centos7 openldap双主部署

Posted js1314

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了centos7 openldap双主部署相关的知识,希望对你有一定的参考价值。

参考地址:https://www.shangmayuan.com/a/59d7536bdeb643e5bd82404b.html

一.安装OpenLDAP

yum install openldap openldap-clients openldap-servers
安装完直接启动
```
systemctl start  slapd
```
设置管理员密码 ```

slappasswd -h {SSHA}    
    ```

而后会让你输入一个明文密码,返回给你一个加密的密码,记住这个返回的密码

使用ldapsearch命令查询管理员的dn:php

ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b  cn=config "olcRootDN=cn=Manager,dc=my-domain,dc=com"  dn olcRootDN olcRootPW

这里返回的dn是olcDatabase={2}hdb,cn=config,密码等信息也都一并返回。这里有用的是dn和密码的加密方式,好比这里是SSHA,dn是后面修改的Entry DN,而知道密码的加密方式就可使用该加密方式生成新密码。java

使用ldapmodify修改条目node

vim chrootpw.ldif 
#这是第1步获取的管理员dn
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
#你想要改为的域名的后缀
olcSuffix: dc=xinniu,dc=com
#olcSuffix这几行必定要加,不然修改以后会出错,后面重启openldap都会失败

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
#你想要改为的域名
olcRootDN: cn=admin,dc=xinniu,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
#这里就是刚才保存下来的那个加密后的密码
olcRootPW: {SSHA}uYnICxla0NrUC5b/ha4i1JeOTCoUchV+

如图:
技术图片apache

使用下面的命令来修改管理员条目:vim

ldapmodify -Y EXTERNAL -H ldapi:/// -f  chrootpw.ldif 

若是出现:api

modifying entry "olcDatabase={2}bdb,cn=config"

导入基本数据结构
咱们须要向 LDAP 中导入一些基本的 Schema。这些 Schema 文件位于 /etc/openldap/schema/ 目录中,schema控制着条目拥有哪些对象类和属性bash

ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/collective.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/corba.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/core.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/duaconf.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/dyngroup.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/java.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/misc.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/openldap.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/pmi.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/ppolicy.ldif

开启ldap日志服务器

mkdir -p /var/log/slapd
chown ldap:ldap /var/log/slapd/
touch /var/log/slapd/slapd.log
chown ldap . /var/log/slapd/slapd.log
echo "local4.* /var/log/slapd/slapd.log" >> /etc/rsyslog.conf

到此就设定好了管理员的密码。能够用客户端去管理openldap了数据结构

打算使用phpldapadmin来管理openldap,这个工具使用的人较多,网上文档多,出现问题容易解决。app

二.安装phpldapadmin(ldap管理工具)

首先安装Apache和PHP:

yum -y install httpd php php-ldap php-gd php-mbstring php-pear php-bcmath php-xml

而后安装phpldapadmin:

 yum -y install phpldapadmin

httpd与phpldapadmin进行集成:
修改配置文件:

[root@localhost ~]# vim /etc/phpldapadmin/config.php
#397行取消注释,398行添加注释
    $servers->setValue(‘login‘,‘attr‘,‘dn‘);
    // $servers->setValue(‘login‘,‘attr‘,‘uid‘);

这里须要修改,若是不修改,phpldapadmin会去用uid去搜索条目,不会用dn去搜索,致使报密码错误。
[root@localhost ~]# phpldapadmin的ip过滤规则默认是拒绝全部ip访问,先去修改一下规则,咱们才能够访问

vim /etc/httpd/conf.d/phpldapadmin.conf

##这是Apache2.2和之前的修改方法
// 修改配置

把下面的Deny from all 改成Allow from all

##这是apache2.4和之后的修改方法

#容许172.16.10.16访问
Require ip 172.16.10.16
#容许172.16这个网段访问
Require ip 172.16.0.0/16
#容许全部ip访问
Require all granted

咱们能够根据本身须要修改来
修改完以后启动:

    systemctl restart httpd

界面:
技术图片

登录
用户名,默认是 cn=Manager,dc=my-domain,dc=com(这个也能够改的,仿照修改密码的步骤)
密码就输入刚开始设置的密码

登录进去后,个人管理界面报这个信息:
This base cannot be created with PLA
显示结果以下:
技术图片

通过查询,缘由是根结点须要初始化后才能使用,最终处理以下:

一、建立一个initroot.ldif文件,为建立初始化根节点作准备工做,以下所示:
dn: dc=xinniu,dc=com
#域名的后缀
o: ldap
objectclass: dcObject
objectclass: organization

技术图片

二、执行ldapadd -f initroot.ldif -x -D cn=admin,dc=xinniu,dc=com -W 输入以前配置OpenLDAP的密码后,便可完成建立LDAP根节点,以下图所示:
技术图片
完成以上操做后,再回到phpldapadmin页面,能够看到,已经正常出现了根节点,并能够建立相关OU、Group、Account等对象,以下图所示:
技术图片

到这里就搭建好了一台openldap+phpldapadmin的服务器了,在另一台也按照此步骤操做搭建好另外一台。

三.配置双主复制功能,在主1和主2上执行下面的步骤

ldap双主复制功能的实现依赖于syncprov模块,这个模块位于/usr/lib64/openldap目录下

1.mod_syncprov.ldif

[root@server1] vim mod_syncprov.ldif

# create new
dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: syncprov.la

导入配置

[root@server1 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f mod_syncprov.ldif

2.syncprov.ldif

[root@server1] vim syncprov.ldif

# create new
dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpSessionLog: 100

导入配置

[root@server1 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov.ldif

在主1和主2上执行下面的步骤,只须要替换olcServerID和provider的值

[root@server1] ~/ldif$ vim master01.ldif

# create new
dn: cn=config
changetype: modify
replace: olcServerID
# specify uniq ID number on each server
olcServerID: 1
# 惟一值,主2上替换为2

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcSyncRepl
olcSyncRepl: rid=001
  provider=ldap://basic-server-2:389/
    ##此处为主2服务器地址,主2此处相应地上替换为主1服务器地址
  bindmethod=simple
  binddn="cn=admin,dc=xinniu,dc=com"
  credentials=bigdata123!
    #管理员的明文密码
  searchbase="dc=xinniu,dc=com"
  scope=sub
  schemachecking=on
  type=refreshAndPersist
  retry="30 5 300 3"
  interval=00:00:05:00
-
add: olcMirrorMode
olcMirrorMode: TRUE

dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov

导入配置

root@SERVER ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f master01.ldif

四.验证

这部完成以后,咱们在master1的管理界面上建立一个条目,再打开master2的管理界面,若是能够看到咱们刚才建立的条目,那么就说明双主已经配置成功了。

五.Keepalived搭建

1.安装

#两个节点都要操做
yum -y install keepalived
很简单,一条命令就安装好了

2.配置

#两个节点都要操做
cp /etc/keepalived/keepalived.conf /etc/keepalived/keepalived.conf.bak
vim /etc/keepalived/keepalived.conf

#node1的配置:
! Configuration File for keepalived
global_defs {
    notification_email {
       xhh@cmss.chinamobile.com
    }
   notification_email_from  root@cmss.chinamobile.com
   smtp_server 127.0.0.1
   smtp_connect_timeout 30
   router_id ldap_A   #节点标识
}

vrrp_script chk {
  script "/etc/keepalived/script/check-ldap-server.sh"
  interval 3
  weight -5
}

vrrp_instance VI_1 {
   state MASTER
   interface eth0             #使用的网卡为eth0
   virtual_router_id 150      #虚拟路由标识,两个节点必须一致
   priority 100               #优先级,两个节点的优先级高者为master
   nopreempt                  #不抢占
   advert_int 1
  authentication {
     auth_type PASS
     auth_pass 1111
  }
  virtual_ipaddress {
    172.18.22.88  #虚拟ip
  }
   notify_master "/etc/keepalived/script/to_master.sh"
   notify_backup "/etc/keepalived/script/to_backup.sh"
   notify_stop "/etc/keepalived/script/to_stop.sh"
   track_script {
      chk
   }
}
#node2的配置
! Configuration File for keepalived
global_defs {
    notification_email {
       xhh@cmss.chinamobile.com
    }
   notification_email_from  root@cmss.chinamobile.com
   smtp_server 127.0.0.1
   smtp_connect_timeout 30
   router_id ldap_B   #节点标识
}
vrrp_script chk {
  script "/etc/keepalived/script/check-ldap-server.sh >> /tmp/log/chk.log 2>&1"
  interval 3
  weight -5
}
vrrp_instance VI_1 {
   state BACKUP
   interface eth0             #使用的网卡为eth0
   virtual_router_id 150      #虚拟路由标识,两个节点必须一致
   priority 98                #优先级
   nopreempt                  #不抢占
   advert_int 1
  authentication {
     auth_type PASS
     auth_pass 1111
  }
  virtual_ipaddress {
  172.18.22.88
  }
   notify_master "/etc/keepalived/script/to_master.sh"
   notify_backup "/etc/keepalived/script/to_backup.sh"
   notify_stop "/etc/keepalived/script/to_stop.sh"
   track_script {
      chk
   }
}

另外几个脚本的内容(两个节点一致)
check-ldap-server.sh:

#!/bin/bash
counter=$(ps -C slapd --no-heading|wc -l)
if [ "${counter}" = "0" ]; then
   sudo systemctl start slapd
    sleep 2
    counter=$(ps -C slapd --no-heading|wc -l)
    if [ "${counter}" = "0" ]; then
    sudo systemctl stop keepalived
    fi
fi

/etc/keepalived/script/to_master.sh:

#!/bin/bash
sudo systemctl start slapd;
sh /etc/keepalived/script/send_email.sh "Ldap主备切换" "$(hostname)切换为Active"

/etc/keepalived/script/to_backup.sh:

#!/bin/bash
sudo systemctl start slapd;
sh /etc/keepalived/script/send_email.sh "Ldap主备切换" "$(hostname)切换为Backup"

/etc/keepalived/script/to_stop.sh:

#!/bin/bash
sh /etc/keepalived/script/send_email.sh "Ldap主备切换" "$(hostname)切换为Stop"

/etc/keepalived/script/send_email.sh:

#!/bin/bash
SUBJECT=$1
CONTENT=$2
echo "${CONTENT}"   |  mail  -s  "${SUBJECT}"  dongguashaorou@163.com

有一点须要注意,以上这几个脚本,须要一个用户来执行:keepalived_script,因此须要建立这个用户,还要把这个用户加到/etc/sudoers中,不然脚本中systemctl启动slapd服务,压根没有权限,这个点网上的文档都没有提到,调试了一段时间才发现这个问题。其余的,若是发现脚本配置之后没有生效,那么1.检查keepalived.conf文件的格式,看是否出错,2.脚本的输出能够重定向到文件,而后能够发现问题。

前两天搭建好了,今天开启iptables防火墙后就有问题了:
1.两个节点的虚拟ip不能飘移了,发生了脑裂,两边都有虚拟ip
2.其余节点能够从真实ip访问服务,可是没法从虚拟ip访问服务

折腾一番后发现要在2台真实节点的iptables配置(/etc/sysconfig/iptables)上面分别加上下面2行
-A INPUT -d 172.18.22.88(虚拟ip) -j ACCEPT
-A INPUT -p vrrp -j ACCEPT
以后重启iptables,再重启keepalived便可访问服务

最后,后面发现阿里云的机器上面用这个keepalive真的不太好使,不少节点上去telnet虚拟ip的端口会出现不通的状况,就不打算用了,ldap的访问量很小,是个比较稳定的服务,原本为了以防万一,再引入新的问题还不如不用,最终仍是用了haproxy去作了个load balance,比这个还简单多了。不过实际上keepalived和haproxy并非一个用途的东西,只是我以为服务也没那么容易挂,最可靠的方案实际上是,haproxy和keepalived都用上,用keepalived去监控haproxy。

附上一下haproxy的部分配置
listen ldap :25001
mode tcp
option tcplog
balance leastconn
server ldap1 172.18.20.27:389 check
server ldap2 172.18.20.35:389 check

 

第二种方法:

参考地址:https://blog.csdn.net/fanren224/article/details/79707206

双主原理:

双主和主从的区别:

貌似生产环境中,用的比较多的是双主模式。

安装说明:

从OpenLDAP2.4.23版本开始所有配置数据都保存在slapd.d目录下的cn=config文件夹中,不再使用slapd.conf作为配置文件
有两种配置方式,一种是通过修改旧版配置文件slapd.conf,再用slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/导入到数据库中,这种方式非常麻烦,不建议使用。
一种是通过编辑ldif文件,再用ldapadd命令导入到数据库中,这种方式是动态配置,不需要重新启动服务端slapd进程。
本文采用第二种方式,这种方式网上文档比较少,不好弄,本人花了10几天才算搞了个半懂,在这记录下来,希望能给有需要的人一些帮助
如果非要使用第一种方法,centos7系统yum安装后没有slapd.conf.obsolete文件,可以选择从centos6上复制过来
官方文档: https://www.openldap.org/doc/admin24/slapdconf2.html

安装环境

centos 7.3
ldap主1服务器:test1 192.168.255.124
ldap主2服务器:test2 192.168.255.125
OpenLDAP2.4.44
root账号下执行所有命令
安装步骤

在主1和主2都执行下面的步骤

1、安装ldap

[root@test1] ~$ yum install openldap openldap-servers openldap-clients compat-openldap

#可以通过rpm -ql <package name>,来查看每个安装包都有哪些文件
openldap: #OpenLDAP配置文件、库和文档
openldap-servers: #服务器进程及相关命令、迁移脚本和相关文件
openldap-clients: #客户端进程及相关命令,用来访问和修改 OpenLDAP 目录
compat-openldap: #与主从配置相关

安装过程中会自动创建ldap用户和ldap组

$ grep ldap /etc/passwd
ldap:x:55:55:OpenLDAP server:/var/lib/ldap:/sbin/nologin

$ grep ldap /etc/group
ldap:x:55:

2、 复制数据库模板

[root@test1] ~$ cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

原来属于root用户,现在需要改为ldap用户。

[root@test1] ~$ chown ldap. /var/lib/ldap/DB_CONFIG

3、启动ldap,并设置为开机启动。 ldap服务端进程名称为slapd

[root@test1] ~$ systemctl enable slapd && systemctl start slapd && systemctl status slapd

查看进程,端口是389,默认情况下数据为明文传输,添加ssl配置后为密文数据传输后端口为636

[root@test1] /etc/openldap/slapd.d/cn=config$ netstat -tunlp |grep slapd
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 62756/slapd
tcp6 0 0 :::389 :::* LISTEN 62756/slapd

#至于配置ssl先别急,等把基本的配置做完了再弄也不迟。

4、使用 slappasswd 命令生成密码

生成密码。将这个密码作为管理员(admin)的密码。

注意两台机器的上明文密码一样,密文密码不一样。

[root@test1] ~$ slappasswd
New password:
Re-enter new password:
{SSHA}BXTlwAUMwVSgqHr0WlIEud3iu9ddjvQE

编写 LDIF(一种LDAP 专用的数据交换格式)文件,并通过ldapadd命令将管理员密码导入到 LDAP配置文件中。 这种方法乍看起来很麻烦很难,不过也是有规律的,写几个熟悉后并不是很难。

[root@test1] ~$ vim chrootpw.ldif
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}BXTlwAUMwVSgqHr0WlIEud3iu9ddjvQE

导入

[root@test1] ~$ ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"

5、导入基本数据结构

我们需要向 LDAP 中导入一些基本的 Schema。这些 Schema 文件位于 /etc/openldap/schema/ 目录中,schema控制着条目拥有哪些对象类和属性

[root@test1] /etc/openldap/schema$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=cosine,cn=schema,cn=config"

[root@test1] /etc/openldap/schema$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=nis,cn=schema,cn=config"

[root@test1] /etc/openldap/schema$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=inetorgperson,cn=schema,cn=config"
6、配置 LDAP 的根域(以 dc=baidu,dc=com 为例)及其管理域:

注意:

用你自己的域名代替dc=***,dc=***语句块。

olcRootPW字段的值是你上面生成的admin密码的密文。两台机器使用各自的密文密码。

[root@test1] ~$ vim chdomain.ldif
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
read by dn.base="cn=admin,dc=baidu,dc=com" read by * none

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=baidu,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=baidu,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}BXTlwAUMwVSgqHr0WlIEud3iu9ddjvQE

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
dn="cn=admin,dc=baidu,dc=com" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=badiu,dc=com" write by * read
导入

[root@test1] ~$ ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"
7、在上述基础上,我们来创建一个叫做 baidu company 的组织

并在其下创建一个 admin 的组织角色(该组织角色内的用户具有管理整个 LDAP 的权限)和 People 和 Group 两个组织单元:

[root@test1] ~$ vim basedomain.ldif
dn: dc=baidu,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: Baidu Company
dc: baidu

dn: cn=admin,dc=baidu,dc=com
objectClass: organizationalRole
cn: admin

dn: ou=People,dc=baidu,dc=com
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=baidu,dc=com
objectClass: organizationalRole
cn: Group

[root@test1] ~$ ldapadd -x -D cn=admin,dc=baidu,dc=com -W -f basedomain.ldif
Enter LDAP Password: #输入上面设置的管理员密码(明文)
adding new entry "dc=baidu,dc=com"

adding new entry "cn=admin,dc=baidu,dc=com"

adding new entry "ou=People,dc=baidu,dc=com"

adding new entry "ou=Group,dc=baidu,dc=com"

通过以上的所有步骤,我们就设置好了一个 LDAP 目录树:其中基准 dc=baidu,dc=com 是该树的根节点,其下有一个管理域 cn=admin,dc=baidu,dc=com 和两个组织单元 ou=People,dc=baidu,dc=com 及 ou=Group,dc=baidu,dc=com。

两台机器上都安装网页端管理工具phpldapadmin

这里把网页端安装好,可以方便我们后面验证命令行端的操作是否成功。

安装步骤在这里 https://blog.csdn.net/fanren224/article/details/80532268

接下来,我们来创建一个叫作tom 的员工并将其分配到 ops组来验证上述配置是否生效。

[root@test1] ~$ vim ldapuser.ldif
dn: uid=tom,ou=People,dc=baidu,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: tom
cn: tom
sn: tom
userPassword: {SSHA}i62EIL9tklQjQJvO8PrxEyGVidSUL8Fq (这个密文密码需要先用slappasswd生成)
uidNumber: 1100
gidNumber: 1100
homeDirectory: /home/tom

dn: cn=ops,ou=Group,dc=baidu,dc=com
objectClass: posixGroup
cn: ops
gidNumber: 1100
memberUid: ops

[root@test1] ~$ ldapadd -x -D cn=admin,dc=baidu,dc=com -W -f ldapuser.ldif
Enter LDAP Password: (这里输入的是管理员密码)
adding new entry "uid=tom,ou=People,dc=baidu,dc=com"

adding new entry "cn=ops,ou=Group,dc=baidu,dc=com"

网页端上查看下是否新建成功


除了在网页端查看条目,我们也可以使用 ldapsearch 命令来查看 LDAP 目录服务中的所有条目信息:

[root@test1] ~$ ldapsearch -x -b "dc=baidu,dc=com" -H ldap://127.0.0.1

在test2上查的话是,把127.0.0.1换成test1的ip地址
[root@test1] ~$ ldapsearch -x -b "dc=baidu,dc=com" -H ldap://127.0.0.1
删除条目

ldapdelete -x -W -D ‘cn=admin,dc=baidu,dc=com‘ "uid=tom,ou=People,dc=baidu,dc=com"
1
在网页端查看下是否已经删除成功。如下。可以看到只删除了用户,用户组还在的。


至此两台ldap主服务器端配置并验证完成。

注意:要先配置好两台ldap主服务器端。

二、配置双主复制功能,在主1和主2上执行下面的步骤

ldap双主复制功能的实现依赖于syncprov模块,这个模块位于/usr/lib64/openldap目录下

[root@test1] ~/ldif$ vim mod_syncprov.ldif
# create new
dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: syncprov.la

[root@test1 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f mod_syncprov.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=module,cn=config"
[root@test1] ~/ldif$ vim syncprov.ldif
# create new
dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpSessionLog: 100

[root@test1 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "olcOverlay=syncprov,olcDatabase={2}hdb,cn=config"
在主1和主2上执行下面的步骤,只需要替换olcServerID和provider的值

注意:在主1服务器上配置:olcServerID:1,provider:配置主2的地址

           在主2服务器上配置:olcServerID:2,provider:配置主1的地址

[root@test1] ~/ldif$ vim master01.ldif
# create new
dn: cn=config
changetype: modify
replace: olcServerID
# specify uniq ID number on each server
olcServerID: 1

#唯一值,主2上替换为2

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcSyncRepl
olcSyncRepl: rid=001
provider=ldap://192.168.255.125:389/
bindmethod=simple
binddn="cn=admin,dc=baidu,dc=com"
credentials=123456
searchbase="dc=baidu,dc=com"
scope=sub
schemachecking=on
type=refreshAndPersist
retry="30 5 300 3"
interval=00:00:05:00
-
add: olcMirrorMode
olcMirrorMode: TRUE

dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
导入配置

[root@test1 ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f master01.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

adding new entry "olcOverlay=syncprov,olcDatabase={2}hdb,cn=config"
至此双主配置完成。

在配置完成之后,我们必须要做的一件事,就是测试一下是否配置成功。

三、测试验证

你可以在机器上通过命令来测试,也可以通过在网页端来测试。

命令验证方式

在主1上进行测试

1) 在test1机器上添加一个test用户,然后分别在两个节点上进行查询操作,test.ldif参考上文。

[root@test1 ~]# ldapadd -x -D "cn=admin,dc=baidu,dc=com" -W -f test.ldif

adding new entry "uid=test,ou=People,dc=baidu,dc=com"
在test1上查看是否添加成功

指定主1的ip
[root@test1] ~$ ldapsearch -x -b "dc=baidu,dc=com" -H ldap://192.168.255.124|grep uid=test
dn: uid=test,ou=People,dc=baidu,dc=com

指定主2的ip
[root@test1] ~$ ldapsearch -x -b "dc=baidu,dc=com" -H ldap://192.168.255.125|grep uid=test
dn: uid=test,ou=People,dc=baiduu,dc=com
2)在test1上执行命令删除test用户,然后分别在两个节点上进行查询操作

[root@test1 ~]# ldapdelete -x -D "cn=admin,dc=baidu,dc=com" -W "uid=test,ou=People,dc=baidu,dc=com"
查询

[root@test1 ~]# ldapsearch -x -b "dc=baidu,dc=com" -H ldap://192.168.255.124|grep uid=test

[root@test1 ~]# ldapsearch -x -b "dc=baidu,dc=com" -H ldap://192.168.255.125|grep uid=test
网页端验证方式

在http://192.168.255.124/ldapadmin 添加用户,在http://192.168.255.125/ldapadmin上刷新一下,看能不能显示出来。

至此双主模式部署并验证完成

参考文章:

https://www.server-world.info/en/note?os=CentOS_7&p=openldap&f=1
https://arthurdejong.org/nss-pam-ldapd/

其他补充:

如何配置ldap客户端绑定两台ldap主服务器?

authconfig --ldapserver=192.168.255.124,192.168.255.125 --update
这是啥意思?为啥要绑定两台主服务器?打个比方

不绑定的话,你执行下面的命令,只对本机上的ldap服务器操作。 绑定了之后,就相当于一次性对两台服务器都操作。

ldapmodify -Y EXTERNAL -H ldapi:/// -f mod_ssl.ldif

以上是关于centos7 openldap双主部署的主要内容,如果未能解决你的问题,请参考以下文章

CentOS7下OpenLDAP统一认证的主从环境部署记录

openldap主服务器配置文件(双主)

OpenLDAP双主

Openldap服务端centos7搭建过程

openldap 2.4双主MirrorMode配置

centos7.7部署openldap2.4.44主从复制