LDAP应用篇(1)CentOS8接入登录

已于 2022-05-23 08:55:00 修改
阅读量2.4k 收藏 6
点赞数 1
分类专栏: LDAP 文章标签: linux centos 服务器
于 2022-05-10 09:25:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bashenandi/article/details/124680820
版权

LDAP应用篇(1)CentOS8接入登录

相比于服务器端的配置,做为客户端接入LDAP的文章和资料就多了许多。能看到的文章都介绍了使用 authconfig 或者 authconfig-tui(此半图形化工具仅V7版本可用) 进行配置的客户端接入方式,十分简单,参照文末的参考资料[1]即可正常完成。

但是对于 CentOS8 系统来说,却略有不同~它取消了 authconfig-tui 工具,同时声明了 authconfig 已经不建议使用,建议改用 authselect 进行配置。经过数天的研究,总算是通过了测试。

测试环境

目前测试客户端的信息如下:

域名/HostnameIPOS
client.example.com192.168.188.221Oracle Linux R8

同时,在 /etc/hosts 中添加服务端地址域名映射。

Linux接入

实际上研究过后回头发现整个步骤还是十分简单的,基本8-9步就可以完成。

安装依赖
# openssl-perl 暂不确定是否需要
yum install openldap-clients sssd sssd-ldap oddjob-mkhomedir -y
在SSSD和LDAP中启用TLS

ldap-client 中创建证书目录 /etc/openldap/certs,当然也可以创建在别的位置,将证书从服务器下载到该目录,也可以通过 openssl 命令从 OpenLDAP 服务端下载到本地证书目录中。

openssl s_client -connect server.example.com:636 -showcerts < /dev/null | openssl x509 -text > /etc/openldap/certs/ca.cert.pem

请注意这个证书目录要在后面的配置中反复使用。

配置LDAP客户端通过SSSD链接LDAP服务器

创建文件 /etc/sssd/sssd.conf ,如果已经存在,则覆写之前的内容。

[sssd]
config_file_version = 2
services = nss, pam,autofs
domains = default

[nss]
homedir_substring = /home

[pam]

[domain/default]
id_provider = ldap
autofs_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldaps://server.example.com:636
ldap_chpass_uri = ldaps://server.example.com:636
ldap_search_base = dc=example,dc=com
ldap_id_use_start_tls = False
ldap_tls_cacertdir = /etc/openldap/certs
cache_credentials = True
ldap_tls_reqcert = demand
entry_cache_timeout = 600
ldap_network_timeout = 3
ldap_connection_expire_timeout = 60

接下来,修改文件权限和所有者:

chmod 600 /etc/sssd/sssd.conf
chown root:root /etc/sssd/sssd.conf
配置 ldap.conf

编辑文件: /etc/openldap/ldap.conf ,添加下面的配置信息:

BASE    dc=example,dc=com
URI     ldaps://server.example.com:636

TLS_CACERT     /etc/openldap/certs/ca.cert.pem
TLS_CACERTDIR /etc/openldap/certs
刷新证书
openssl rehash /etc/openldap/certs
配置mkhomedir来自动创建家目录

选择 sssd 作为认证管理套件,此时会备份原有配置系统文件:

authselect select sssd with-mkhomedir --force

# 返回:
备份保存在 /var/lib/authselect/backups/2022-05-19-14-07-19.3q9Ymg
选择了配置文件 "sssd"。
以下 nsswitch 映射信息被配置集覆盖:
- passwd
- group
- netgroup
- automount
- services

Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.
 
- with-mkhomedir is selected, make sure pam_oddjob_mkhomedir module
  is present and oddjobd service is enabled and active
  - systemctl enable --now oddjobd.service
启用SSSD 和 ODDJOBD 服务
systemctl enable sssd.service --now
systemctl enable oddjobd.service --now
验证LDAP用户登录
# 可以找到用户,但是无法登录
id <username>

这里需要注意下,可能会无法找到用户,可以试着重启一下 SSSD 服务:

systemctl restart sssd.service

用户过滤

如果不出意外,通过上面的配置,类 CentOS8 系统已经可以使用 LDAP 账户登入系统了。然而这里会发现个问题,似乎所有账户都可以直接登录,这显然不是我们需要的,再次打开 SSSD 的配置文件 /etc/sssd/sssd.conf,添加过滤配置:

access_provider = ldap
ldap_access_order = filter
# 符合一般的逻辑操作 & 标识和,| 表示或。
ldap_access_filter = (&(objectclass=shadowAccount)(objectclass=posixAccount)(memberOf=cn=ecs,ou=group,dc=example,dc=com))

这样,只有 memberOf 属性为 cn=ecs,ou=group,dc=example,dc=composixAccount 类型的账户方可登录该服务器。

修改完成后,依旧要记得重启 SSSD 服务。

参考资料

雨帝夜泪
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
OpenSSH: 通过 LDAP 做认证
yuntaoren的博客
11-16 1579
在运维工作中,如何对服务器的帐号做管理是一个需要考虑的问题,尤其是当服务器数量较多或者用户较多时,如果没有做好服务器的帐号管理,像用户的服务器密码重置、服务器密码修改这种操作就会变得很麻烦。 LDAP 可以用作集中的帐号管理,提供统一的帐号认证服务。将 LDAP 用作 SSH 服务的认证方式,是对服务器帐号做管理的一种思路。在接下来的文章中,我们将介绍如何将 LDAP 用作 SSH 认证。
centos7.2 LDAP(TLS)+autofs+ssh
weixin_34329187的博客
06-02 695
写前先祝福下勒布朗·詹姆斯 网上搜了很多关于centos7.2部署ldap的文章,这里也写一下自己的 实验环境系统:CentOS Linux release 7.2.1511 (Core)内核:3.10.0-327.el7.x86_64服务端IP:192.168.10.16客户端IP:192.168.10.17 第一步 selinux和firewalld [root@ldap opt]# ...
Centos7上部署LDAP服务
weixin_44014460的博客
05-01 540
部署一个ldap服务
统一账号/统一认证系统的引入和搭建(LDAP)
findstr的博客
03-24 1425
链接:http://www.imooc.com/article/254611 本期我们谈一项有关企业IT基础设施的实操性话题:如何为初创企业引入并搭建自有的统一账号系统。 为什么需要统一账号/统一认证? 没人喜欢记忆一大堆混乱的账号和密码,员工不喜欢,企业更不喜欢。 企业要高效解决业务和研发问题,必须在初创期规划搭建必要的企业软件和研发工具,也就是进行IT基础设施中软件部分的选型、配置和部署。在大...
CentOS7 三节点ssh免密码登录
qq_45344586的博客
03-14 2101
将node2和node3的authorized_keys1,authorized_keys2写入到node1的authorized_keys文件中。执行cat id_dsa.pub >> authorized_keys1命令(将node2的公钥放到authorized_keys1中)执行cat id_dsa.pub >> authorized_keys命令(将node1的公钥放到authorized_keys中)③查看服务器的域名映射是否添加成功,可以使用cat /etc/hosts命令查看。
CentOS7.4配置OpenLDAP Client集成AD服务及SSSD服务与SSH服务
小陌成长之路
04-14 2271
CentOS7.4配置OpenLDAP Client集成AD服务及SSSD服务与SSH服务
jenkins配置使用,并接入公司LDAP系统
04-18
jenkins配置使用,并接入公司LDAP系统
centos7安装部署ldap.docx
03-17
CentOS 7 安装部署 LDAP 服务 在本资源中,我们将详细介绍如何在 CentOS 7 环境中安装和部署 LDAP 服务。LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)是一种用于存储和管理目录信息的协议,...
centos系统LDAP一键备份脚本
最新发布
06-26
文件为centos系统下LDAP一键备份shell脚本,使用前请充分测试好再使用,欢迎下载使用!
gitlab搭建并接入LDAP
04-18
gitlab搭建并接入LDAP
Spring Boot 连接LDAP的方法
08-28
Spring Boot 连接LDAP是实现LDAP增删改查操作的重要方法,本文将详细介绍Spring Boot 连接LDAP的方法,包括使用ODM快速实现LDAP增删改查操作、配置Spring LDAP连接信息、创建实体类作为LDAP中的entry映射等。...
ssh-ldap-pubkey:实用程序,用于管理LDAP中存储的SSH公钥
05-12
OpenSSH / LDAP公钥 该项目提供了一个实用程序来管理存储在LDAP中的SSH公共密钥,还提供了一个脚本,供OpenSSH服务器LDAP加载授权密钥。 为什么? 当您有许多服务器时,很难管理授权密钥。 您必须将所有公共密钥复制到要登录的每个服务器上的~/.ssh/authorized_keys中。 如果有一天您更改密钥怎么办? 使用某种集中式用户管理(通常是LDAP服务器)是一个好习惯。 那里有用户的登录名,uid,电子邮件,…和密码。 如果我们还可以将公共SSH密钥存储在LDAP服务器上怎么办? 使用此实用程序,它就像馅饼一样容易。 备择方案 如果您只需要一个轻量级实用程序供OpenSSH服务器LDAP加载授权密钥,则可以使用用Lua编写的或用POSIX shell编写的(但它需要ldapsearch实用程序,在某些系统上可能无法正常工作) )。 要求 Python
openssh-ldap-publickey, 用于在OpenLDAP条目中存储 public 密钥的OpenSSH的包装器.zip
10-10
openssh-ldap-publickey, 用于在OpenLDAP条目中存储 public 密钥的OpenSSH的包装器 openssh-ldap-publickey用于在OpenLDAP条目中存储 public 密钥的OpenSSH的包装器。:它是如何工作的?从OpenLdap为用户创建条目,并向该用户添加具有 PublicKey的属性 'sshPu
Centos配置ldap
LLLLLoodwd的博客
06-22 929
centos配置ldap
配置openldap_Centos8.2 使用 Openldap 认证登录
weixin_30700095的博客
12-12 1450
1. 配置 SSSDSSSD是系统安全服务守护进程的缩写。它提供对不同身份和身份验证提供者的访问。//安装 sssd$ dnf update$ dnf install sssd sssd-tools接下来,配置SSSD已允许通过OpenLDAP对本地系统进行身份验证。SSSD通常不附带任何默认配置文件。因此,需要手动创建和配置它。//创建 sssd 配置文件$ vim /etc/sssd/sssd...
Centos7 Ldap统一认证部署
weixin_33958585的博客
10-11 736
转载地址:http://blog.chinaunix.net/uid-21926461-id-5676013.htmlLDAP介绍 LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP...
CentOS 8 限制用户登录,防止SSH爆破
qq_43744773的博客
02-17 2406
CentOS 8 限制用户登录,防止SSH爆破
全网最全Centos7.9搭建LDAP服务器+图形界面
陪我养猪吧的博客
07-21 4869
本文将深入探讨如何在CentOS 7.9操作系统上搭建LDAP(轻量级目录访问协议)服务器,并配备图形化界面,以实现高效的用户管理。LDAP是一种强大的用户认证和授权协议,它可以帮助组织轻松管理大量用户和资源,提高整体安全性和工作效率。
使用LDAP验证用户登录
zhuziying99的专栏
07-24 1940
Authenticating a User with LDAP 1.目标 建立简单的web应用,使用Spring Security验证登录用户,启动ldap服务加载用户信息。 2.代码 pom文件 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance
CentOS8配置LDAP
08-17
CentOS 8上配置LDAP,您可以按照以下步骤进行操作: 1. 安装OpenLDAP软件包:使用以下命令安装OpenLDAP和相关的软件包: ``` sudo dnf install openldap openldap-servers openldap-clients ``` 2. 配置LDAP服务器:编辑LDAP服务器配置文件`/etc/openldap/slapd.conf`,配置LDAP服务器的基本设置。您可以设置域名、LDAP管理员账号等。确保配置文件中的以下选项已设置: ``` include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema ``` 3. 创建LDAP数据库:使用以下命令创建LDAP数据库: ``` sudo slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d ``` 4. 启动和配置LDAP服务器:使用以下命令启动并配置LDAP服务器: ``` sudo systemctl start slapd sudo systemctl enable slapd ``` 5. 添加LDAP管理员账号***dc=example,dc=com" -W -f /etc/openldap/ldif/admin.ldif ``` ***,dc=example,dc=com"是您设置的管理员账号的DN,可以根据实际情况进行修改。 6. 验证LDAP服务器:使用以下命令验证LDAP服务器是否正常运行: ``` ldapsearch -x -b*** ``` 输入管理员密码后,如果成功显示LDAP服务器中的条目,则表示配置成功。 这些步骤将帮助您在CentOS 8上配置LDAP服务器。请注意,这只是一个简单的概述,您可能需要根据您的具体需求进行更详细的配置和调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

雨帝夜泪

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值