Linux扩展应用 ·

Samba+OpenLDAP(Multi-Master多主同步)统一认证

[隐藏]

环境准备

绑定URL环境IP地址
ldap1.test.cnsamba:4.7.1
openldap-servers:2.4.44
192.168.10.73
ldap2.test.cnopenldap-servers:2.4.44192.168.10.66

于samba服务器192.168.10.73安装

于备份服务器执行

配置LDAP多主同步

于各服务器启动LDAP

配置开启LDAP日志

启用同步复制模块

复制初始化数据库信息

编写添加启动复制模块

内容如下

将配置发送给LDAP

输出:

此操作需要于各LDAP服务器执行

开启LDAP配置同步

编辑以下内容(其ID请根据不同的服务器修改,如第一个则为1,第二个LDAP服务器执行时修改为2,依次类推)

更新LDAP服务器上的配置

输出:


为LDAP配置复制生成一个密码

然后会要求输入密码,两此输入后显示加密后的密码。

现在将密码同步至配置中去

填写以下内容(请于olcRootPW:后填写你自己生成的密码,注意有一个空格)

同步密码至配置文件

输出:


添加各服务器地址与同步配置信息

编写如下内容,请根据情况修改以下内容。

olcServerID: 其后为服务器ID号(递增)和各自的URL

rid: 为同步的id号

provider= 为服务器的URL(建议使用域名而非IP地址,自定义的域名写入hosts,便于管理)

credentials= 为刚才配置的密码

更多参数说明请参考OpenLDAP官方文档

将配置信息同步至服务器配置

输出:

以上步骤需要于每个LDAP服务器执行,完成后重启LDAP即可自动进行同步。

为避免自身同步,重启前需要于 /etc/sysconfig/slapd 中指定LDAP的绑定URL,否则启动失败。

OpenLDAP的systemd service脚本未指定使用 /etc/sysconfig/slapd ,可于其启动脚本指定即可。

请于 hosts 绑定对应 URL 时,将各自 URL 于本机绑定一份至 127.0.0.1,便于本机管理和以下步骤。

开启数据同步

此操作可于任意LDAP服务器执行,会自动同步至其他服务器。(上面的步骤无误的情况下)

配置数据库同步模块

同步配置信息至配置文件

输出:


添加同步信息配置

编辑如下内容,请根据情况修改以下内容。

olcSuffix: 绑定的DN(如 dc=local,dc=local)

olcRootDN: rootDN信息,也就是多个管理员名 cn=xxx ,可以统一设你自己的管理员名

olcRootPW: 你生成的密码

rid= 同步ID号,请递增,前面有了 001和002 ,这里使用 003和004

provider= URL信息

binddn= 绑定的DN

credentials= 密码

searchbase= 搜索的基础DN

现在同步配置信息至配置文件

输出:


更改 olcDatabase={1}monitor.ldif 文件以将监视器访问权限仅限于 LDAP root(admin)用户,而不是其他用户。

填入以下信息,请根据情况修改 dn.base=

同步配置信息至配置文件

至此无误的话,即可多主同步,后续是为samba认证做准备。


添加 LDAP schemas


配置LDAP认证

如下选择

不启用TLS

Samba配置LDAP认证

修改如下配置

然后启动samba

Samba LDAP模式用户管理工具

完成后可使用此工具管理samba用户

先初始化此工具配置。

根据提示填写相关信息,其配置存储于  /etc/smbldap-tools/

给samba添加ldap的密码

执行如上命令,会要求输入LDAP密码。

完成后创建Samba所需目录结构,执行下方命令自动创建。

若无报错,则可使用此工具管理samba用户

如上命令,添加一下samba的test用户。

此工具更多用法请参考 man 手册或help!

参与评论