LDAP部署

#### 1、安装LDAP

```
yum install -y openldap-* migrationtools
```

#### 2、设置全局链接密码

```
[root@server0 ~]# slappasswd -s Huawei@123 -n > /etc/openldap/passwd
[root@server0 ~]# cat /etc/openldap/passwd 
{SSHA}da7Ye4nOqrzmRnr1kFN7YYWSSSSDHGpH
```

#### 3、生成LDAP基础数据并设置权限

```
# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG 
# chown -R ldap:ldap /var/lib/ldap/*
# slaptest 测试（有报错可以不用管）
```

#### 4、启动服务、设置开机自启

```
# systemctl start/restart slapd
# systemctl enable slapd
# systemctl status slapd
# 启动失败先查看slapd状态，如果出现/var/lib/ldap/认证失败，重新执行chown -R ldap:ldap /var/lib/ldap/*
```

#### 5、设置LDAP日志文件，保存日志信息

```
[root@server0 ~]# cd /etc/openldap/schema/
[root@server0 schema]# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f cosine.ldif
[root@server0 schema]# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f nis.ldif
```

#### 6、配置自定义结构文件导入服务器

```
vim /etc/openldap/changes.ldif

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=huawei100d,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=huawei100d,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}da7Ye4nOqrzmRnr1kFN7YYWSSSSDHGpH

dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: -1

dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=admin,dc=huawei100d,dc=com" read by * none
```

#### 7、将新的配置文件更新到slapd服务器

```
[root@server0 openldap]# ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/changes.ldif
```

#### 8、创建/etc/openldap/base.ldif文件

```
[root@server0 schema]# vi /etc/openldap/base.ldif
dn: dc=huawei100d,dc=com
dc: huawei100d
objectClass: top
objectClass: domain

dn: ou=People,dc=huawei100d,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit

dn: ou=Group,dc=huawei100d,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit
```

#### 9、创建目录的结构服务

```
[root@server0 ~]# ldapadd -x -w Huawei@123 -D cn=admin,dc=huawei100d,dc=com -f /etc/openldap/base.ldif
```

#### 10、配置迁移工具

```
## 更改为设置的域名
[root@server0 ~]# vi /usr/share/migrationtools/migrate_common.ph

# Default DNS domain

$DEFAULT_MAIL_DOMAIN = "huawei100d.com";

# Default base

$DEFAULT_BASE = "dc=huawei100d,dc=com";
```

#### 11、导入用户、用户组

```
cd /usr/share/migrationtools/
[root@server0 migrationtools]# grep ":10[0-9][0-9]" /etc/passwd > passwdtest
[root@server0 migrationtools]# cat passwdtest
[root@server0 migrationtools]# ./migrate_passwd.pl passwdtest users.ldif   --执行该命令把上一步创建的passwd文件转换成LDAP能识别的ldif格式的文件。
[root@server0 migrationtools]# cat users.ldif
[root@server0 migrationtools]# ldapadd -x -w Huawei@123 -D cn=admin,dc=huawei100d,dc=com -f user.ldif 
[root@server0 migrationtools]# grep ":10[0-9][0-9]" /etc/group > grouptest
[root@server0 migrationtools]# cat grouptest 
[root@server0 migrationtools]# ./migrate_group.pl grouptest group.ldif
[root@server0 migrationtools]# cat group.ldif 
[root@server0 migrationtools]# ldapadd -x -w Huawei@123 -D cn=admin,dc=huawei100d,dc=com -f group.ldif
```

#### 12、测试

```
[root@server0 migrationtools]# ldapsearch -x cn=testldapuser3 -b dc=huawei100d,dc=com   随便查一个用户信息，看是否能查到。

# extended LDIF

#

# LDAPv3

# base <dc=huawei100d,dc=com> with scope subtree

# filter: cn=testldapuser3

# requesting: ALL

#

# testldapuser3, People, huawei100d.com

dn: uid=testldapuser3,ou=People,dc=huawei100d,dc=com
uid: testldapuser3
cn: testldapuser3
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword:: e2NyeXB0fSQ2JEFNcHZTanhWJEdvMzVHVGU3Lm0xWG8xMTlWejJBaklTVnlDTjl
 2a00uQVRoNWcuV0k1QnNzSmVjbGd4cjRqV3ZWbXBHWlF6RFNGWDVYMVQ3VE9yNjFyTVhjU0JUQkUx
shadowLastChange: 17524
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1003
gidNumber: 1003
homeDirectory: /home/guests/testldapuser3

# testldapuser3, Group, huawei100d.com

dn: cn=testldapuser3,ou=Group,dc=huawei100d,dc=com
objectClass: posixGroup
objectClass: top
cn: testldapuser3
userPassword:: e2NyeXB0fXg=
gidNumber: 1003

# search result

search: 2
result: 0 Success

# numResponses: 3

# numEntries: 2
```

#### 13、用户管理

```
1、添加用户
编辑文件：testuser.ldif

dn: cn=testuser,ou=People,dc=huawei100d,dc=com
objectClass: top
objectClass: organizationalPerson
objectClass: person
sn: testuser
cn: testuser
userPassword: testpasswd（使用明文密码添加即可）

运行ldapadd命令添加：
root@ldaptest2:~# ldapadd -x -D "cn=admin,dc=huawei100d,dc=com" -w passwd -f testuser.ldif
adding new entry "cn=testuser,ou=People,dc=huawei100d,dc=com"

2、修改用户密码：
编辑文件：changepasswd.ldif
dn: cn=testuser,ou=People,dc=huawei100d,dc=com
changetype: modify
#add: mail
#mail: modme@example.com
replace: userPassword
userPassword: testpass123

运行ldapmodify命令修改：
root@ldaptest2:~# ldapmodify -x -D "cn=admin,dc=huawei100d,dc=com" -w passwd -f changepasswd.ldif
modifying entry "cn=testuser,ou=People,dc=huawei100d,dc=com"

3、删除用户：
运行ldapdelete命令删除该用户目录
ldapdelete -x -D "cn=admin,dc=huawei100d,dc=com" -w passwd 'cn=testuser,ou=People,dc=huawei100d,dc=com'
```