CentOS7.4配置OpenLDAP Client集成AD服务及SSSD服务与SSH服务

最新推荐文章于 2023-12-04 23:19:13 发布
最新推荐文章于 2023-12-04 23:19:13 发布
阅读量2.2k 收藏 4
点赞数 3
分类专栏: Linux CDH WinServer 文章标签: OpenLDAP SSSD CentOS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cy309173854/article/details/115710759
版权
Linux 同时被 3 个专栏收录
49 篇文章 1 订阅
订阅专栏
CDH
30 篇文章 3 订阅
订阅专栏
WinServer
4 篇文章 1 订阅
订阅专栏

一、前置准备

1、基础环境说明

客户端操作系统:CentOS 7.4 core

AD服务器:WinServer 2012 R2

2、AD证书导出

1).服务器管理

服务器管理→AD CS→证书颁发机构→所有任务→备份CA

 

 

2).证书备份(导出)

备份项目→设置密码(默认为空)→完成

 

 

 

二、OpenLDAP Client安装及配置

1、安装OpenLDAP Client

集群所有节点添加AD服务器hosts配置,并安装openldap-clients

 

# yum -y install openldap-clients

 

2、配置ldap.conf

1). 修改/etc/openldap/ldap.conf

# vim /etc/openldap/ldap.conf

BASE    dc=bosch,dc=com

URI     ldap://adserver.bosch.com

TLS_CACERTDIR   /etc/openldap/certs

SASL_NOCANON    on

 

2). 验证ldap配置

# ldapsearch -b "ou=Cloudera Users,dc=bosch,dc=com" -D "cn=cloudera-scm/admin,cn=Users,dc=bosch,dc=com"  -W |grep dn

3、配置证书

1).上传CA证书

将导出的证书上传至Linux服务器的/etc/openldap/certs目录并拷贝至/etc/openldap/cacerts/

2).转换CA证书

# cd /etc/openldap/certs

# openssl pkcs12 -in bosch-ADSERVER-CA.p12 -out adserver.pem

密码默认为空

3).创建软连接

# cp adserver.pem /etc/openldap/cacerts/

# cacertdir_rehash /etc/openldap/cacerts/

三、SSSD服务安装及配置

1、安装sssd服务

# yum install -y sssd authconfig nss-pam-ldapd sssd-ad

2、配置sssd服务

# authconfig --enablesssd --enablesssdauth --enablerfc2307bis --enableldap --enableldapauth --disableforcelegacy --enableldaptls --disablekrb5 --ldapserver ldap://adserver.bosch.com --ldapbasedn "dc=bosch,dc=com" --enablemkhomedir --update

# vi /etc/sssd/sssd.conf

[domain/BOSCH.COM]

 

autofs_provider = ldap

ldap_schema = ad

krb5_realm = BOSCH.COM

ldap_search_base = dc=bosch,dc=com

krb5_server = adserver.bosch.com

id_provider = ldap

auth_provider = ldap

chpass_provider = ldap

ldap_uri = ldap://adserver.bosch.com

ldap_id_use_start_tls = True

cache_credentials = True

ldap_tls_cacertdir = /etc/openldap/certs

 

# General

debug_level = 7

enumerate = false

case_sensitive = false

cache_credentials = true

min_id = 100

 

# Providers

full_name_format = %1$s

fallback_homedir = /home/%u

default_shell = /bin/bash

ldap_id_mapping = True

 

# LDAP user search settings

ldap_user_search_base = ou=Cloudera Users,dc=bosch,dc=com

# LDAP group search settings

ldap_group_search_base = ou=Cloudera groups,dc=bosch,dc=com

 

# LDAP Class settings

ldap_user_object_class = user

ldap_user_principal = userPrincipalName

ldap_user_name = sAMAccountName

ldap_user_gecos = displayName

ldap_group_object_class = group

ldap_group_name = sAMAccountName

ldap_user_home_directory = unixHomeDirectory

 

# LDAP connection settings

ldap_uri = ldap://adserver.bosch.com

ldap_default_bind_dn = cn=cloudera-scm/admin,cn=Users,dc=bosch,dc=com

ldap_default_authtok_type = password

ldap_default_authtok = UnionBigData@123.

 

[autofs]

 

[sssd]

config_file_version = 2

services = nss, pam, autofs

domains = default, BOSCH.COM

 

[nss]

#filter_groups = root

#filter_users = root

reconnection_retries = 3

 

[pam]

# systemctl restart sssd

# systemctl status sssd

四、验证SSSD和SSH集成

1、创建用户

在AD域中Cloudera Users组织创建用户

 

 

2、查看用户

在Linux服务器查看相应用户

# cat /etc/passwd|grep whtm

# id whtm

2、测试ssh登录

# ssh whtm@cdh03.domain

 

曹宇飞丶
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux的sssd服务,Linux sssd 认证
weixin_32494473的博客
05-07 3976
sssd是一款用以取代ldap和AD的软件,配置比较简单。本文介绍如何在ldap客户端部署sssd,来启用ldap认证。- 安装sssdyum install sssdyum remove pam_ldap samba*安装sssd,并卸载pam_ldap和samba相关的包- 配置/etc/sssd/sssd.conf[sssd]config_file_version = 2services =...
生产环境OpenLDAP主从集群
最新发布
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
06-20 778
需要注意的是认证用户一定要使用超级管理员,如果使用普通用户连接master的话,slave将不会同步用户的密码字段信息。对于slave节点,也参照前述章节安装并配置,但只到执行ldapdomain.ldif文件后就行。通过上图,我们可以很明显的看到slave机器上slapd服务没有报错,而且已经在同步相关openldap数据。slave机器上配置完毕后,无需重启master机器和slave机器的slapd服务。1、在master节点上修改用户字段信息,slave节点上应能同步到修改信息。
Centos7.4配置与管理DNS服务
qq_42818882的博客
04-26 8706
某校园网要架设一台NDS服务器复制long.com域的域名解析工作。DNS服务器的FQDN为dns.long.com,IP地址为 192.168.10.1.要求为以下域名实现正反向域名解析服务
超详细的CentOS7.4下载与图文安装
热门推荐
浅末年华的博客
02-29 53万+
一、CentOS7.4下载 官网下载地址:http://vault.centos.org/ 1、进入CentOS下载官网,找到CentOS7.4版本 2、在CentOS7.4版本页面中,找到isos/ 3、进入页面后,可以看到x86_64 4、在CentOS下载页面中,选择 CentOS-7-x86_64-DVD-170...
Centos中搭建多台Tomcat服务
Asurplus
04-21 20万+
为了满足业务需求,我们需要在同一台 Centos 服务器中搭建多个 Tomcat 服务器,下面,就让我们一起来看看吧
CentOS7.4下OpenLDAP 的安装与配置OpenLDAP主从主主
sfdst的博客
08-06 4508
文章目录1 OpenLDAP简介2.环境准备2.1 服务器规划2.2 关闭SELinux2.3 修改主机名2.4 关闭iptables2.5 系统环境信息3 server端安装OpenLDAP3.1 yum安装OpenLDAP3.2 配置OpenLDAP3.2.1 设置LDAP管理密码3.2.2 配置OpenLDAP数据库3.2.3 添加需要的schemas3.2.4 启动和开机自启及验证3.2.5 配置openLDAP服务config3.3 域devopstack配置3.4 创建一个测试用户3.5
centos7开启ssh服务
哈尼的博客
03-16 5752
centos7开启ssh服务1. root账户登陆2. 检查有没有安装ssh服务:rpm -qa | grep ssh(默认都安装)3. 修改配置文件 /etc/ssh/sshd_config4. systemctl start sshd.service 开启ssh服务5. ps -e | grep sshd 检查一下ssh服务是否开启6. netstat -an | grep 22检查一下22...
搭建centos服务器环境,远程ssh连接(完全解析)
2301_78960337的博客
12-04 3338
搭建centos7服务器(完全解析)
CentOS 7.4配置ssh免密登录及出现的问题
Centos 7.4配置ssh免密登录及出现的问题
03-12 2341
CentOS 7.4配置ssh免密登录及出现的问题 1 配置思路 通过RSA加密算生成了密钥,包括私钥和公钥,我们把公钥追加到用来认证授权的key中去。 每台机器配置本地免密登录,然后将其余每台机器生成的~/.ssh/id_dsa.pub公钥内容追加到其中一台主机的authorized_keys中,然后将这台机器中包括每台机器公钥的authorized_keys文件发送到集群中所有的服务器。这样集...
Linux安装与配置SSH服务
悦分享
07-24 2万+
白名单优先级高于黑名单,如果hosts.allow设置为允许133服务器登录,同时,hosts.deny为拒绝133服务器登录的时候,由于hosts.allow文件的优先级高,因此此时可以通过135服务器登录到本机。服务器端有3对非对称加密秘钥,当客户端连接服务端时,将ssh公钥发给客户端,要传输的数据经过公钥加密再进行传输,保证数据传输安全。注意:设置完成后,要退出ssh远程连接,再次登录后才可以生效。另外,特别提醒的是,设置好ssh的登录超时时间以后,记得退出重新登录或重启系统,以使配置生效。...
CentOS系统中使用yum安装指定版本软件
小陌成长之路
11-29 12万+
yum默认都是安装最新版的软件,这样可能会出一些问题,或者我们希望yum安装指定(特定)版本(旧版本)软件包。所以,就顺带分享yum安装指定(特定)版本(旧版本)软件包的方法。
Linux下查看CPU的温度
小陌成长之路
01-11 5万+
在Linux下可以通过lm_sensors来查看CPU的温度(当然你的硬件首先要支持),且使用这个功能要有内核相关模块(比如I2C)的支持 先查看机器上是否安装了lm_sensors: # rpm -q lm_sensors 如果没有安装直接yum安装: # yum install -y lm_sensors 检测传感器: # sh -c "yes|sensors-detect
yum安装软件提示:Public key for xxx.rpm is not installed
小陌成长之路
04-05 2万+
warning: rpmts_HdrFromFdno: Header V3 RSA/SHA256 Signature, key ID 0608b895: NOKEY Public key for fail2ban-0.9.6-1.el6.1.noarch.rpm is not installed
Crontab -e You are not allowed to use this program (crontab)
小陌成长之路
04-18 2万+
最近注意到有系统创建的普通帐户无法使用crontab,但以root身份运行计划任务是不推荐的。 每次尝试使用普通用户编辑crontab时,收到以下消息: [miner@cy2 ~] $ crontab -e You (miner) are not allowed to use this program (crontab) See crontab(1) for more information ...
Vi/Vim全局替换基本语法
小陌成长之路
07-18 2万+
在vim编辑中,编辑器使用指定的字符模式对文件中的每行进行检查,使用新字符串来替换模式。
CentOS 救援模式 (rescue installed system)修复损坏系统
小陌成长之路
09-22 1万+
前段时间遇到开发人员更新glibc版本,把/usr/lib64/libc-2.12.so & libc.so.6 -> libc-2.12.so 这个软连接更改之后导致报错:    ls: error while loading shared libraries: libc.so.6: cannot open shared object file: No such file or director
Linux下磁盘两种分区方式
小陌成长之路
09-05 1万+
使用fdisk、parted管理磁盘分区
系统异常重启检测-mcelog
小陌成长之路
01-11 1万+
mcelog 是Linux 系统上用来检查硬件错误,特别是内存和CPU错误的工具。 比如服务器隔一段时间莫名的重启一次,而message和syslog又检测不到有价值的信息。 通常发生MCE报错的原因有如下: 1、内存报错或者ECC问题 2、处理器过热 3、系统总线错误 4、CPU或者硬件缓存错误 一般来说当有错误提示时,需要优先注意内存问题,但由于现在内存控制器是集成在cpu里,所
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曹宇飞丶

您的鼓励是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值