linux probe 十五
DHCP可以为局域网里分配IP地址。也可以分配网卡信息,网关,子网掩码。
作用域,一个完整的IP地址网段。
租用域-排除范围=地址池
默认租约时间21600 也就是6小时,最大租约时间43200 也就是12小时。当为网卡分配ip6个小时以后,会DHCP服务会检查网卡是否还在线,如果不在线将此IP放入回收池。12小时以后会再次检查网卡是否在线,如果不在线就将彻底回收
192.168.10.0/24 作用域
192.168.10.20-192.168.10.220 地址池。地址池比作用域小或等
编辑虚拟机,虚拟网络编辑器。不选 使用本机DHCP服务器分配ip地址。
yum install dhcp
vim /etc/dhcp/dhcpd.conf 配置文件的内容是空的,可以参考/usr/share/doc/dhcp*/dhcpd.conf.example
ddns-update-style none; 禁用动态dns
ignore client-updates;不接受用户的更新
subnet 192.168.10.0 netmask 255.255.255.0{
range 192.168.10.20 192.168.10.200;
option subnet-mask 255.255.255.0;为用户分配的子网掩码
option routers 192.168.10.1; 网关地址
option domain-name-servers 8.8.8.8 dns解析服务器
default-lease-time 21600;
max-lease-time 43200;
}
wq!
iptables -F
systemctl start bind
service iptables save
启用另外一个虚拟机
nm-connection-editor
网卡设置为dhcp
cat /etc/dhcp/dhcpd.conf
cat /var/log/message 查看dhcp的日志。
vim /etc/dhcp/dhcpd.conf
subnet 192.168.10.0 netmask 255.255.255.0{
range 192.168.10.20 192.168.10.200;
option subnet-mask 255.255.255.0;为用户分配的子网掩码
option routers 192.168.10.1; 网关地址
option domain-name-servers 8.8.8.8 dns解析服务器
default-lease-time 21600;
max-lease-time 43200;
host boss{ 为老板的网卡绑定到固定ip
hardware ethernet xxxxxxxxxxx
fixed-address 192.168.10.88;
}
}
wq!
systemctl restart dhcpd
systemctl enabled dhcpd
openldap 轻量级目录访问协议。可以当成数据库使用。使用特点:存储短小信息。读取频次高,不能多次修改。
yum install -y openldap openldap-clients openldap-servers migrationtools 安装opengldap的主程序,客户端,服务端,迁移工具。
vim /etc/hosts
192.168.10.10 www.linuxprobe.com
wq!
ping www.inuxprobe.com
slappasswd -s linuxprobe -n > /etc/openldap/passwd 将明文加密成字符串, -n代表导出。
openssl req - new -x509 -nodes -out /etc/openldap/certs/cert.pem -keyout /etc/openldap/certs/priv.pem -days 365使用openssl生成一对非对称秘钥,req代表注册,-new代表新建 -509代表证书协议,-nodes是一个节点,-out输出,cert.pem表示公钥,priv.pem代表私钥,有效期是365天。
填写先关信息,国家,省份,地区,组织名称,主机名称:www.linuxprobe.com
cd /etc/openldap/certs
chown ldap:ldap *
chmod 600 *
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
cd /var/lib/ldap
slaptest 测试,可以自动生成数据库。
ls
chown ldap:ldap
id ladp
systemctl restart slapd
systemctl enable slapd
如果ldap中没有组织架构的时候用ldapadd添加 。ldapmodify修改
cd /etc/openldap/schema/ .ldif 是模板文件
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f cosine.ldif先导入一个目录架构模板,然后再在这个模板基础之上进行修改。
ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f nis.ldif先导入一个目录架构模板,然后再在这个模板基础之上进行修改。
vim /etc/openldap/changes.ldif
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=linuxprobe,dc=com
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=linuxprobe,dc=com
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: 此处输入之前生成的密码(如{SSHA}v/GJvGG8SbIuCxhfTDVhkmWEuz2afNIR)
dn: cn=config
changetype: modify
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/certs/cert.pem
dn: cn=config
changetype: modify
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/certs/priv.pem
dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: -1
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=linuxprobe,dc=com" read by * noneldapmodify -Y EXTERNAL -H ldapi:/// -f /etc/openldap/changes.ldif
vim /etc/openldap/base.ldif
[root@linuxprobe ~]# vim /etc/openldap/base.ldif dn: dc=linuxprobe,dc=com dc: linuxprobe 第一个部门 objectClass: top objectClass: domain dn: ou=People,dc=linuxprobe,dc=com ou: People 第二个部门 objectClass: top objectClass: organizationalUnit dn: ou=Group,dc=linuxprobe,dc=com ou: Group 第三个部门 objectClass: top objectClass: organizationalUnit
ldapadd -x -w linuxprobe -D cn=Manager,dc=linuxprobe,dc=com -f /etc/openldap/base.ldif 将上面新建的三个部门配置文件导入。
useradd -d /home/ldap zhaosi
cd /usr/share/migrationtools 迁移工具将我们的明文信息导成加密文本,把系统中的用户信导成ldap可以使用的文本。
vim /usr/share/migrationtools/migrate_common.ph
71行#DEFAULT_MAIL_DOMAIN="linuxprobe.com";默认域
74行#DEFAULT_BASE = "dc=linuxprobe,de=com"; 默认域
vim passwd
从这里查询cat /etc/passwd
zhaosi:x:1001:1001::/home/ldap:/bin/bash
wq!
vim grouip 新建
从这里查询cat /etc/group
zhaosi:x:1001:
wq!
./migrate_password.pl passwd users.ldif 将原来的纯文本文件,转换成ldap格式的文件。
./migrate_group.pl group groups.ldif
ldapadd -x -w linuxprobe -D cn=Manager,dc=linuxprobe,dc=com -f users.ldif dc代表域,linuxprobe.com这个域格式上需要用两个dc表示。cn代表组
ldapadd -x -w linuxprobe -D cn=Manager,dc=linuxprobe,dc=com -f groups.ldif dc代表域,linuxprobe.com这个域格式上需要用两个dc表示。cn代表组
ldapsearce -x cn=zhaosi -b dc=linuxprobe,dc=com 可以搜索都刚刚创建的用户和组
yum install httpd
cd /etc/openldap/certs
cp cert.pem /var/www/html
systemctl restart httpd
systemct. enable httpd
iptables -F
service iptables save
使用http协议把公钥传输到各个客户端
vim /etc/exports 用nfs协议共享用于家目录数据
/home/ldap 192.168.10.20(rw,sync,root_squash) 只允许192.168.10.20这台ip访问到共享目录,如果使用*就代表哦所有网段都能访问。root_squash比喻外国元首不能来中国发指令
systemctl restart rpcbind
system enable rpcbind
iptables -F
service iptables save
切换到20服务器
yum install openldap-clients nss-pam-ldapd authconfgtk pam_krb5
systeml-config-authentication
添DN 和Server 和cert.pem http://www.lincxprobe.com/cert.pem
10服务器
chmod -Rf 777 /var/www/html
id zhaosi
20服务器
vim /home/ldap
vim /etc/fstab
192.168.10.10:/home/ldap /home/ldap nfs defaults 0 0
wq!
mount -a
df -h
su zhaosi