哎,你的公司是不是还在用Excel表格管理账号?每次新人入职建三五个系统账号?今天咱们就来盘一盘这个企业级账号管家——LDAP服务器搭建,保准你看完能跟运维老油条掰手腕!
一、装机前的灵魂拷问
\”这玩意儿跟微信通讯录有啥区别?\” 这么说吧,LDAP就像个超级智能的通讯录,不仅能存人名电话,连权限、密码、部门架构都能管得明明白白。举个真实案例:我前东家用了LDAP后,新员工入职半小时就能开通所有系统权限外卖送餐还快!
装机必备清单(以CentOS为例):
- 系统要求:内存≥2G(太小了跑起来比老牛拉车还费劲)
- 软件三件套:
bash复制
sudo yum install openldap openldap-servers openldap-clients这行命令就跟泡面三包料一样,缺一不可
二、配置文件的弯弯绕绕
\”为啥要改suffix和rootdn?\” 这就跟你家的门牌号一个道理!打开/etc/openldap/slapd.conf文件:
bash复制suffix \"dc=mycompany,dc=com\" # 公司网络身份证 rootdn \"cn=admin,dc=mycompany,dc=com\" # 超级管理员账号 rootpw {SSHA}加密后的密码 # 用slappasswd生成踩坑预警:有次我手滑把dc写成comany,结果整个服务器变成薛定谔的猫——既存在又不存在
三、起服务的骚操作
启动命令可不是点鼠标:
bash复制systemctl start slapd # 点火启动 systemctl enable slapd # 开机自启这时候可以用
netstat -tulnp | grep 389瞅瞅端口,看到LDAP字样就说明启动成功啦!就跟看汽车仪表盘一样简单
四、目录树搭建实战教学
\”这目录结构比族谱还复杂?\” 其实就跟搭积木一样!准备个base.ldif文件:
ldif复制dn: dc=mycompany,dc=com objectClass: dcObject objectClass: organization o: MyCompany dc: mycompany dn: ou=people,dc=mycompany,dc=com objectClass: organizationalUnit ou: people导入命令:
bash复制ldapadd -x -D \"cn=admin,dc=mycompany,dc=com\" -W -f base.ldif血泪教训:有次我忘写objectClass属性,系统直接给我表演了个\”您配吗\”的冷漠拒绝
五、用户管理的十八般武艺
加用户比发微信还简单:
ldif复制dn: uid=zhangsan,ou=people,dc=mycompany,dc=com objectClass: inetOrgPerson cn: 张三 sn: 张 uid: zhangsan userPassword: {SSHA}加密密码用
ldapsearch -x -b \"dc=mycompany,dc=com\"查一下,能看到张三的信息就算成了!跟翻通讯录找朋友一样直观
六、安全加固的保命操作
别让服务器裸奔上网:
- 上SSL加密:把证书扔进
/etc/openldap/certs/,配置文件加这几行:bash复制TLSCACertificateFile /etc/openldap/certs/ca.crt TLSCertificateFile /etc/openldap/certs/server.crt TLSCertificateKeyFile /etc/openldap/certs/server.key- 访问控制:限制IP段访问,别让阿猫阿狗都能来敲门
七、故障排查三板斧
服务器装死怎么办:
- 看日志:
tail -f /var/log/slapd.log实时监控- 测试连接:
ldapwhoami -x -D \"cn=admin,dc=mycompany,dc=com\" -W- 终极杀招:
slaptest -u检查配置文件,比X光还准
个人私货:用了五年LDAP,最的就是密码加密方式!MD5早该进博物馆了,现在都用SSHA加盐加密才安全。另外建议把
nsswitch.conf和pam_ldap配置好,能让Linux系统直接对接LDAP登录,那叫一个丝滑!最后唠叨句:千万别在周五下午改配置文件,别问我怎么知道的…你准备好让公司账号管理进入自动驾驶模式了吗?
