【jumpserver-01】安装openldap

已于 2024-04-12 18:29:01 修改
阅读量302 收藏 5
点赞数 10
分类专栏: 堡垒机 文章标签: linux 运维 服务器
于 2024-04-09 22:22:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a53715668/article/details/137569724
版权

本次参考:https://segmentfault.com/a/1190000020262431

安装

yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools pam_ldap

版本

[root@monitor ~]# slapd -VVV
@(#) $OpenLDAP: slapd 2.4.44 (Feb 23 2022 17:11:27) $
        mockbuild@x86-01.bsys.centos.org:/builddir/build/BUILD/openldap-2.4.44/openldap-2.4.44/servers/slapd

Included static backends:
    config
    ldif
    monitor
    bdb
    hdb
    mdb
[root@monitor ~]# slapd -V
@(#) $OpenLDAP: slapd 2.4.44 (Feb 23 2022 17:11:27) $
        mockbuild@x86-01.bsys.centos.org:/builddir/build/BUILD/openldap-2.4.44/openldap-2.4.44/servers/slapd

[root@monitor ~]# slapd -VV
@(#) $OpenLDAP: slapd 2.4.44 (Feb 23 2022 17:11:27) $
        mockbuild@x86-01.bsys.centos.org:/builddir/build/BUILD/openldap-2.4.44/openldap-2.4.44/servers/slapd

配置

密码备用

[root@monitor ~]# slappasswd -s 156
{SSHA}j5IjUeZPrECXmz295Elg6zRYcpX27zTz

删掉配置

rm -rf /etc/openldap/slapd.d

复制ldif过来

cp -rp /usr/share/openldap-servers/slapd.ldif  /etc/openldap/
  • 用户信息,修改3行增加1行密码(在145行)
olcAccess: to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=Manager,dc=joyhour,dc=fun" read by * none
    
olcSuffix: dc=joyhour,dc=fun
olcRootDN: cn=Manager,dc=joyhour,dc=fun
olcRootPW: {SSHA}j5IjUeZPrECXmz295Elg6zRYcpX27zTz
  • 加载所有的置的属性类, core.ldif 必须放在第一行
include: file:///etc/openldap/schema/core.ldif
include: file:///etc/openldap/schema/collective.ldif
include: file:///etc/openldap/schema/corba.ldif
include: file:///etc/openldap/schema/cosine.ldif
include: file:///etc/openldap/schema/duaconf.ldif
include: file:///etc/openldap/schema/dyngroup.ldif
include: file:///etc/openldap/schema/inetorgperson.ldif
include: file:///etc/openldap/schema/java.ldif
include: file:///etc/openldap/schema/misc.ldif
include: file:///etc/openldap/schema/nis.ldif
include: file:///etc/openldap/schema/openldap.ldif
include: file:///etc/openldap/schema/pmi.ldif
include: file:///etc/openldap/schema/ppolicy.ldif

生成配置文件

cp -rp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

[root@monitor openldap]# slapadd -n 0 -F /etc/openldap/slapd.d -l slapd.ldif 
_#################### 100.00% eta   none elapsed            none fast!         
Closing DB...
  • 配置目录内生成了新的文件
[root@monitor slapd.d]# pwd
/etc/openldap/slapd.d
[root@monitor slapd.d]# ls
cn=config  cn=config.ldif

[root@monitor slapd.d]# cat "cn=config.ldif"
# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
# CRC32 abb60c5d
dn: cn=config
objectClass: olcGlobal
cn: config
olcArgsFile: /var/run/openldap/slapd.args
olcPidFile: /var/run/openldap/slapd.pid
olcTLSCACertificatePath: /etc/openldap/certs
olcTLSCertificateFile: "OpenLDAP Server"
olcTLSCertificateKeyFile: /etc/openldap/certs/password
structuralObjectClass: olcGlobal
entryUUID: 42fd91c8-89f7-103e-9b54-bfa73ed6921e
creatorsName: cn=config
createTimestamp: 20240408132550Z
entryCSN: 20240408132550.490161Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20240408132550Z
  • 授权
chown -R ldap:ldap /etc/openldap/ /var/lib/ldap
  • 检查
slaptest -u

[root@monitor openldap]# slaptest -u
config file testing succeeded
  • 启动
systemctl start slapd

[root@monitor ldap]# pwd
/var/lib/ldap
[root@monitor ldap]# ls -l
总用量 19232
-rw-r--r-- 1 ldap ldap     2048 4月   8 21:38 alock
-rw------- 1 ldap ldap  2416640 4月   8 21:38 __db.001
-rw------- 1 ldap ldap 17465344 4月   8 21:38 __db.002
-rw------- 1 ldap ldap  1884160 4月   8 21:38 __db.003
-rw-r--r-- 1 ldap ldap      845 2月  24 2022 DB_CONFIG
-rw------- 1 ldap ldap     8192 4月   8 21:38 dn2id.bdb
-rw------- 1 ldap ldap    32768 4月   8 21:38 id2entry.bdb
-rw------- 1 ldap ldap 10485760 4月   8 21:38 log.0000000001

登陆

刚创建完这个目录除了管理员之外,是没有其他用户端

image-20240408213952660

image-20240408214050048

创建用户

创建linux用户

groupadd ldapgroup1
groupadd ldapgroup2
useradd -g ldapgroup1 ldapuser1
useradd -g ldapgroup2 ldapuser2
echo '123456' | passwd --stdin ldapuser1
echo '123456' | passwd --stdin ldapuser2

提取用户和组

grep ":10[0-9][0-9]" /etc/passwd > /root/users
grep ":10[0-9][0-9]" /etc/group > /root/groups

[root@monitor ~]# cat /root/users
appadm:x:1000:1000:appadm:/home/appadm:/bin/bash
ldapuser1:x:1001:1001::/home/ldapuser1:/bin/bash
ldapuser2:x:1002:1002::/home/ldapuser2:/bin/bash
[root@monitor ~]# cat /root/groups
appadm:x:1000:
ldapgroup1:x:1001:
ldapgroup2:x:1002:

配置导入工具 migrationtools

vim /usr/share/migrationtools/migrate_common.ph

# Default DNS domain
$DEFAULT_MAIL_DOMAIN = "joyhour.fun";

# Default base
$DEFAULT_BASE = "dc=joyhour,dc=fun";

$EXTENDED_SCHEMA = 1;

生成ldif文件

/usr/share/migrationtools/migrate_passwd.pl /root/users > /root/users.ldif
/usr/share/migrationtools/migrate_group.pl /root/groups > /root/groups.ldif
cat users.ldif
cat groups.ldif

[root@monitor ~]# cat /root/users.ldif
dn: uid=appadm,ou=People,dc=joyhour,dc=fun
uid: appadm
cn: appadm
sn: appadm
mail: appadm@joyhour.fun
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}$5$Ryqqxjzb7e31owCk$UXpqhs/0nsPxZT9Fe53jDlIGAj.xvUh2rVixGUkj3Q6
shadowLastChange: 19647
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/appadm
gecos: appadm

dn: uid=ldapuser1,ou=People,dc=joyhour,dc=fun
uid: ldapuser1
cn: ldapuser1
sn: ldapuser1
mail: ldapuser1@joyhour.fun
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}$1$ZsMVUX.0$7GyHAZEmC4P/wQc6pC.HX/
shadowLastChange: 19821
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/ldapuser1

dn: uid=ldapuser2,ou=People,dc=joyhour,dc=fun
uid: ldapuser2
cn: ldapuser2
sn: ldapuser2
mail: ldapuser2@joyhour.fun
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}$1$Ue59drWz$Tqk9ZM3bEHDH6Gp8MqWXJ0
shadowLastChange: 19821
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1002
gidNumber: 1002
homeDirectory: /home/ldapuser2


[root@monitor ~]# cat /root/groups.ldif
dn: cn=appadm,ou=Group,dc=joyhour,dc=fun
objectClass: posixGroup
objectClass: top
cn: appadm
userPassword: {crypt}x
gidNumber: 1000

dn: cn=ldapgroup1,ou=Group,dc=joyhour,dc=fun
objectClass: posixGroup
objectClass: top
cn: ldapgroup1
userPassword: {crypt}x
gidNumber: 1001

dn: cn=ldapgroup2,ou=Group,dc=joyhour,dc=fun
objectClass: posixGroup
objectClass: top
cn: ldapgroup2
userPassword: {crypt}x
gidNumber: 1002
  • 配置基础数据库 base.ldif
dn: dc=joyhour,dc=fun
dc: joyhour
objectClass: top
objectClass: domain

dn: cn=Manager,dc=joyhour,dc=fun
cn: Manager
objectClass: organizationalRole
description: Directory Manager

dn: ou=People,dc=joyhour,dc=fun
ou: People
objectClass: top
objectClass: organizationalUnit

dn: ou=Group,dc=joyhour,dc=fun
ou: Group
objectClass: top
objectClass: organizationalUnit

导入数据

[root@monitor ~]# ldapadd -x -w "123456" -D "cn=Manager,dc=joyhour,dc=fun" -f /root/base.ldif
adding new entry "dc=joyhour,dc=fun"

adding new entry "cn=Manager,dc=joyhour,dc=fun"

adding new entry "ou=People,dc=joyhour,dc=fun"

adding new entry "ou=Group,dc=joyhour,dc=fun"

image-20240408220252784

[root@monitor ~]# ldapadd -x -w "123456" -D "cn=Manager,dc=joyhour,dc=fun" -f /root/users.ldif
adding new entry "uid=appadm,ou=People,dc=joyhour,dc=fun"

adding new entry "uid=ldapuser1,ou=People,dc=joyhour,dc=fun"

adding new entry "uid=ldapuser2,ou=People,dc=joyhour,dc=fun"

image-20240408220337917

[root@monitor ~]# ldapadd -x -w "123456" -D "cn=Manager,dc=joyhour,dc=fun" -f /root/groups.ldif
adding new entry "cn=appadm,ou=Group,dc=joyhour,dc=fun"

adding new entry "cn=ldapgroup1,ou=Group,dc=joyhour,dc=fun"

adding new entry "cn=ldapgroup2,ou=Group,dc=joyhour,dc=fun"

image-20240408220435485

关联用户到用户组,否则用户和组之间没有关系

把 ldapuser1 用户加入到 ldapgroup1 用户组,需要新建添加用户到用户组的ldif文件,如下:

image-20240408220832145

image-20240408220814494

  • 定义member和group的关系
cat > /root/users_to_groups.ldif << EOF
dn: cn=ldapgroup1,ou=Group,dc=joyhour,dc=fun
changetype: modify
add: memberuid
memberuid: ldapuser1
EOF
  • 执行
[root@monitor ~]# ldapadd -x -w "123456" -D "cn=Manager,dc=joyhour,dc=fun" -f /root/users_to_groups.ldif
modifying entry "cn=ldapgroup1,ou=Group,dc=joyhour,dc=fun"
  • 执行完后,可以发现组内已经增加了一个用户

image-20240408221126322

  • 命令行查看结果
ldapsearch -LLL -x -D 'cn=Manager,dc=joyhour,dc=fun' -w "123456" -b 'dc=joyhour,dc=fun' 'cn=ldapgroup1'

[root@monitor ~]# ldapsearch -LLL -x -D 'cn=Manager,dc=joyhour,dc=fun' -w "123456" -b 'dc=joyhour,dc=fun' 'cn=ldapgroup1'
dn: cn=ldapgroup1,ou=Group,dc=joyhour,dc=fun
objectClass: posixGroup
objectClass: top
cn: ldapgroup1
userPassword:: e2NyeXB0fXg=
gidNumber: 1001
memberUid: ldapuser1

开启openldap日志访问功能

cat > loglevel.ldif <<EOF
dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: stats
EOF

ldapmodify -Y EXTERNAL -H ldapi:/// -f /root/loglevel.ldif

[root@monitor openldap]# ldapmodify -Y EXTERNAL -H ldapi:/// -f /root/loglevel.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"

systemctl restart slapd
  • 修改 syslog并重启
vim /etc/rsyslog.conf
local4.* /var/log/slapd.log

systemctl restart rsyslog
Jenvid.yang
关注
  • 10
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ansible-role-openldap:OpenLDAP服务器角色
05-08
安装openldap服务器 要求 FreeBSD 11/12,debian 8(+?) 角色变量(默认) openldap_schmas ([core,cosine,inetorgperson,nis])如果在files / openldap / {{name}}。schema中存在文件,则LDAP模式要包含在...
Centos7-JumpServer-v2.1.0部署
wstc2689784536的博客
11-30 132
Centos7-JumpServer-v2.1.0部署
jumpServer-02-安装与配置
cygqtt的博客
01-07 1026
jumpserver是由python编程语言开发的,旧版的是python2开发的新版的是python3开发的 03: 配置yum源 04:安装系统初始化所需的软件 05:安装jumpserver运行所需的依赖环境 06:修改系统的字符集,改为是中文的 ③:安装Python3.6 01:下载、解压、安装 02: 配置python3的环境变量 02. 安装运行jumpServer所需的模块 由python开发的程序,必须安装该程序使用到的一些模块,才能正确运
跳板机: jumpserver安装使用
eyeofeagle的博客
08-17 1304
文章目录1, 官网安装指南2, 具体操作使用nginx整合各组件 1, 官网安装指南 快速安装脚本:https://github.com/jumpserver/jumpserver/releases 简化后: if [ ! -d "/opt/setuptools" ]; then wget -qO /opt/setuptools.tar.gz http://demo.jumpserver.org/download/setuptools.tar.gz tar -xf /opt/setuptoo
Centos-6.9 安装OpenLdap
正经的运维工程师的博客
08-20 990
欢迎使用Markdown编辑器写博客 本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I...
bitnami-docker-openldap:用于OpenLDAP的Bitnami Docker映像
04-19
什么是OpenLDAP? 是LDAP(轻型目录访问协议)的开源解决方案。 它是用于从分层目录结构(例如数据库)中存储和检索数据的协议。TL; DR $ docker run --name openldap bitnami/openldap:latestDocker撰写$ curl -sSL...
docker-ldap:OpenLDAP Docker映像
05-13
它带有预先配置的用户和组基础: dn: ou=Users,dc=elastic,dc=co group:是ES群集管理员组dn: ou=Marvels,dc=elastic,dc=co group:是Marvel UI用户组dn: ou=Watcher,dc=elastic,dc=co组:是Watcher管理器组安装$ ...
docker-openldapOpenLDAP Docker微服务
02-14
OPENLDAP服务器 Docker的基本LDAPServer安装。 我创建它只是为了好玩。 快速开始 将构建文件下载到您的...Recreating openldap-server_ldapserver_1 ... done Attaching to openldap-server_ldapserver_1 ldapserve
ldap-ui:OpenLDAP的简约Web前端
04-28
手动安装和配置 先决条件: 要在.venv3设置虚拟Python环境, .venv3执行以下操作: 进行设置 检查的配置。 它很短,希望可以自我解释。 用法 单机版 使用运行应用程序 跑 并转到 。 码头工人 包含一个Dockerfile。 ...
13 Linux实操篇-网络配置
qq_74289024的博客
04-23 1047
子网ip 与网关。
Linux多进程(五) 进程池 C++实现
Lyajpunov的博客
04-26 802
进程池是一种并发编程模式,用于管理和重用多个处理任务的进程。它通常用于需要频繁创建和销毁进程的情况,以避免因此产生的开销。减少进程创建销毁的开销:避免频繁创建和销毁进程所带来的系统资源开销。提高系统响应速度:由于进程已经初始化并且一直保持在内存中,可以立即分配执行任务,减少了任务等待时间。控制资源使用:通过限制进程池中的进程数量,可以控制系统资源的使用情况,避免资源过度消耗。
Linux——web服务配置
Xinan_____的博客
04-23 1133
GET:请求获取指定资源的表示形式。使用GET方法,客户端请求服务器发送某个资源。POST:向指定资源提交数据,用于处理表单提交、文件上传等操作。PUT:向指定资源位置上传其最新内容,用于更新资源。DELETE:请求服务器删除指定资源。HEAD:请求获取与实体相对应的头部信息,用于获取资源的元数据。OPTIONS:请求查询服务器支持的HTTP方法。TRACE:请求服务器回显收到的请求消息,用于测试或诊断。200 OK:请求成功。:永久重定向,请求的资源已经被分配了新的。
Linux:浏览器访问网站的基本流程(优先级从先到后)
fox_kang的博客
04-28 611
浏览器访问网站的基本流程(优先级从先到后) 首先查找浏览器是否存在该网站的访问缓存 其次查找本机的域名解析服务器 windows:C:\Windows\System32\drivers\etc\hosts Linux:/etc/hosts 使用外部的域名解析服务器解析(例如:114.114.114.114) 第一步:浏览器使用域名访问www.bilibili.com.网站 第二步:首先去访问根域名解析服务器查询,根服务器返回.com域名解析服务器地址==(这里的根域名解析服务器不会直接给出域名对应的
Linux 抽象命名空间(Abstract Namespace)简介
日拱一卒,玉汝于成
04-25 592
与传统的 UDS 不同,抽象命名空间并不在文件系统中创建实际文件,而是仅存在于内核内存中,其名称以 localabstract: 作为前缀。在这个例子中,我们创建了一个名为 my_abstract_namespace 的抽象命名空间,并将其绑定到了刚创建的 Unix 套接字上。要在 Linux 系统中生成一个抽象命名空间,通常需要使用编程语言的套接字 API 来创建一个 Unix 域套接字,并将其绑定到一个以 localabstract: 开头的特殊路径。
arm架构Linux5.0内核连接脚本文件vmlinux.lds.S分析
jianjian的博客
04-23 983
vmlinux.lds.S 是 Linux 内核中用于链接的脚本文件,用于定义内核对象文件的内存布局,即它告诉链接器如何将不同的内核代码段和数据段组合成一个最终的内核映像 vmlinux。编译内核源码生成内核文件的过程分两步,一个是“编译”,另一个是“链接”的过程,vmlinux.lds.S要做的就是告诉编译器如何链接编译好的各个内核.o文件,从而生成vmlinux文件。
linux的“>”和“>>”
qq_45212655的博客
04-24 466
文件存在,新的输出将被添加到文件的内容之后;如果文件不存在,将会创建一个新文件。文件存在,它的内容将被新的输出覆盖;如果文件不存在,将会创建一个新文件。都是用于文件重定向的操作符,它们用于将命令的输出发送到文件中。用于创建一个新文件或覆盖现有文件的内容。用于将输出附加到现有文件的末尾,而不是覆盖它。
Linux中的YUM源仓库和NFS文件共享服务
最新发布
2402_83805984的博客
04-29 444
yum是一个基于RPM包(是Red-Hat Package Manager红帽软件包管理器的缩写)构建的软件更新机制,能够自动解决软件包之间的依赖关系=,解决了日常工作中的大量查找安装依赖包的时间。NFS是一种基于TCP/IP传输的网络文件系统协议,最初由sun公司开发,通过NFS协议。客户机可以向访问本地目录一样访问远程NFS服务器中的共享资源。NFS也是NAS存储设备必然支持的一种协议,但是因为没有用户认证机制,而且数据在网络上明文传输、安全性很差,所以一般只能在局域网中使用。
Linux--内核移植(二)移植流程及驱动修改
qq_47258284的博客
04-23 1059
一、官方开发板内核测试本文来总结一下如何将 NXP官方提供的Linux内核移植到正点原子的开发板上。一、官方开发板内核测试NXP提供的Linux源码肯定是可以在自己的开发板上运行下去的,所以我们肯定是以 I.MX6ULL EVK开发板为参考,然后将Linux内核移植到开发板上的。1.修改顶层Makefile修改顶层Makefile,直接在顶层Makefile文件里面定义ARCH和这两个的变量值为 arm和 arm-linux-gnueabihf-。
centos中安装openldap
08-01
在 CentOS 中安装 OpenLDAP,您可以按照以下步骤进行操作: 1. 打开终端,并使用 root 或具有 sudo 权限的用户登录。 2. 运行以下命令更新软件包列表: ``` sudo yum update ``` 3. 安装 OpenLDAP 服务器和客户端软件包: ``` sudo yum install openldap openldap-servers openldap-clients ``` 4. 配置 OpenLDAP 服务器: - 使用以下命令创建 LDAP 数据库: ``` sudo cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG sudo chown ldap:ldap /var/lib/ldap/* ``` - 启动 OpenLDAP 服务器并将其设置为开机自启动: ``` sudo systemctl start slapd sudo systemctl enable slapd ``` 5. 配置 LDAP 根密码: - 运行以下命令生成密码散列值: ``` sudo slappasswd ``` 在提示符下输入新密码并记录生成的散列值。 - 编辑 OpenLDAP 根配置文件: ``` ***

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jenvid.yang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值