1. 概述
本篇博客主要记录如何部署一台LDAP服务器,用于在内网集群节点中,进行全局用户认证。
注:有关LDAP的理论部分,参见博客《LDAP协议详解.md》
本篇博客主要的部署环境为:CentOS6.5_x86_64部署openldap,通过YUM安装相关环境。
2. 服务端部署过程
2.1 软件包说明
软件包 | 软件包说明 |
openldap | 服务端和客户端必须用的库文件 |
openldap-clients | 在LDAP服务端使用,用户增删改查的命令行环境 |
openldap-servers | 用于启动服务和配置,包括单独的LDAP后台守护进程 |
openldap-servers-sql | 支持SQL模块 |
compat-openldap | openldap兼容性库环境 |
2.2 部署过程
虚拟机console,通过执行命令:rpm -qa | grep openldap
,查看是否已经安装openldap的软件包:
openldap-clients-2.4.23-32.el6_4.1.x86_64openldap-2.4.23-32.el6_4.1.x86_64openldap-servers-2.4.23-32.el6_4.1.x86_64
若没有上述软件包,执行命令:yum -y install openldap openldap-clients openldap-servers
。
2.3 配置过程
- 复制配置文件模板,到系统配置目录下
cp -a /usr/share/openldap-servers/sldap.conf.obsolete /etc/openldap/slapd.conf
- 删除旧的动态配置文件
rm -rf /etc/openldap/sladp.d/*
- 复制数据库配置文件模板,到系统配置目录下
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
- 修改数据库配置文件所在目录属主
chown -R ldap.ldap /var/lib/ldap
- 生成加密密钥 虚拟机console执行命令:
slappasswd
提示New password:输入liwanliang 提示Re-enter new password,输入liwanliang 将生成的内容:{SSHA}SdorCU0SF/bBERBdPtkSVdWv94Hc826r,复制保存下来 修改主配置文件,修改内容如下:
有关openldap的配置详解,参见博客《LDAP-openldap配置文件详解.md》database configaccess to * by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage by * nonedatabase monitoraccess to *by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.exact="cn=Manager,dc=liwanliang,dc=com" read by * nonedatabase bdbsuffix "dc=liwanliang,dc=com"checkpoint 1024 15rootdn "cn=Manager,dc=liwanliang,dc=com"rootpw {SSHA}SdorCU0SF/bBERBdPtkSVdWv94Hc826r
修改相关目录属性
虚拟机console执行命令:chown -R ldap.ldap /etc/openldap
;chown -R ldap.ldap /var/lib/ldap
- 删除旧的动态配置文件 虚拟机console执行命令:
rm -rf /etc/openldap/slapd.d/*
- 启动服务并设置开机启动 虚拟机console执行命令:
service slapd start && chkconfilg slpad on
查看是否启动服务:service slapd status
;netstat -tupln|grep slapd
- 动态配置文件 openldap的动态配置文件位于/etc/openldap/slapd.d/下,每次修改了主配置文件/etc/openldap/slapd.conf之后,都需要重新生成动态配置文件,即: 删除动态配置文件:
rm -rf /etc/openldap/slapd.d/*
重新生成动态配置文件:slaptest -f /etc/openldap/slapd.conf -f /etc/openldap/slapd.d
修改动态配置目录属性:chown -R ldap.ldap /etc/openldap/slapd.d/
3. 测试
上述过程已经部署好了openldap并启动了服务,这仅是第一步,openldap有没有工作,还需要进一步验证和测试。
虚拟机console执行命令:ldapsearch -x -LLL
;如果这个命令报错:【No suce object(32)】,则需要修改配置文件/etc/openldap/ldap.conf 修改内容如下: BASE dc=liwanliang,dc=comURI ldap://192.168.80.8TLS_CACERTDIR /etc/openldap/certs
上过过程说明已经基本完成了openldap的部署和测试,可以投入使用
4. 生成LDIF格式文件
往openldap数据库存放数据,有多种方式:1. 手动编辑;2. 用工具生成
手动编辑这里不介绍。工具生成指的是用migrationtools脚本来产生ldif文件4.1 安装migrationtools工具
虚拟机console执行命令:rpm -qa | grep migrationtools
,查看系统是否已经安装migrationtools
yum -y installl migrationtools
,进行工具安装 安装完成之后,进入目录/usr/share/migrationtools
,修改文件migrate_common.ph,将以下两行修改为: 4.2 用migrationtools生成ldif文件
这里是希望用openldap来实现用户认证,因此需要把系统中存在的user和group产生ldif,添加到ldap的数据库中。
虚拟机console执行命令:/usr/share/migrationtools /migrate_base.pl > base.ldif
/usr/share/migrationtools/migrate_passwd.pl /etc/passwd > passwd.ldif
/usr/share/migrationtools/migrate_group.pl /etc/group > group.ldif
4.3 添加ldif到ldap数据库
上面过程,已经将用户认证时需要的文件/etc/passwd和/etc/group生成ldif文件。
改用ldap验证时,就需要将这几个文件添加到ldap数据库中。 虚拟机console执行命令:ldapadd -x -D "cn=Manager,dc=liwanliang,dc=com' -c -W -f base.ldif
ldapadd -x -D "cn=Manager,dc=liwanliang,dc=com" -c -W -f passwd.ldif
ldapadd -x -D "cn=Manager,dc=liwanliang,dc=com" -c -W -f group.ldif
提示输入密码时,输入liwanliang,回车 5. 日志配置
5.1 openldap的日志级别
虚拟机console执行命令:slapd -d ?
,能够看到以下内容:
Any | 开启所有的函数调用 |
Trace | 跟踪Trace函数调用 |
Rackets | 与函数包处理相关的信息 |
Args | 全面的debug信息 |
Conns | 链接数管理的相关信息 |
BER | 记录包发送和接收的信息 |
Filter | 记录过滤处理的过程 |
Config | 记录配置文件的相关信息 |
ACL | 记录访问控制列表的相关信息 |
Stats | 记录链接,操作系统以及统计信息 |
Stats2 | 记录向客户端响应的统计信息 |
Shell | 记录与shell后端通信信息 |
Parse | 记录条目的分析结果信息 |
Sync | 记录数据同步资源消耗信息 |
None | 不记录信息 |
5.2 配置日志功能
- 修改主配置文件/etc/openldap/slapd.conf,最后一行添加:loglever -1
- 虚拟机console执行命令:
mkdir -p /var/log/slapd && chown -R ldap.ldap /var/log/sladp
- 修改系统日志配置文件,使其重定向日志到ldap日志目录,
vim /etc/rsyslog.conf
,最后一行添加以下内容: local4. * /var/log/slapd/slapd.log 利用Logrotate自动切割日志
进入目录/etc/logrotate.d,创建文件ldap,添加以下内容:/var/log/slapd/slapd.log { prerotate /usr/bin/chattr -a /var/log/slapd/slapd.log endscript compress delaycompress notifempty rotate 100 size 10M postroatte /usr/bin/chattr +a /var/log/slapd/slapd.log endsript}
重启日志服务并观察
虚拟机console执行命令:service rsyslogd restart
观察日志文件是否更新:tail -f /var/log/slapd/slapd.log
6. 客户端配置
这里的客户端端不是指ldap命令行客户端,而是需要通过LDAP服务器验证的客户端节点。
本篇博客已经部署了KVM虚拟机node11,在node11上配置采用用户采用LDAP验证。6.1 基础环境准备
关闭sssd进程,并安装nslcd进程
注:有关NSS,NSCD,NSLCD,SSSD服务的区别,参见包括《》
虚拟机console执行命令:rpm -qa | grep nss-pam-ldapd
,查看系统是否已经安装客户端
yum -y install nss-pam-ldapd
进行安装 6.2 配置nslcd客户端
修改nslcd.conf配置文件,vim /etc/nslcd.conf,文末添加内容如下:
uri ldap://192.168.80.8/base dc=liwanliang,dc=comssl notls_cacertdir /etc/openldap/certs
修改pam_ldap.conf配置文件,vim /etc/pam_ldap.conf,文末添加内容如下:
uri ldap://192.168.80.8ssl notls_cacertdir /etc/openldap/certsbind_policy soft
修改系统认证的PAM配置,vim /etc/pam.d/system-auth,修改内容如下:
修改名字服务NSS配置文件,vim /etc/nssiwch.conf,修改部分如下:
passwd: files ldapshadow: files ldapgroup: files ldap
修改系统认证方式配置文件,vim /etc/sysconfig/authconfig,修改部分内容如下:
USESHADOW=yes //启用密码验证USELDAPAUTH=yes //启用openldap验证USELOCAUTHORIZE=yes //启用本地验证USELDAP=yes //启用LDAP认证协议
- 启动nslcd服务进程 虚拟机console执行命令:
service iptables stop && setenforce 0
,即关闭防火墙和selinux 启动服务,并设置开机启动:service nslcd start && chkconfig nslcd on
- 客户端验证 在虚拟机node11上,执行命令:
id liwl01
,如果获取到liwl01的用户信息,则说明配置成功
7. 添加系统用户
在今后的实践过程中,会存在添加系统进程用户的需求,比如部署Nagios时,需要添加nagios和nagioscmd用户;
部署slurm任务调度系统时,需要添加munge和slurmadmim用户等。 这里就需要利用migrationtools来实现往LDAP服务器中添加用户,然后实现全局认证即可。具体过程如下:7.1 添加用户
这里添加用户liwl02
在虚拟机console中执行命令:useradd -u 501 liwl02
给liwl02添加密码:passwd liwl02
,输入密码两次完成密码添加 7.2 产生ldif文件
因为已经生成了base.ldif文件,此次添加用户,不再需要生成base.ldif文件
虚拟机console执行命令:migrate_passwd.pl /etc/passwd > passwd.ldif
,该命令创建passwd.ldif migrate_group.pl /etc/group > group.ldif
,该命令创建group.ldif 编辑passwd.ldif,只保留以下部分内容,其余删除: dn: uid=liwl02,ou=People,dc=liwanliang,dc=comuid: liwl02cn: liwl02objectClass: accountobjectClass: posixAccountobjectClass: topobjectClass: shadowAccountuserPassword: {crypt}$6$VKwyR9xY$GmXIUT9zJqE5/foaPKwgoDPfXS8XnkG1WcqjHoNBmLcMUvbyrOV6BVLXEmc6K140BM9r4fHAL33ZxSzWiZ8c//shadowLastChange: 17699shadowMin: 0shadowMax: 99999shadowWarning: 7loginShell: /bin/bashuidNumber: 501gidNumber: 501
编辑group.ldif,只保留以下部分,其余删除:
dn: cn=liwl02,ou=Group,dc=liwanliang,dc=comobjectClass: posixGroupobjectClass: topcn: liwl02userPassword: {crypt}xgidNumber: 501
7.3 添加ldif文件至LDAP数据库中
虚拟机console执行命令, 添加两个文件中新加的内容:
ldapadd -x -D "cn=Manager,dc=liwanliang,dc=com" -c -W -f passwd.ldif
ldapadd -x -D "cn=Manager,dc=liwanliang,dc=com" -c -W -f group.ldif
输入密码liwanliang即可添加进入 7.4 验证
在虚拟机node11上,通过执行命令id liwl02
验证是否添加成功