Centos7.9安装openldap

在这里插入图片描述

文章目录

  • 一、背景
  • 二、正文
    • 2.1 openldap服务端必要软件安装
      • 2.1.1使用yum命令安装
      • 2.1.2安装libdb相关依赖
      • 2.1.3复制一个默认配置到指定目录下,并授权,这一步一定要做,然后再启动服务,不然生成密码时会报错
      • 2.1.4授权给ldap用户,此用户yum安装时便会自动创建
      • 2.1.5启动ldap server服务,先启动服务,配置后面再进行修改
      • 2.1.6查看状态,正常启动则ok
      • 2.1.7查看版本
    • 2.2 修改openldap配置
      • 2.2.1生成管理员密码,记录下这个密码,后面需要用到
      • 2.2.2新增修改密码文件,ldif为后缀
      • 2.2.3执行命令,修改ldap配置,通过-f 执行文件
      • 2.2.4执行修改命令后,有如下输出则为正常:
      • 2.2.5导入基本schema (具体配置请参考附件文件)
      • 2.2.6修改域名
      • 2.2.7执行命令,修改配置
      • 2.2.8启用memberof功能
      • 2.2.9创建node3组织
      • 2.2.10创建新用户和新用户组的ldif文件
    • 2.3 OpenLDAP客户端安装
      • 2.3.1OpenLDAP客户端安装必要软件
      • 2.3.2OpenLDAP客户端NSS服务配置
      • 2.3.3OpenLDAP客户端SSSD服务配置
      • 2.3.4OpenLDAP与SSH集成
      • 2.3.5验证SSH登录
      • 2.3.6验证ldap
    • 2.4OpenLDAP开启日志
  • 三、安装途中可能碰到的报错
    • 错误场景1:执行步骤“安装openldap”途中碰到的错误,即执行命令:`systemctl start slapd`报错
    • 错误场景2:执行步骤“安装openldap”途中碰到的错误,即执行命令:`systemctl start slapd`报错
    • 错误场景3:执行“修改openldap配置”报错
  • 四、注意点
  • 五、卸载openldap
  • 本人其他相关文章链接

一、背景

亲测可用,之前搜索了很多博客,啥样的都有,就是不介绍报错以及配置用处,根本不懂照抄那些配置是干啥的,稀里糊涂的按照博客搭完也跑不起来,因此记录这个。

项目背景:公司项目当前采用http协议+shiro+mysql的登录认证方式,而现在想支持ldap协议认证登录然后能够访问自己公司的项目网站。

举例说明:假设我们公司有自己的门户网站,现在我们收购了一家公司,他们数据库采用ldap存储用户数据,那么为了他们账户能登陆我们公司项目所以需要集成,而不是再把他们的账户重新在mysql再创建一遍,万一人家有1W个账户呢,不累死了且也不现实啊。

需要安装openldap+kerberos,且ldap和kerberos安装在同一台服务器上,当前版本如下:

  • centos 7.9
  • openldap 2.4.44
  • phpldapadmin 1.2.5
  • 服务器IP:10.110.38.162
  • Kerberos :Kerberos 5 release 1.15.1

本博客参考的博客是:

  • ① Openldap安装部署
  • ② Kerberos基本原理、安装部署及用法
  • ③ Openldap集成Kerberos

注意:这个文章是真实可行的,但是有执行顺序,一定要先安装“Openldap安装部署”+“Kerberos基本原理、安装部署及用法”之后,确保安装无误后再去安装“Openldap集成Kerberos”。
在这里插入图片描述

我当时犯的毛病就是前两个没完全照着文档安装完成就直接安装的第三个,然后出现各种问题,我还不知道为点啥。人家博客都说了要先安装前两个,再看这个“Kerberos基本原理、安装部署及用法”。所以一定要注意安装顺序,遇到不懂得配置也没事先照着安。

二、正文

2.1 openldap服务端必要软件安装

2.1.1使用yum命令安装

# yum install -y openldap openldap-clients openldap-servers compat-openldap openldap-devel

2.1.2安装libdb相关依赖

# yum -y install libdb.x86_64 libdb-devel.x86_64

2.1.3复制一个默认配置到指定目录下,并授权,这一步一定要做,然后再启动服务,不然生成密码时会报错

# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

2.1.4授权给ldap用户,此用户yum安装时便会自动创建

# chown -R ldap. /var/lib/ldap/DB_CONFIG

2.1.5启动ldap server服务,先启动服务,配置后面再进行修改

# systemctl start slapd
# systemctl enable slapd

2.1.6查看状态,正常启动则ok

# systemctl status slapd

2.1.7查看版本

slapd -VV
@(#) $OpenLDAP: slapd 2.4.44 (Feb 23 2022 17:11:27) $mockbuild@x86-01.bsys.centos.org:/builddir/build/BUILD/openldap-2.4.44/openldap-2.4.44/servers/slapd
[root@localhost ~]#

2.2 修改openldap配置

这里就是重点中的重点了,从openldap2.4.23版本开始,所有配置都保存在/etc/openldap/slapd.d目录下的cn=config文件夹内,不再使用slapd.conf作为配置文件。配置文件的后缀为 ldif,且每个配置文件都是通过命令自动生成的,任意打开一个配置文件,在开头都会有一行注释,说明此为自动生成的文件,请勿编辑,使用ldapmodify命令进行修改。

# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.

在这里插入图片描述
安装openldap后,会有三个命令用于修改配置文件,分别为ldapadd, ldapmodify, ldapdelete,顾名思义就是添加,修改和删除。而需要修改或增加配置时,则需要先写一个ldif后缀的配置文件,然后通过命令将写的配置更新到slapd.d目录下的配置文件中去,完整的配置过程如下,跟着我做就可以了:

2.2.1生成管理员密码,记录下这个密码,后面需要用到

# slappasswd -s 123456
{SSHA}kUhPHG2ffoZKzwl/pUxQg6W+WaFwpjQ/

2.2.2新增修改密码文件,ldif为后缀

不要在/etc/openldap/slapd.d目录下创建类似文件,生成的文件为需要通过命令去动态修改ldap现有配置,如下,在用户目录~下,创建文件 (具体配置请参考附件文件)

# cd ~
# vim changepwd.ldif
----------------------------------------------------------------------
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}kUhPHG2ffoZKzwl/pUxQg6W+WaFwpjQ/

这里解释一下这个文件的内容:

  • 第一行执行配置文件,这里就表示指定为 cn=config/olcDatabase={0}config 文件。你到/etc/openldap/slapd.d/目录下就能找到此文件
  • 第二行 changetype 指定类型为修改
  • 第三行 add 表示添加 olcRootPW 配置项
  • 第四行指定 olcRootPW 配置项的值

在执行下面的命令前,你可以先查看原本的olcDatabase={0}config文件,里面是没有olcRootPW这个项的,执行命令后,你再看就会新增了olcRootPW项,而且内容是我们文件中指定的值加密后的字符串。

2.2.3执行命令,修改ldap配置,通过-f 执行文件

# ldapadd -Y EXTERNAL -H ldapi:/// -f changepwd.ldif

2.2.4执行修改命令后,有如下输出则为正常:

在这里插入图片描述
查看olcDatabase={0}config内容,cat /etc/openldap/slapd.d/cn=config/olcDatabase={0}config.ldif,新增了一个olcRootPW项
在这里插入图片描述
在这里插入图片描述

上面就是一个完整的修改配置的过程,切记不能直接修改/etc/openldap/slapd.d/目录下的配置。
好了,下面继续进行配置:

2.2.5导入基本schema (具体配置请参考附件文件)

我们需要向 LDAP 中导入一些基本的 Schema。这些 Schema 文件位于 /etc/openldap/schema/ 目录中,schema控制着条目拥有哪些对象类和属性,可以自行选择需要的进行导入,依次执行下面的命令,导入基础的一些配置,我这里将所有的都导入一下,其中core.ldif是默认已经加载了的,不用导入。

# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/collective.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/corba.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/duaconf.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/java.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/misc.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/openldap.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/pmi.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif

2.2.6修改域名

修改域名,新增changedomain.ldif,这里自定义的域名为node1.com,管理员用户账号为admin。如果要修改,则修改文件中相应的dc=node3.com,dc=com为自己的域名。(具体配置请参考附件文件)

# vim changedomain.ldif
----------------------------------------------------------------------
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=admin,dc=node3,dc=com" read by * nonedn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=node3,dc=comdn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=node3,dc=comdn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}w9g8YjPiphKbTeuTC0xTcVyrH6I6XXBedn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=node3,dc=com" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=node3,dc=com" write by * read

2.2.7执行命令,修改配置

# ldapmodify -Y EXTERNAL -H ldapi:/// -f changedomain.ldif

最后这里有5个修改,所以执行会输出5行表示成功
在这里插入图片描述

2.2.8启用memberof功能

新增add-memberof.ldif,#开启memberof支持并新增用户支持memberof配置(具体配置请参考附件文件)

新增add-memberof.ldif

# vim add-memberof.ldif
-------------------------------------------------------------
dn: cn=module{0},cn=config
cn: module{0}
objectClass: olcModuleList
objectclass: top
olcModuleload: memberof.la
olcModulePath: /usr/lib64/openldapdn: olcOverlay={0}memberof,olcDatabase={2}hdb,cn=config
objectClass: olcConfig
objectClass: olcMemberOf
objectClass: olcOverlayConfig
objectClass: top
olcOverlay: memberof
olcMemberOfDangling: ignore
olcMemberOfRefInt: TRUE
olcMemberOfGroupOC: groupOfUniqueNames
olcMemberOfMemberAD: uniqueMember
olcMemberOfMemberOfAD: memberOf

新增refint1.ldif文件

# vim refint1.ldif
-------------------------------------------------------------
dn: cn=module{0},cn=config
add: olcmoduleload
olcmoduleload: refint

新增refint2.ldif文件

# vim refint2.ldif
-------------------------------------------------------------
dn: olcOverlay=refint,olcDatabase={2}hdb,cn=config
objectClass: olcConfig
objectClass: olcOverlayConfig
objectClass: olcRefintConfig
objectClass: top
olcOverlay: refint
olcRefintAttribute: memberof uniqueMember  manager owner

依次执行下面命令,加载配置,顺序不能错

ldapadd -Q -Y EXTERNAL -H ldapi:/// -f add-memberof.ldif
ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f refint1.ldif
ldapadd -Q -Y EXTERNAL -H ldapi:/// -f refint2.ldif

到此,配置修改完了,在上述基础上,我们来创建一个组织,并在其下创建一个 admin 的组织角色(该组织角色内的用户具有管理整个 LDAP 的权限)和 People 和 Group 两个组织单元。`

2.2.9创建node3组织

# vim node3.ldif
----------------------------------------------------------------------
dn: dc=node3,dc=com
dc: node3
objectClass: top
objectClass: domain
o: node3dn: cn=admin,dc=node3,dc=com
objectClass: organizationalRole
cn: admin
description: LDAP admindn: dc=hdp,dc=node3,dc=com
changetype: add
dc: hdp
objectClass: top
objectClass: dcObject
objectClass: organization
o: hdpdn: ou=People,dc=hdp,dc=node3,dc=com
ou: People
objectClass: organizationalUnitdn: ou=Group,dc=hdp,dc=node3,dc=com
ou: Group
objectClass: organizationalUnit

执行命令,添加配置,这里要注意修改域名为自己配置的域名,然后需要输入上面我们生成的密码

# ldapadd -x -D cn=admin,dc=node3,dc=com -W -f node3.ldif

添加结果为:(密码:123456即1.1配置的密码)
在这里插入图片描述
通过以上的所有步骤,我们就设置好了一个LDAP目录树:其中基准dc=node3,dc=com是该树的跟节点,其下有一个管理域cn=admin,dc=node3,dc=com和一个组织单元dc=hdp,dc=node3,dc=com, 其下有两个子属性ou=People,dc=hdp,dc=node3,dc=com及ou=Group,dc=hdp,dc=node3,dc=com。

2.2.10创建新用户和新用户组的ldif文件

先生成一个密码123456:

# slappasswd -s 123456
{SSHA}32S2uLFahPZMqMzVYhT8fOKOp8RzremG

创建新用户的ldif文件(具体配置请参考附件文件)

# vim ldapuser.ldif
-------------------------------------------------------
#这里testUser用户,我将其加入到testgroup组中
# create new
# replace to your own domain name for "dc=***,dc=***" section
dn: uid=testldap,ou=People,dc=hdp,dc=node3,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: testldap
cn: testgroup
sn: test
userPassword: {SSHA}32S2uLFahPZMqMzVYhT8fOKOp8RzremG
loginShell: /bin/bash
uidNumber: 2000
gidNumber: 3000
homeDirectory: /home/testldap#这是添加一个用户组名为testgroup的cn,在名为Group的ou下
dn: cn=testgroup,ou=Group,dc=hdp,dc=node3,dc=com
objectClass: posixGroup
cn: testgroup
gidNumber: 3000
memberUid: testldap

向openldap服务端添加新用户testldap

# ldapadd -x -D cn=admin,dc=node3,dc=com -W -f ldapuser.ldif

为该用户修改密码为123456命令为:

# ldappasswd -x -H ldap://10.110.38.162:389 -D "cn=admin,dc=node3,dc=com" -W "uid=testldap,ou=People,dc=hdp,dc=node3,dc=com" -s 123456

注意

  • ldap://10.110.38.162:389为openldap的服务端ip加端口;
  • cn=admin,dc=node3,dc=com为openldap上面设置的管理者节点;
  • uid=testldap,ou=People,dc=hdp,dc=node3,dc=com为用户id;
  • 123456为修改指定的用户密码。

2.3 OpenLDAP客户端安装

2.3.1OpenLDAP客户端安装必要软件

# yum install -y openldap openldap-clients sssd nss-pam-ldapd

2.3.2OpenLDAP客户端NSS服务配置

  1. 修改/etc/nslcd.conf (具体配置请参考附件文件)
# vim /etc/nslcd.conf
----------------------------------------------------------------------
uid nslcd
gid ldap
uri ldap://10.110.38.162:389
# ldap目录树的基准
base dc=node3,dc=com
# ldap的管理域
binddn cn=admin,dc=node3,dc=com
# ldap管理者密码
bindpw 123456
ssl no
tls_cacertdir /etc/openldap/cacerts
  1. 启动服务并设置开机自启动
# chmod 600 /etc/nslcd.conf
# systemctl start nslcd
# systemctl enable nslcd
  1. 配置/etc/nsswitch.conf
# vim /etc/nsswitch.conf
----------------------------------------------------------------------
#passwd:     files sss 
#shadow:     files sss
#group:      files sss
#initgroups: files sss
passwd:     files ldap
shadow:     files ldap
group:      files ldap
hosts:      files dns myhostname
bootparams: nisplus [NOTFOUND=return] filesethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files sss#netgroup:   files sss
netgroup:   nisplus sss
publickey:  nisplus
automount:  files nisplus sss
aliases:    files nisplus
  1. 测试是否可用
# getent passwd | grep testldap
testldap:x:2000:3000:testgroup:/home/testldap:/bin/bash

2.3.3OpenLDAP客户端SSSD服务配置

  1. 修改/etc/sssd/sssd.conf文件,在执行authconfig命令时默认生成,如果文件不存在则新建
# vim /etc/sssd/sssd.conf
----------------------------------------------------------------------
[domain/default]
autofs_provider = ldap
ldap_schema = rfc2307bis
krb5_realm = REDPEAK.COM
ldap_search_base = dc=node3,dc=com
krb5_server = 10.110.38.162
id_provider = ldap 
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldap://10.110.38.162:389
ldap_id_use_start_tls = False
cache_credentials = True
ldap_tls_cacertdir = /etc/openldap/cacerts
[sssd]
services = nss, pam, autofs
domains = default[nss]
homedir_substring = /home[pam][sudo][autofs][ssh][pac][ifp][secrets]
  1. 修改sssd.conf文件权限
# chmod 600 /etc/sssd/sssd.conf
  1. 启动sssd服务并加入系统自启动
# systemctl start sssd
# systemctl enable sssd
# systemctl status sssd

2.3.4OpenLDAP与SSH集成

  1. 修改配置文件/etc/ssh/sshd_config,是ssh通过pam认证账号
PasswordAuthentication yes
UsePAM yes

注意:默认使用的是密码认证方式,在集成SSH登录时需要确保PasswordAuthentication yes配置为yes。

  1. 修改配置文件/etc/pam.d/sshd,以确认调用pam认证文件
# vim /etc/pam.d/sshd
----------------------------------------------------------------------
#%PAM-1.0
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
#加入此行后确保登录成功后创建用户的home目录
session    required     pam_mkhomedir.so
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare
  1. 修改配置文件/etc/pam.d/password-auth
# vim /etc/pam.d/password-auth
----------------------------------------------------------------------
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        [default=1 ignore=ignore success=ok] pam_succeed_if.so uid >= 1000 quiet
auth        [default=1 ignore=ignore success=ok] pam_localuser.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
#auth        sufficient    pam_sss.so forward_pass
auth        sufficient    pam_ldap.so forward_pass
auth        required      pam_deny.soaccount     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
#account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     [default=bad success=ok user_unknown=ignore] pam_ldap.soaccount     required      pam_permit.sopassword    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
#password    sufficient    pam_sss.so use_authtok
password    sufficient    pam_ldap.so use_authtokpassword    required      pam_deny.sosession     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     optional      pam_mkhomedir.so umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
#session     optional      pam_sss.so
session     optional      pam_ldap.so
  1. 修改配置文件/etc/pam.d/system-auth配置文件
# vim /etc/pam.d/system-auth
----------------------------------------------------------------------
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        sufficient    pam_fprintd.so
auth        [default=1 ignore=ignore success=ok] pam_succeed_if.so uid >= 1000 quiet
auth        [default=1 ignore=ignore success=ok] pam_localuser.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
#auth        sufficient    pam_sss.so forward_pass
auth        sufficient    pam_ldap.so forward_pass
auth        required      pam_deny.soaccount     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
#account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.sopassword    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
#password    sufficient    pam_sss.so use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.sosession     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     optional      pam_mkhomedir.so umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
#session     optional      pam_sss.so
session     optional      pam_ldap.so
  1. 重启ssh、sssd和nslcd
# systemctl restart sshd
# systemctl restart sssd
# systemctl restart nslcd

到此为止就完成了OpenLDAP与SSH的集成。

2.3.5验证SSH登录

随便登录一台机器,此处全部以一台服务器为例

  1. 确认testldap用户只存在于OpenLDAP
# more /etc/passwd |grep testldap
# id testldap
uid=2000(testldap) gid=2000(testgroup) groups=2000(testgroup)
  1. su切换至testldap用户
# su testldap
# id testldap
uid=2000(testldap) gid=2000(testgroup) groups=2000(testgroup)
  1. 配置host,修改/etc/host配置文件
#127.0.0.1 		node3

4.ssh登录

在这里插入图片描述

2.3.6验证ldap

查询所有用户及用户组:

# ldapsearch -LL -Y EXTERNAL -H ldapi:///  -b dc=node3,dc=com

在这里插入图片描述

2.4OpenLDAP开启日志

必须先创建日志文件,并调整权限,再修改rsyslog.conf

//创建文件夹
mkdir -p /var/log/slapd
//设置用户所有权
chown ldap:ldap /var/log/slapd/
//创建日志文件
touch /var/log/slapd/slapd.log
//设置权限
chown ldap . /var/log/slapd/slapd.log
//写配置
echo "local4.* /var/log/slapd/slapd.log" >> /etc/rsyslog.conf

重启使其生效

systemctl restart rsyslog

三、安装途中可能碰到的报错

错误场景1 和错误场景2 可查看该博客解决:OpenLdap异常操作后无法启动

错误场景1:执行步骤“安装openldap”途中碰到的错误,即执行命令:systemctl start slapd报错

在这里插入图片描述

详细报错信息

516 02:12:02 localhost.localdomain systemd[1]: Reloading.
516 02:12:02 localhost.localdomain runuser[16907]: pam_unix(runuser:session): session opened for user ldap by (uid=0)
516 02:12:02 localhost.localdomain slapadd[16908]: DIGEST-MD5 common mech free
516 02:12:02 localhost.localdomain runuser[16907]: pam_unix(runuser:session): session closed for user ldap
516 02:12:02 localhost.localdomain yum[15582]: Installed: openldap-servers-2.4.44-25.el7_9.x86_64
516 02:12:02 localhost.localdomain yum[15582]: Installed: openldap-servers-sql-2.4.44-25.el7_9.x86_64
516 02:12:02 localhost.localdomain yum[15582]: Installed: migrationtools-47-15.el7.noarch
516 02:12:02 localhost.localdomain yum[15582]: Installed: openldap-clients-2.4.44-25.el7_9.x86_64
516 02:12:24 localhost.localdomain slapd[18194]: slapd stopped.
516 02:12:24 localhost.localdomain slapd[18194]: connections_destroy: nothing to destroy.
516 02:12:54 localhost.localdomain polkitd[864]: Registered Authentication Agent for unix-process:19884:103063759 (system bus name :1.197357 [/usr/bin/pkttyagent --notify-fd 5 --fallback], object path /org/freedesktop/PolicyKit1/
516 02:12:54 localhost.localdomain systemd[1]: Starting OpenLDAP Server Daemon...
-- Subject: Unit slapd.service has begun start-up
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
-- 
-- Unit slapd.service has begun starting up.
516 02:12:54 localhost.localdomain runuser[19895]: pam_unix(runuser:session): session opened for user ldap by (uid=0)
516 02:12:54 localhost.localdomain runuser[19895]: pam_unix(runuser:session): session closed for user ldap
516 02:12:54 localhost.localdomain slapcat[19899]: DIGEST-MD5 common mech free
516 02:12:54 localhost.localdomain slapd[19909]: @(#) $OpenLDAP: slapd 2.4.44 (Feb 23 2022 17:11:27) $mockbuild@x86-01.bsys.centos.org:/builddir/build/BUILD/openldap-2.4.44/openldap-2.4.44/servers/slapd
516 02:12:54 localhost.localdomain slapd[19909]: main: TLS init def ctx failed: -1
516 02:12:54 localhost.localdomain slapd[19909]: DIGEST-MD5 common mech free
516 02:12:54 localhost.localdomain slapd[19909]: slapd stopped.
516 02:12:54 localhost.localdomain slapd[19909]: connections_destroy: nothing to destroy.
516 02:12:54 localhost.localdomain systemd[1]: slapd.service: control process exited, code=exited status=1
516 02:12:54 localhost.localdomain systemd[1]: Failed to start OpenLDAP Server Daemon.
-- Subject: Unit slapd.service has failed
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
-- 
-- Unit slapd.service has failed.
-- 
-- The result is failed.
516 02:12:54 localhost.localdomain systemd[1]: Unit slapd.service entered failed state.
516 02:12:54 localhost.localdomain systemd[1]: slapd.service failed.
516 02:12:54 localhost.localdomain polkitd[864]: Unregistered Authentication Agent for unix-process:19884:103063759 (system bus name :1.197357, object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale zh_CN.UTF-8) (dis
lines 3525-3562/3562 (END)
516 02:12:02 localhost.localdomain systemd[1]: Reloading.
516 02:12:02 localhost.localdomain runuser[16907]: pam_unix(runuser:session): session opened for user ldap by (uid=0)
516 02:12:02 localhost.localdomain slapadd[16908]: DIGEST-MD5 common mech free
516 02:12:02 localhost.localdomain runuser[16907]: pam_unix(runuser:session): session closed for user ldap
516 02:12:02 localhost.localdomain yum[15582]: Installed: openldap-servers-2.4.44-25.el7_9.x86_64
516 02:12:02 localhost.localdomain yum[15582]: Installed: openldap-servers-sql-2.4.44-25.el7_9.x86_64
516 02:12:02 localhost.localdomain yum[15582]: Installed: migrationtools-47-15.el7.noarch
516 02:12:02 localhost.localdomain yum[15582]: Installed: openldap-clients-2.4.44-25.el7_9.x86_64
516 02:12:24 localhost.localdomain slapd[18194]: slapd stopped.
516 02:12:24 localhost.localdomain slapd[18194]: connections_destroy: nothing to destroy.
516 02:12:54 localhost.localdomain polkitd[864]: Registered Authentication Agent for unix-process:19884:103063759 (system bus name :1.197357 [/usr/bin/pkttyagent --notify-fd 5 --fallback], object path /org/freedesktop/PolicyKit1/
516 02:12:54 localhost.localdomain systemd[1]: Starting OpenLDAP Server Daemon...
-- Subject: Unit slapd.service has begun start-up
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
-- 
-- Unit slapd.service has begun starting up.
516 02:12:54 localhost.localdomain runuser[19895]: pam_unix(runuser:session): session opened for user ldap by (uid=0)
516 02:12:54 localhost.localdomain runuser[19895]: pam_unix(runuser:session): session closed for user ldap
516 02:12:54 localhost.localdomain slapcat[19899]: DIGEST-MD5 common mech free
516 02:12:54 localhost.localdomain slapd[19909]: @(#) $OpenLDAP: slapd 2.4.44 (Feb 23 2022 17:11:27) $mockbuild@x86-01.bsys.centos.org:/builddir/build/BUILD/openldap-2.4.44/openldap-2.4.44/servers/slapd
516 02:12:54 localhost.localdomain slapd[19909]: main: TLS init def ctx failed: -1
516 02:12:54 localhost.localdomain slapd[19909]: DIGEST-MD5 common mech free
516 02:12:54 localhost.localdomain slapd[19909]: slapd stopped.
516 02:12:54 localhost.localdomain slapd[19909]: connections_destroy: nothing to destroy.
516 02:12:54 localhost.localdomain systemd[1]: slapd.service: control process exited, code=exited status=1
516 02:12:54 localhost.localdomain systemd[1]: Failed to start OpenLDAP Server Daemon.
-- Subject: Unit slapd.service has failed
-- Defined-By: systemd
-- Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
-- 
-- Unit slapd.service has failed.
-- 
-- The result is failed.
516 02:12:54 localhost.localdomain systemd[1]: Unit slapd.service entered failed state.
516 02:12:54 localhost.localdomain systemd[1]: slapd.service failed.
516 02:12:54 localhost.localdomain polkitd[864]: Unregistered Authentication Agent for unix-process:19884:103063759 (system bus name :1.197357, object path /org/freedesktop/PolicyKit1/AuthenticationAgent, locale zh_CN.UTF-8) (dis
[root@localhost /]#

错误原因:这种报错代表:OpenLdap异常操作后无法启动,如果是第一次安装没事且不会有这个报错,而我是之前在这个环境反复尝试过,可能导致的问题。

解决方案:依次执行如下命令即可:

  • slapd -d 2 -F /etc/openldap/slapd.d/ -u ldap
  • mkdir -p /etc/openldap/certs
  • bash /usr/libexec/openldap/create-certdb.sh
  • bash /usr/libexec/openldap/generate-server-cert.sh
  • systemctl start slapd

启动成功后的效果如图:

在这里插入图片描述

错误场景2:执行步骤“安装openldap”途中碰到的错误,即执行命令:systemctl start slapd报错

详细报错信息

Unit slapd.service has begun starting up.
May 14 08:42:21 localhost.localdomain runuser[15546]: pam_unix(runuser:session): session opened for user ldap by (uid=0)
May 14 08:42:21 localhost.localdomain runuser[15546]: pam_unix(runuser:session): session closed for user ldap
May 14 08:42:21 localhost.localdomain slapd[15559]: @(#) $OpenLDAP: slapd 2.4.44 (Sep 30 2020 17:16:39) $
mockbuild@x86-02.bsys.centos.org:/builddir/build/BUILD/openldap-2.4.44/openldap-2.4.44/servers/slapd
May 14 08:42:21 localhost.localdomain slapd[15559]: main: TLS init def ctx failed: -1
May 14 08:42:21 localhost.localdomain slapd[15559]: slapd stopped.
May 14 08:42:21 localhost.localdomain slapd[15559]: connections_destroy: nothing to destroy.
May 14 08:42:21 localhost.localdomain rsyslogd[5418]: imjournal: rename() failed for new path:/var/lib/rsyslog/imjournal.state’: Permission denied [v8.24.0-34.el7 try http://www.
May 14 08:42:21 localhost.localdomain systemd[1]: slapd.service: control process exited, code=exited status=1
May 14 08:42:21 localhost.localdomain systemd[1]: Failed to start OpenLDAP Server Daemon.Subject: Unit slapd.service has failed
– Defined-By: systemd– Support: http://lists.freedesktop.org/mailman/listinfo/systemd-devel
– Unit slapd.service has failed.The result is failed.
May 14 08:42:21 localhost.localdomain systemd[1]: Unit slapd.service entered failed state.
May 14 08:42:21 localhost.localdomain systemd[1]: slapd.service failed.
May 14 08:42:21 localhost.localdomain polkitd[4916]: Unregistered Authentication Agent for unix-process:15537:82314 (system bus name :1.27, object path /org/freedesktop/PolicyKit1/

错误原因:这种报错是日志相关服务的报错

解决方案:删除/var/lib/rsyslog/imjournal.state文件后重启rsyslog服务

[root@localhost ~]# rm -f /var/lib/rsyslog/imjournal.state
[root@localhost ~]# systemctl restart rsyslog

错误场景1和错误场景2 究竟哪里不一样?

可以用对比工具查看,如图,红框处就是区别点,请想起查看自己的报错原因就针对性修改。
在这里插入图片描述

错误场景3:执行“修改openldap配置”报错

这块会编写很多文件,再执行相关ldapadd 、ldapmodify等等命令时会报错,如图
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

详细错误:

[root@localhost ~]# vim changedomain.ldif
[root@localhost ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f changedomain.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
ldapmodify: wrong attributeType at line 5, entry "olcDatabase={1}monitor,cn=config"
-----------------------------------------------------------------------------------------
[root@localhost ~]# vim refint2.ldif
[root@localhost ~]# ldapadd -Q -Y EXTERNAL -H ldapi:/// -f add-memberof.ldif
ldapadd: attributeDescription "dn": (possible missing newline after line 10, entry "cn=module{0},cn=config"?)
adding new entry "cn=module{0},cn=config"
ldap_add: Invalid syntax (21)additional info: objectClass: value #3 invalid per syntax
-----------------------------------------------------------------------------------------
[root@localhost ~]# ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f refint1.ldif
modifying entry "cn=module{0},cn=config"
ldap_modify: No such object (32)matched DN: cn=config
-----------------------------------------------------------------------------------------
[root@localhost ~]# vim base.ldif
[root@localhost ~]# ldapadd -x -D cn=admin,dc=yaobili,dc=com -W -f base.ldif
Enter LDAP Password: 
ldapadd: attributeDescription "dn": (possible missing newline after line 9, entry "dc=yaobili,dc=com"?)
ldapadd: attributeDescription "dn": (possible missing newline after line 10, entry "dc=yaobili,dc=com"?)
ldapadd: attributeDescription "dn": (possible missing newline after line 11, entry "dc=yaobili,dc=com"?)
adding new entry "dc=yaobili,dc=com"
ldap_add: Type or value exists (20)additional info: objectClass: value #3 provided more than once     

错误原因2处:

  • 第一处冒号:后有空格;
  • 第二处换行那里有空格。

你直接复制的文件内容,拷贝后的你的K:V 的冒号“:”后面会有空格

解决方案:删除2处所有多余空格即可。

举例说明:这是刚执行vim 命令后复制粘贴后的效果,首先颜色不一样,其次冒号:后面是有空格的。
在这里插入图片描述
而当你把冒号:后面空格删除后的效果长这样,明显红色变白色了,说明空格删没了。
在这里插入图片描述

其次说换行那里也有空格,不能直接执行dd命令删除,否则也无效;请看当我点击一下删除键,按常理应该顶格才对,因为我删除的一个空白行啊,但是实际效果是不对齐,说明除了有个空白行外还有个多余的空格。
在这里插入图片描述
正确做法:应该是移动鼠标到dn字母处然后执行“退格Backspace”进行删除,当顶格后再按回车键进行换行就可以了。

正确效果长这样:
在这里插入图片描述

四、注意点

注意点:

  • 注意点1:不可直接vim命令修改服务器文件,因为不生效
  • 注意点2:生成的密码实际要修改2个文件,如果有遗漏,后面登录可能无法认证成功。
    在这里插入图片描述
  • 注意点3:在执行2.2修改openldap配置的时候,如果你想更改dc域名,请把如下红框的全部更改,少改了会无效。
    在这里插入图片描述

五、卸载openldap

1、停止openldap

[root@nano cn=config]# systemctl stop slapd
[root@nano cn=config]# systemctl disable slapd

2、卸载

[root@nano cn=config]# yum -y remove openldap-servers openldap-clients

3.删除残留文件

[root@nano cn=config]# rm -rf /var/lib/ldap

4.删除ldap用户

[root@nano cn=config]# userdel ldap

5.删除openldap目录

[root@nano cn=config]# rm -rf /etc/openldap

本人其他相关文章链接

1.Centos7.9安装openldap
2.Centos7.9安装kerberos
3.Openldap集成Kerberos
4.Centos7.9安装phpldapadmin
5.java连接ldap实现用户查询功能
6.java连接kerberos用户认证
7.javax.security.auth.login.LoginException: Unable to obtain password from user
8.javax.security.auth.login.LoginException: null (68)
9.javax.security.auth.login.LoginException: Message stream modified (41)
10.javax.security.auth.login.LoginException: Checksum failed
11.javax.security.auth.login.LoginException: No CallbackHandler available to garner authentication info
12.javax.security.auth.login.LoginException: Cannot locate KDC
13.javax.security.auth.login.LoginException: Receive timed out
14.java: 无法访问org.springframework.context.ConfigurableApplicationContext
15.LDAP: error code 34 - invalid DN
16.LDAP: error code 32 - No Such Object
17.java: 无法访问org.springframework.ldap.core.LdapTemplate

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/31403.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

windows系统共享文件时,有权限文件访问被拒绝

我们在使用windows操作系统的时候&#xff0c;需要复制或者更改网络中的共享文件。但是有时候会出现图下的情况&#xff1a;文件访问被拒绝 查看共享文件的安全属性&#xff0c;发现Everyone的权限是完全控制的 这个时候我们可以看到&#xff0c;这个共享文件图标右上方带了一把…

vue2实现一个简易实用的日历(可特殊标记多个日期)

效果如下&#xff1a; <template><div class"calendar"><div class"header"><button click"previousMonth"><</button><h2>{{ currentYear }}-{{ currentMonth }} </h2><button click"nex…

【SpringCloud】Nacos

Nacos简介 2018年6月&#xff0c;Eureka 2.0宣布闭源&#xff08;但1.X版本仍然活跃&#xff09;&#xff0c;同年7月&#xff0c;阿里Nacos宣布开源&#xff0c;并迅速成为国内开发者关注的焦点。作为Eureka的替代品&#xff0c;Nacos目前已经成为国内开发者的首选。 Nacos&…

error: ‘CV_YUV2BGR_UYVY‘ was not declared in this scope

遇到这个问题时&#xff0c;按照如下修改可解决问题。 //cv::cvtColor(yuvImg, rgbImg, CV_YUV2BGR_UYVY);cv::cvtColor(yuvImg, rgbImg, cv::COLOR_YUV2RGB_UYVY);

浅析Vite本地构建原理

前言 随着Vue3的逐渐普及以及Vite的逐渐成熟&#xff0c;我们有必要来了解一下关于vite的本地构建原理。 对于webpack打包的核心流程是通过分析JS文件中引用关系&#xff0c;通过递归得到整个项目的依赖关系&#xff0c;并且对于非JS类型的资源&#xff0c;通过调用对应的loade…

《人人都是产品经理》笔记2:一个需求的奋斗史

一个需求的奋斗史 用户&#xff01;用户&#xff01;为什么会有需求&#xff1f;用户比客户更大以用户为中心的思想&#xff0c;以老板为中心的行动 用户研究方法 需求采集用户需求并不是产品需求&#xff0c;满足需求的三种方式把用户需求转化成产品需求 需求打包 BRD 产品会议…

Docker 搭建 MinIO 对象存储

Docker 搭建 MinIO 对象存储 一、MinIO MinIO 是一个高性能的对象存储服务器&#xff0c;用于构建云存储解决方案。MinIO 允许你存储非结构化数据&#xff08;如图片、视频、日志文件等&#xff09;以对象的形式。MinIO 提供简单的部署选项和易于使用的界面&#xff0c;允许你…

【免费API推荐】:汇总多种免费API接口(12)

欢迎来到幂简集成汇总的多种免费API接口世界&#xff01;我们致力于为开发者和创业者提供一个集成了各种免费API接口的平台。在这里&#xff0c;您可以轻松获取多种免费API接口&#xff0c;涵盖了各种领域的需求&#xff0c;包括天气、地图、社交媒体、专利相关信息等等。我们精…

哪里还能申请免费一年期SSL证书?

SSL证书是网络安全的基石之一&#xff0c;它确保了数据传输的安全性和网站身份的真实性。而申请免费一年期SSL证书&#xff0c;则为广大用户提供了一个经济高效的方式来提升网站的安全性。具体介绍如下&#xff1a; 基于不同服务平台的免费SSL证书申请 FreeSSL&#xff1a;此平…

硬盘监控和分析工具:Smartctl

文章目录 1. 概述2. 安装3. 使用4. smartctl属性信息介绍 1. 概述 Smartctl&#xff08;S.M.A.R.T 自监控&#xff0c;分析和报告技术&#xff09;是类Unix系统下实施SMART任务命令行套件或工具&#xff0c;它用于打印SMART自检和错误日志&#xff0c;启用并禁用SMRAT自动检测…

【MySQL】索引的原理及其使用

文章目录 什么叫索引减少磁盘IO次数缓存池(Buffer Pool&#xff09;MySQL的页页内目录页目录 正确理解索引结构为什么Innodb的索引是B树结构各种存储引擎支持的索引聚簇索引和非聚簇索引索引类型 关于索引的操作创建主键索引唯一索引的创建普通索引的创建查看索引删除索引 什么…

APP IOS

APP IOS苹果源生应用程序 APP Android-CSDN博客

nexus配置问题

错误信息&#xff1a; npm ERR! code E401 npm ERR! Unable to authenticate, need: BASIC realm"Sonatype Nexus Repository Manager"解决办法一&#xff1a; npm login --registryhttp://192.168.52.128:8081/repository/npm-repo 输入 用户名 密码 邮箱完成后会…

无线鼠标键盘怎么连接电脑?4种简单方法

在当今科技发展日新月异的时代&#xff0c;无线鼠标和键盘已经成为许多人日常工作和娱乐中的重要配件。与传统有线设备相比&#xff0c;无线鼠标和键盘具有更大的灵活性和便利性&#xff0c;让我们能够更自由地操作电脑&#xff0c;而不受线缆的束缚。 然而&#xff0c;对于一…

Tesseract-OCR 5.0LSTM训练

准备工作 1.安装tesseract5.0版本 2.配置tesserac环境变量 3.jTessBoxEditor(需要java环境) 很多博客已有详细教程&#xff0c;不再赘述&#xff0c;本文以训练为主 最终文件目录: --tif 需要训练的tif文件 --lstmf 后文会讲到生成的方式 --txt 后文会讲到生成的方式 --box 后文…

Swift Combine — Notification、URLSession、Timer等Publisher的理解与使用

Notification Publisher 在Swift的Combine框架中&#xff0c;可以使用NotificationCenter.Publisher来创建一个能够订阅和接收通知的Publisher。 // 创建一个订阅通知的Publisher let notificationPublisher NotificationCenter.default.publisher(for: Notification.Name(&…

OpenTenBase入门

什么是OpenTenBase OpenTenBase 是一个提供写可靠性&#xff0c;多主节点数据同步的关系数据库集群平台。你可以将 OpenTenBase 配置一台或者多台主机上&#xff0c; OpenTenBase 数据存储在多台物理主机上面。数据表的存储有两种方式&#xff0c; 分别是 distributed 或者 re…

让我来告诉初学者到底什么叫嵌入式系统?

在开始前刚好我有一些资料&#xff0c;是我根据网友给的问题精心整理了一份「嵌入式的资料从专业入门到高级教程」&#xff0c; 点个关注在评论区回复“888”之后私信回复“888”&#xff0c;全部无偿共享给大家&#xff01;&#xff01;&#xff01;我们在刚刚开始学习电子学…

通过git命令查询某个用户提交信息

要查询某个用户通过 Git 提交了多少行代码&#xff0c;可以使用以下步骤和命令来实现。这些命令将统计该用户的添加和删除的代码行数。 1、切换到你的 Git 仓库&#xff1a; cd /path/to/your/repositorygit命令结果&#xff1a; 2、查询所有用户&#xff1a; git log --pr…

国外开源字典集(wordlists)

Assetnote Wordlists Wordlists that are up to date and effective against the most popular technologies on the internet.https://wordlists.assetnote.io/