ICode9

精准搜索请尝试: 精确搜索
首页 > 系统相关> 文章详细

centos7 openldap双主部署

2020-07-11 18:07:30  阅读:312  来源: 互联网

标签:cn dc centos7 etc openldap ldif com 双主


参考地址:https://www.shangmayuan.com/a/59d7536bdeb643e5bd82404b.html

一.安装OpenLDAP

yum install openldap openldap-clients openldap-servers
安装完直接启动
```
systemctl start  slapd
```
设置管理员密码 ```

slappasswd -h {SSHA}    
    ```

而后会让你输入一个明文密码,返回给你一个加密的密码,记住这个返回的密码

使用ldapsearch命令查询管理员的dn:php

ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b  cn=config "olcRootDN=cn=Manager,dc=my-domain,dc=com"  dn olcRootDN olcRootPW

这里返回的dn是olcDatabase={2}hdb,cn=config,密码等信息也都一并返回。这里有用的是dn和密码的加密方式,好比这里是SSHA,dn是后面修改的Entry DN,而知道密码的加密方式就可使用该加密方式生成新密码。java

使用ldapmodify修改条目node

vim chrootpw.ldif 
#这是第1步获取的管理员dn
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
#你想要改为的域名的后缀
olcSuffix: dc=xinniu,dc=com
#olcSuffix这几行必定要加,不然修改以后会出错,后面重启openldap都会失败

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
#你想要改为的域名
olcRootDN: cn=admin,dc=xinniu,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
#这里就是刚才保存下来的那个加密后的密码
olcRootPW: {SSHA}uYnICxla0NrUC5b/ha4i1JeOTCoUchV+

如图:
Ldap双主模式+keepalived实现ldap高可用apache

使用下面的命令来修改管理员条目:vim

ldapmodify -Y EXTERNAL -H ldapi:/// -f  chrootpw.ldif 

若是出现:api

modifying entry "olcDatabase={2}bdb,cn=config"

导入基本数据结构
咱们须要向 LDAP 中导入一些基本的 Schema。这些 Schema 文件位于 /etc/openldap/schema/ 目录中,schema控制着条目拥有哪些对象类和属性bash

ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/collective.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/corba.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/core.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/duaconf.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/dyngroup.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/java.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/misc.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/openldap.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/pmi.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f /etc/openldap/schema/ppolicy.ldif

开启ldap日志服务器

mkdir -p /var/log/slapd
chown ldap:ldap /var/log/slapd/
touch /var/log/slapd/slapd.log
chown ldap . /var/log/slapd/slapd.log
echo "local4.* /var/log/slapd/slapd.log" >> /etc/rsyslog.conf

到此就设定好了管理员的密码。能够用客户端去管理openldap了数据结构

打算使用phpldapadmin来管理openldap,这个工具使用的人较多,网上文档多,出现问题容易解决。app

二.安装phpldapadmin(ldap管理工具)

首先安装Apache和PHP:

yum -y install httpd php php-ldap php-gd php-mbstring php-pear php-bcmath php-xml

而后安装phpldapadmin:

 yum -y install phpldapadmin

httpd与phpldapadmin进行集成:
修改配置文件:

[root@localhost ~]# vim /etc/phpldapadmin/config.php
#397行取消注释,398行添加注释
    $servers->setValue('login','attr','dn');
    // $servers->setValue('login','attr','uid');

这里须要修改,若是不修改,phpldapadmin会去用uid去搜索条目,不会用dn去搜索,致使报密码错误。
[root@localhost ~]# phpldapadmin的ip过滤规则默认是拒绝全部ip访问,先去修改一下规则,咱们才能够访问

vim /etc/httpd/conf.d/phpldapadmin.conf

##这是Apache2.2和之前的修改方法
// 修改配置

把下面的Deny from all 改成Allow from all

##这是apache2.4和之后的修改方法

#容许172.16.10.16访问
Require ip 172.16.10.16
#容许172.16这个网段访问
Require ip 172.16.0.0/16
#容许全部ip访问
Require all granted

咱们能够根据本身须要修改来
修改完以后启动:

    systemctl restart httpd

界面:
Ldap双主模式+keepalived实现ldap高可用

登录
用户名,默认是 cn=Manager,dc=my-domain,dc=com(这个也能够改的,仿照修改密码的步骤)
密码就输入刚开始设置的密码

登录进去后,个人管理界面报这个信息:
This base cannot be created with PLA
显示结果以下:
Ldap双主模式+keepalived实现ldap高可用

通过查询,缘由是根结点须要初始化后才能使用,最终处理以下:

一、建立一个initroot.ldif文件,为建立初始化根节点作准备工做,以下所示:
dn: dc=xinniu,dc=com
#域名的后缀
o: ldap
objectclass: dcObject
objectclass: organization

Ldap双主模式+keepalived实现ldap高可用

二、执行ldapadd -f initroot.ldif -x -D cn=admin,dc=xinniu,dc=com -W 输入以前配置OpenLDAP的密码后,便可完成建立LDAP根节点,以下图所示:
Ldap双主模式+keepalived实现ldap高可用
完成以上操做后,再回到phpldapadmin页面,能够看到,已经正常出现了根节点,并能够建立相关OU、Group、Account等对象,以下图所示:
Ldap双主模式+keepalived实现ldap高可用

到这里就搭建好了一台openldap+phpldapadmin的服务器了,在另一台也按照此步骤操做搭建好另外一台。

三.配置双主复制功能,在主1和主2上执行下面的步骤

ldap双主复制功能的实现依赖于syncprov模块,这个模块位于/usr/lib64/openldap目录下

1.mod_syncprov.ldif

[root@server1] vim mod_syncprov.ldif

# create new
dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: syncprov.la

导入配置

[root@server1 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f mod_syncprov.ldif

2.syncprov.ldif

[root@server1] vim syncprov.ldif

# create new
dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpSessionLog: 100

导入配置

[root@server1 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov.ldif

在主1和主2上执行下面的步骤,只须要替换olcServerID和provider的值

[root@server1] ~/ldif$ vim master01.ldif

# create new
dn: cn=config
changetype: modify
replace: olcServerID
# specify uniq ID number on each server
olcServerID: 1
# 惟一值,主2上替换为2

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcSyncRepl
olcSyncRepl: rid=001
  provider=ldap://basic-server-2:389/
    ##此处为主2服务器地址,主2此处相应地上替换为主1服务器地址
  bindmethod=simple
  binddn="cn=admin,dc=xinniu,dc=com"
  credentials=bigdata123!
    #管理员的明文密码
  searchbase="dc=xinniu,dc=com"
  scope=sub
  schemachecking=on
  type=refreshAndPersist
  retry="30 5 300 3"
  interval=00:00:05:00
-
add: olcMirrorMode
olcMirrorMode: TRUE

dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov

导入配置

root@SERVER ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f master01.ldif

四.验证

这部完成以后,咱们在master1的管理界面上建立一个条目,再打开master2的管理界面,若是能够看到咱们刚才建立的条目,那么就说明双主已经配置成功了。

五.Keepalived搭建

1.安装

#两个节点都要操做
yum -y install keepalived
很简单,一条命令就安装好了

2.配置

#两个节点都要操做
cp /etc/keepalived/keepalived.conf /etc/keepalived/keepalived.conf.bak
vim /etc/keepalived/keepalived.conf

#node1的配置:
! Configuration File for keepalived
global_defs {
    notification_email {
       xhh@cmss.chinamobile.com
    }
   notification_email_from  root@cmss.chinamobile.com
   smtp_server 127.0.0.1
   smtp_connect_timeout 30
   router_id ldap_A   #节点标识
}

vrrp_script chk {
  script "/etc/keepalived/script/check-ldap-server.sh"
  interval 3
  weight -5
}

vrrp_instance VI_1 {
   state MASTER
   interface eth0             #使用的网卡为eth0
   virtual_router_id 150      #虚拟路由标识,两个节点必须一致
   priority 100               #优先级,两个节点的优先级高者为master
   nopreempt                  #不抢占
   advert_int 1
  authentication {
     auth_type PASS
     auth_pass 1111
  }
  virtual_ipaddress {
    172.18.22.88  #虚拟ip
  }
   notify_master "/etc/keepalived/script/to_master.sh"
   notify_backup "/etc/keepalived/script/to_backup.sh"
   notify_stop "/etc/keepalived/script/to_stop.sh"
   track_script {
      chk
   }
}
#node2的配置
! Configuration File for keepalived
global_defs {
    notification_email {
       xhh@cmss.chinamobile.com
    }
   notification_email_from  root@cmss.chinamobile.com
   smtp_server 127.0.0.1
   smtp_connect_timeout 30
   router_id ldap_B   #节点标识
}
vrrp_script chk {
  script "/etc/keepalived/script/check-ldap-server.sh >> /tmp/log/chk.log 2>&1"
  interval 3
  weight -5
}
vrrp_instance VI_1 {
   state BACKUP
   interface eth0             #使用的网卡为eth0
   virtual_router_id 150      #虚拟路由标识,两个节点必须一致
   priority 98                #优先级
   nopreempt                  #不抢占
   advert_int 1
  authentication {
     auth_type PASS
     auth_pass 1111
  }
  virtual_ipaddress {
  172.18.22.88
  }
   notify_master "/etc/keepalived/script/to_master.sh"
   notify_backup "/etc/keepalived/script/to_backup.sh"
   notify_stop "/etc/keepalived/script/to_stop.sh"
   track_script {
      chk
   }
}

另外几个脚本的内容(两个节点一致)
check-ldap-server.sh:

#!/bin/bash
counter=$(ps -C slapd --no-heading|wc -l)
if [ "${counter}" = "0" ]; then
   sudo systemctl start slapd
    sleep 2
    counter=$(ps -C slapd --no-heading|wc -l)
    if [ "${counter}" = "0" ]; then
    sudo systemctl stop keepalived
    fi
fi

/etc/keepalived/script/to_master.sh:

#!/bin/bash
sudo systemctl start slapd;
sh /etc/keepalived/script/send_email.sh "Ldap主备切换" "$(hostname)切换为Active"

/etc/keepalived/script/to_backup.sh:

#!/bin/bash
sudo systemctl start slapd;
sh /etc/keepalived/script/send_email.sh "Ldap主备切换" "$(hostname)切换为Backup"

/etc/keepalived/script/to_stop.sh:

#!/bin/bash
sh /etc/keepalived/script/send_email.sh "Ldap主备切换" "$(hostname)切换为Stop"

/etc/keepalived/script/send_email.sh:

#!/bin/bash
SUBJECT=$1
CONTENT=$2
echo "${CONTENT}"   |  mail  -s  "${SUBJECT}"  dongguashaorou@163.com

有一点须要注意,以上这几个脚本,须要一个用户来执行:keepalived_script,因此须要建立这个用户,还要把这个用户加到/etc/sudoers中,不然脚本中systemctl启动slapd服务,压根没有权限,这个点网上的文档都没有提到,调试了一段时间才发现这个问题。其余的,若是发现脚本配置之后没有生效,那么1.检查keepalived.conf文件的格式,看是否出错,2.脚本的输出能够重定向到文件,而后能够发现问题。

前两天搭建好了,今天开启iptables防火墙后就有问题了:
1.两个节点的虚拟ip不能飘移了,发生了脑裂,两边都有虚拟ip
2.其余节点能够从真实ip访问服务,可是没法从虚拟ip访问服务

折腾一番后发现要在2台真实节点的iptables配置(/etc/sysconfig/iptables)上面分别加上下面2行
-A INPUT -d 172.18.22.88(虚拟ip) -j ACCEPT
-A INPUT -p vrrp -j ACCEPT
以后重启iptables,再重启keepalived便可访问服务

最后,后面发现阿里云的机器上面用这个keepalive真的不太好使,不少节点上去telnet虚拟ip的端口会出现不通的状况,就不打算用了,ldap的访问量很小,是个比较稳定的服务,原本为了以防万一,再引入新的问题还不如不用,最终仍是用了haproxy去作了个load balance,比这个还简单多了。不过实际上keepalived和haproxy并非一个用途的东西,只是我以为服务也没那么容易挂,最可靠的方案实际上是,haproxy和keepalived都用上,用keepalived去监控haproxy。

附上一下haproxy的部分配置
listen ldap :25001
mode tcp
option tcplog
balance leastconn
server ldap1 172.18.20.27:389 check
server ldap2 172.18.20.35:389 check

 

第二种方法:

参考地址:https://blog.csdn.net/fanren224/article/details/79707206

双主原理:

双主和主从的区别:

貌似生产环境中,用的比较多的是双主模式。

安装说明:

从OpenLDAP2.4.23版本开始所有配置数据都保存在slapd.d目录下的cn=config文件夹中,不再使用slapd.conf作为配置文件
有两种配置方式,一种是通过修改旧版配置文件slapd.conf,再用slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/导入到数据库中,这种方式非常麻烦,不建议使用。
一种是通过编辑ldif文件,再用ldapadd命令导入到数据库中,这种方式是动态配置,不需要重新启动服务端slapd进程。
本文采用第二种方式,这种方式网上文档比较少,不好弄,本人花了10几天才算搞了个半懂,在这记录下来,希望能给有需要的人一些帮助
如果非要使用第一种方法,centos7系统yum安装后没有slapd.conf.obsolete文件,可以选择从centos6上复制过来
官方文档: https://www.openldap.org/doc/admin24/slapdconf2.html

安装环境

centos 7.3
ldap主1服务器:test1 192.168.255.124
ldap主2服务器:test2 192.168.255.125
OpenLDAP2.4.44
root账号下执行所有命令
安装步骤

在主1和主2都执行下面的步骤

1、安装ldap

[root@test1] ~$ yum install openldap openldap-servers openldap-clients compat-openldap

#可以通过rpm -ql <package name>,来查看每个安装包都有哪些文件
openldap: #OpenLDAP配置文件、库和文档
openldap-servers: #服务器进程及相关命令、迁移脚本和相关文件
openldap-clients: #客户端进程及相关命令,用来访问和修改 OpenLDAP 目录
compat-openldap: #与主从配置相关

安装过程中会自动创建ldap用户和ldap组

$ grep ldap /etc/passwd
ldap:x:55:55:OpenLDAP server:/var/lib/ldap:/sbin/nologin

$ grep ldap /etc/group
ldap:x:55:

2、 复制数据库模板

[root@test1] ~$ cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

原来属于root用户,现在需要改为ldap用户。

[root@test1] ~$ chown ldap. /var/lib/ldap/DB_CONFIG

3、启动ldap,并设置为开机启动。 ldap服务端进程名称为slapd

[root@test1] ~$ systemctl enable slapd && systemctl start slapd && systemctl status slapd

查看进程,端口是389,默认情况下数据为明文传输,添加ssl配置后为密文数据传输后端口为636

[root@test1] /etc/openldap/slapd.d/cn=config$ netstat -tunlp |grep slapd
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 62756/slapd
tcp6 0 0 :::389 :::* LISTEN 62756/slapd

#至于配置ssl先别急,等把基本的配置做完了再弄也不迟。

4、使用 slappasswd 命令生成密码

生成密码。将这个密码作为管理员(admin)的密码。

注意两台机器的上明文密码一样,密文密码不一样。

[root@test1] ~$ slappasswd
New password:
Re-enter new password:
{SSHA}BXTlwAUMwVSgqHr0WlIEud3iu9ddjvQE

编写 LDIF(一种LDAP 专用的数据交换格式)文件,并通过ldapadd命令将管理员密码导入到 LDAP配置文件中。 这种方法乍看起来很麻烦很难,不过也是有规律的,写几个熟悉后并不是很难。

[root@test1] ~$ vim chrootpw.ldif
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}BXTlwAUMwVSgqHr0WlIEud3iu9ddjvQE

导入

[root@test1] ~$ ldapadd -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"

5、导入基本数据结构

我们需要向 LDAP 中导入一些基本的 Schema。这些 Schema 文件位于 /etc/openldap/schema/ 目录中,schema控制着条目拥有哪些对象类和属性

[root@test1] /etc/openldap/schema$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=cosine,cn=schema,cn=config"

[root@test1] /etc/openldap/schema$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=nis,cn=schema,cn=config"

[root@test1] /etc/openldap/schema$ ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=inetorgperson,cn=schema,cn=config"
6、配置 LDAP 的根域(以 dc=baidu,dc=com 为例)及其管理域:

注意:

用你自己的域名代替dc=***,dc=***语句块。

olcRootPW字段的值是你上面生成的admin密码的密文。两台机器使用各自的密文密码。

[root@test1] ~$ vim chdomain.ldif
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
read by dn.base="cn=admin,dc=baidu,dc=com" read by * none

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=baidu,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=baidu,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}BXTlwAUMwVSgqHr0WlIEud3iu9ddjvQE

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
dn="cn=admin,dc=baidu,dc=com" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=badiu,dc=com" write by * read
导入

[root@test1] ~$ ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"
7、在上述基础上,我们来创建一个叫做 baidu company 的组织

并在其下创建一个 admin 的组织角色(该组织角色内的用户具有管理整个 LDAP 的权限)和 People 和 Group 两个组织单元:

[root@test1] ~$ vim basedomain.ldif
dn: dc=baidu,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: Baidu Company
dc: baidu

dn: cn=admin,dc=baidu,dc=com
objectClass: organizationalRole
cn: admin

dn: ou=People,dc=baidu,dc=com
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=baidu,dc=com
objectClass: organizationalRole
cn: Group

[root@test1] ~$ ldapadd -x -D cn=admin,dc=baidu,dc=com -W -f basedomain.ldif
Enter LDAP Password: #输入上面设置的管理员密码(明文)
adding new entry "dc=baidu,dc=com"

adding new entry "cn=admin,dc=baidu,dc=com"

adding new entry "ou=People,dc=baidu,dc=com"

adding new entry "ou=Group,dc=baidu,dc=com"

通过以上的所有步骤,我们就设置好了一个 LDAP 目录树:其中基准 dc=baidu,dc=com 是该树的根节点,其下有一个管理域 cn=admin,dc=baidu,dc=com 和两个组织单元 ou=People,dc=baidu,dc=com 及 ou=Group,dc=baidu,dc=com。

两台机器上都安装网页端管理工具phpldapadmin

这里把网页端安装好,可以方便我们后面验证命令行端的操作是否成功。

安装步骤在这里 https://blog.csdn.net/fanren224/article/details/80532268

接下来,我们来创建一个叫作tom 的员工并将其分配到 ops组来验证上述配置是否生效。

[root@test1] ~$ vim ldapuser.ldif
dn: uid=tom,ou=People,dc=baidu,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: tom
cn: tom
sn: tom
userPassword: {SSHA}i62EIL9tklQjQJvO8PrxEyGVidSUL8Fq (这个密文密码需要先用slappasswd生成)
uidNumber: 1100
gidNumber: 1100
homeDirectory: /home/tom

dn: cn=ops,ou=Group,dc=baidu,dc=com
objectClass: posixGroup
cn: ops
gidNumber: 1100
memberUid: ops

[root@test1] ~$ ldapadd -x -D cn=admin,dc=baidu,dc=com -W -f ldapuser.ldif
Enter LDAP Password: (这里输入的是管理员密码)
adding new entry "uid=tom,ou=People,dc=baidu,dc=com"

adding new entry "cn=ops,ou=Group,dc=baidu,dc=com"

网页端上查看下是否新建成功


除了在网页端查看条目,我们也可以使用 ldapsearch 命令来查看 LDAP 目录服务中的所有条目信息:

[root@test1] ~$ ldapsearch -x -b "dc=baidu,dc=com" -H ldap://127.0.0.1

在test2上查的话是,把127.0.0.1换成test1的ip地址
[root@test1] ~$ ldapsearch -x -b "dc=baidu,dc=com" -H ldap://127.0.0.1
删除条目

ldapdelete -x -W -D 'cn=admin,dc=baidu,dc=com' "uid=tom,ou=People,dc=baidu,dc=com"
1
在网页端查看下是否已经删除成功。如下。可以看到只删除了用户,用户组还在的。


至此两台ldap主服务器端配置并验证完成。

注意:要先配置好两台ldap主服务器端。

二、配置双主复制功能,在主1和主2上执行下面的步骤

ldap双主复制功能的实现依赖于syncprov模块,这个模块位于/usr/lib64/openldap目录下

[root@test1] ~/ldif$ vim mod_syncprov.ldif
# create new
dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: syncprov.la

[root@test1 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f mod_syncprov.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=module,cn=config"
[root@test1] ~/ldif$ vim syncprov.ldif
# create new
dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpSessionLog: 100

[root@test1 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "olcOverlay=syncprov,olcDatabase={2}hdb,cn=config"
在主1和主2上执行下面的步骤,只需要替换olcServerID和provider的值

注意:在主1服务器上配置:olcServerID:1,provider:配置主2的地址

           在主2服务器上配置:olcServerID:2,provider:配置主1的地址

[root@test1] ~/ldif$ vim master01.ldif
# create new
dn: cn=config
changetype: modify
replace: olcServerID
# specify uniq ID number on each server
olcServerID: 1

#唯一值,主2上替换为2

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcSyncRepl
olcSyncRepl: rid=001
provider=ldap://192.168.255.125:389/
bindmethod=simple
binddn="cn=admin,dc=baidu,dc=com"
credentials=123456
searchbase="dc=baidu,dc=com"
scope=sub
schemachecking=on
type=refreshAndPersist
retry="30 5 300 3"
interval=00:00:05:00
-
add: olcMirrorMode
olcMirrorMode: TRUE

dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
导入配置

[root@test1 ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f master01.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

adding new entry "olcOverlay=syncprov,olcDatabase={2}hdb,cn=config"
至此双主配置完成。

在配置完成之后,我们必须要做的一件事,就是测试一下是否配置成功。

三、测试验证

你可以在机器上通过命令来测试,也可以通过在网页端来测试。

命令验证方式

在主1上进行测试

1) 在test1机器上添加一个test用户,然后分别在两个节点上进行查询操作,test.ldif参考上文。

[root@test1 ~]# ldapadd -x -D "cn=admin,dc=baidu,dc=com" -W -f test.ldif

adding new entry "uid=test,ou=People,dc=baidu,dc=com"
在test1上查看是否添加成功

指定主1的ip
[root@test1] ~$ ldapsearch -x -b "dc=baidu,dc=com" -H ldap://192.168.255.124|grep uid=test
dn: uid=test,ou=People,dc=baidu,dc=com

指定主2的ip
[root@test1] ~$ ldapsearch -x -b "dc=baidu,dc=com" -H ldap://192.168.255.125|grep uid=test
dn: uid=test,ou=People,dc=baiduu,dc=com
2)在test1上执行命令删除test用户,然后分别在两个节点上进行查询操作

[root@test1 ~]# ldapdelete -x -D "cn=admin,dc=baidu,dc=com" -W "uid=test,ou=People,dc=baidu,dc=com"
查询

[root@test1 ~]# ldapsearch -x -b "dc=baidu,dc=com" -H ldap://192.168.255.124|grep uid=test

[root@test1 ~]# ldapsearch -x -b "dc=baidu,dc=com" -H ldap://192.168.255.125|grep uid=test
网页端验证方式

在http://192.168.255.124/ldapadmin 添加用户,在http://192.168.255.125/ldapadmin上刷新一下,看能不能显示出来。

至此双主模式部署并验证完成

参考文章:

https://www.server-world.info/en/note?os=CentOS_7&p=openldap&f=1
https://arthurdejong.org/nss-pam-ldapd/

其他补充:

如何配置ldap客户端绑定两台ldap主服务器?

authconfig --ldapserver=192.168.255.124,192.168.255.125 --update
这是啥意思?为啥要绑定两台主服务器?打个比方

不绑定的话,你执行下面的命令,只对本机上的ldap服务器操作。 绑定了之后,就相当于一次性对两台服务器都操作。

ldapmodify -Y EXTERNAL -H ldapi:/// -f mod_ssl.ldif

标签:cn,dc,centos7,etc,openldap,ldif,com,双主
来源: https://www.cnblogs.com/js1314/p/13284531.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有