1、一、openldap安装,确保安装好centos7.0的虚拟机能正常上互联网。# yum install -y openldap-* openldap-clients openldap-servers migrationtools freeradius-ldap freeradius-utils
2、配置 OpenLDAP:#vim /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldifolcSuffix: dc=baidu,dc=cn olcRootDN: cn=admin,dc=baidu,dc=cn添加一行:olcRootPW: 123456 #密码根据自己需要修改
3、配置监控数据库文件:#vim /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{1\}monitor.ldifolcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=admin,dc=baidu,dc=cn" read by * none
4、拷贝LDAP数据库配置文件到指定目录并赋予权限:#cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG# chown -R ldap.ldap /var/lib/ldap
5、测试配置文件是否正确slaptest -u[root@localhost ~]# slaptest -u57e4dcb4 ldif忧溲枷茫_read_file: checksum error on "/etc/openldap/slapd.d/cn=config/olcDatabase={1}monitor.ldif"57e4dcb4 ldif_read_file: checksum error on "/etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif"config file testing succeeded
6、开启和启用slapd在启动服务,并确认:#systemctl start slapd //启动# systemctl enable slapd //开机自动启动#netstat -lt | grep ldap //确认是否启动tcp 0 0 0.0.0.0:ldap 0.0.0.0:* LISTENtcp6 0 0 [::]:ldap [::]:* LISTEN
7、LDAP服务器的配置,添加需要schema模式:# cd /etc/openldap/schema/# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn租涫疼迟=config" -f cosine.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f nis.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f collective.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f corba.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f core.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f duaconf.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f dyngroup.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f inetorgperson.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f java.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f misc.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f openldap.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f pmi.ldif# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f ppolicy.ldif[root@localhost ~]# cd /etc/openldap/schema/[root@localhost schema]# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f ppolicy.ldifSASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0adding new entry "cn=ppolicy,cn=schema,cn=config"[root@localhost schema]# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f pmi.ldifSASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0adding new entry "cn=pmi,cn=schema,cn=config"
8、使用迁移工具来创建LDAP:#cd /usr/share/migrationtools/# vim migrate_common.ph//在61行$NAMINGCONTEXT{'group'} = "ou=Groups";//在71行$DEFAULT_MAIL_DOMAIN = "baidu.cn";//在74行,$DEFAULT_BASE = "dc=baidu,dc=cn";//在90行$EXTENDED_SCHEMA = 1;:wq!
9、生成一个ldif文件并导入ladp数据库:cd /usr/share/migrationtools/# ./migrate_base.pl > /root/base.ldif#ldapadd -x -W -D "cn=admin,dc=baidu,dc=cn" -f /root/base.ldif输入密码: //第二步里面设置的密码
10、在liunx系统中建立一些用户并设置密码:#mkdir /home/guests#useradd -d /home/guests/ldapuser1 ldapuser1#useradd -d /home/guests/ldapuser2 ldapuser2#useradd -d /home/guests/ldapuser3 ldapuser3#echo 'baidu@123' | passwd --stdin ldapuser1#echo 'baidu@123' | passwd --stdin ldapuser2#echo 'baidu@123' | passwd --stdin ldapuser3
11、从/etc/shadow过滤掉这些用户、组、密码:#getent passwd | tail -n 6 > /root/users#getent shadow | tail -n 6 > /root/shadow# getent group | tail -n 6 > /root/groups
12、使用migrationtools ldif文件创建这些用户:#cd /usr/share/migrationtools#vim migrate_passwd.pl找到188行/etc/shadow 改成 /root/shadow# ./migrate_passwd.pl /root/users > users.ldif# ./migrate_group.pl /root/groups > groups.ldif
13、上传这些用户和组ldif文件到LDAP数据库:#cd /usr/share/migrationtools# ldapadd -x -W -D "cn=admin,dc=baidu,dc=cn" -f users.ldif输入密码# ldapadd -x -W -D "cn=admin,dc=baidu,dc=cn" -f groups.ldif输入密码最后,使用ladp administrator软件可以看到ldap目录已经看到了,如下图:
