openldap服务配置

报错（49）先看域名对不对

# systemctl stop firewalld.service        //关闭防火墙

# vim /etc/selinux/config                //关闭selinux

# yum install -y openldap openldap-clients openldap-servers migrationtools 

——————————————————————————————————————————————————————————————

# slappasswd -s linuxprobe -n > /etc/openldap/passwd    //生成密钥

# cat /etc/openldap/passwd             //查看密钥

# echo "172.30.202.25 instructor.linuxprobe.com" >> /etc/hosts     //地址解析

# openssl req -new -x509 -nodes -out /etc/openldap/certs/cert.pem -keyout /etc/openldap/certs/priv.pem -days 365     //按回车

# cd /etc/openldap/certs/                     

# chown ldap:ldap *            //授权组

# chmod 600 priv.pem             //授权

——————————————————————————————————————————————————————————————

复制配置模板，生成数据库文件，并修改ldap数据库属主组，systemctl启动服务

# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG        //复制模板

# slaptest -u                                                            //生成

# chown ldap:ldap /var/lib/ldap/*                         //修改权限 

# systemctl restart slapd                                    //重启服务

——————————————————————————————————————————————————————————————

添加cosine和nis模块，创建/etc/openldap/changes.ldif文件

[root@linuxprobe ~]# cd /etc/openldap/schema/

[root@linuxprobe schema]# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f cosine.ldif

[root@linuxprobe schema]# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f nis.ldif

# vim /etc/openldap/changes.ldif        //修改密钥

--------------------------------------------------------------

dn: olcDatabase={2}mdb,cn=config

changetype: modify

replace: olcSuffix

olcSuffix: dc=linuxprobe,dc=com

dn: olcDatabase={2}mdb,cn=config

changetype: modify

replace: olcRootDN

olcRootDN: cn=Manager,dc=linuxprobe,dc=com

dn: olcDatabase={2}mdb,cn=config

changetype: modify

replace: olcRootPW

olcRootPW: ## {SSHA}zRmJcbbWvKlkG26nASrbY4mrJggVamDz

dn: cn=config

changetype: modify

replace: olcTLSCertificateFile

olcTLSCertificateFile: /etc/openldap/certs/cert.pem

dn: cn=config

changetype: modify

replace: olcTLSCertificateKeyFile

olcTLSCertificateKeyFile: /etc/openldap/certs/priv.pem

dn: cn=config

changetype: modify

replace: olcLogLevel

olcLogLevel: -1

dn: olcDatabase={1}monitor,cn=config

changetype: modify

replace: olcAccess

olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=linuxprobe,dc=com" read by * none

--------------------------------------------------------------

更新到slapd服务程序

[root@linuxprobe ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/changes.ldif         //更新新的配置文件

## 报错 将hbd/bdb改为mdb

——————————————————————————————————————————————————————————————

创建/etc/openldap/base.ldif文件

[root@linuxprobe ~]# vim /etc/openldap/base.ldif

--------------------------------------------------------------

dn: dc=linuxprobe,dc=com

dc: linuxprobe

objectClass: top

objectClass: domain

dn: ou=People,dc=linuxprobe,dc=com

ou: People

objectClass: top

objectClass: organizationalUnit

dn: ou=Group,dc=linuxprobe,dc=com

ou: Group

objectClass: top

objectClass: organizationalUnit

--------------------------------------------------------------

[root@linuxprobe ~]# ldapadd -x -w linuxprobe -D cn=Manager,dc=linuxprobe,dc=com -f /etc/openldap/base.ldif

## 报错

ldap_add: Protocol error (2)         additional info: no attributes provided

去掉空行

[root@linuxprobe ~]# useradd -d /home/ldap ldapuser                        //添加账户

——————————————————————————————————————————————————————————————

账户迁移等

创建用户

[root@localhost ~]# mkdir /home/guests

[root@localhost ~]# useradd -d /home/guests/ldapuser01 ldapuser01

[root@localhost ~]# passwd ldapuser01

[root@localhost ~]# useradd -d /home/guests/ldapuser02 ldapuser02

[root@localhost ~]# passwd ldapuser02

设置账户迁移（修改第71与74行）

# vim /usr/share/migrationtools/migrate_common.ph

--------------------------------------------------------------

$DEFAULT_MAIL_DOMAIN = "linuxprobe.com";

$DEFAULT_BASE = "dc=linuxprobe,dc=com";

--------------------------------------------------------------

将当前系统中的用户迁移至目录服务

[root@localhost ~]# cd /usr/share/migrationtools

[root@localhost migrationtools]# grep ":10[0-9][0-9]" /etc/passwd > passwd

[root@localhost migrationtools]# ./migrate_passwd.pl passwd users.ldif

[root@localhost migrationtools]#  ldapadd -x -w linuxprobe -D cn=Manager,dc=linuxprobe,dc=com -f users.ldif

adding new entry "uid=ldapuser01,ou=People,dc=linuxprobe,dc=com"

adding new entry "uid=ldapuser02,ou=People,dc=linuxprobe,dc=com"

将当前系统中的用户组迁移至目录服务

[root@localhost migrationtools]# grep ":10[0-9][0-9]" /etc/group > group

[root@localhost migrationtools]# ./migrate_group.pl group groups.ldif

[root@localhost migrationtools]#  ldapadd -x -w linuxprobe -D cn=Manager,dc=linuxprobe,dc=com -f groups.ldif

adding new entry "cn=ldapuser01,ou=Group,dc=linuxprobe,dc=com"

adding new entry "cn=ldapuser02,ou=Group,dc=linuxprobe,dc=com"