Configuration étape par étape du serveur OpenLDAP sur CentOS 7 / RHEL 7 – Bien choisir son serveur d impression
OpenLDAP est une implémentation open source du Lightweight Directory Access Protocol développé par le projet OpenLDAP. LDAP est un protocole Internet que la messagerie électronique et d'autres programmes utilisent pour rechercher les informations de contact d'un serveur. Il est publié sous licence publique OpenLDAP; il est disponible pour toutes les principales distributions Linux, AIX, Android, HP-UX, OS X, Solaris, Windows et z / OS.
Il fonctionne comme une base de données relationnelle à certains égards et peut être utilisé pour stocker n'importe quelle information. LDAP n'est pas limité au stockage des informations; il est également utilisé comme base de données principale pour la «connexion unique» où un mot de passe pour un utilisateur est partagé entre de nombreux services.
Dans ce didacticiel, nous allons configurer OpenLDAP pour une connexion centralisée où les utilisateurs utilisent le compte unique pour se connecter à plusieurs serveurs.
Cet article ne couvre que la configuration OpenLDAP sans SSL. Si vous souhaitez configurer OpenLDAP avec SSL, suivez le lien ci-dessous après avoir terminé ce post.
LIS: Comment configurer OpenLDAP avec SSL sur CentOS 7 / RHEL 7
Sommaire
Environnement
| Nom d'hôte | Adresse IP | OS | Objectif |
|---|---|---|---|
| server.itzgeek.local | 192.168.1.10 | CentOS 7 | Serveur LDAP |
| client.itzgeek.local | 192.168.1.20 | CentOS 7 | Client LDAP |
Conditions préalables
1. Assurez-vous que les deux serveurs LDAP «Server.itzgeek.local» (192.168.1.10) et client LDAP «Client.itzgeek.local» (192.168.1.20) sont accessibles.
2. Créez une entrée d'hôte sur chaque machine / etc / hosts pour la résolution de noms.
192.168.1.10 server.itzgeek.local server 192.168.1.20 client.itzgeek.local client
OU
Si vous prévoyez d'utiliser un nom d'hôte au lieu d'une adresse IP, configurez le serveur DNS à l'aide de l'article sur Comment configurer le serveur DNS sur CentOS 7 / RHEL 7.
Ici, j'utiliserai l'adresse IP pour toute la configuration.
Installer des packages OpenLDAP
Installez les packages RPM LDAP suivants sur le serveur LDAP (server.itzgeek.local).
yum -y installer openldap compat-openldap clients-openldap serveurs-openldap serveurs-openldap-sql openldap-devel
Démarrez le service LDAP et activez-le pour le démarrage automatique du service au démarrage du système.
systemctl start slapd systemctl enable slapd
Vérifiez le LDAP.
netstat -antup | grep -i 389
Sortie:
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 1520 / slapd tcp6 0 0 ::: 389 ::: * ÉCOUTER 1520 / slapd
LIS: Commande netstat introuvable sur CentOS 7 / RHEL 7 – Correction rapide
Configurer le mot de passe administrateur LDAP
Exécutez la commande ci-dessous pour créer un mot de passe racine LDAP. Nous utiliserons ce mot de passe administrateur (racine) LDAP tout au long de cet article.
Remplacez ldppassword par votre mot de passe.
slappasswd -h SSHA -s ldppassword
La commande ci-dessus générera un hachage chiffré du mot de passe entré que vous devez utiliser dans le fichier de configuration LDAP. Alors notez-le et gardez-le de côté.
Sortie:
SSHA d / thexcQUuSfe3rx3gRaEhHpNJ52N8D3
Configurer le serveur OpenLDAP
Les fichiers de configuration des serveurs OpenLDAP se trouvent dans /etc/openldap/slapd.d/. Pour commencer avec la configuration de LDAP, il faudrait mettre à jour les variables "olcSuffix" et "olcRootDN".
olcSuffix – Suffixe de la base de données, c'est le nom de domaine pour lequel le serveur LDAP fournit les informations. En termes simples, il doit être modifié pour votre domaine
prénom.
olcRootDN – Entrée Root Distinguished Name (DN) pour l'utilisateur qui a l'accès illimité pour effectuer toutes les activités d'administration sur LDAP, comme un utilisateur root.
olcRootPW – Mot de passe administrateur LDAP pour le RootDN ci-dessus.
Les entrées ci-dessus doivent être mises à jour dans /etc/openldap/slapd.d/cn=config/olcDatabase=2hdb.ldif fichier. L'édition manuelle de la configuration LDAP n'est pas recommandée car vous perdrez les modifications chaque fois que vous exécuterez la commande ldapmodify.
Veuillez créer un .ldif fichier.
vi db.ldif
Ajoutez les entrées ci-dessous.
Remplacez le mot de passe crypté (SSHA d / thexcQUuSfe3rx3gRaEhHpNJ52N8D3) avec le mot de passe que vous avez généré à l'étape précédente.
dn: olcDatabase = 2 hdb, cn = config
changetype: modifier
remplacer: olcSuffix
olcSuffix: dc = itzgeek, dc = local
dn: olcDatabase = 2 hdb, cn = config
changetype: modifier
remplacer: olcRootDN
olcRootDN: cn = ldapadm, dc = itzgeek, dc = local
dn: olcDatabase = 2 hdb, cn = config
changetype: modifier
remplacer: olcRootPW
olcRootPW: SSHA d / thexcQUuSfe3rx3gRaEhHpNJ52N8D3
Une fois que vous avez terminé avec le fichier ldif, envoyez la configuration au serveur LDAP.
ldapmodify -Y EXTERNAL -H ldapi: /// -f db.ldif
Apportez des modifications à /etc/openldap/slapd.d/cn=config/olcDatabase=1monitor.ldif (Ne pas modifier manuellement) pour restreindre l'accès au moniteur uniquement à la racine LDAP (ldapadm) utilisateur pas à d'autres.
vi monitor.ldif
Utilisez les informations ci-dessous.
dn: olcDatabase = 1 moniteur, cn = config changetype: modifier remplacer: olcAccess olcAccess: 0 à * par dn.base = "gidNumber = 0 + uidNumber = 0, cn = peercred, cn = external, cn = auth" lu par dn.base = "cn = ldapadm, dc = itzgeek, dc = local "lu par * aucun
Une fois le fichier mis à jour, envoyez la configuration au serveur LDAP.
ldapmodify -Y EXTERNAL -H ldapi: /// -f monitor.ldif
Configurer la base de données LDAP
Copiez l'exemple de fichier de configuration de la base de données dans / var / lib / ldap et mettre à jour les autorisations de fichier.
cp /usr/share/openldap-servers/DB_CONFIG.example / var / lib / ldap / DB_CONFIG chown ldap: ldap / var / lib / ldap / *
Ajouter le cosinus et nis Schémas LDAP.
ldapadd -Y EXTERNAL -H ldapi: /// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi: /// -f /etc/openldap/schema/nis.ldif ldapadd -Y EXTERNAL -H ldapi: /// -f /etc/openldap/schema/inetorgperson.ldif
produire base.ldif fichier pour votre domaine.
vi base.ldif
Utilisez les informations ci-dessous. Vous pouvez le modifier selon vos besoins.
dn: dc = itzgeek, dc = local dc: itzgeek objectClass: top objectClass: domaine dn: cn = ldapadm, dc = itzgeek, dc = local objectClass: organizationRole cn: ldapadm description: Gestionnaire LDAP dn: ou = People, dc = itzgeek, dc = local objectClass: organizationUnit ou: People dn: ou = groupe, dc = itzgeek, dc = local objectClass: organizationUnit ou: Groupe
Créez la structure de répertoires.
ldapadd -x -W -D "cn = ldapadm, dc = itzgeek, dc = local" -f base.ldif
La commande ldapadd vous demandera le mot de passe de ldapadm (utilisateur racine LDAP).
Sortie:
Entrez le mot de passe LDAP: ajout d'une nouvelle entrée "dc = itzgeek, dc = local" ajout d'une nouvelle entrée "cn = ldapadm, dc = itzgeek, dc = local" ajout d'une nouvelle entrée "ou = People, dc = itzgeek, dc = local" ajout d'une nouvelle entrée "ou = Group, dc = itzgeek, dc = local"
Commentaires
Laisser un commentaire