目录
OpenLDAP 服务端与客户端配置
OpenLDAP是轻型目录访问协议,利用它可以进行统一的认证服务。如果需求需要配置多个服务器,并且多账号的话,可以考虑用OpenLDAP进行统一配置,来完成一组计算机之间的认证。
关于LDIF
一个LDIF基本结构一个条目
注:解释的不完整。
dn: ou=People,dc=example,dc=com ou: People objectClass: top objectClass: organizationalUnit
dn就是数据库中的唯一主键,在LDAP中唯一标识一个条目ou就是organizationalUnit该条目需要有organizationalUnit而ou这一行就是设置具体值得objectClass表示属性,类似于代码中的类的属性
属性
cn:common name,指一个对象的名字。如果指人,需要使用其全名。 o:organizationName,指一个组织的名字。 ou:organizationalUnitName,指一个组织单元的名字。 uid: user id ,唯一的用户id userPassword:用户密码 uidNumber: 用户ID gidNumber: 用户组ID homeDirectory: 用户目录
Object的类型
objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount
服务端
安装
[root@rhel2 ~]# yum install openldap openldap-servers migrationtools
生成证书
# 分别生成一个公钥与私钥 openssl req -new -X509 -nodes -out /etc/openldap/certs/cert.pem -keyout /etc/openldap/certs/private.pem -days 365 # 更改两个文件的权限 为ldap cd /etc/openldap/certs chown ldap:ldap *.pem # 查看 ll total 8 -rw-r--r-- 1 ldap ldap 1273 Nov 14 20:10 cert.pem -rw-r--r-- 1 ldap ldap 1704 Nov 14 20:10 private.pem # 将私钥改成只有ldap用户可读写 chmod 600 private.pem ll total 8 -rw-r--r-- 1 ldap ldap 1273 Nov 14 20:10 cert.pem -rw------- 1 ldap ldap 1704 Nov 14 20:10 private.pem
注:生成证书时 Common Name (eg, your name or your server's hostname) []:这个东西一定要写当前服务器的hostname,否则证书没法验证
生成默认数据
# 将 示例DB_CONFIG.example复制出来 cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/DB_CONFIG # 到目录下 cd /var/lib/ldap/ # 更改权限 chown ldap:ldap * # 执行一次 slaptest
修改基本的配置
# 在任意位置增加如下文件,内容如下
# 关于ldif的格式
# 1. 每一个dn都需要有空行
# 2. 每一行末尾都`不能`有空格
# 3. 每一个: 后面都要跟着一个空格
[root@rhel2 openldap]# vim changes.ldif
# 修改 主dn 为 dc=example,dc=com 可以替换成自己的
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=example,dc=com
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=example,dc=com
# 修改管理员密码
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}zcesbHdBiGMQbVBCa7W2ZxjWxXGVHeG2
# 指定公钥位置
dn: cn=config
changetype: modify
replace: olcTLSCertificateFile
olcTLSCertificateFIle: /etc/openldap/certs/cert.pem
# 指定私钥位置
dn: cn=config
changetype: modify
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFIle: /etc/openldap/certs/private.pem
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=example,dc=com" read by * none
# 以上修改的其实就是在修改 /etc/openldap/slapd.d 下的文件,但是文件汇总有提示不让手动更改,通过ldapmodify 更改
# 执行修改
[root@rhel2 openldap]# ldapmodify -Y EXTERNAL -H ldapi:/// -f changes.ldif
###########################结果#########################
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "cn=config"
modifying entry "cn=config"
modifying entry "olcDatabase={1}monitor,cn=config"
##########################结果#########################
# 测试密码
[root@rhel2 openldap]# ldapwhoami -x -W -D "cn=config"
Enter LDAP Password:
dn:cn=config
导入基础数据
# 增加文件 base.ldif # 关于ldif的格式 # 1. 每一个dn都需要有空行 # 2. 每一行末尾都`不能`有空格 # 3. 每一个: 后面都要跟着一个空格 [root@rhel2 openldap]# vim base.ldif dn: dc=example,dc=com dc: example objectClass: top objectClass: domain dn: ou=People,dc=example,dc=com ou: People objectClass: top objectClass: organizationalUnit dn: ou=Group,dc=example,dc=com ou: Group objectClass: top objectClass: organizationalUnit # 实际上市增加了两个ou People 与 Group 及 用户 与 用户组 # 执行新增 [root@rhel2 openldap]# ldapadd -Y EXTERNAL -H ldapi:/// -f base.ldif #######################结果########################### SASL/EXTERNAL authentication started SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth SASL SSF: 0 adding new entry "ou=People,dc=example,dc=com" adding new entry "ou=Group,dc=example,dc=com" ########################结果########################## # 查询数据 [root@rhel2 openldap]# ldapsearch -x ou=Group -b dc=example,dc=com ########################结果########################## # extended LDIF # # LDAPv3 # base <dc=example,dc=com> with scope subtree # filter: ou=Group # requesting: ALL # # Group, example.com dn: ou=Group,dc=example,dc=com ou: Group objectClass: top objectClass: organizationalUnit # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 ########################结果##########################
关于ldif的格式
每一个
dn都需要有空行每一行末尾都
不能有空格每一个
:后面都要跟着一个空格
批量创建用户
# 创建一个本地目录存放用户 [root@rhel2 openldap]# mkdir /home/guests # 使用for 创建20个用户 [root@rhel2 guests]# for i in $(seq 1 20); do useradd -d /home/guests/ldapuser$i ldapuser$i; done # 利用for设置20个用户的密码 [root@rhel2 guests]# for i in $(seq 1 20); do echo ldapuser$i | passwd --stdin ldapuser$i; done
批量导入用户到LDAP
- 更改
migrationtools的baseDN
[root@rhel2 openldap] cd /usr/share/migrationtools [root@rhel2 migrationtools]# vi migrate_common.ph # 更改下面两行为自己的 base dn # Default DNS domain $DEFAULT_MAIL_DOMAIN = "example.com"; # Default base $DEFAULT_BASE = "dc=example,dc=com";
- 导入用户
# 查询所有用户并输出到一个文件
[root@rhel2 migrationtools]# grep ":10[0-9][0-9]" /etc/passwd > > /etc/openldap/passwd
# 如果用户中有部分不想加入的用户直接删除即可
# 将 /etc/openldap/passwd 文件 转成 ldif文件
[root@rhel2 migrationtools]# ./migrate_passwd.pl /etc/openldap/passwd /etc/openldap/passwd.ldif
# 下面是用户ldapuser1 的数据样式
[root@rhel2 migrationtools]# cat /etc/openldap/passwd.ldif
dn: uid=ldapuser1,ou=People,dc=example,dc=com
uid: ldapuser1
cn: ldapuser1
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}$1$V1vroanf$NTVsrHIwOTQUpY0Q2CXHM/
shadowLastChange: 18215
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/guests/ldapuser1
- 导入用户组
# 查询所有用户组并输出到一个文件
[root@rhel2 migrationtools]# grep ":10[0-9][0-9]" /etc/group > > /etc/openldap/group
# 如果用户中有部分不想加入的用户直接删除即可
# 将 /etc/openldap/group 文件 转成 ldif文件
[root@rhel2 migrationtools]# ./migrate_group.pl /etc/openldap/group /etc/openldap/group.ldif
# 下面是用户组ldapuser1 的数据样式
[root@rhel2 migrationtools]# cat /etc/openldap/group.ldif
dn: cn=ldapuser1,ou=Group,dc=example,dc=com
objectClass: posixGroup
objectClass: top
cn: ldapuser1
userPassword: {crypt}x
gidNumber: 1001
- 查询刚才添加的用户与组
# 会发现用户与用户组都查询出来了 [root@rhel2 migrationtools]# ldapsearch -x cn=ldapuser1 -b dc=example,dc=com # extended LDIF # # LDAPv3 # base <dc=example,dc=com> with scope subtree # filter: cn=ldapuser1 # requesting: ALL # # ldapuser1, People, example.com dn: uid=ldapuser1,ou=People,dc=example,dc=com uid: ldapuser1 cn: ldapuser1 objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword:: e2NyeXB0fSQxJFYxdnJvYW5mJE5UVnNySEl3T1RRVXBZMFEyQ1hITS8= shadowLastChange: 18215 shadowMin: 0 shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 1001 gidNumber: 1001 homeDirectory: /home/guests/ldapuser1 # ldapuser1, Group, example.com dn: cn=ldapuser1,ou=Group,dc=example,dc=com objectClass: posixGroup objectClass: top cn: ldapuser1 userPassword:: e2NyeXB0fXg= gidNumber: 1001 # search result search: 2 result: 0 Success # numResponses: 3 # numEntries: 2
客户端
安装
[root@rhel1 ~]# yum install openldap-clients nss-pam-ldapd authconfig-gtk
配置ldap[有问题]
# 图形化配置工具 [root@rhel1 ~]# authconfig-gtk # 如果使用xshell 时输入上面的命令,需要下载不免费的 Xmanager # 所以想使用 authconfig-gtk 必须保证客户端安装了图形化界面。
- 将服务端的公钥
cert.pem复制到 客户端。
scp cert.pem ip:/root/
- 激活图形化配置后按如下进行选择
User Account Database ------- LDAP LDAP Search Base DN ------- dc=example,dc=com LDAP Server ------- ldap://ip/ Use TLS to encrypt connnects ------- check # 此处必须check上否则不让通过 Authentication Method ------- LDAP password # 点击 Download CA Certificate 输入本地目录 file:///root/cert.pem
- 查看用户
[root@rhel1 ~]# getent passwd ldapuser1
- 问题
此处进行多次尝试还是有问题,一直连接不到LDAP的Server。最终可以用nslcd的log中获得如下错误
Nov 18 16:24:30 rhel1.node.com nslcd[35848]: [8b4567] <passwd="ldapuser1"> ldap_start_tls_s() failed (uri=ldap://192.168.245.11/): Connect error: TLS error -8172:Peer's certificate issuer has been marked as not trusted by the user.
记录下我尝试的方法:
1. 在文件 /etc/openldap/ldap.conf 增加 `TLS_REQCERT never` 2. 在文件 /etc/openldap/ldap.conf 增加 `TLS_REQCERT allow` 3. 在服务的使用公钥、私钥获得自签名证书,复制到客户端使用 4. 在服务端 /etc/sysconfig/slap 文件中 增加`ldaps:///`,监控端口`636`已经在使用了,但是客户端配置ldaps的时候还是不能够正确访问
要是有人尝试成功了麻烦告知一下
不使用SSL进行客户端配置
图形化界面authconfig-gtk 要求必须使用SSL证书,或者使用ldaps进行连接
authconfig-tui对此没有要求
[root@rhel1 ~]# authconfig-tui # 进入一个简易的画面, # 1. 使用tab 进行切换选择项 # 2. 使用space 进行选择 # 3. 使用F12 直接到下一步
1. 第一个页面左边选中 `Use LDAP`,右边选中 `Use LDAP AUthertication`
2. 第二个页面,不选中 `Use TLS`
Server: `ldap://192.168.245.11/`
Base DN: `dc=example,dc=com`
注: 在这里也尝试了选中 `Use TLS` 还是会报证书那个问题
3. 等待一段时间
4. 验证结果
[root@rhel1 ~]# getent passwd ldapuser1
ldapuser1:x:1001:1001:ldapuser1:/home/guests/ldapuser1:/bin/bash
[root@rhel1 ~]# getent passwd ldapuser20
ldapuser20:x:1020:1020:ldapuser20:/home/guests/ldapuser20:/bin/bash
5. 用户已经同步到改客户端上了。并且认证通过
NFS共享用户家目录
不配置家目录共享用户无法正常使用
# 认证通过后我们使用用户会报错 [root@rhel1 ~]# su - ldapuser1 su: warning: cannot change directory to /home/guests/ldapuser1: No such file or directory mkdir: cannot create directory '/home/guests': Permission denied -bash-4.2$ # 只能完成登录,但是做不了任何操作
配置服务端的NFS
[root@rhel2 ~]# yum install nfs-utils [root@rhel2 ~]# systemctl enable nfs-server [root@rhel2 ~]# systemctl start nfs-server [root@rhel2 ~]# vim /etc/exports [root@rhel2 ~]# cat /etc/exports /home/guests 192.168.245.0/24(rw,sync) # 配置 共享/home/guests 目录 共享读写到网段 192.168.245.0 [root@rhel2 ~]# exportfs -rv exporting 192.168.245.0/24:/home/guests [root@rhel2 ~]# exportfs -v /home/guests 192.168.245.0/24(rw,wdelay,root_squash,no_subtree_check,sec=sys,rw,secure,root_squash,no_all_squash) # 添加防火墙开放 [root@rhel2 ~]# firewall-cmd --add-service=nfs --permanent [root@rhel2 ~]# firewall-cmd --reload
配置客户端的autofs
[root@rhel1 ~]# yum install autofs nfs-utils # 添加自定义配置的auto.guests [root@rhel1 ~]# vim /etc/auto.guests [root@rhel1 ~]# cat /etc/auto.guests * -rw,nfs4 rhel2.node.com:/home/guests/& # 编写主文件 [root@rhel1 ~]# vim /etc/auto.master /home/guests /etc/auto.guests # 行末加入 [root@rhel1 ~]# systemctl enable autofs [root@rhel1 ~]# systemctl start autofs # 再次切换用户 [root@rhel1 ~]# su - ldapuser1 Last login: Tue Nov 19 10:07:36 CST 2019 on pts/2 [ldapuser1@rhel1 ~]$ pwd /home/guests/ldapuser1 [ldapuser1@rhel1 ~]$ touch test.txt [ldapuser1@rhel1 ~]$ ll total 4 -rw-rw-r--. 1 ldapuser1 ldapuser1 5 Nov 19 10:22 test.txt
查看客户端挂载情况
[ldapuser1@rhel1 ~]$ df -Th df: ‘/run/user/0/gvfs’: Permission denied Filesystem Type Size Used Avail Use% Mounted on /dev/mapper/rhel-root xfs 18G 3.0G 15G 17% / devtmpfs devtmpfs 905M 0 905M 0% /dev tmpfs tmpfs 914M 140K 914M 1% /dev/shm tmpfs tmpfs 914M 21M 894M 3% /run tmpfs tmpfs 914M 0 914M 0% /sys/fs/cgroup /dev/sdb5 ext4 190M 1.6M 175M 1% /third /dev/sda1 xfs 497M 119M 379M 24% /boot /dev/sr0 iso9660 3.5G 3.5G 0 100% /mnt rhel2.node.com:/home/guests/ldapuser1 nfs4 18G 1.3G 17G 8% /home/guests/ldapuser1 [ldapuser1@rhel1 ~]$