简介
最近梳理了下自己的自动化运维体系,发现目前运维管理中的各子系统都是独立运行。在管理过程中在各子系统中需要创建不同的账号,给管理及其他使用人员带来了极大的不便,需要记录各种登录密码。因此在消化总结其他人的知识图谱后,可以使用ldap来打通各子系统的账户体系,如zabbix、jenkins、jumpserver等。
基本概念
1.条目
条目entry 就是目录管理的对象,他是ldap中最基本的颗粒,就像字典中的词条,或是数据库中的记录。通常对ldap的添加、删除、更改、检索就是以条目为基本对象的。
每一个条目都有一个唯一的标识名(distinguished name,dn),如:
dc=test,dc=cn 有3个条目,而且它本身也是一个条目:
2.属性
每个条目可以有多个属性,常见的属性名称:
安装
yum install -y openldap openldap-clients openldap-servers# 复制一个默认配置到指定目录下,并授权,这一步一定要做,然后再启动服务,不然生产密码时会报错cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIGchown -R ldap.ldap /var/lib/ldap/DB_CONFIGsystemctl enable slapdsystemctl start slapd配置openldap
一、密码设置
1.生成管理员密码[root@phab cn=config]# slappasswd -s test{SSHA}0Pgrrxa0cczUisQSCNRjiDAdW8iSwHgW2.新增修改密码文件vim changepwd.ldifdn: olcDatabase={0}config,cn=configchangetype: modifyadd: olcRootPWolcRootPW: {SSHA}0Pgrrxa0cczUisQSCNRjiDAdW8iSwHgW3.执行命令如下:[root@phab ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f changepwd.ldifSASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0modifying entry "olcDatabase={0}config,cn=config"执行完命令后,会在 /etc/openldap/slapd.d/cn=config/olcDatabase={0}config.ldif 文件中新增olcRootPW:: e1NTSEF9eGNGRUZwRTBzb0cnRGNWVENHRRQmk0ZWIwVGErYVc=注意:上面是一个完整的修改配置的过程,不能直接修改/etc/openldap/slapd.d/目录下的配置。
二、基础配置
1.导入基本的schema ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/collective.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/corba.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/duaconf.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/java.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/misc.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/openldap.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/pmi.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif2.修改域名vim changedomain.ldifdn: olcDatabase={1}monitor,cn=configchangetype: modifyreplace: olcAccessolcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=admin,dc=test,dc=cn" read by * none dn: olcDatabase={2}hdb,cn=configchangetype: modifyreplace: olcSuffixolcSuffix: dc=test,dc=cn dn: olcDatabase={2}hdb,cn=configchangetype: modifyreplace: olcRootDNolcRootDN: cn=admin,dc=test,dc=cn dn: olcDatabase={2}hdb,cn=configchangetype: modifyreplace: olcRootPWolcRootPW: {SSHA}xcFEFpE0smv4rtF5eD4tQBi4eb0Ta+aW dn: olcDatabase={2}hdb,cn=configchangetype: modifyadd: olcAccessolcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=test,dc=cn" write by anonymous auth by self write by * noneolcAccess: {1}to dn.base="" by * readolcAccess: {2}to * by dn="cn=admin,dc=test,dc=cn" write by * read执行命令ldapmodify -Y EXTERNAL -H ldapi:/// -f changedomain.ldif[root@phab ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f changedomain.ldifSASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0modifying entry "olcDatabase={1}monitor,cn=config"modifying entry "olcDatabase={2}hdb,cn=config"modifying entry "olcDatabase={2}hdb,cn=config"modifying entry "olcDatabase={2}hdb,cn=config"modifying entry "olcDatabase={2}hdb,cn=config"通过以上的所有步骤,我们就设置好了一个 LDAP 目录树:其中基准 dc=test,dc=cn 是该树的根节点,其下有一个管理域 cn=admin,dc=test,dc=cn 和两个组织单元 ou=People,dc=test,dc=cn 及 ou=Group,dc=test,dc=cn。
配置完成后,后面的步骤可以通过phpldapadmin在界面操作。
集成子系统
1.jumpserver
注意:ldap属性映射中由于映射了mail属性,因此在ldap中的用户中必须添加邮件属性,否则jumpserver在启用ldap认证中会报错。
2.zabbix
注意: zabbix的用户必须提前创建且和ldap中账户一致,也可通过脚本方式自动同步。
3.jenkins
jenkins设置完毕后,我们只需对账户进行分配相关项目即可。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
