linux probe 十五

DHCP可以为局域网里分配IP地址。也可以分配网卡信息，网关，子网掩码。

作用域，一个完整的IP地址网段。

租用域-排除范围=地址池

默认租约时间21600 也就是6小时，最大租约时间43200 也就是12小时。当为网卡分配ip6个小时以后，会DHCP服务会检查网卡是否还在线，如果不在线将此IP放入回收池。12小时以后会再次检查网卡是否在线，如果不在线就将彻底回收

 

192.168.10.0/24 作用域

192.168.10.20-192.168.10.220 地址池。地址池比作用域小或等

编辑虚拟机，虚拟网络编辑器。不选 使用本机DHCP服务器分配ip地址。

yum install dhcp

vim /etc/dhcp/dhcpd.conf 配置文件的内容是空的，可以参考/usr/share/doc/dhcp*/dhcpd.conf.example

 

ddns-update-style none; 禁用动态dns

ignore client-updates;不接受用户的更新

subnet 192.168.10.0 netmask 255.255.255.0{

range 192.168.10.20 192.168.10.200;

option subnet-mask 255.255.255.0;为用户分配的子网掩码

option routers 192.168.10.1; 网关地址

option domain-name-servers 8.8.8.8 dns解析服务器

default-lease-time 21600;

max-lease-time 43200;

}

wq!

iptables -F

systemctl start bind

service iptables save

启用另外一个虚拟机

nm-connection-editor

网卡设置为dhcp

cat /etc/dhcp/dhcpd.conf 

cat /var/log/message 查看dhcp的日志。

vim /etc/dhcp/dhcpd.conf

subnet 192.168.10.0 netmask 255.255.255.0{

range 192.168.10.20 192.168.10.200;

option subnet-mask 255.255.255.0;为用户分配的子网掩码

option routers 192.168.10.1; 网关地址

option domain-name-servers 8.8.8.8 dns解析服务器

default-lease-time 21600;

max-lease-time 43200;

host boss{ 为老板的网卡绑定到固定ip

hardware ethernet xxxxxxxxxxx

fixed-address 192.168.10.88;

}

}

wq!

systemctl restart dhcpd

systemctl enabled dhcpd

 

 

openldap 轻量级目录访问协议。可以当成数据库使用。使用特点：存储短小信息。读取频次高，不能多次修改。

yum install -y openldap openldap-clients openldap-servers migrationtools 安装opengldap的主程序，客户端，服务端，迁移工具。

vim /etc/hosts

192.168.10.10 www.linuxprobe.com

wq!

ping www.inuxprobe.com

slappasswd -s linuxprobe -n > /etc/openldap/passwd 将明文加密成字符串, -n代表导出。

openssl req - new -x509 -nodes -out /etc/openldap/certs/cert.pem -keyout /etc/openldap/certs/priv.pem -days 365使用openssl生成一对非对称秘钥，req代表注册，-new代表新建 -509代表证书协议，-nodes是一个节点，-out输出,cert.pem表示公钥，priv.pem代表私钥，有效期是365天。

填写先关信息，国家，省份，地区，组织名称，主机名称：www.linuxprobe.com

cd /etc/openldap/certs

chown ldap:ldap *

chmod 600 *

cp /usr/share/openldap-servers/DB_CONFIG.example  /var/lib/ldap/DB_CONFIG

cd /var/lib/ldap

slaptest 测试，可以自动生成数据库。

ls

chown ldap:ldap

id ladp

systemctl restart slapd 

systemctl enable slapd

如果ldap中没有组织架构的时候用ldapadd添加 。ldapmodify修改

cd /etc/openldap/schema/ .ldif 是模板文件 

ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f cosine.ldif先导入一个目录架构模板，然后再在这个模板基础之上进行修改。

ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f nis.ldif先导入一个目录架构模板，然后再在这个模板基础之上进行修改。

vim /etc/openldap/changes.ldif

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=linuxprobe,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=linuxprobe,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: 此处输入之前生成的密码（如{SSHA}v/GJvGG8SbIuCxhfTDVhkmWEuz2afNIR）

dn: cn=config
changetype: modify
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/certs/cert.pem

dn: cn=config
changetype: modify
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/certs/priv.pem

dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: -1

dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=linuxprobe,dc=com" read by * none

ldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/changes.ldif

vim /etc/openldap/base.ldif

 

[root@linuxprobe ~]# vim /etc/openldap/base.ldif
dn: dc=linuxprobe,dc=com
dc: linuxprobe 第一个部门
objectClass: top
objectClass: domain

dn: ou=People,dc=linuxprobe,dc=com
ou: People  第二个部门
objectClass: top
objectClass: organizationalUnit

dn: ou=Group,dc=linuxprobe,dc=com
ou: Group  第三个部门
objectClass: top
objectClass: organizationalUnit

 ldapadd -x -w linuxprobe -D cn=Manager,dc=linuxprobe,dc=com -f /etc/openldap/base.ldif 将上面新建的三个部门配置文件导入。

useradd -d /home/ldap zhaosi 

cd /usr/share/migrationtools  迁移工具将我们的明文信息导成加密文本，把系统中的用户信导成ldap可以使用的文本。

vim /usr/share/migrationtools/migrate_common.ph

71行#DEFAULT_MAIL_DOMAIN="linuxprobe.com";默认域

74行#DEFAULT_BASE = "dc=linuxprobe,de=com"; 默认域

vim passwd

从这里查询cat /etc/passwd

zhaosi:x:1001:1001::/home/ldap:/bin/bash

wq!

vim grouip 新建

从这里查询cat /etc/group 

zhaosi:x:1001:

wq!

./migrate_password.pl passwd users.ldif 将原来的纯文本文件，转换成ldap格式的文件。

./migrate_group.pl group groups.ldif

ldapadd -x -w linuxprobe -D cn=Manager,dc=linuxprobe,dc=com -f users.ldif  dc代表域，linuxprobe.com这个域格式上需要用两个dc表示。cn代表组

ldapadd -x -w linuxprobe -D cn=Manager,dc=linuxprobe,dc=com -f groups.ldif  dc代表域，linuxprobe.com这个域格式上需要用两个dc表示。cn代表组

ldapsearce -x cn=zhaosi -b dc=linuxprobe,dc=com 可以搜索都刚刚创建的用户和组

yum install httpd

cd /etc/openldap/certs

cp cert.pem /var/www/html

systemctl restart httpd

systemct. enable httpd

iptables -F

service iptables save

使用http协议把公钥传输到各个客户端

vim /etc/exports 用nfs协议共享用于家目录数据

/home/ldap 192.168.10.20(rw,sync,root_squash) 只允许192.168.10.20这台ip访问到共享目录，如果使用*就代表哦所有网段都能访问。root_squash比喻外国元首不能来中国发指令

systemctl restart rpcbind

system enable rpcbind

iptables -F

service iptables save

切换到20服务器

yum install openldap-clients nss-pam-ldapd authconfgtk pam_krb5

 

systeml-config-authentication

添DN 和Server 和cert.pem http://www.lincxprobe.com/cert.pem

10服务器

chmod -Rf 777 /var/www/html

id zhaosi

20服务器

vim /home/ldap

vim /etc/fstab

192.168.10.10:/home/ldap /home/ldap nfs defaults 0 0 

wq!

mount -a 

df -h

su zhaosi