集中式用户认证
1、账户信息储存在远程服务器上,从集中式储存服务器检索信息;
可以实现单点登陆(sso),用户凭借密码进行一次身份验证;
单点登录:一家公司可能有多台server,只要一台server上认证过了,登录其他server无需认证;
2、LDAP服务器不仅提供账户和身份验证两个服务,还提供数据储存;(移动使用)
①LDAP是轻量目录访问协议,结构用树来表示,而不是用表格;②适合查,写入比较慢;③Client/server模型,Server 用于存储数据,Client提供操作目录信息树的工具;④这些工具可以将数据库的内容以文本格式(LDAP 数据交换格式,LDIF)呈现在您的面前⑤LDAP的权限能分级设置,查找时安装目录查找;sql权限只能做到表一级,查找时逐条查找;
3、kerberos仅提供sso身份验证,(双向认证)可用于IPA服务器(linux)和Active Directory(winserver);
4、CA认证:是一个专门签发证书的机构;
5、IPA是集合CA、LDAP、kerberos一体的Linux服务;
CA认证+LDAP之linux
ldapserver是172.25.254.254
desktop:
#yum -y install sssd(服务方式) krb5-workstation authconfig-gtk(图形化)
#authconfig-gtk
DN:dc=example,dc=com //域描述
server:classroom.example.com
TLS:CA证
① LDAP PASSWD
#su - ldapuser0
#getent passwd ladpuser0
:/home/guests/ladpuser0:
#showmount -e 172.25.254.254 //查看主机共享目录
/home/gusets
####################
#getent passwd ladpuser0
:/rhome/ladpuser0:
#showmount -e 172.25.254.254
/rhome/ldapuser0
#vim /etc/auto.master
/rhome /etc/auto.ldap
#vim /etc/auto.ldap
/ldapuser0 -rw,soft,intr 172.25.254.254:/rhome/ldapuser0(远端服务器位置)
##############################
#yum -y install autofs
#vim /etc/auto.master //按需挂载家目录
/home/gusets /etc/auto.ldap
#vim /etc/auto.ldap
* -rw,soft,intr 172.25.254.254:/home/guests/&
任意 权限 软连接 终止 对应挂载点
#systemctl start autofs
#ssh idapuser0@localhost
②kerberos认证
域;EXAMPLE.COM
证书中心:classroom.example.com
adminserver:classroom.example.com
密码:kerberos
linux加入win的ad域
server:
#vim /etc/resolv.conf //dns指向ad域
#realm discover ad.wode.com //域是wode.com
#redlm join ad.wode.com //加入域
win:
ip→172.25.0.201 getway→172.25.0.254
关闭防火墙
改主机名;安全策略-密码复杂性;
安装Activity域服务:新林wode.com
IPA搭建
server
#yum -y install ipa-server bind bind-dyndb-ldap
#stop firwall
#ipa-server-install --setup-dns
yes:密码
yes:转发dns:172.25.254.254
#kinit admin
#firefox https://server0.example.com //web管理界面
desktop
#yum -y install ipa-client
#dns指向修改server
#ipa-client-install --mkhomedir
yes
admin
su - wode