In denne opplæringen skal vi setup LDAP-serveren du bruker 389 Directory Server. Den 389 Directory Server er en enterprise-klassen åpen kildekode LDAP-serveren utviklet av Redhat Fellesskapet
Funksjoner
- Multi-Master Replication, for å gi feiltoleranse og høy skrive performance.- Skalerbarhet:. Tusenvis av operasjoner per sekund , titusenvis av samtidige brukere, titalls millioner oppføringer, hundrevis av gigabyte med data.- Active Directory brukeren og gruppen synchronization.- Sikker godkjenning og transport (SSLv3, TLSv1, og SASL) .- Støtte for LDAPv3.- On linje, null nedetid, LDAP-basert oppdatering av skjema, konfigurasjon, administrasjon og i treet Access Control Information (acis) .- Grafisk konsoll for alle fasetter av bruker, gruppe, og server management.
For detaljert . forklaring av sentrale funksjoner henvises her
Forutsetninger
- LDAP-serveren skal inneholde gyldig FQDN. Legg LDAP-serverinformasjon til DNS server.- Juster brannmuren slik at ldap ports.- Aktiver Epel og REMI repositories for å unngå eventuelle avhengig problemer.
Følg lenkene nedenfor for å legge Epel og REMI Repository.
- Installer Epel Repository på CentOS /RHEL /Scientific Linx 6.x Anmeldelser -. Installer REMI Repository på CentOS /RHEL /Scientific Linux 6.x
I denne how-to mine LDAP server detaljer er gitt nedenfor
Operativsystem: CentOS 6.5 serverHost navn: server.unixmen.localIP Adresse: 192.168.1.101/24.Set~~V din server fullt kvalifisert domenenavn i /etc /hosts
Rediger filen /etc /hosts /<. br> # vi /etc /hostsAdd din vertsnavn som vist nedenfor.
[...] 192.168.1.101 server.unixmen.local serverChange verdiene som per kravet. Denne opplæringen vil gjelder for alle RHEL /CentOS /SL 6.x serien.
Brannmurkonfigurasjon
Legg til følgende LDAP-porter til iptables. For å gjøre det, redigere filen "i /etc /sysconfig /iptables",
# vi /etc /sysconfig /iptablesAdd følgende linjer
[...] -. En INPUT -m state --state NEW -m tcp -p tcp --dport 389 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 636 -j ACCEPT-A INPUT -m state --state NEW -m tcp -p tcp --dport 9830 -J ACCEPT [...] Restart brannmur.
# tjeneste iptables restartPerformance og sikkerhet tuning for LDAP-serveren
Før du installerer LDAP-serveren, må vi justere noen filer for ytelse og sikkerhet.
Endre fil "/etc/sysctl.conf",
# vi /etc/sysctl.confAdd følgende linjer på slutten.
[.. .] net.ipv4.tcp_keepalive_time = 300net.ipv4.ip_local_port_range = 1 024 65000fs.file-max = 64000Edit filen "/etc/security/limits.conf", etter# vi /etc/security/limits.confAdd følgende linjer nederst.
[...] * myk nofile 8192 * vanskelig nofile 8192Edit file "/etc /profile", etter# vi /etc /profileAdd linjen på enden.
[...] ulimit -n 8192Edit file "/etc/pam.d/login", etter# vi /etc/pam.d/loginAdd linjen på slutten .
[...] session nødvendig /lib/security/pam_limits.soNow Start serveren.
Installer 389 Directory Server
Lag en LDAP brukerkonto.
# useradd ldapadmin # passwd ldapadminNow installere 389 katalogtjeneren ved hjelp av kommandoen:
# yum install -y 389-ds OpenLDAP-clientsConfigure LDAP-serveren
Nå er det tid for å konfigurere LDAP-serveren. Det er ganske lang vei prosess. Kjør følgende kommando for å konfigurere 389 katalogserver.
# setup-ds-admin.plDu vil bli bedt om et par spørsmål. Vennligst les bruksanvisningen nøye og svare på dem deretter.
Hvis du har gjort noen feil, og ønsker å gå tilbake til forrige skjermbilde trykker CTRL + B og Enter. For å avbryte oppsettet trykk CTRL + C.
=================================== =========================================== Dette programmet vil sette opp 389 katalog og Administrasjon Servers.It anbefales at du har "root" privilegium å sette opp software.Tips for å bruke dette programmet: - Trykk "Enter" for å velge standard og gå til neste skjermbilde - Type "Control-B" og deretter "Enter" for å gå tilbake til forrige skjerm - Type "Ctrl-C" for å avbryte oppsettet programWould du fortsette med å sette opp? [ja]: ## Trykk Enter ## ======================================== ====================================== Systemet har blitt skannet for potensielle problemer, manglende patcher, etc. Følgende resultat er en rapport av elementene fant at behovet tobe adressert før du kjører denne programvaren i et productionenvironment.389 Directory Server system tuning analyse versjon 23-februar-2012.NOTICE: System er i686-ukjent-linux2.6.32-431.el6 .i686 (en prosessor) .WARNING: 622MB fysisk minne er tilgjengelig på systemet. 1024MB anbefales for best mulig ytelse på stor produksjon system.WARNING: De advarsler ovenfor bør gjennomgås før proceeding.Would du fortsette? [no]: ja ## Type Ja og trykk på Enter ## ==================================== ========================================== Velg et oppsett type: 1. Express lar deg raskt sette opp servere som bruker de vanligste alternativene og forhåndsdefinerte standardverdier. Nyttig for rask evaluering av produktene. 2. Typisk Lar deg spesifisere vanlige mislighold og alternativer. 3. Tilpasset Du kan angi mer avanserte alternativer. Dette anbefales for erfarne serveradministratorer only.To godta standard i parentes, trykk Enter key.Choose en setup type [2]: ## Trykk Enter ## ============== ================================================== ============== Oppgi fullt kvalifiserte domenenavnet for datamaskin på hvilken du konfigurerer serverprogramvaren. Ved hjelp av skjemaet < hostname > < domenenavn > Eksempel:. Eros.example.com.To godta standard i parentes, trykk på Enter key.Warning: Dette trinnet kan ta noen minutter hvis DNS ikke serverscan nås eller hvis DNS er ikke riktig konfigurert. Ifyou vil heller ikke vente, trykke Ctrl-C og kjør dette programmet againwith følgende kommandolinje mulighet til å angi vertsnavn: General.FullMachineName = your.hostname.domain.nameComputer navn [server.unixmen.local]: ## Trykk Enter # # ================================================= ============================= han servere må kjøres som en bestemt bruker i en bestemt group.It anbefales sterkt at denne brukeren skal har ingen privilegeson datamaskinen (dvs. en ikke-root bruker). Oppsettet procedurewill gi denne brukeren /gruppen noen tillatelser i bestemte baner /filesto utføre server spesifikke operations.If du ennå ikke har opprettet en bruker og gruppe for servere, skaper denne brukeren og gruppen bruker mors operatingsystem utilities.System User [ingen ]: ldapadmin ## Angi LDAP brukernavn opprettet ovenfor #SYSTEM Group [ingen]: ldapadmin =============================== =============================================== Server informasjon er lagres i konfigurasjonskatalogen server.This informasjonen blir brukt av konsollen og administrasjonstjeneren toconfigure og administrere servere. Hvis du allerede har satt opp aconfiguration katalogserver, bør du registrere noen servere youset opp eller lage med serverkonfigurasjonen. For å gjøre dette, er thefollowing informasjon om serverkonfigurasjonen som kreves. Thefully kvalifiserte vertsnavnet på formen < hostname > < domenenavn > (f.eks hostname.example.com), portnummeret (standard 389), suffikset, DN og passord til en bruker havingpermission å skrive konfigurasjonsinformasjonen, vanligvis theconfiguration katalogen administrator, og hvis du bruker sikkerhet (TLS /SSL). Hvis du bruker TLS /SSL, angi TLS /SSL (LDAPS) portnummer (standard 636) i stedet for den vanlige LDAP portnummer, andprovide CA-sertifikatet (i PEM /ASCII format) .Hvis du ennå ikke har en konfigurasjon katalog server, skriv "Nei" tobe bedt om å sette opp one.Do du vil registrere denne programvaren med en existingconfiguration katalogserver? [no]: ## Trykk Enter ## ======================================== ====================================== Vennligst skriv inn administrator-ID for konfigurasjonen directoryserver. Dette er ID vanligvis brukes til å logge på konsollen. Youwill også bli spurt om password.Configuration katalogen serveradministrator ID [admin]: ## Trykk Enter ## Passord: ## opprette passord ## Password (bekreft): ## re-type passord ## ======= ================================================== ===================== Informasjonen som er lagret i konfigurasjonskatalogtjeneren kan beseparated i ulike Administrasjon domener. Hvis du er managingmultiple programvareversjoner samtidig, eller administrerende information flere domener, kan du bruke Administration Domain å keepthem separate.If du ikke bruker administrative domener, trykk Enter for å velge thedefault. Ellers skriv noen beskrivende, unikt navn for Forvaltningen domene, for eksempel navnet på organizationresponsible for forvaltning av domain.Administration Domain [unixmen.local]: ## Trykk Enter ## ============ ================================================== ================ Standarden katalogtjeneren nettverksport nummer er 389. Men ifyou er ikke logget som superbruker, eller port 389 er i bruk, vil thedefault verdien være en tilfeldig ubrukt portnummer større enn 1024.If du ønsker å bruke port 389, sørg for at du er logget inn som thesuperuser, er at port 389 ikke er i use.Directory server nettverksport [389]: ## Trykk Enter ## ==== ================================================== ======================== Hver forekomst av en katalogserver krever en unik identifier.This identifikator brukes til å navngi variousinstance bestemte filer og kataloger i filen system, så vel som for andre bruksområder som en tjenerforekomst identifier.Directory server identifikator [server]: ## Trykk Enter ## ======================= ================================================== ===== Suffikset er roten av katalogtreet. Suffikset må være en gyldig DN.It anbefales at du bruker dc = domaincomponent suffiks convention.For eksempel, hvis ditt domene er example.com, bør du bruke dc = eksempel, dc = com for din suffix.Setup vil skape denne innledende suffiks for deg, men du kan ha mer enn én suffix.Use katalogtjeneren verktøy for å skape ekstra suffixes.Suffix [dc = unixmen, dc = lokal]: ## Trykk Enter ## ========= ================================================== ================== bestemt katalog serverdrift krever en administrativ user.This brukeren er referert til som den Directory Manager og vanligvis har abind Distinguished Name (DN) av cn = Directory Manager .Du vil også bli bedt om å oppgi passordet for denne brukeren. Passordet mustbe minst 8 tegn, og inneholder ingen spaces.Press Kontroll-B eller skriver ordet "tilbake", deretter Enter for å sikkerhetskopiere og begynne over.Directory sjef DN [cn = Directory Manager]: ## Trykk Enter # #Password: ## Angi passord ## Password (bekreft): =================================== =========================================== Administrasjonstjeneren er atskilt fra alle på web eller applicationservers siden det lytter til en annen port og tilgang til det isrestricted.Pick et portnummer mellom 1024 og 65535 for å kjøre AdministrationServer på. Du bør ikke bruke et portnummer som du har tenkt Torun en web eller applikasjonstjener på, heller, velge et nummer som youwill huske, og som ikke vil bli brukt til noe else.Administration port [9830]: ## Trykk Enter ## == ================================================== ========================== Den interaktive fasen er fullført. Skriptet vil nå sette opp yourservers. Tast Ingen eller gå tilbake hvis du ønsker å endre something.Are du klar til å sette opp serverne? [ja]: ## Trykk Enter ## Opprette katalogtjeneren. . .Your Ny DS eksempel "server" ble vellykket created.Creating konfigurasjonen katalogserveren. . .Beginning Admin Server skapelse. . .Creating Admin Server filer og kataloger. . .Updating Adm.conf. . .Updating Admpw. . .Registering Admin server med konfigurasjonen katalogserver. . .Updating Adm.conf med informasjon fra konfigurasjonskatalogserver. . .Updating Konfigurasjonen for httpd motoren. . .Starting Admin server. . .output: Starter dirsrv-admin: utgang: [OK] Den admin-serveren ble vellykket started.Admin serveren er opprettet, konfigureres og started.Exiting. . .log Filen er "/tmp/setupo1AlDy.log'Make LDAP-serveren daemon skal starte automatisk ved hver omstart.
# chkconfig dirsrv på # chkconfig dirsrv-admin onTest LDAP Server
Nå la oss teste vår LDAP-server nå for eventuelle feil ved hjelp av følgende kommando
# ldapsearch -x -b "dc = unixmen, dc = local" Sample utgang.
# utvidet LDIF ## LDAPv3 # bunn < dc = unixmen, dc = lokale > med omfanget treet # filter: (object = *) # ber: ALL ## unixmen.localdn: dc = unixmen, dc = localobjectClass: topobjectClass: domaindc: unixmen # Directory Administratorer, unixmen.localdn: cn = Directory Administratorer, dc = unixmen , dc = localobjectClass: topobjectClass: groupofuniquenamescn: Directory AdministratorsuniqueMember: cn = Directory manager # grupper, unixmen.localdn: ou = grupper, dc = unixmen, dc = localobjectClass: topobjectClass: organizationalunitou: Grupper # People, unixmen.localdn: ou = People , dc = unixmen, dc = localobjectClass: topobjectClass: organizationalunitou: Folk # Spesielle Brukere, unixmen.localdn: ou = Spesialpedagogikk Brukere, dc = unixmen, dc = localobjectClass: topobjectClass: organizationalUnitou: Spesial Usersdescription: Spesielle administrative kontoer # Regnskaps Agenturer, grupper , unixmen.localdn: cn = Regnskaps Ledere, ou = grupper, dc = unixmen, dc = localobjectClass: topobjectClass: groupOfUniqueNamescn: Regnskap Managersou: groupsdescription: Folk som kan håndtere regnskap entriesuniqueMember: cn = Directory manager # HR-ledere, grupper, unixmen. localdn: cn = HR-ansvarlige, ou = grupper, dc = unixmen, dc = localobjectClass: topobjectClass: groupOfUniqueNamescn: HR Managersou: groupsdescription: Folk som kan håndtere HR entriesuniqueMember: cn = Directory manager # QA Managers, grupper, unixmen.localdn: cn = QA Agenturer, ou = grupper, dc = unixmen, dc = localobjectClass: topobjectClass: groupOfUniqueNamescn: QA Managersou: groupsdescription: Personer som kan styre QA entriesuniqueMember: cn = Directory Manager # PD Agenturer, Grupper, unixmen.localdn: CN = PD Managers , ou = grupper, dc = unixmen, dc = localobjectClass: topobjectClass: groupOfUniqueNamescn: PD Managersou: groupsdescription: Folk som kan styre ingeniør entriesuniqueMember: cn = Directory Manager # Søkeresultat: 2result: 0 Suksess # numResponses: 10 # numEntries: 9the utgang vil se ut omtrent som ovenfor. Hvis du har fått resultatet som to som vises i produksjonen, er du ferdig. Nå er vår LDAP-serveren er klar til bruk.
Administrer 389 ds med Admin Server Console
Vær oppmerksom på at hvis du ønsker å administrere 389 ds server grafisk, bør serveren har installert med et GUI miljø. Hvis du gjorde en minimal installasjon, får du ikke tilgang admin serverkonsollen.
Som jeg har minimal server, jeg kommer til å installere XFCE desktop på serveren min.
# Yum groupinstall XfceReboot serveren din. Anmeldelser # rebootLog på serveren.
Nå kan du få tilgang til 389 ds admin konsoll enten lokalt eller eksternt.
å få tilgang 389 ds admin konsoll lokalt, type 389-konsollen.
å få tilgang 389-ds admin konsollen fra fjern system, skriver du inn følgende kommando i Terminal.
$ ssh -X [email protected] /usr /bin /389-konsoll -a http://192.168.1.101:9830Now vil du bli bedt om å angi LDAP-serveren administrative innloggingsopplysninger. I mitt tilfelle LDAP admin navn er admin og passord er CentOS.
Dette er hvordan min admin serverkonsollen ser ut.
Herfra kan du opprette, slette eller redigere LDAP organisatoriske enheter, grupper og brukere grafisk.
389-ds admin serverkonsollen har to grupper.
- Administration Server Anmeldelser - Directory Server
Du kan bruke en av serveren
1.. Administration Server
For å få tilgang Administration Server-grensesnittet, klikk på LDAP-domenenavn for å utvide. Gå til Server Group - Administrasjon Server og klikk Åpne på høyre side. Henvis følgende skjermbilde
kategorien Konfigurasjon.
I kategorien Konfigurasjon, endrer du /redigere din Admin server ip-adresse, standard port, LDAP admin passord, standard brukerkatalog. Du kan også definere hvilke vertsnavnene for å tillate og hvilke IP-adresser for å tillate å få tilgang til LDAP-serveren
Oppgaver Tab.
I Oppgaver-delen, kan du Stopp /Restart /Konfigurer serveren2. Katalogserver
For å få tilgang Directory Server-grensesnittet, klikk på LDAP-domenenavn for å utvide. Gå til Server Group - Directory Server og klikk Åpne på høyre side. Henvis følgende skjermbilde.
I Directory Server-delen, kan du gjøre alle nødvendige konfigurasjonen for LDAP-serveren. Du kan endre /endre standard port, opprette brukere, grupper, organisasjonsenheter osv
Det finnes mange alternativer tilgjengelige i Directory Server-delen. Gå grundig hver seksjon og konfigurere som per kravet
Lag Organisasjon enheter, grupper og brukere
Lag organisatorisk enhet.
Gå til din Directory Server fra hovedkonsollen. I kategorien Katalog, høyreklikk på ditt domenenavn (ex. Unixmen). Velg Ny - > Organization Unit. Henvis følgende skjermbilde.
Skriv inn din OU navn (ex. Support Division) og klikk OK.
Den nye OU (ex. Support Division) vil bli opprettet under Unixmen domene. Anmeldelser Opprett en gruppe:
Nå navigere til Support Division OU og opprette en ny gruppe (ex support_group.)
Tast gruppenavn, og klikk OK
Det nye konsernet vil bli opprettet under.. . Unixmen /Support Division
Opprett Bruker:
Høyreklikk på Support_group, og klikk Ny - > Bruker.
Skriv inn brukerinformasjonen som fornavn, etternavn, brukerid, mail id etc., og klikk OK.
Kontroller organisasjonsenhet, gruppe, bruker med følgende kommando på vår server .
# ldapsearch -x -b "dc = unixmen, dc = local" Sample utgang:
# utvidet LDIF ## LDAPv3 # bunn < dc = unixmen, dc = lokale > med omfanget treet # filter: (object = *) # ber: ALL ## unixmen.localdn: dc = unixmen, dc = localobjectClass: topobjectClass: domaindc: unixmen # Directory Administratorer, unixmen.localdn: cn = Directory Administratorer, dc = unixmen , dc = localobjectClass: topobjectClass: groupofuniquenamescn: Directory AdministratorsuniqueMember: cn = Directory manager # grupper, unixmen.localdn: ou = grupper, dc = unixmen, dc = localobjectClass: topobjectClass: organizationalunitou: Grupper # People, unixmen.localdn: ou = People , dc = unixmen, dc = localobjectClass: topobjectClass: organizationalunitou: Folk # Spesielle Brukere, unixmen.localdn: ou = Spesialpedagogikk Brukere, dc = unixmen, dc = localobjectClass: topobjectClass: organizationalUnitou: Spesial Usersdescription: Spesielle administrative kontoer # Regnskaps Agenturer, grupper , unixmen.localdn: cn = Regnskaps Ledere, ou = grupper, dc = unixmen, dc = localobjectClass: topobjectClass: groupOfUniqueNamescn: Regnskap Managersou: groupsdescription: Folk som kan håndtere regnskap entriesuniqueMember: cn = Directory manager # HR-ledere, grupper, unixmen. localdn: cn = HR-ansvarlige, ou = grupper, dc = unixmen, dc = localobjectClass: topobjectClass: groupOfUniqueNamescn: HR Managersou: groupsdescription: Folk som kan håndtere HR entriesuniqueMember: cn = Directory manager # QA Managers, grupper, unixmen.localdn: cn = QA Agenturer, ou = grupper, dc = unixmen, dc = localobjectClass: topobjectClass: groupOfUniqueNamescn: QA Managersou: groupsdescription: Personer som kan styre QA entriesuniqueMember: cn = Directory Manager # PD Agenturer, Grupper, unixmen.localdn: CN = PD Managers , ou = grupper, dc = unixmen, dc = localobjectClass: topobjectClass: groupOfUniqueNamescn: PD Managersou: groupsdescription: Folk som kan styre ingeniør entriesuniqueMember: cn = Directory Manager # Support Division, unixmen.localdn: ou = Support Division, dc = unixmen, dc = localou: Support DivisionobjectClass: topobjectClass: organizationalunit # support_group, Support Division, unixmen.localdn: cn = support_group, ou = Support Division, dc = unixmen, dc = localobjectClass: topobjectClass: groupofuniquenamescn: support_group # skumar, support_group, Support Division, unixmen.localdn: uid = skumar, cn = support_group, ou = Support Division, dc = unixmen, dc = localmail: [email protected]~~V: skumargivenName: senthilobjectClass: topobjectClass: personobjectClass: organizationalPersonobjectClass: inetorgpersonsn: kumarcn: senthil kumar # Søkeresultat : 2result: 0 Suksess # numResponses: 13 # numEntries: 12As du ser i over produksjonen, som kalles en ny OU Support Division, en ny gruppe kalt support_vision, en ny bruker kalt skumar er opprettet. Jeg har bare dekket anleggsdelen og grunnleggende konfigurasjon. Det er mye å lære om 389 ds. Henvis koblingen nederst for å vite mer om 389 ds.
I min personlige erfaring, er 389-ds mye enklere enn openladp i form av installasjon og konfigurasjon. La oss se hvordan du konfigurerer klientsystemer til å godkjenne bruk av LDAP-server i vår neste artikkel.
Du ønsker kanskje å sette opp LDAP-server i CentOS 7. Sjekk vår artikkel i
installerer og konfigurerer LDAP-server I CentOS syv største nettstedene har en god dag
Source &!; Annonse: http://directory.fedoraproject.org/wiki/Main_Page