centos7 openldap双主部署
Posted js1314
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了centos7 openldap双主部署相关的知识,希望对你有一定的参考价值。
参考地址:https://www.shangmayuan.com/a/59d7536bdeb643e5bd82404b.html
一.安装OpenLDAP
yum install openldap openldap-clients openldap-servers
安装完直接启动
```
systemctl start slapd
```
设置管理员密码 ```
slappasswd -h {SSHA}
```
而后会让你输入一个明文密码,返回给你一个加密的密码,记住这个返回的密码
使用ldapsearch命令查询管理员的dn:php
ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config "olcRootDN=cn=Manager,dc=my-domain,dc=com" dn olcRootDN olcRootPW
这里返回的dn是olcDatabase={2}hdb,cn=config,密码等信息也都一并返回。这里有用的是dn和密码的加密方式,好比这里是SSHA,dn是后面修改的Entry DN,而知道密码的加密方式就可使用该加密方式生成新密码。java
使用ldapmodify修改条目node
vim chrootpw.ldif
#这是第1步获取的管理员dn
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
#你想要改为的域名的后缀
olcSuffix: dc=xinniu,dc=com
#olcSuffix这几行必定要加,不然修改以后会出错,后面重启openldap都会失败
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
#你想要改为的域名
olcRootDN: cn=admin,dc=xinniu,dc=com
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
#这里就是刚才保存下来的那个加密后的密码
olcRootPW: {SSHA}uYnICxla0NrUC5b/ha4i1JeOTCoUchV+
如图:
apache
使用下面的命令来修改管理员条目:vim
ldapmodify -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
若是出现:api
modifying entry "olcDatabase={2}bdb,cn=config"
导入基本数据结构
咱们须要向 LDAP 中导入一些基本的 Schema。这些 Schema 文件位于 /etc/openldap/schema/ 目录中,schema控制着条目拥有哪些对象类和属性bash
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/collective.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/corba.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/core.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/duaconf.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/dyngroup.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/java.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/misc.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/openldap.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/pmi.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/ppolicy.ldif
开启ldap日志服务器
mkdir -p /var/log/slapd
chown ldap:ldap /var/log/slapd/
touch /var/log/slapd/slapd.log
chown ldap . /var/log/slapd/slapd.log
echo "local4.* /var/log/slapd/slapd.log" >> /etc/rsyslog.conf
到此就设定好了管理员的密码。能够用客户端去管理openldap了数据结构
打算使用phpldapadmin来管理openldap,这个工具使用的人较多,网上文档多,出现问题容易解决。app
二.安装phpldapadmin(ldap管理工具)
首先安装Apache和PHP:
yum -y install httpd php php-ldap php-gd php-mbstring php-pear php-bcmath php-xml
而后安装phpldapadmin:
yum -y install phpldapadmin
httpd与phpldapadmin进行集成:
修改配置文件:
[root@localhost ~]# vim /etc/phpldapadmin/config.php
#397行取消注释,398行添加注释
$servers->setValue(‘login‘,‘attr‘,‘dn‘);
// $servers->setValue(‘login‘,‘attr‘,‘uid‘);
这里须要修改,若是不修改,phpldapadmin会去用uid去搜索条目,不会用dn去搜索,致使报密码错误。
[root@localhost ~]# phpldapadmin的ip过滤规则默认是拒绝全部ip访问,先去修改一下规则,咱们才能够访问
vim /etc/httpd/conf.d/phpldapadmin.conf
##这是Apache2.2和之前的修改方法
// 修改配置
把下面的Deny from all 改成Allow from all
##这是apache2.4和之后的修改方法
#容许172.16.10.16访问
Require ip 172.16.10.16
#容许172.16这个网段访问
Require ip 172.16.0.0/16
#容许全部ip访问
Require all granted
咱们能够根据本身须要修改来
修改完以后启动:
systemctl restart httpd
界面:
登录
用户名,默认是 cn=Manager,dc=my-domain,dc=com(这个也能够改的,仿照修改密码的步骤)
密码就输入刚开始设置的密码
登录进去后,个人管理界面报这个信息:
This base cannot be created with PLA
显示结果以下:
通过查询,缘由是根结点须要初始化后才能使用,最终处理以下:
一、建立一个initroot.ldif文件,为建立初始化根节点作准备工做,以下所示:
dn: dc=xinniu,dc=com
#域名的后缀
o: ldap
objectclass: dcObject
objectclass: organization
二、执行ldapadd -f initroot.ldif -x -D cn=admin,dc=xinniu,dc=com -W 输入以前配置OpenLDAP的密码后,便可完成建立LDAP根节点,以下图所示:
完成以上操做后,再回到phpldapadmin页面,能够看到,已经正常出现了根节点,并能够建立相关OU、Group、Account等对象,以下图所示:
到这里就搭建好了一台openldap+phpldapadmin的服务器了,在另一台也按照此步骤操做搭建好另外一台。
三.配置双主复制功能,在主1和主2上执行下面的步骤
ldap双主复制功能的实现依赖于syncprov模块,这个模块位于/usr/lib64/openldap目录下
1.mod_syncprov.ldif
[root@server1] vim mod_syncprov.ldif
# create new
dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: syncprov.la
导入配置
[root@server1 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f mod_syncprov.ldif
2.syncprov.ldif
[root@server1] vim syncprov.ldif
# create new
dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpSessionLog: 100
导入配置
[root@server1 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov.ldif
在主1和主2上执行下面的步骤,只须要替换olcServerID和provider的值
[root@server1] ~/ldif$ vim master01.ldif
# create new
dn: cn=config
changetype: modify
replace: olcServerID
# specify uniq ID number on each server
olcServerID: 1
# 惟一值,主2上替换为2
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcSyncRepl
olcSyncRepl: rid=001
provider=ldap://basic-server-2:389/
##此处为主2服务器地址,主2此处相应地上替换为主1服务器地址
bindmethod=simple
binddn="cn=admin,dc=xinniu,dc=com"
credentials=bigdata123!
#管理员的明文密码
searchbase="dc=xinniu,dc=com"
scope=sub
schemachecking=on
type=refreshAndPersist
retry="30 5 300 3"
interval=00:00:05:00
-
add: olcMirrorMode
olcMirrorMode: TRUE
dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
导入配置
root@SERVER ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f master01.ldif
四.验证
这部完成以后,咱们在master1的管理界面上建立一个条目,再打开master2的管理界面,若是能够看到咱们刚才建立的条目,那么就说明双主已经配置成功了。
五.Keepalived搭建
1.安装
#两个节点都要操做
yum -y install keepalived
很简单,一条命令就安装好了
2.配置
#两个节点都要操做
cp /etc/keepalived/keepalived.conf /etc/keepalived/keepalived.conf.bak
vim /etc/keepalived/keepalived.conf
#node1的配置:
! Configuration File for keepalived
global_defs {
notification_email {
xhh@cmss.chinamobile.com
}
notification_email_from root@cmss.chinamobile.com
smtp_server 127.0.0.1
smtp_connect_timeout 30
router_id ldap_A #节点标识
}
vrrp_script chk {
script "/etc/keepalived/script/check-ldap-server.sh"
interval 3
weight -5
}
vrrp_instance VI_1 {
state MASTER
interface eth0 #使用的网卡为eth0
virtual_router_id 150 #虚拟路由标识,两个节点必须一致
priority 100 #优先级,两个节点的优先级高者为master
nopreempt #不抢占
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
172.18.22.88 #虚拟ip
}
notify_master "/etc/keepalived/script/to_master.sh"
notify_backup "/etc/keepalived/script/to_backup.sh"
notify_stop "/etc/keepalived/script/to_stop.sh"
track_script {
chk
}
}
#node2的配置
! Configuration File for keepalived
global_defs {
notification_email {
xhh@cmss.chinamobile.com
}
notification_email_from root@cmss.chinamobile.com
smtp_server 127.0.0.1
smtp_connect_timeout 30
router_id ldap_B #节点标识
}
vrrp_script chk {
script "/etc/keepalived/script/check-ldap-server.sh >> /tmp/log/chk.log 2>&1"
interval 3
weight -5
}
vrrp_instance VI_1 {
state BACKUP
interface eth0 #使用的网卡为eth0
virtual_router_id 150 #虚拟路由标识,两个节点必须一致
priority 98 #优先级
nopreempt #不抢占
advert_int 1
authentication {
auth_type PASS
auth_pass 1111
}
virtual_ipaddress {
172.18.22.88
}
notify_master "/etc/keepalived/script/to_master.sh"
notify_backup "/etc/keepalived/script/to_backup.sh"
notify_stop "/etc/keepalived/script/to_stop.sh"
track_script {
chk
}
}
另外几个脚本的内容(两个节点一致)
check-ldap-server.sh:
#!/bin/bash
counter=$(ps -C slapd --no-heading|wc -l)
if [ "${counter}" = "0" ]; then
sudo systemctl start slapd
sleep 2
counter=$(ps -C slapd --no-heading|wc -l)
if [ "${counter}" = "0" ]; then
sudo systemctl stop keepalived
fi
fi
/etc/keepalived/script/to_master.sh:
#!/bin/bash
sudo systemctl start slapd;
sh /etc/keepalived/script/send_email.sh "Ldap主备切换" "$(hostname)切换为Active"
/etc/keepalived/script/to_backup.sh:
#!/bin/bash
sudo systemctl start slapd;
sh /etc/keepalived/script/send_email.sh "Ldap主备切换" "$(hostname)切换为Backup"
/etc/keepalived/script/to_stop.sh:
#!/bin/bash
sh /etc/keepalived/script/send_email.sh "Ldap主备切换" "$(hostname)切换为Stop"
/etc/keepalived/script/send_email.sh:
#!/bin/bash
SUBJECT=$1
CONTENT=$2
echo "${CONTENT}" | mail -s "${SUBJECT}" dongguashaorou@163.com
有一点须要注意,以上这几个脚本,须要一个用户来执行:keepalived_script,因此须要建立这个用户,还要把这个用户加到/etc/sudoers中,不然脚本中systemctl启动slapd服务,压根没有权限,这个点网上的文档都没有提到,调试了一段时间才发现这个问题。其余的,若是发现脚本配置之后没有生效,那么1.检查keepalived.conf文件的格式,看是否出错,2.脚本的输出能够重定向到文件,而后能够发现问题。
前两天搭建好了,今天开启iptables防火墙后就有问题了:
1.两个节点的虚拟ip不能飘移了,发生了脑裂,两边都有虚拟ip
2.其余节点能够从真实ip访问服务,可是没法从虚拟ip访问服务
折腾一番后发现要在2台真实节点的iptables配置(/etc/sysconfig/iptables)上面分别加上下面2行
-A INPUT -d 172.18.22.88(虚拟ip) -j ACCEPT
-A INPUT -p vrrp -j ACCEPT
以后重启iptables,再重启keepalived便可访问服务
最后,后面发现阿里云的机器上面用这个keepalive真的不太好使,不少节点上去telnet虚拟ip的端口会出现不通的状况,就不打算用了,ldap的访问量很小,是个比较稳定的服务,原本为了以防万一,再引入新的问题还不如不用,最终仍是用了haproxy去作了个load balance,比这个还简单多了。不过实际上keepalived和haproxy并非一个用途的东西,只是我以为服务也没那么容易挂,最可靠的方案实际上是,haproxy和keepalived都用上,用keepalived去监控haproxy。
附上一下haproxy的部分配置
listen ldap :25001
mode tcp
option tcplog
balance leastconn
server ldap1 172.18.20.27:389 check
server ldap2 172.18.20.35:389 check
第二种方法:
参考地址:https://blog.csdn.net/fanren224/article/details/79707206
双主原理:
双主和主从的区别:
貌似生产环境中,用的比较多的是双主模式。
安装说明:
从OpenLDAP2.4.23版本开始所有配置数据都保存在slapd.d目录下的cn=config文件夹中,不再使用slapd.conf作为配置文件
有两种配置方式,一种是通过修改旧版配置文件slapd.conf,再用slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/导入到数据库中,这种方式非常麻烦,不建议使用。
一种是通过编辑ldif文件,再用ldapadd命令导入到数据库中,这种方式是动态配置,不需要重新启动服务端slapd进程。
本文采用第二种方式,这种方式网上文档比较少,不好弄,本人花了10几天才算搞了个半懂,在这记录下来,希望能给有需要的人一些帮助
如果非要使用第一种方法,centos7系统yum安装后没有slapd.conf.obsolete文件,可以选择从centos6上复制过来
官方文档: https://www.openldap.org/doc/admin24/slapdconf2.html
安装环境
centos 7.3
ldap主1服务器:test1 192.168.255.124
ldap主2服务器:test2 192.168.255.125
OpenLDAP2.4.44
root账号下执行所有命令
安装步骤
在主1和主2都执行下面的步骤
1、安装ldap
[root@test1] ~$ yum install openldap openldap-servers openldap-clients compat-openldap
#可以通过rpm -ql <package name>,来查看每个安装包都有哪些文件
openldap: #OpenLDAP配置文件、库和文档
openldap-servers: #服务器进程及相关命令、迁移脚本和相关文件
openldap-clients: #客户端进程及相关命令,用来访问和修改 OpenLDAP 目录
compat-openldap: #与主从配置相关
安装过程中会自动创建ldap用户和ldap组
$ grep ldap /etc/passwd
ldap:x:55:55:OpenLDAP server:/var/lib/ldap:/sbin/nologin
$ grep ldap /etc/group
ldap:x:55:
2、 复制数据库模板
[root@test1] ~$ cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
原来属于root用户,现在需要改为ldap用户。
[root@test1] ~$ chown ldap. /var/lib/ldap/DB_CONFIG
3、启动ldap,并设置为开机启动。 ldap服务端进程名称为slapd
[root@test1] ~$ systemctl enable slapd && systemctl start slapd && systemctl status slapd
查看进程,端口是389,默认情况下数据为明文传输,添加ssl配置后为密文数据传输后端口为636
[root@test1] /etc/openldap/slapd.d/cn=config$ netstat -tunlp |grep slapd
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 62756/slapd
tcp6 0 0 :::389 :::* LISTEN 62756/slapd
#至于配置ssl先别急,等把基本的配置做完了再弄也不迟。
4、使用 slappasswd 命令生成密码
生成密码。将这个密码作为管理员(admin)的密码。
注意两台机器的上明文密码一样,密文密码不一样。
[root@test1] ~$ slappasswd
New password:
Re-enter new password:
{SSHA}BXTlwAUMwVSgqHr0WlIEud3iu9ddjvQE
编写 LDIF(一种LDAP 专用的数据交换格式)文件,并通过ldapadd命令将管理员密码导入到 LDAP配置文件中。 这种方法乍看起来很麻烦很难,不过也是有规律的,写几个熟悉后并不是很难。
[root@test1] ~$ vim chrootpw.ldif
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}BXTlwAUMwVSgqHr0WlIEud3iu9ddjvQE
导入
[root@test1] ~$ ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"
5、导入基本数据结构
我们需要向 LDAP 中导入一些基本的 Schema。这些 Schema 文件位于 /etc/openldap/schema/ 目录中,schema控制着条目拥有哪些对象类和属性
[root@test1] /etc/openldap/schema$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=cosine,cn=schema,cn=config"
[root@test1] /etc/openldap/schema$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=nis,cn=schema,cn=config"
[root@test1] /etc/openldap/schema$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=inetorgperson,cn=schema,cn=config"
6、配置 LDAP 的根域(以 dc=baidu,dc=com 为例)及其管理域:
注意:
用你自己的域名代替dc=***,dc=***语句块。
olcRootPW字段的值是你上面生成的admin密码的密文。两台机器使用各自的密文密码。
[root@test1] ~$ vim chdomain.ldif
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
read by dn.base="cn=admin,dc=baidu,dc=com" read by * none
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=baidu,dc=com
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=baidu,dc=com
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}BXTlwAUMwVSgqHr0WlIEud3iu9ddjvQE
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
dn="cn=admin,dc=baidu,dc=com" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=badiu,dc=com" write by * read
导入
[root@test1] ~$ ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
7、在上述基础上,我们来创建一个叫做 baidu company 的组织
并在其下创建一个 admin 的组织角色(该组织角色内的用户具有管理整个 LDAP 的权限)和 People 和 Group 两个组织单元:
[root@test1] ~$ vim basedomain.ldif
dn: dc=baidu,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: Baidu Company
dc: baidu
dn: cn=admin,dc=baidu,dc=com
objectClass: organizationalRole
cn: admin
dn: ou=People,dc=baidu,dc=com
objectClass: organizationalUnit
ou: People
dn: ou=Group,dc=baidu,dc=com
objectClass: organizationalRole
cn: Group
[root@test1] ~$ ldapadd -x -D cn=admin,dc=baidu,dc=com -W -f basedomain.ldif
Enter LDAP Password: #输入上面设置的管理员密码(明文)
adding new entry "dc=baidu,dc=com"
adding new entry "cn=admin,dc=baidu,dc=com"
adding new entry "ou=People,dc=baidu,dc=com"
adding new entry "ou=Group,dc=baidu,dc=com"
通过以上的所有步骤,我们就设置好了一个 LDAP 目录树:其中基准 dc=baidu,dc=com 是该树的根节点,其下有一个管理域 cn=admin,dc=baidu,dc=com 和两个组织单元 ou=People,dc=baidu,dc=com 及 ou=Group,dc=baidu,dc=com。
两台机器上都安装网页端管理工具phpldapadmin
这里把网页端安装好,可以方便我们后面验证命令行端的操作是否成功。
安装步骤在这里 https://blog.csdn.net/fanren224/article/details/80532268
接下来,我们来创建一个叫作tom 的员工并将其分配到 ops组来验证上述配置是否生效。
[root@test1] ~$ vim ldapuser.ldif
dn: uid=tom,ou=People,dc=baidu,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: tom
cn: tom
sn: tom
userPassword: {SSHA}i62EIL9tklQjQJvO8PrxEyGVidSUL8Fq (这个密文密码需要先用slappasswd生成)
uidNumber: 1100
gidNumber: 1100
homeDirectory: /home/tom
dn: cn=ops,ou=Group,dc=baidu,dc=com
objectClass: posixGroup
cn: ops
gidNumber: 1100
memberUid: ops
[root@test1] ~$ ldapadd -x -D cn=admin,dc=baidu,dc=com -W -f ldapuser.ldif
Enter LDAP Password: (这里输入的是管理员密码)
adding new entry "uid=tom,ou=People,dc=baidu,dc=com"
adding new entry "cn=ops,ou=Group,dc=baidu,dc=com"
网页端上查看下是否新建成功
除了在网页端查看条目,我们也可以使用 ldapsearch 命令来查看 LDAP 目录服务中的所有条目信息:
[root@test1] ~$ ldapsearch -x -b "dc=baidu,dc=com" -H ldap://127.0.0.1
在test2上查的话是,把127.0.0.1换成test1的ip地址
[root@test1] ~$ ldapsearch -x -b "dc=baidu,dc=com" -H ldap://127.0.0.1
删除条目
ldapdelete -x -W -D ‘cn=admin,dc=baidu,dc=com‘ "uid=tom,ou=People,dc=baidu,dc=com"
1
在网页端查看下是否已经删除成功。如下。可以看到只删除了用户,用户组还在的。
至此两台ldap主服务器端配置并验证完成。
注意:要先配置好两台ldap主服务器端。
二、配置双主复制功能,在主1和主2上执行下面的步骤
ldap双主复制功能的实现依赖于syncprov模块,这个模块位于/usr/lib64/openldap目录下
[root@test1] ~/ldif$ vim mod_syncprov.ldif
# create new
dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: syncprov.la
[root@test1 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f mod_syncprov.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=module,cn=config"
[root@test1] ~/ldif$ vim syncprov.ldif
# create new
dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpSessionLog: 100
[root@test1 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "olcOverlay=syncprov,olcDatabase={2}hdb,cn=config"
在主1和主2上执行下面的步骤,只需要替换olcServerID和provider的值
注意:在主1服务器上配置:olcServerID:1,provider:配置主2的地址
在主2服务器上配置:olcServerID:2,provider:配置主1的地址
[root@test1] ~/ldif$ vim master01.ldif
# create new
dn: cn=config
changetype: modify
replace: olcServerID
# specify uniq ID number on each server
olcServerID: 1
#唯一值,主2上替换为2
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcSyncRepl
olcSyncRepl: rid=001
provider=ldap://192.168.255.125:389/
bindmethod=simple
binddn="cn=admin,dc=baidu,dc=com"
credentials=123456
searchbase="dc=baidu,dc=com"
scope=sub
schemachecking=on
type=refreshAndPersist
retry="30 5 300 3"
interval=00:00:05:00
-
add: olcMirrorMode
olcMirrorMode: TRUE
dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
导入配置
[root@test1 ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f master01.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
adding new entry "olcOverlay=syncprov,olcDatabase={2}hdb,cn=config"
至此双主配置完成。
在配置完成之后,我们必须要做的一件事,就是测试一下是否配置成功。
三、测试验证
你可以在机器上通过命令来测试,也可以通过在网页端来测试。
命令验证方式
在主1上进行测试
1) 在test1机器上添加一个test用户,然后分别在两个节点上进行查询操作,test.ldif参考上文。
[root@test1 ~]# ldapadd -x -D "cn=admin,dc=baidu,dc=com" -W -f test.ldif
adding new entry "uid=test,ou=People,dc=baidu,dc=com"
在test1上查看是否添加成功
指定主1的ip
[root@test1] ~$ ldapsearch -x -b "dc=baidu,dc=com" -H ldap://192.168.255.124|grep uid=test
dn: uid=test,ou=People,dc=baidu,dc=com
指定主2的ip
[root@test1] ~$ ldapsearch -x -b "dc=baidu,dc=com" -H ldap://192.168.255.125|grep uid=test
dn: uid=test,ou=People,dc=baiduu,dc=com
2)在test1上执行命令删除test用户,然后分别在两个节点上进行查询操作
[root@test1 ~]# ldapdelete -x -D "cn=admin,dc=baidu,dc=com" -W "uid=test,ou=People,dc=baidu,dc=com"
查询
[root@test1 ~]# ldapsearch -x -b "dc=baidu,dc=com" -H ldap://192.168.255.124|grep uid=test
[root@test1 ~]# ldapsearch -x -b "dc=baidu,dc=com" -H ldap://192.168.255.125|grep uid=test
网页端验证方式
在http://192.168.255.124/ldapadmin 添加用户,在http://192.168.255.125/ldapadmin上刷新一下,看能不能显示出来。
至此双主模式部署并验证完成
参考文章:
https://www.server-world.info/en/note?os=CentOS_7&p=openldap&f=1
https://arthurdejong.org/nss-pam-ldapd/
其他补充:
如何配置ldap客户端绑定两台ldap主服务器?
authconfig --ldapserver=192.168.255.124,192.168.255.125 --update
这是啥意思?为啥要绑定两台主服务器?打个比方
不绑定的话,你执行下面的命令,只对本机上的ldap服务器操作。 绑定了之后,就相当于一次性对两台服务器都操作。
ldapmodify -Y EXTERNAL -H ldapi:/// -f mod_ssl.ldif
以上是关于centos7 openldap双主部署的主要内容,如果未能解决你的问题,请参考以下文章