OpenLdap 搭建(Master Slave)、分组、热备及管理
2012-07-14 02:47:03 来源:我爱运维网 评论:0 点击:
replogfile /var/lib/ldap/replog
replica uri=ldaps://5iops.5iops.com
binddn="cn=Manager,dc=5iops,dc=com"
bindmethod=simple
credentials=testxhy
loglevel 256
/etc/openldap/ldap.conf配置信息
uri ldap://5iops.localhost
base dc=5iops,dc=com
tls_cacertdir /etc/openldap/cacerts
tls_cacert /etc/openldap/cacerts/cacert.pem
/etc/ldap.conf 配置信息
base dc=5iops,dc=com
timelimit 5
bind_timelimit 2
nss_initgroups_ignoreusers
root,ldap,named,avahi,haldaemon,dbus,radvd,tomcat,radiusd,news,mailman,nscd,gdm,pplive,mysql
uri ldaps://127.0.0.1 #这里一定要填127.0.0.1如果填入的是主机名的话导入数据会失败
LDAPClient端配置
(1)/etc/ldap.conf文件配置更改
去“#”并添加以下四行
ssl on (启用ssl使用636端口)
tls_checkpeer yes 检查对等体
tls_cacertfile /etc/openldap/cacerts/cacert.pem 根CA文件路径
pam_password md5 密码md5认证
(2)/etc/openldap/ldap.conf文件配置更改
URI ldaps://主服务器器完全名 ldaps://辅助服务器完全名(添加S)
BASE dc=boy,dc=com
TLS_CACERT /etc/openldap/cacerts/cacert.pem
TLS_REQCERT demand à 客户端必须要求服务器端证书
生成LDAP主数据文件 vim base.ldif
base.ldif内容如下
dn: dc=5iops,dc=com
dc: pplive
objectClass: top
objectClass: domain
dn: ou=People,dc=5iops,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit
dn: ou=Group,dc=5iops,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit
dn: ou=Host,dc=5iops,dc=com
ou: Host
objectClass: top
objectClass: organizationalUnit
导入主数据文件base.ldif
ldapadd -x -D "cn=Manager,dc=5iops,dc=com" -W -f base.ldif
至此Master相关配置完成、
scp /etc/pki/CA/cacert.pem 172.17.9.7:/etc/openldap/cacerts/ 将根证书传一份至Slave (注:Master和Slave需要使用同一个证书)
Slave配置基本与Master相同
Ldap 分组
方法(1):
Server端
单个组:
pam_filter gidNumber=XXX
多个组:
pam_filte |(gidNumber=XXX)(gidNumber=XXX)
Client端
单个组:
pam_filter gidNumber=XXX
多个组:
pam_filter |(gidNumber=XXX)(gidNumber=XXX)
方法(2): 注:方法不需要对server端进行操作,Server端只需定义好组名即可
vi /etc/pam.d/login
account required pam_access.so
vi /etc/pam.d/sshd
account required pam_access.so
vi /etc/security/access.conf
允许/拒绝(+/-) : 用户/组(空格分开、ALL) : 来源(192.168.1.0/24 172.16.0.0/8、ALL)
+ : root 5iops 5iops_team : all
- : all: all
实时热备:
<1> 主服务器上首先关机,然后配置文件slapd.conf如下:
replogfile /var/lib/ldap/openldap-master-replog
上一篇:善于sar工具来分析系统问题
下一篇:最后一页