Linux/UNIX OpenLDAP實(shí)戰(zhàn)指南

第1章　OpenLDAP介紹及工作原理詳解 2
1.1 關(guān)于OpenLDAP 3
1.1.1 OpenLDAP是什么 3
1.1.2 為什么選擇OpenLDAP產(chǎn)品 4
1.1.3 OpenLDAP目錄服務(wù)優(yōu)點(diǎn) 4
1.1.4 OpenLDAP功能 5
1.1.5 OpenLDAP協(xié)議版本概述 5
1.1.6 LDAP產(chǎn)品匯總 6
1.1.7 OpenLDAP適用場(chǎng)景 6
1.1.8 OpenLDAP支持的系統(tǒng)平臺(tái) 6
1.1.9 OpenLDAP高級(jí)功能匯總 7
1.2 OpenLDAP目錄架構(gòu) 7
1.2.1 OpenLDAP目錄架構(gòu)介紹 7
1.2.2 互聯(lián)網(wǎng)命名組織架構(gòu) 7
1.2.3 企業(yè)級(jí)命名組織架構(gòu) 8
1.2.4 OpenLDAP的系統(tǒng)架構(gòu) 8
1.2.5 OpenLDAP的工作模型 9
1.3 OpenLDAP schema概念 9
1.3.1 schema介紹及用途 9
1.3.2 獲取schema的途徑 10
1.4 OpenLDAP目錄條目概述 11
1.4.1 objectClass分類 11
1.4.2 OpenLDAP常見的
objectClass 11
1.4.3 objectClass詳解 13
1.4.4 objectClass案例分析 13
1.5 屬性 14
1.5.1 屬性概述 14
1.5.2 Attribute詳解 14
1.6 LDIF詳解 15
1.6.1 LDIF用途 15
1.6.2 LDIF文件特點(diǎn) 15
1.6.3 LDIF格式語(yǔ)法 16
1.7 對(duì)象標(biāo)識(shí)符講解 16
1.8 自動(dòng)化運(yùn)維解決方案 17
1.8.1 互聯(lián)網(wǎng)面臨的問題 17
1.8.2 自動(dòng)化解決方案 18
1.9 本章總結(jié) 19
第2章　OpenLDAP服務(wù)器安裝與配置 20
2.1 OpenLDAP平臺(tái)支持 21
2.2 OpenLDAP安裝 21
2.2.1 OpenLDAP安裝方式 21
2.2.2 OpenLDAP安裝步驟 21
2.3 Linux平臺(tái)安裝 21
2.3.1 yum用途及語(yǔ)法 21
2.3.2 以軟件包形式安裝 23
2.3.3 通過(guò)源碼編譯安裝 24
2.3.4 錯(cuò)誤分析、解決 27
2.4 OpenLDAP配置 28
2.4.1 OpenLDAP相關(guān)信息 28
2.4.2 slapd.conf配置文件 28
2.5 OpenLDAP單節(jié)點(diǎn)配置案例 31
2.5.1 安裝環(huán)境規(guī)劃 31
2.5.2 主機(jī)名規(guī)劃配置 32
2.5.3 時(shí)間同步配置 32
2.5.4 防火墻、SELinux配置 33
2.5.5 FQDN域名解析配置 33
2.5.6 安裝OpenLDAP組件 33
2.5.7 初始化OpenLDAP配置 34
2.5.8 slaptest檢測(cè)、生成數(shù)據(jù)庫(kù) 35
2.5.9 OpenLDAP日志配置 35
2.5.10 通過(guò)cn=config配置
OpenLDAP日志 36
2.5.11 OpenLDAP日志切割配置 37
2.5.12 加載slapd進(jìn)程、端口狀態(tài) 38
2.6 OpenLDAP目錄樹規(guī)劃 38
2.6.1 規(guī)劃OpenLDAP目錄樹
組織架構(gòu) 38
2.6.2 故障分析 39
2.7 OpenLDAP用戶以及與用戶組
相關(guān)的配置 40
2.7.1 通過(guò)migrationtools實(shí)現(xiàn)
OpenLDAP用戶及用戶組
的添加 40
2.7.2 自定義LDIF文件添加用戶
及用戶組條目 42
2.8 OpenLDAP索引 43
2.8.1 索引介紹 43
2.8.2 創(chuàng)建索引 44
2.9 OpenLDAP控制策略 44
2.9.1 通過(guò)slapd.conf定義用戶
策略控制 44
2.9.2 通過(guò)cn=config定義用戶
控制策略 45
2.10 本章總結(jié) 45
第3章　OpenLDAP命令詳解 46
3.1 OpenLDAP命令介紹 47
3.2 OpenLDAP命令講解及案例分析 47
3.2.1 ldapsearch命令 47
3.2.2 ldapadd命令 48
3.2.3 ldapdelete命令 49
3.2.4 ldapmodify命令 50
3.2.5 ldapwhoami命令 51
3.2.6 ldapmodrdn命令 51
3.2.7 ldapcompare命令 52
3.2.8 ldappasswd命令 54
3.2.9 slaptest命令 54
3.2.10 slapindex命令 55
3.2.11 slapcat命令 55
3.3 本章總結(jié) 56
第4章　OpenLDAP客戶端部署 57
4.1 服務(wù)器、存儲(chǔ)Web控制集成
OpenLDAP 58
4.1.1 客戶端部署介紹 58
4.1.2 服務(wù)器Web控制臺(tái)集成
LDAP 58
4.1.3 EMC Web控制臺(tái)集成
LDAP 59
4.2 UNIX系統(tǒng)部署OpenLDAP
客戶端 60
4.2.1 本地目錄服務(wù)查詢流程 60
4.2.2 系統(tǒng)發(fā)行版5.x/6.x/7.x的
部署區(qū)別 60
4.2.3 賬號(hào)登錄系統(tǒng)流程講解 60
4.2.4 5.x、6.x、7.x系統(tǒng)版本以及
配置文件介紹 60
4.2.5 配置文件功能介紹 61
4.2.6 三種部署方式介紹 61
4.3 紅帽5.x系統(tǒng)版本部署 62
4.3.1 圖形化部署OpenLDAP
客戶端 62
4.3.2 故障分析之一 64
4.3.3 故障分析之二 65
4.4 紅帽6.x系統(tǒng)版本部署 65
4.4.1 sssd與nslcd的區(qū)別 66
4.4.2 配置文件部署 66
4.5 命令行部署OpenLDAP客戶端 69
4.5.1 authconfig命令介紹 69
4.5.2 authconfig備份恢復(fù)案例 70
4.5.3 部署實(shí)施步驟 71
4.6 故障分析 72
4.7 本章總結(jié) 73
第5章　OpenLDAP GUI管理部署 74
5.1 phpLDAPadmin概述 75
5.2 部署phpLDAPadmin 75
5.2.1 安裝phpLDAPadmin的
環(huán)境準(zhǔn)備 75
5.2.2 Apache部署 75
5.2.3 故障分析 76
5.2.4 驗(yàn)證Apache功能 77
5.2.5 PHP開發(fā)環(huán)境部署 78
5.2.6 驗(yàn)證當(dāng)前系統(tǒng)是否支持
PHP環(huán)境 79
5.2.7 安裝phpLDAPadmin GUI
管理軟件 80
5.2.8 驗(yàn)證phpLDAPadmin界面 81
5.2.9 故障分析 82
5.3 通過(guò)phpLDAPadmin管理
OpenLDAP 83
5.3.1 用戶條目管理 83
5.3.2 phpLDAPadmin用戶
登錄異常 87
5.4 訪問phpLDAPadmin需要提供
Apache驗(yàn)證 87
5.4.1 配置Apache認(rèn)證策略 88
5.4.2 phpLDAPamdin驗(yàn)證
認(rèn)證策略 89
5.5 LAM 89
5.5.1 LAM軟件簡(jiǎn)介 89
5.5.2 LAM功能 90
5.5.3 LAM安裝、配置 90
5.5.4 驗(yàn)證LAM平臺(tái) 91
5.5.5 故障分析 93
5.6 LDAP Admin管理 94
5.6.1 LDAP Admin軟件介紹 94
5.6.2 LDAP Admin安裝 94
5.7 LDAP Admin管理?xiàng)l目 96
5.7.1 條目管理 96
5.7.2 ou管理 97
5.7.3 objectClass管理 97
5.8 本章總結(jié) 99
第6章　OpenLDAP權(quán)限、密碼策略控制 102
6.1 sudo詳解 103
6.1.1 sudo概念描述 103
6.1.2 系統(tǒng)權(quán)限闡述 103
6.2 sudo權(quán)限級(jí)別分類 104
6.2.1 用戶級(jí)別概念 104
6.2.2 組級(jí)別概念 104
6.2.3 命令級(jí)別概念 104
6.3 sudo執(zhí)行流程講解 105
6.4 OpenLDAP sudo權(quán)限講解 105
6.5 sudo權(quán)限控制實(shí)戰(zhàn) 106
6.5.1 sudo權(quán)限控制實(shí)戰(zhàn)拓?fù)鋱D 106
6.5.2 通過(guò)本地sudo規(guī)則實(shí)現(xiàn)
OpenLDAP用戶提權(quán)配置 106
6.5.3 在OpenLDAP服務(wù)端實(shí)現(xiàn)
用戶權(quán)限控制 108
6.6 在客戶端配置OpenLDAP相關(guān)
sudo設(shè)置 115
6.6.1 5.x、6.x部署sudo的區(qū)別 115
6.6.2 RHEL 5.x系統(tǒng)配置
OpenLDAP的sudo規(guī)則 115
6.6.3 RHEL 6.5系統(tǒng)配置
OpenLDAP的sudo規(guī)則 116
6.7 OpenLDAP密碼策略、審計(jì)控制 118
6.7.1 密碼策略 118
6.7.2 通過(guò)本地配置實(shí)現(xiàn)密碼
策略介紹 118
6.7.3 密碼策略屬性詳解 119
6.8 OpenLDAP定制密碼策略 119
6.8.1 OpenLDAP服務(wù)端定制
密碼策略 119
6.8.2 定義密碼策略組 121
6.8.3 定義用戶登錄修改密碼 122
6.8.4 客戶端配置 123
6.9 密碼審計(jì)控制 124
6.9.1 加載審計(jì)模塊auditlog 124
6.9.2 在客戶端驗(yàn)證密碼
策略時(shí)效 124
6.9.3 OpenLDAP用戶密碼跟蹤 124
6.10 常見用戶密碼處理方法 125
6.10.1 密碼被鎖解決方法 125
6.10.2 如何提示修改初始密碼 126
6.10.3 密碼過(guò)期解決方案 127
6.11 本章總結(jié) 127
第7章　OpenLDAP主機(jī)控制策略 129
7.1 主機(jī)控制策略闡述 130
7.2 通過(guò)Linux-PAM模塊實(shí)現(xiàn)控制 130
7.2.1 Linux-PAM組織架構(gòu) 130
7.2.2 PAM配置文件語(yǔ)法講解 130
7.3 通過(guò)access實(shí)現(xiàn)主機(jī)控制 132
7.3.1 access模塊功能闡述 132
7.3.2 access配置語(yǔ)法 132
7.4 通過(guò)access控制用戶實(shí)戰(zhàn)演練 132
7.4.1 加載pam_access.so模塊 132
7.4.2 配置access.conf訪問規(guī)則 133
7.4.3 客戶端驗(yàn)證規(guī)則 133
7.5 OpenLDAP服務(wù)端主機(jī)控制規(guī)則 134
7.5.1 定義olcModuleList對(duì)象 135
7.5.2 添加模塊路徑
/usr/lib64/openldap 135
7.5.3 定義主機(jī)控制模塊 135
7.5.4 定義主機(jī)objectClass對(duì)象 136
7.5.5 定義ldapns的schema規(guī)范 136
7.5.6 定義主機(jī)列表組 136
7.5.7 定義用戶組 137
7.6 OpenLDAP客戶端部署 139
7.6.1 定義FQDN解析 139
7.6.2 加載LDAP主機(jī)控制規(guī)則 139
7.6.3 在客戶端驗(yàn)證控制策略 140
7.6.4 日志分析 141
7.7 6.x客戶端部署 142
7.7.1 定義FQDN解析 142
7.7.2 pam_ldap.conf參數(shù)規(guī)劃 142
7.7.3 在客戶端驗(yàn)證控制策略 142
7.7.4 日志分析 143
7.8 LAM控制臺(tái)管理 143
7.8.1 定義用戶添加屬性 144
7.8.2 在客戶端驗(yàn)證 146
7.9 本章總結(jié) 147
第8章　OpenLDAP加密傳輸與證書
頒發(fā)機(jī)構(gòu) 148
8.1 OpenSSL 149
8.1.1 SSL概述 149
8.1.2 OpenSSL概述 149
8.1.3 OpenSSL會(huì)話建立過(guò)程 149
8.2 CA 150
8.2.1 CA概述 150
8.2.2 CA證書有效信息 150
8.2.3 秘鑰交換原理 151
8.3 加密算法講解 151
8.3.1 對(duì)稱加密算法 151
8.3.2 單向加密算法 152
8.3.3 非對(duì)稱加密算法 153
8.4 OpenSSL組件與命令 155
8.4.1 OpenSSL組件 155
8.4.2 OpenSSL命令講解 155
8.5 通過(guò)OpenSSL構(gòu)建證書頒發(fā)機(jī)構(gòu) 156
8.5.1 CA證書獲取途徑 156
8.5.2 自建CA 156
8.6 OpenLDAP與CA集成 159
8.6.1 OpenLDAP證書獲取 159
8.6.2 OpenLDAP TLS/SASL
部署 160
8.6.3 客戶端部署 164
8.7 phpLDAPadmin加密會(huì)話認(rèn)證 167
8.7.1 部署環(huán)境規(guī)劃 167
8.7.2 phpLDAPadmin加密會(huì)話 168
8.8 本章總結(jié) 172
第9章　OpenLDAP同步原理及配置 173
9.1 OpenLDAP同步 174
9.1.1 OpenLDAP同步原理 174
9.1.2 syncrepl、slurpd同步機(jī)制
優(yōu)缺點(diǎn) 175
9.1.3 OpenLDAP同步條件 175
9.1.4 OpenLDAP同步參數(shù) 175
9.2 OpenLDAP的5種同步模式 176
9.2.1 syncrepl模式 176
9.2.2 N-Way Multi-Master模式 176
9.2.3 MirrorMode模式 176
9.2.4 syncrepl Proxy模式 177
9.2.5 Delta-syncrepl模式 177
9.3 OpenLDAP主從同步實(shí)戰(zhàn)案例 177
9.3.1 部署環(huán)境 177
9.3.2 OpenLDAP服務(wù)器初始化 178
9.3.3 配置主服務(wù)器同步策略 179
9.3.4 OpenLDAP主從同步 180
9.3.5 OpenLDAP主從同步驗(yàn)證 184
9.4 OpenLDAP MirrorMode同步
實(shí)戰(zhàn)案例 186
9.4.1 部署環(huán)境 186
9.4.2 為OpenLDAP主服務(wù)器A
部署mirrormode 186
9.4.3 為OpenLDAP主服務(wù)器B
部署mirrormode 187
9.4.4 OpenLDAP mirrormode
驗(yàn)證 188
9.5 OpenLDAP N-Way Multi-master
同步實(shí)戰(zhàn)操作 189
9.5.1 部署環(huán)境 189
9.5.2 OpenLDAP N-Way
Multimaster部署 189
9.5.3 客戶端驗(yàn)證 191
9.6 本章總結(jié) 191
第10章　OpenLDAP負(fù)載均衡、高可用
系統(tǒng)架構(gòu) 193
10.1 負(fù)載均衡、高可用 194
10.2 LVS介紹 194
10.2.1 LVS調(diào)度算法 194
10.2.2 LVS集群工作模式 195
10.2.3 ipvsadm命令 197
10.2.4 LVS持久連接闡述 199
10.3 LVS與OpenLDAP集成案例 200
10.3.1 編譯安裝ipvsadm 200
10.3.2 前端負(fù)載均衡規(guī)劃 201
10.3.3 后端realserver部署 202
10.3.4 客戶端驗(yàn)證 203
10.4 realserver健康監(jiān)測(cè) 204
10.4.1 定義realserver監(jiān)控腳本 204
10.4.2 自動(dòng)部署LVS、
realserver 206
10.4.3 自動(dòng)部署LVS 206
10.4.4 自動(dòng)部署realserver 207
10.5 F5與OpenLDAP集成案例 208
10.5.1 部署規(guī)劃 208
10.5.2 F5 Big-IP配置 208
10.5.3 客戶端部署驗(yàn)證 211
10.5.4 realserver故障案例 211
10.6 A10 Networks與OpenLDAP
集成案例 212
10.6.1 A10 Networks管理常識(shí) 213
10.6.2 部署規(guī)劃 214
10.6.3 A10 Networks配置 215
10.6.4 獲取集群資源 219
10.6.5 客戶端驗(yàn)證 220
10.6.6 realserver故障案例 220
10.7 OpenLDAP開源負(fù)載高
可用架構(gòu) 221
10.7.1 部署規(guī)劃 221
10.7.2 Keepalived部署 222
10.7.3 客戶端驗(yàn)證 226
10.7.4 Keepalived異常檢測(cè) 226
10.8 本章總結(jié) 227
第11章　FTP與OpenLDAP集成案例 230
11.1 FTP服務(wù)器 231
11.1.1 FTP簡(jiǎn)介 231
11.1.2 FTP功能 231
11.1.3 FTP工作原理 231
11.1.4 FTP連接模式 231
11.1.5 FTP登錄方式 232
11.1.6 FTP賬號(hào)驗(yàn)證方式 232
11.2 OpenLDAP與FTP集成案例 233
11.2.1 OpenLDAP服務(wù)、FTP
服務(wù)認(rèn)證機(jī)制 233
11.2.2 部署規(guī)劃 233
11.2.3 FTP服務(wù)端部署 234
11.2.4 客戶端驗(yàn)證測(cè)試 236
11.2.5 配置OpenLDAP客戶端 237
11.2.6 驗(yàn)證OpenLDAP用戶
登錄FTP服務(wù)器 238
11.3 故障處理 240
11.3.1 500OP異常處理 240
11.3.2 用戶權(quán)限控制 240
11.4 本章總結(jié) 240
第12章　Samba與OpenLDAP集成案例 241
12.1 Samba 242
12.1.1 Samba簡(jiǎn)介 242
12.1.2 Samba軟件功能模塊 242
12.1.3 Samba共享資源語(yǔ)法 242
12.1.4 Samba服務(wù)器安全 243
12.2 Samba部署案例 243
12.2.1 Samba組件 243
12.2.2 Samba部署注意事項(xiàng) 244
12.2.3 部署Samba服務(wù)端 244
12.2.4 客戶端驗(yàn)證共享資源 246
12.3 OpenLDAP與Samba集成案例 246
12.3.1 部署規(guī)劃 247
12.3.2 定義Schema 248
12.3.3 Samba服務(wù)器端配置
OpenLDAP驗(yàn)證 248
12.3.4 客戶端驗(yàn)證 249
12.3.5 Samba擴(kuò)展——OpenLDAP
組訪問Samba資源 251
12.4 通過(guò)LDAP Admin管理
Samba賬號(hào) 251
12.4.1 登錄LDAP Admin 252
12.4.2 添加Samba賬號(hào) 252
12.4.3 授權(quán)Samba賬號(hào) 253
12.5 本章總結(jié) 253
第13章　Zabbix與OpenLDAP集成案例 254
13.1 Zabbix 255
13.1.1 Zabbix簡(jiǎn)介 255
13.1.2 Zabbix特點(diǎn) 255
13.1.3 Zabbix安裝部署 255
13.1.4 Zabbix配置 256
13.1.5 Zabbix初始化規(guī)劃 258
13.2 Zabbix與OpenLDAP集成案例 261
13.2.1 Zabbix驗(yàn)證模式介紹 261
13.2.2 Zabbix基于OpenLDAP
的配置參數(shù)講解 262
13.2.3 基于Zabbix實(shí)現(xiàn)
OpenLDAP驗(yàn)證實(shí)戰(zhàn) 262
13.2.4 Zabbix用戶管理 264
13.2.5 Zabbix異常案例分析 267
13.3 本章總結(jié) 268
第14章　Apache與OpenLDAP集成驗(yàn)證 269
14.1 Apache 270
14.1.1 Apache介紹 270
14.1.2 Apache部署方式 270
14.1.3 Apache部署實(shí)戰(zhàn) 270
14.1.4 客戶端測(cè)試 271
14.2 OpenLDAP與Apache集成 272
14.2.1 OpenLDAP與Apache
部署案例 272
14.2.2 限制OpenLDAP用戶
登錄Apache 275
14.2.3 限制OpenLDAP組訪問
Apache 277
14.3 本章總結(jié) 279
第15章　Jumpserver開源跳板機(jī)
集成案例 280
15.1 Jumpserver介紹 281
15.1.1 認(rèn)識(shí)Jumpserver 281
15.1.2 Jumpserver原理詳解 281
15.2 Jumpserver與OpenLDAP
集成案例 283
15.2.1 環(huán)境部署規(guī)劃 283
15.2.2 安裝epel源和依賴包 283
15.2.3 MySQL數(shù)據(jù)庫(kù)部署 283
15.2.4 Jumpserver安裝、部署 286
15.2.5 驗(yàn)證Jumpserver 290
15.3 Jumpserver管理 292
15.3.1 用戶管理 292
15.3.2 資產(chǎn)管理 294
15.3.3 授權(quán)管理 296
15.3.4 審計(jì)管理 299
15.3.5 用戶登錄驗(yàn)證 299
15.4 本章總結(jié) 301
第16章　OpenLDAP服務(wù)器性能優(yōu)化、
備份恢復(fù)、故障分析 302
16.1 OpenLDAP服務(wù)器性能優(yōu)化 303
16.1.1 性能優(yōu)化目標(biāo) 303
16.1.2 架構(gòu)調(diào)整 303
16.1.3 索引優(yōu)化 303
16.1.4 數(shù)據(jù)存儲(chǔ)優(yōu)化 304
16.1.5 調(diào)整條目緩存大小 304
16.1.6 客戶端參數(shù)調(diào)整 304
16.1.7 OpenLDAP服務(wù)端內(nèi)核
參數(shù)優(yōu)化 305
16.2 OpenLDAP備份、恢復(fù) 306
16.2.1 OpenLDAP備份機(jī)制 306
16.2.2 OpenLDAP恢復(fù)機(jī)制 308
16.3 OpenLDAP服務(wù)器故障分析 308
16.3.1 網(wǎng)絡(luò)異常，賬號(hào)無(wú)法
正常登錄 308
16.3.2 命令執(zhí)行緩慢 310
16.3.3 slapd啟動(dòng)異常 311
16.3.4 slaptest檢測(cè)失敗 311
16.3.5 OpenLDAP條目異常 312
16.3.6 OpenLDAP用戶連接
數(shù)過(guò)多 312
16.3.7 服務(wù)器異常斷電處理 313
16.4 本章總結(jié) 313
第17章　OpenLDAP批量部署解決
方案——Puppet 314
17.1 Puppet 315
17.1.1 Puppet簡(jiǎn)介 315
17.1.2 Puppet工作流程圖 315
17.1.3 Puppet如何工作 316
17.1.4 Puppet工作模型 316
17.1.5 Puppet資源 316
17.1.6 Puppet資源引用 318
17.1.7 Puppet數(shù)據(jù)類型 319
17.1.8 Puppet資源間的應(yīng)用鏈 320
17.1.9 Puppet變量作用域 320
17.1.10 Puppet條件判斷 321
17.1.11 Puppet模塊、類、
資源 323
17.2 Puppet服務(wù)端安裝、部署 324
17.2.1 部署環(huán)境 324
17.2.2 Puppet服務(wù)器安裝 324
17.2.3 故障分析 326
17.2.4 Puppet master自動(dòng)簽署
客戶端證書 327
17.3 Puppet客戶端部署 328
17.3.1 Puppet agent安裝 328
17.3.2 故障分析 329
17.3.3 Puppet agent證書申請(qǐng) 329
17.3.4 Puppet master端頒發(fā)
認(rèn)證 329
17.3.5 客戶端修改主機(jī)名的
解決方案 330
17.4 Puppet agent資源驗(yàn)證 330
17.4.1 Puppet服務(wù)端定義
資源清單 330
17.4.2 Puppet agent驗(yàn)證 331
17.5 Puppet kick模塊 331
17.5.1 Puppet kick功能介紹 331
17.5.2 Puppet kick部署 331
17.5.3 Puppet master驗(yàn)證 332
17.5.4 故障分析 333
17.6 OpenLDAP客戶端自動(dòng)部署
解決方案——Puppet 334
17.6.1 定義OpenLDAP模板 334
17.6.2 規(guī)劃OpenLDAP資源
代碼 334
17.6.3 客戶端驗(yàn)證 335
17.7 本章總結(jié) 338