背景:
某客户做用户中心项目。使用OpenLDAP做为存储用户信息。LDAP是一款轻量级目录访问协议(Lightweight Directory Access Protocol,简称LDAP),属于开源集中账号管理架构的实现,且支持众多系统版本,被广大互联网公司所采用。目录服务是一种特殊的数据库系统,对于数据的读取、浏览、搜索有很好的效果。同时做为用户中心,数据库的高可用显得尤为重要。在客户生产环境中使用的是客户的负载均衡设备,基于思杰的硬件负载均衡设备,后端配置的是OpenLDAP_MirrorMode,相当于Mysql的双主模式,后面某一台服务器出现问题,负载均衡会将后端的服务器剔除,另一台仍能提供服务,如下图所示
实验环境:
操作系统: centos 7.2
服务器A:10.10.1.134
服务器B:10.10.1.132
一:环境准备
- 下载软件:
mkdir /home/admin/openldap && cd /home/admin/openldap
wget ftp://ftp.openldap.org/pub/OpenLDAP/openldap- release/openldap-2.4.23.tgz
wget http://download.oracle.com/berkeley-db/db-4.6.21.tar.gz
- 关闭selinux
sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config && sestatus - 防火墙关闭
/bin/systemctl disable firewalld.service && /bin/systemctl stop firewalld.service - 配置yum源为阿里云yum源
wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo #从阿里云镜像网站下载yum源配置文件到yum目录中
sed -i 's/$releasever/7/g' /etc/yum.repos.d/CentOS-Base.repo #修改版本号为redhat7
yum clean all #清空yum缓存
yum list #生成列表
- 安装openldap环境所需要的依赖包。
yum -y install libtool-ltdl libtool-ltdl-devel gcc openssl openssl-devel cyrus-sasl-lib.x86_64 cyrus-sasl-devel.x86_64 cyrus-sasl-plain.x86_64 cyrus-sasl-md5.x86_64 cyrus-sasl-ldap.x86_64
二:安装openldap和Berkeley DB
1. 写在安装之前:
- 编译安装openldap需要数据库的支持,openldap的数据库支持
Berkeley DB,Oracle,Mysql,MariaDB,GDBM等数据库。默认openldap采用Berkeley DB,并且openldap对数据库有一定的要求,openldap 2.4的软件为例,需要Berkeley DB 4.4版本以上,所以在编译安装openldap源码包时需要先下载安装Berkeley DB
2.编译安装Berkeley DB
- tar -xf db-4.6.21.tar.gz -C /usr/local/src
- cd /usr/local/src/db-4.6.21/build_unix/ && mkdir /usr/local/BDB
- ../dist/configure --prefix=/usr/local/BDB
- make && make install
- echo "/usr/local/BDB/lib/" > /etc/ld.so.conf.d/bdb.conf
- ldconfig -v
- ln -sv /usr/local/BDB/include /usr/include/BDB
3. 编译安装openldap
- tar -xf openldap-2.4.23.tgz -C /usr/local/src/
- cd /usr/local/src/openldap-2.4.23/
- ./configure --prefix=/usr/local/openldap --enable-syslog --enable-modules --enable-debug --with-tls CPPFLAGS=-I/usr/local/BDB/include/ LDFLAGS=-L/usr/local/BDB/lib/ --enable-ldap --enable-relay --enable-accesslog --enable-auditlog --enable-syncprov --with-cyrus-sasl --enable-spasswd
- make depend
- make && make install
- echo "/usr/local/openldap/lib/" > /etc/ld.so.conf.d/ldap.conf
- ldconfig -v
- ln -sv /usr/local/openldap/include/ /usr/include/ldap
- ln -s /usr/local/openldap/bin/* /usr/local/bin/
- ln -s /usr/local/openldap/sbin/* /usr/local/sbin/
三:配置openldap
1 配置openldap的方法有两种:
- 通过修改配置文件实现配置
- 通过配置数据库的形式完成配置(slapd.d下的数据库配置文件),属于动态配置不需要重启slapd进程,
此配置文件在cn=config目录下的LDIF的配置文件 。此文件不建议手动修改,用ldap命令生成。
2配置rootdn密码(optional)
- /usr/local/openldap/bin/slappasswd
此密码记住,后面配置openldap会用到。
3 创建用户ldap
- useradd ldap
4创建数据目录以及日志文件
- mkdir /data/openldap/{data,log,var} -p
- cd /data/openldap/var/
- mkdir run
5 修改权限:
- cp /usr/local/openldap/etc/openldap/DB_CONFIG.example /data/openldap/data/DB_CONFIG
- chown -R ldap:ldap /data/openldap/data
- chmod 700 -R /data/openldap/data
6修改openldap配置文件
编辑配置文件vim slapd.conf
include /usr/local/openldap/etc/openldap/schema/core.schema
include /usr/local/openldap/etc/openldap/schema/collective.schema
include /usr/local/openldap/etc/openldap/schema/corba.schema
include /usr/local/openldap/etc/openldap/schema/cosine.schema
include /usr/local/openldap/etc/openldap/schema/duaconf.schema
include /usr/local/openldap/etc/openldap/schema/dyngroup.schema
include /usr/local/openldap/etc/openldap/schema/inetorgperson.schema
include /usr/local/openldap/etc/openldap/schema/java.schema
include /usr/local/openldap/etc/openldap/schema/misc.schema
include /usr/local/openldap/etc/openldap/schema/nis.schema
include /usr/local/openldap/etc/openldap/schema/openldap.schema
include /usr/local/openldap/etc/openldap/schema/ppolicy.schema
pidfile /data/openldap/var/run/slapd.pid
argsfile /data/openldap/var/run/slapd.args
loglevel 256
logfile /data/openldap/log/slapd.log
moduleload syncprov.la # 需要数据同步需要开启此模块
database bdb
directory /data/openldap/data
suffix "dc=boe,dc=com"
rootdn "cn=Manager,dc=boe,dc=com"
rootpw {SSHA}eJtr5umAo23PqTKATU/X6D8swJ9yIlSx #用slappasswd命令生成的密码
index objectclass,entryCSN,entryUUID eq
overlay syncprov
syncprov-checkpoint 100 10
syncprov-sessionlog 100
serverID 2
syncrepl rid=123
provider=ldap://对端服务器ip
bindmethod=simple
binddn="cn=Manager,dc=boe,dc=com"
credentials=密码(管理员密码,这里是Manager的密码)
searchbase="dc=boe,dc=com"
schemachecking=off
type=refreshAndPersist
retry="60 +"
mirrormode on
两个服务器的配置文件有两个地方不一致
1)serverID不一致
2)provider=ldap://对端的ip
7开启日志功能
- 通过修改配置文件开启日志功能
- /etc/rsyslog.d/slapd.conf
local4.* /data/openldap/log/openldap.log
重启rsyslog和slapd
service rsyslog restart
- 通过修改数据库配置文件开启
-
/root/loglevel.ldif << EOF
dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: stats
EOF
ldapadd -x -D "cn=Manager,dc=boe,dc=com" -f ./loglevel.ldif -w secret
四:配置phpldpadmin工具
1 安装和配置LDAP管理工具PHPldapadmin
- yum -y install httpd php php-ldap php-gd php-mbstring php-pear php-bcmath php-xml
- yum -y install epel-release
- yum --enablerepo=epel -y install phpldapadmin
2 修改配置文件
- vim /etc/phpldapadmin/config.php +398
397行取消注释,398行添加注释
$servers->setValue('login','attr','dn');
- vi /etc/httpd/密码 d/phpldapadmin.conf
Apache 2.4
Require all granted (修改此处)
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
Allow from ::1
3 设置开机自启并启动Apache
[root@localhost ~]# systemctl enable httpd
[root@localhost ~]# systemctl start httpd
启动openldap
/usr/local/openldap/libexec/slapd
访问用http://ip/phpldapadmin访问如图
在10.10.1.132上创建了一个OU名为testou,会发现10.10.1.132会自动同步到本地,如图:
两服务器日志如下:
以上结果得知,在镜像模式下,当其中一台服务器增加操作OU时,另一台也会同步增加,两台服务器均可进行读写操作,任何一台信息发生变化,都会以推的方式进行通知。
