RHCE认证培训之LDAP实验步骤(考试专用) (2)

LDAP 服务器 172 24 10 254 1 修改主机名 2 配置好光盘 yum 3 mount dev sr0 media 4 yum y install openldap db4 migrationtools 5 cd var lib ldap 6 slapd 生成与 ldap 有关的库文件 7 netstat lntp grep 389 ldap 监听 389 端口 8 chown ldap ldap var lib ldap 9 cp usr share doc openldap servers 2 4 19 DB CONFIG example var lib ldap DB CONFIG 10 service slapd restart 11 cp p etc openldap slapd conf bak etc openldap slapd conf 保留权限 12 slappasswd h SSHA s redhat etc openldap slapd conf 13 vi etc openldap slapd conf databasebdb 90 行 suffix dc domain10 dc example dc com 91 行 rootdn cn Manager dc domain10 dc example dc com 93 行 rootpw SSHA 94 行手动添加 最后一行加密字符串注释掉 14 chkconfig slapd on 15 chkconfig rsyslog on 系统日志服务 16 chkconfig rpcbind on 17 mkdir rhome 18 useradd d rhome ldapuser01 ldapuser01 19 useradd d rhome ldapuser02 ldapuser02 20 passwd ldapuser01 21 passwd ldapuser02 22 vi usr share migrationtools migrate common ph 71 行 dc domain10 dc example dc com 74 行 23 cd usr share migrationtools 24 migrate passwd pl etc passwd etc openldap user ldif 25 migrate group pl etc group etc openldap group ldif 26 cd etc openldap 27 vim example ldif dn dc domain10 dc example dc com objectclass dcObject objectclass organization o Example Inc dc domain10 dn cn Manager dc domain10 dc example dc com objectclass organizationalRole cn Manager 28 vi ou people ldif dn ou people dc domain10 dc example dc com objectclass organizationalUnit ou people 29 vi ou group ldif dn ou group dc domain10 dc example dc com objectclass organizationalUnit ou group 30 service slapd stop 31 mv slapd d slapd d bak 32 slapadd vl example ldif 33 slapadd vl ou people ldif 34 slapadd vl ou group ldif 35 slapadd vl user ldif 36 slapadd vl group ldif 37 service slapd start 38 chown ldap ldap var lib ldap 39 service slapd restart 40 ldapsearch x H ldap 192 168 10 1 b dc domain10 dc example dc com RHEL6 0 必须要求实现 ldap 服务器的安全通信 配置根 CA 服务器 rpm aq grep openssl 41 cp etc pki tls f etc pki tls f bak 42 vim etc pki tls f default days 3650 73 行 default bits 2048 106 行 CA TRUE 172 行 CA TRUE 223 行 43 cp etc pki tls f etc pki tls f rootca 44 cd etc pki tls misc 45 vim CA 63 行 64 行 改为 10 年 46 rm rf etc pki CA 47 ls etc pki 48 CA newca 根 CA 创建证书 输入私钥保护密码 123456 确认保护密码 123456 输入国家 CN 省名 beijing 城市名 changping 组织名 benet 单位名 t211 输入根 CA 服务器 FQDN 输入私钥保护密码 123456 49 ls etc pki CA private ls etc pki CA cakey pem CA 的私钥 cacert pem CA 的公钥 50 openssl x509 查看证书文件 51 cd etc pki tls misc 52 CA newreq 给 ldap 颁发证书 Ldap 服务器私钥保护密码 123456 输入相关信息 输入 ldap 服务器的 fqdn 名 54 CA sign 对证书开始签名 输入 CA 服务器的私钥保护密码 123456 55 ls etc pki tls misc newreq pem ldap 服务器证书申请文件 newcert pem ldap 服务器公钥 newkey pem ldap 服务器私钥 55 vim etc openldap slapd conf TLSCACertificateFile etc openldap cacerts domain10 crt 55 行 TLSCertificateFile etc openldap cacerts newcert pem 56 行 TLSCertificateKeyFile etc openldap cacerts newkey pem 57 行 TLSVerifyClient never ldap 服务器不需要检查客户端证书 58 行手动添加 56 cd etc pki tls misc 57 cp new etc openldap cacerts 58 cp etc pki CA cacert pem etc openldap cacerts domain10 crt 59 cd etc openldap cacerts 60 chown ldap ldap newkey pem 61 service slapd restart 62 vim etc httpd conf httpd conf Alias pub etc openldap cacerts 创建虚拟目录 Options none Allowoverride none Order allow deny Allow from all 63 service httpd restart 64 chkconfig httpd on 65 service iptables stop 66 chkconfig iptables off setenforce 0 或修改 etc selinux config 文件 基于基于 http 的方的方 式保式保 存证存证 书书 LDAP 客户端 172 24 10 10 1 vim etc hosts 172 24 10 254 此处也可以在考试服务 器添加 host 的 A 记录 2 安装软件包 sssd oddjob mkhomedir authconfig gtk 3 系统 管理 验证 验证方法 LDAP ldap 下载证书 LDAP 密码 4 Vim etc sssd sssd conf 5 service sssd restart 6 使用 ldapuser01 在客户端登录 手动添加该项 改为 False 基基 于于 http 的的 方方 式式 下下 载载 证证 书书 56 vim etc openldap slapd conf TLSCACertificateFile var ftp pub domain10 crt 55 行 TLSCertificateFile var ftp pub newcert pem 56 行 TLSCertificateKeyFile var ftp pub newkey pem 57 行 TLSVerifyClient never ldap 服务器不需要检查客户端证书 58 行手动添加 57 cd etc pki tls misc 58 cp new var ftp pub 59 cp etc pki CA cacert pem var ftp pub domain10 crt 60 cd var ftp pub 61 chown ldap ldap newkey pem 62 openssl rsa in var ftp pub newkey pem out var ftp pub www pem 去掉私钥的保护密码 63 Vim etc openldap slapd conf var ftp pub www pem 57 行 62 service slapd restart 此时无私钥保护密码提示 63 chkconfig vsftpd on 64 service iptables stop 65 chkconfig iptables off setenforce 0 或修改 etc selinux config 文件 基基 于于 ftp 的的 方方 式式 保保 存存 证证 书书 LDAP 客户端 172 24 10 10 1 vim etc hosts 172 24 10 254 此