你在管理服务器时有没有遇到过这种场景?新员工入职要在二十台机器上挨个创建账号,密码修改一次就得在所有设备重复操作,部门调整权限要逐个服务器修改配置…这时候如果有人告诉你,装个LDAP服务器就能像”遥控器”一样集中管理所有账号,你会不会想马上试试?
别被那些专业术语吓到,其实LDAP就是个专门管账号的”通讯录”。咱们今天就用最直白的方式,手把手教你在CentOS 7/8系统上搞定全套安装配置。放心,整个过程就跟组装乐高积木差不多,关键步骤我都会用红色标记提醒。
第一步:检查系统环境 先确认你的CentOS版本,在终端输入: cat /etc/redhat-release 建议用7.4以上版本,老系统可能会缺少关键依赖包。接着更新系统: yum update -y && reboot 这个更新大概要5-10分钟,正好可以去泡杯咖啡。
第二步:安装核心组件 安装OpenLDAP全家桶: yum install -y openldap openldap-servers openldap-clients 装完别急着下一步,记得启动服务并设置开机自启: systemctl start slapd systemctl enable slapd 这时候你可能会问:slapd是啥?其实就是LDAP的服务进程,理解成账号管家就行。
第三步:初始配置 先设置管理员密码,在终端输入: slappasswd 输入两次密码后会得到加密字符串,长得像”SSHAxxxxxxxx”,千万要复制保存好。接着创建配置文件: nano /etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif 找到这两行修改: olcSuffix: dc=mycompany,dc=com olcRootDN: cn=admin,dc=mycompany,dc=com olcRootPW: 你刚复制的加密字符串 按Ctrl+X保存退出,记得执行: systemctl restart slapd 这时候LDAP已经有了基础骨架,就像新建了个空白通讯录。
第四步:创建组织架构 新建base.ldif文件: nano base.ldif 写入这些内容(注意替换yourpassword): “` dn: dc=mycompany,dc=com objectClass: top objectClass: dcObject objectClass: organization dc: mycompany o: My Company
dn: cn=admin,dc=mycompany,dc=com objectClass: organizationalRole cn: admin 导入配置: ldapadd -x -D “cn=admin,dc=mycompany,dc=com” -W -f base.ldif “` 系统会提示输入管理员密码,这里要输入原始密码,不是加密后的那个。
第五步:添加测试账号 创建user.ldif文件: nano user.ldif 内容示例: dn: uid=zhangsan,ou=People,dc=mycompany,dc=com objectClass: inetOrgPerson uid: zhangsan cn: Zhang San sn: Zhang mail: zhangsan@mycompany.com userPassword: 加密后的密码 导入用户: ldapadd -x -D “cn=admin,dc=mycompany,dc=com” -W -f user.ldif 这时候可以用命令查询是否成功: ldapsearch -x -b “dc=mycompany,dc=com” “(uid=zhangsan)”
常见问题自测区 Q:LDAP和Windows的AD域有啥区别? A:简单说AD是微软全家桶,LDAP是通用标准。就像微信支付和银联的关系,AD基于LDAP但加了很多微软专属功能。
Q:防火墙需要开哪些端口? A:默认389(普通连接)和636(加密连接)。如果用了TLS还要开其他端口,新手建议先关防火墙测试: systemctl stop firewalld
Q:怎么备份LDAP数据? A:定期执行: slapcat -v -l backup.ldif 这个备份文件要保管好,恢复时用slapadd命令。
Q:密码策略怎么设置? A:安装ppolicy模块: yum install openldap-servers-sql 然后修改配置添加密码复杂度规则,不过这个对新手有点复杂,建议先用默认设置。
配置小贴士 1. 生产环境务必配置SSL加密,用自签名证书都行 2. 定期用ldapsearch检查数据完整性 3. 重要操作前先做备份 4. 组权限管理用ou=Group组织单元 5. Web管理界面推荐phpLDAPadmin
看到这里你应该发现,搭建LDAP服务器其实就五步走:装软件→配参数→建架构→加用户→测连接。整个过程最可能出错的地方就是配置文件格式,记得每行开头不能有空格,结尾必须空行。如果遇到”invalid DN”报错,十有八九是dc=后面的域名写错了。
刚开始可能觉得命令行操作麻烦,但熟悉后你会发现,批量管理上千个账号也就是几个脚本的事。下次要是有新同事入职,只需要在LDAP加条记录,所有服务器自动同步,那感觉就像给所有机器装了遥控开关——真香!
免责声明:网所有文字、图片、视频、音频等资料均来自互联网,不代表本站赞同其观点,内容仅提供用户参考,若因此产生任何纠纷,本站概不负责,如有侵权联系本站删除!邮箱:207985384@qq.com https://www.ainiseo.com/hosting/36615.html
