OpenLdap 搭建(Master Slave)、分组、热备及管理
2012-07-14 02:47:03   来源：我爱运维网   评论：0 点击：

replogfile      /var/lib/ldap/replog

replica uri=ldaps://5iops.5iops.com
        binddn="cn=Manager,dc=5iops,dc=com"
        bindmethod=simple
        credentials=testxhy
loglevel 256

/etc/openldap/ldap.conf配置信息
uri ldap://5iops.localhost
base dc=5iops,dc=com
tls_cacertdir /etc/openldap/cacerts
tls_cacert /etc/openldap/cacerts/cacert.pem
/etc/ldap.conf 配置信息
base dc=5iops,dc=com
timelimit 5
bind_timelimit 2
nss_initgroups_ignoreusers
root,ldap,named,avahi,haldaemon,dbus,radvd,tomcat,radiusd,news,mailman,nscd,gdm,pplive,mysql
uri ldaps://127.0.0.1  #这里一定要填127.0.0.1如果填入的是主机名的话导入数据会失败

LDAPClient端配置

(1)/etc/ldap.conf文件配置更改
去“#”并添加以下四行
ssl on     （启用ssl使用636端口）
tls_checkpeer yes   检查对等体
tls_cacertfile /etc/openldap/cacerts/cacert.pem   根CA文件路径
pam_password md5   密码md5认证
(2)/etc/openldap/ldap.conf文件配置更改
URI ldaps://主服务器器完全名  ldaps://辅助服务器完全名（添加S）
BASE dc=boy,dc=com
TLS_CACERT /etc/openldap/cacerts/cacert.pem
TLS_REQCERT demand à 客户端必须要求服务器端证书

生成LDAP主数据文件 vim base.ldif
base.ldif内容如下
dn: dc=5iops,dc=com
dc: pplive
objectClass: top
objectClass: domain

dn: ou=People,dc=5iops,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit

dn: ou=Group,dc=5iops,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit

dn: ou=Host,dc=5iops,dc=com
ou: Host
objectClass: top
objectClass: organizationalUnit
导入主数据文件base.ldif
ldapadd -x -D "cn=Manager,dc=5iops,dc=com" -W -f base.ldif
至此Master相关配置完成、

scp /etc/pki/CA/cacert.pem 172.17.9.7:/etc/openldap/cacerts/ 将根证书传一份至Slave (注:Master和Slave需要使用同一个证书)
Slave配置基本与Master相同

Ldap 分组
方法(1):

Server端
单个组：
pam_filter gidNumber=XXX

多个组：
pam_filte |(gidNumber=XXX)(gidNumber=XXX)

Client端
单个组：
pam_filter gidNumber=XXX

多个组：
pam_filter |(gidNumber=XXX)(gidNumber=XXX)

方法(2): 注：方法不需要对server端进行操作，Server端只需定义好组名即可

vi /etc/pam.d/login
account    required     pam_access.so
vi /etc/pam.d/sshd
account    required     pam_access.so
vi /etc/security/access.conf

允许/拒绝(+/-) : 用户/组(空格分开、ALL) : 来源(192.168.1.0/24 172.16.0.0/8、ALL)
+ : root 5iops 5iops_team : all
- : all: all

实时热备:

<1> 主服务器上首先关机，然后配置文件slapd.conf如下：
replogfile /var/lib/ldap/openldap-master-replog