學務系統 SFS3 LDAP 設定(CENTOS7)

弄了大半天了，總算把LDAP搞出來了

話說因為耍笨找錯講義，下午兩個鐘頭做了白工

直覺不對要找人問問，感謝沈老大提醒^____^

接著就很高興的做到托育班快放學就又卡關了

回家不信邪的從頭做，終於確認是phpldapadmin管理者密碼結尾不能有空白(又是兩個鐘頭飛走T___T)。

弄到剛剛，連上FG110C後，用route print確認成功，瞬間高興起來

這種卡關很久通過的總是會讓人特別開心XD

---

整理一下指令給下一任參考參考

資料來源:臺中市105年度中小學學務系統升級暨資安建置研習手冊(沈俊達)

http://163.17.89.245/study/%E7%A0%94%E7%BF%92%E6%89%8B%E5%86%8A.pdf

在CentOS7上安裝OpenLDAP Server

yum -y install openldap-servers openldap-clients

rm -rvf /etc/openldap/slapd.d

mkdir /etc/openldap/slapd.d

cp /usr/share/openldap-servers/slapd.ldif /etc/openldap/slapd.conf

cd /etc/openldap

slappasswd > password.txt

tail password.txt

(把內容複製到記事本備用)

vi /etc/openldap/slapd.conf

把所有的dc=my-domain,dc=com改成dc=tjes,dc=tc,dc=edu,dc=tw

然後結尾補上

olcRootPW: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxxxx

(從剛剛記事本那邊貼過來) 

/usr/libexec/openldap/convert-config.sh

head -20 /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{[12]*

slaptest -u

 config file testing succeeded

rm -rvf /var/lib/ldap/*

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

rm -rvf certs

mkdir certs

/usr/libexec/openldap/create-certdb.sh

Creating certificate database in '/etc/openldap/certs'.

/usr/libexec/openldap/generate-server-cert.sh

Creating new server certificate in '/etc/openldap/certs'.

chown ldap:ldap -R /var/lib/ldap/

systemctl start slapd

slaptest

config file testing succeeded

systemctl enable slapd

firewall-cmd --permanent --zone=public --add-port=389/tcp

firewall-cmd --reload

ldapwhoami -WD cn=Manager,dc=tjes,dc=tc,dc=edu,dc=tw

Enter LDAP Password:
dn:cn=Manager,dc=tc,dc=edu,dc=tw

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

vi domain.ldif

dn: dc=tjes,dc=tc,dc=edu,dc=tw
objectClass: dcObject
objectclass: organization
dc: tjes

o: tjes
 

dn: ou=teacher,dc=tjes,dc=tc,dc=edu,dc=tw
objectClass: organizationalUnit
ou: teacher
description: teachers account
 

dn: ou=student,dc=tjes,dc=tc,dc=edu,dc=tw
objectClass: organizationalUnit
ou: student
description: students account

(注意上面的句子一定要分成三段，從講義直接貼出來沒有分段會有錯誤)

ldapadd -D cn=Manager,dc=clpes,dc=tc,dc=edu,dc=tw -W -f domain.ldif

Enter LDAP Password:
adding new entry "dc=tjes,dc=tc,dc=edu,dc=tw"
adding new entry "ou=teacher,dc=tjes,dc=tc,dc=edu,dc=tw"
adding new entry "ou=student,dc=tjes,dc=tc,dc=edu,dc=tw"

yum install phpldapadmin

vi /etc/phpldapadmin/config.php

:set number

(顯示行號)

(找到397行改下面這樣)

$servers->setValue('login','attr','dn');
// $servers->setValue('login','attr','uid');

vi /etc/httpd/conf.d/phpldapadmin.conf

<Directory /usr/share/phpldapadmin/htdocs>
<IfModule mod_authz_core.c>
# Apache 2.4
Require local
Require ip 163.17.233.0/24

(在Require local之後加入上面這行，這是限制只有指定的ip可以存取phpldapadmin
(突然覺得phpmysqladmin也該這樣)

systemctl start httpd
 

systemctl enable httpd
 

firewall-cmd --permanent --zone=public --add-port=80/tcp
 

vi /etc/httpd/conf.d/phpldapadmin.conf

登入 http://ldap-server-ip/phpldapadmin

帳號: cn=Manager,dc=tjes,dc=tc,dc=edu,dc=tw

(登入如出現密碼錯誤，請確認是否密碼句尾有空白字元，是的話要可能得從前面步驟再來一次)

到這邊ldap server部分就ok了

再來要看郭老大這篇，新增三個模組到學務系統

http://www.wpjh.tc.edu.tw/joomla/index.php/2012-04-25-23-06-11/2012-04-30-07-56-38/2013-03-25-13-04-19/367-20130502

cd /var/www/html/sfs3/modules/

wget http://www.wpjh.tc.edu.tw/joomla/attachments/article/367/stu_ldap_pass.zip

wget http://www.wpjh.tc.edu.tw/joomla/attachments/article/367/manage_ldap.zip

wget http://www.wpjh.tc.edu.tw/joomla/attachments/article/367/ch_ldap_pass.zip

unzip stu_ldap_pass.zip

unzip manage_ldap.zip

unzip ch_ldap_pass.zip

chown apache.apache stu_ldap_pass -R

chown apache.apache  manage_ldap -R

chown apache.apache  ch_ldap_pass -R

然後去學務系統新增這三個模組，

去模組權限管理的預設值設定參數

(ip可以設定127.0.0.1)

把自己的帳號啟用

最後參考這篇去改FG110C就可以了(得先照講義把SSLVPN設定到本機帳號可以登入，再看這篇去新增LDAP群組)

http://www.wpjh.tc.edu.tw/joomla/index.php/2012-04-25-23-06-11/2012-04-30-07-56-38/2013-03-25-13-04-19/381-20130630