centos 7 ldap双主配置 OpenLDAP Multi-Master Replication

一、安装ldap

前提

安装epel源,关闭防火墙和selinux

# sed -i's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config

#systemctl stop firewalld

# systemctl disable firewalld

安装ldap

# yum install openldap-serversopenladp-clients -y

配置文件,并修改权限

# cp/usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

# chownldap. /var/lib/ldap/DB_CONFIG

启动ldap

# systemctl enable slapd

二、设置ldap管理员的密码

生成加密密钥

# slappasswd

New password:

Re-enter new password:

{SSHA}hHP0BWTs3s/oQcX6co58RHMmFV/ooPj8

编辑导入文件

# vi chrootpw.ldif

# specify the password generated abovefor "olcRootPW" section

dn: olcDatabase={0}config,cn=config

changetype: modify

add: olcRootPW

olcRootPW:{SSHA}hHP0BWTs3s/oQcX6co58RHMmFV/ooPj8# 密码用上边生成的密码替换

导入生成配置文件

# ldapadd -Y EXTERNAL -H ldapi:/// -fchrootpw.ldif

SASL/EXTERNAL authentication started

SASL username:gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

modifying entry "olcDatabase={0}config,cn=config"

三、导入basic schemas

# ldapadd -Y EXTERNAL

-H ldapi:/// -f /etc/openldap/schema/cosine.ldif

SASL/EXTERNAL authentication started

SASL username:gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

adding new entry"cn=cosine,cn=schema,cn=config"

# ldapadd -Y EXTERNAL

-H ldapi:/// -f /etc/openldap/schema/nis.ldif

SASL/EXTERNAL authentication started

SASL username:gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

adding new entry"cn=nis,cn=schema,cn=config"

# ldapadd -Y EXTERNAL

-H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

SASL/EXTERNAL authentication started

SASL username:gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

adding new entry "cn=inetorgperson,cn=schema,cn=config"

四、设置域名为 ldap db

生成generate directory manager's password

# slappasswd

New password:

Re-enter new password:

{SSHA}OiJY31PRNlO6Om4gTSjQKlQlqU8BjxnN

#注意修改西边的 dc=***,dc=***

# vi chdomain.ldif

# replace to your own domain name for"dc=***,dc=***" section

# specify the password generated abovefor "olcRootPW" section

dn: olcDatabase={1}monitor,cn=config

changetype: modify

replace: olcAccess

olcAccess: {0}to * bydn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"

 read by dn.base="cn=Manager,dc=zhouge,dc=cn" read by *none   #这里的cn为Manager也可以改为其他

dn: olcDatabase={2}hdb,cn=config

changetype: modify

replace: olcSuffix

olcSuffix: dc=zhouge,dc=cn

dn: olcDatabase={2}hdb,cn=config

changetype: modify

replace: olcRootDN

olcRootDN: cn=Manager,dc=zhouge,dc=cn

dn: olcDatabase={2}hdb,cn=config

changetype: modify

add: olcRootPW

olcRootPW:{SSHA}OiJY31PRNlO6Om4gTSjQKlQlqU8BjxnN

dn: olcDatabase={2}hdb,cn=config

changetype: modify

add: olcAccess

olcAccess: {0}toattrs=userPassword,shadowLastChange by

 dn="cn=Manager,dc=zhouge,dc=cn" write by anonymous auth byself write by * none

olcAccess: {1}to dn.base=""by * read

olcAccess: {2}to * bydn="cn=Manager,dc=zhouge,dc=cn" write by * read

# ldapmodify  -Y EXTERNAL -H ldapi:/// -f chdomain.ldif

SASL/EXTERNAL authentication started

SASL username:gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

modifying entry"olcDatabase={1}monitor,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry"olcDatabase={2}hdb,cn=config"

modifying entry"olcDatabase={2}hdb,cn=config"

modifying entry"olcDatabase={2}hdb,cn=config"

# vi basedomain.ldif

# replace to your own domain name for"dc=***,dc=***" section

dn: dc=zhouge,dc=cn

objectClass: top

objectClass: dcObject

objectclass: organization

o: zhou World

dc: zhouge

dn: cn=Manager,dc=zhouge,dc=cn

objectClass: organizationalRole

cn: Manager

description: Directory Manager

dn: ou=People,dc=zhouge,dc=cn

objectClass: organizationalUnit

ou: People

dn: ou=Group,dc=zhouge,dc=cn

objectClass: organizationalUnit

ou: Group

导入

# ldapadd -x -D

cn=Manager,dc=zhouge,dc=cn -W -f basedomain.ldif

Enter LDAP Password:

adding new entry "dc=zhouge,dc=cn"

adding new entry"cn=Manager,dc=zhouge,dc=cn"

adding new entry"ou=People,dc=zhouge,dc=cn"

adding new entry"ou=Group,dc=zhouge,dc=cn"

如果还想增加一个组:

可以编辑一个文件,需要添加的内容如下;

# vi basedomain1.ldif

dn: ou=Yunwei,dc=zhouge,dc=cn

objectClass: organizationalUnit

ou: Yunwei

导入

# ldapadd -x -Dcn=Manager,dc=zhouge,dc=cn -W -f basedomain1.ldif

Enter LDAP Password:

adding new entry"ou=Yunwei,dc=zhouge,dc=cn"

现在我们设置好了目录树,树的根节点为,dc=zhouge,dc=cn,下边有一个管理域和三个组织单元(2+1)

五、添加一个用户测试:

生成密钥

# slappasswd

New password:

Re-enter new password:

{SSHA}4HWZ1rXpi0YYlysO/OmItVQlPt0BE0qp

# vi ldapuser.ldif

# create new

# replace to your own domain name for"dc=***,dc=***" section

dn: uid=cent,ou=People,dc=zhouge,dc=cn

objectClass: inetOrgPerson

objectClass: posixAccount

objectClass: shadowAccount

cn: Cent

sn: Linux

userPassword:{SSHA}4HWZ1rXpi0YYlysO/OmItVQlPt0BE0qp

loginShell: /bin/bash

uidNumber: 1000

gidNumber: 1000

homeDirectory: /home/cent

dn: cn=cent,ou=Group,dc=zhouge,dc=cn

objectClass: posixGroup

cn: Cent

gidNumber: 1000

memberUid: cent

# ldapadd -x -Dcn=Manager,dc=zhouge,dc=cn -W -f ldapuser.ldif

Enter LDAP Password:

adding new entry"uid=cent,ou=People,dc=zhouge,dc=cn"

adding new entry "cn=cent,ou=Group,dc=zhouge,dc=cn"

查看结果

# ldapsearch -x -b

"dc=zhouge,dc=cn" -H ldap://127.0.0.1

# extended LDIF

#

# LDAPv3

# base withscope subtree

# filter: (objectclass=*)

# requesting: ALL

#

# zhouge.cn

dn: dc=zhouge,dc=cn

objectClass: top

objectClass: dcObject

objectClass: organization

o: zhou World

dc: zhouge

# Manager, zhouge.cn

dn: cn=Manager,dc=zhouge,dc=cn

objectClass: organizationalRole

cn: Manager

description: Directory Manager

# People, zhouge.cn

dn: ou=People,dc=zhouge,dc=cn

objectClass: organizationalUnit

ou: People

# Group, zhouge.cn

dn: ou=Group,dc=zhouge,dc=cn

objectClass: organizationalUnit

ou: Group

# cent, People, zhouge.cn

dn: uid=cent,ou=People,dc=zhouge,dc=cn

objectClass: inetOrgPerson

objectClass: posixAccount

objectClass: shadowAccount

cn: Cent

sn: Linux

loginShell: /bin/bash

uidNumber: 1000

gidNumber: 1000

homeDirectory: /home/cent

uid: cent

# cent, Group, zhouge.cn

dn: cn=cent,ou=Group,dc=zhouge,dc=cn

objectClass: posixGroup

cn: Cent

gidNumber: 1000

memberUid: cent

# search result

search: 2

result: 0 Success

# numResponses: 7

# numEntries: 6

主主配置

添加同步模块

# vi

mod_syncprov.ldif

# create new

dn: cn=module,cn=config

objectClass: olcModuleList

cn: module

olcModulePath: /usr/lib64/openldap

olcModuleLoad: syncprov.la

# ldapadd -Y EXTERNAL

-H ldapi:/// -f mod_syncprov.ldif

SASL/EXTERNAL authentication started

SASL username:gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

adding new entry "cn=module,cn=confi

# vi syncprov.ldif

# create new

dn:olcOverlay=syncprov,olcDatabase={2}hdb,cn=config

objectClass: olcOverlayConfig

objectClass: olcSyncProvConfig

olcOverlay: syncprov

olcSpSessionLog: 100

# ldapadd -Y EXTERNAL

-H ldapi:/// -f syncprov.ldif

SASL/EXTERNAL authentication started

SASL username:gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

adding new entry"olcOverlay=syncprov,olcDatabase={2}hdb,cn=config"

Configure like follows on

all servers. But only the parameters "olcServerID" and

"provider=***", set different value on each server.(两台机器都需要,需要修改下边两处表粗的,不能相同)



# vi master01.ldif

# create new

dn: cn=config

changetype: modify

replace: olcServerID

# specify uniq ID number on eachserver

olcServerID: 0  # 另一个不能为0

dn: olcDatabase={2}hdb,cn=config

changetype: modify

add: olcSyncRepl

olcSyncRepl: rid=001

  provider=ldap://192.168.238.12:389/  #另一个ldap的ip

 bindmethod=simple

 binddn="cn=Manager,dc=zhouge,dc=cn"

 credentials=123456

 searchbase="dc=zhouge,dc=cn"

 scope=sub

 schemachecking=on

 type=refreshAndPersist

 retry="30 5 300 3"

 interval=00:00:05:00

-

add: olcMirrorMode

olcMirrorMode: TRUE

dn:olcOverlay=syncprov,olcDatabase={2}hdb,cn=config

changetype: add

objectClass: olcOverlayConfig

objectClass: olcSyncProvConfig

olcOverlay: syncprov



# ldapmodify -Y

EXTERNAL -H ldapi:/// -f master01.ldif

SASL/EXTERNAL authentication started

SASL username:gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

modifying entry "cn=config"

modifying entry"olcDatabase={2}hdb,cn=config"

adding new entry"olcOverlay=syncprov,olcDatabase={2}hdb,cn=config"

验证:

删除之前存在的组:

# ldapdelete -x -D"cn=Manager,dc=zhouge,dc=cn" -W "ou=Yunwei,dc=zhouge,dc=cn"


机器一:

# ldapsearch -x -b"dc=zhouge,dc=cn" -H ldap://127.0.0.1|grep ou=Yunwei

dn: ou=Yunwei,dc=zhouge,dc=cn

# ldapdelete -x -D"cn=Manager,dc=zhouge,dc=cn" -W "ou=Yunwei,dc=zhouge,dc=cn"

Enter LDAP Password:

# ldapsearch -x -b"dc=zhouge,dc=cn" -H ldap://127.0.0.1|grep ou=Yunwei

另一个机器:

# ldapsearch -x -b"dc=zhouge,dc=cn" -H ldap://127.0.0.1|grep ou=Yunwei

也跟着删除了

添加一个组织:

# vi basedomain1.ldif

dn: ou=yunwei,dc=zhouge,dc=cn

objectClass: organizationalUnit

ou: yunwei

# ldapadd -x -Dcn=Manager,dc=zhouge,dc=cn -W -f basedomain1.ldif

Enter LDAP Password:

adding new entry"ou=yunwei,dc=zhouge,dc=cn"

# ldapsearch -x -b"dc=zhouge,dc=cn" -H ldap://127.0.0.1|grep ou=yunwei  #已经存在

dn: ou=yunwei,dc=zhouge,dc=cn

另一台机器

# ldapsearch -x -b"dc=zhouge,dc=cn" -H ldap://127.0.0.1|grep ou=yunwei

dn: ou=yunwei,dc=zhouge,dc=cn

已经存在

同步成功

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,875评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,569评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,475评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,459评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,537评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,563评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,580评论 3 414
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,326评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,773评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,086评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,252评论 1 343
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,921评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,566评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,190评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,435评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,129评论 2 366
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,125评论 2 352

推荐阅读更多精彩内容