|
本文介绍在Debian 10(Buster)操作系统上安装和配置OpenLDAP服务器,同时还安装配置LDAP Account Manager。OpenLDAP是OpenLDAP Public License下发布的轻量级目录访问协议的免费开源实现。安装OpenLDAP之后,可以选择添加phpLDAPadmin/LDAP帐户管理器以简化LDAP服务器的日常管理。
一、配置FQDN主机名和更新Debian 10服务器 1、在开始安装之前,请为服务器配置FQDN主机名,并将记录添加到文件/etc/hosts: echo "192.168.10.10 ldap.example.com" | sudo tee -a /etc/hosts sudo hostnamectl set-hostname ldap.example.com --static 192.168.10.10和ldap.example.com分别用匹配的IP地址和主机名替换。 2、更新Debian 10服务器 请确保系统已更新和升级: sudo apt -y update sudo apt -y upgrade sudo reboot 参考:在Debian/Ubuntu上配置自动安全更新(无人值守升级)的方法。
二、在Debian 10 Buster上安装OpenLDAP 系统更新和成功重启后,我们将在Debian软件包上安装OpenLDAP Server,参考在Ubuntu 18.04系统中安装OpenLDAP服务器的方法: sudo apt -y install slapd ldap-utils 系统将提示你输入LDAP目录的管理员密码:
确认提供的密码:
如果安装成功,则slapcat命令应提供OpenLDAP服务器详细信息: $ slapcat
三、为用户和组添加base dn、添加用户帐户和组 1、为用户和组添加base dn 下一步是为用户和组添加基本DN,使用以下内容创建名为basedn.ldif的文件: $ nano basedn.ldif dn: ou=people,dc=computingforgeeks,dc=com objectClass: organizationalUnit ou: people dn: ou=groups,dc=computingforgeeks,dc=com objectClass: organizationalUnit ou: groups 其中computeforgeeks和com是域组件,如slapcat命令所示。 完成后,使用以下命令应用配置: $ sudo ldapadd -x -D cn=admin,dc=computingforgeeks,dc=com -W -f basedn.ldif ....... Enter LDAP Password: adding new entry "ou=people,dc=computingforgeeks,dc=com" adding new entry "ou=groups,dc=computingforgeeks,dc=com" 2、添加用户帐户和组 为要添加的用户帐户生成密码: $ slappasswd
创建用于添加用户的ldif文件: $ nano ldapusers.ldif dn: uid=jmutai,ou=people,dc=computingforgeeks,dc=com objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount cn: Josphat sn: Mutai userPassword: {SSHA}ywnzywnzywnzywnzywnz loginShell: /bin/bash homeDirectory: /home/testuser uidNumber: 3000 gidNumber: 3000 注:将jmutai替换为要添加的用户名,dc=computingforgeeks,dc=com包含正确的域值,cn / sn包含你的用户详细信息,{SSHA}ywnzywnzywnzywnzywnz生成了哈希密码。 应用配置: $ ldapadd -x -D cn=admin,dc=computingforgeeks,dc=com -W -f ldapusers.ldif Enter LDAP Password: adding new entry "uid=jmutai,ou=people,dc=computingforgeeks,dc=com" 以类似的方式添加组。 做同样的group,创建ldif文件: $ cat ldapgroups.ldif dn: cn=jmutai,ou=groups,dc=computingforgeeks,dc=com objectClass: posixGroup cn: jmutai gidNumber: 3000 memberUid: jmutai $ ldapadd -x -D cn=admin,dc=computingforgeeks,dc=com -W -f ldapgroups.ldif Enter LDAP Password: adding new entry "cn=jmutai,ou=groups,dc=computingforgeeks,dc=com" 这两个文件可以合并为一个文件。
四、在Debian 10上安装LDAP帐户管理器 我们将安装和使用LDAP帐户管理器(英文名是LDAP Account Manager,参考在Ubuntu 18.04/16.04系统上安装和配置LDAP Account Manager一文)作为我们的OpenLDAP服务器图形管理仪表板,LDAP帐户管理器(LAM)是用于管理存储在LDAP控制器中的条目(例如用户、组、DHCP设置)的Web前端。 LDAP帐户管理器的功能: 管理Unix、Samba 3/4、Kolab 3、Kopano、DHCP、SSH密钥、一组名称等等。 支持双因素身份验证。 支持帐户创建配置文件。 CSV文件上传。 自动创建/删除主目录。 设置文件系统配额。 所有帐户的PDF输出。 架构和LDAP浏览器。 管理具有不同配置的多个服务器。 wget http://prdownloads.sourceforge.net/lam/ldap-account-manager_6.8-1_all.deb sudo dpkg -i ldap-account-manager_6.8-1_all.deb 如果在安装过程中遇到错误,请运行: sudo apt -f install sudo dpkg -i ldap-account-manager_6.8-1_all.deb
五、配置LDAP帐户管理器 从受信任的计算机网络访问LDAP帐户管理器Web界面,地址如 http://(server’s hostname or IP address)/lam。 这将显示LDAP帐户管理器登录表单,我们需要通过单击右上角的[LAM configuration]来设置我们的LDAP服务器配置文件。 然后单击,编辑服务器配置文件(Edit server profiles):
这将要求你提供LAM配置文件名称密码:
注:默认密码是lam。 要更改的第一件事是Profile Password,这是在General Settings页面的末尾处理:
接下来是设置LDAP服务器地址和Tree suffix,我的如下所示,你需要使用服务器主机名中设置的域组件:
通过在“Security settings”选项下指定管理员用户帐户和域组件来设置仪表板登录:
切换到“Account types”页面并设置活动帐户类型LDAP后缀和列表属性:
你还可以启用你希望使用的其他可用帐户类型,可以在“Modules”页面上启用和禁用用户和组模块。 完成设置后,单击页面底部的“Save”按钮。
六、使用LDAP帐户管理器添加用户帐户和组 使用accountadmin登录到LAM仪表板以开始管理用户帐户和组:
你将使用用户和组链接来管理用户帐户和组。 1、添加用户组 你需要在实际用户帐户之前添加用户组,单击“组”>“新组”(Groups > New Group):
为组提供名称,可选组ID和描述:
同样添加其他组。 2、添加用户帐户 在添加用户帐户组后,单击“用户”>“新用户”(Users > New user)将新用户帐户添加到LDAP服务器,你有三个用于用户管理的选项,如下: 1]、Personal:包含用户的个人信息,如名字、姓氏、电子邮件、电话、部门、地址。 2]、Unix:此部分用于设置用户名、公用名、UID号(可选)、用户注释、用户主组和辅助组、主目录和默认登录shell:
3]、Shadow:此选项是你添加Shadow帐户扩展的地方,与密码/到期相关的内容:
注:根据为用户和组管理启用的模块,你可能会有更多选项选择。
相关主题 |
