.8.9-8/ss5-3.8.9-8.tar.gz yum -y install gcc gcc-c++ automake make pam-devel openldap-devel cyrus-sasl-devel tar xzf ss5-3.8.9-8.tar.gz cd ss5-3.8.9 ./configure make make install chmod +x /etc/init.d/ss5 chkconfig --add ss5 chkconfig --level 345 ss5 on 开启用户名密码验证机制，找到以下两行取消注释即可 vi /etc/opt/ss5/ss5.conf auth 0.0.0.0/0 - u permit u 0.0.0.0/0 - 0.0.0.0/0 - - - - - 设置用户名密码，一行一个账号，用户名和密码之间用空格间隔 vi /etc/opt/ss5/ss5.passwd user1 pwd1 user2 pwd2 设置ss5端口 vi /etc/sysconfig/ss5 # Add startup option here SS5_OPTS=" -u root -b 0.0.0

本文详细介绍了django-auth-ldap的使用方法，参数含义，并提供了示例代码 版本说明 Django==2.2 django-auth-ldap==1.7.0 集成过程 Django集成LDAP认证有现成的 django-auth-ldap 模块可以使用，本文也主要以这个模块的使用为主，先安装模块 pip install django-auth-ldap 然后在setting.py全局配置文件中添加如下内容就可以正常使用了： import ldap from django_auth_ldap.config import LDAPSearch, GroupOfNamesType # Baseline configuration. AUTH_LDAP_SERVER_URI = 'ldap://ldap.ops-coffee.cn' AUTH_LDAP_BIND_DN = 'uid=authz,ou=Public,dc=ops-coffee,dc=cn' AUTH_LDAP_BIND_PASSWORD = 'CzfdX629K7' AUTH_LDAP_USER_SEARCH = LDAPSearch( 'ou=People,dc=ops-coffee,dc=cn', ldap.SCOPE_SUBTREE, '(uid=%(user)s)', ) # Or: # AUTH_LDAP

RHEL6 配置 简单 LDAP 服务 器 基于 TLS 加密和 NFS 的用户 家 目录自动挂载 实验说明： 在 RHEL6 .0 中，使用开源的 openldap 套件，安装 配置 LDAP 认证服务 ；并使用 TLS 加密认证； NFS 共享用户家目录， autofs 实现自动挂载。 实验环境： 利用教学使用的 instructor 服务器，提供 dns 、 dhcp 服务； server5 为独立的 CA 服务器， station.domain11.example.com 配置 为 ldap 服务器， desktop11 为 ldap 客户端。 备注： 简单实验，服务器可集中在 1 台，客户端 1 台，共 2 台即可。 实验拓朴： 实验步骤： 1. DNS 做好域名解析， 2. ldap 服务器的基本网络配置 3. 安装 LDAP 相关软件 ： 主要有 3 个包： openldap 、 openldap-servers 、 openldap-clients 4. 配置 LDAP 的域信息 ，并测试！ 5. 创建数据库文件（从模板复制产生） 。并使用户 ldap 有权限。 6. 启动 LDAP 服务 ，自动创建数据库文件。 7. 检查搜索域 8. 创建待认证的用户 。最后指定特定的家目录。如： /netdir/guests 9. 安装迁移工具 migrationtools

centos6 ldap yum安装 yum -y install openldap openldap-* yum -y install nscd nss-pam-ldapd nss-* pcre pcre-* cp /usr/share/openldap-servers/slapd.conf.obsolete ./slapd.conf cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG rm -rf /etc/openldap/slapd.d/* slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/ chown -R ldap. /etc/openldap/slapd.d ldapsearch -LLL -W -x -H ldap://test.org -D "cn=admin,dc=test,dc=org" -b "dc=test,dc=org" "(uid=*)" 创建用户 备份 ldapsearch -LLL -w dou -x -H ldap://test.org -D "cn=admin,dc=test,dc=org" -b "dc=test,dc=org" >/root/bak_ldap_data

3 月，跳不动了？>>> 第一部分 OpenLDAP之sldap数据库安装 1、yum安装 yum install -y openldap openldap-servers openssh-ldap openldap-clients migrationtools 2、配置ssl域名证书，实现ldap的TLS加密通信 通过域名 master.ldap.conf.top（主LDAP）和 slave.ldap.conf.top（从LDAP）域名访问LDAP数据库 a) 创建文件 /etc/pki/CA/openssl.cnf 内容如下 HOME = . RANDFILE = $ENV::HOME/.rnd oid_section = new_oids [ new_oids ] tsa_policy1 = 1.2.3.4.1 tsa_policy2 = 1.2.3.4.5.6 tsa_policy3 = 1.2.3.4.5.7 [ ca ] default_ca = CA_default # The default ca section [ CA_default ] dir = /etc/pki/CA # Where everything is kept certs = $dir/certs # Where the issued certs are kept crl_dir = $dir