实现OpenLDAP使用AD认证(OpenLDAP部署已忽略)

已于 2024-08-15 17:27:29 修改
阅读量531 收藏 14
点赞数 23
文章标签: c1认证 开源软件 开源协议 安全 java
于 2024-08-15 17:25:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fangyingquano/article/details/141226566
版权

一、配置OpenLDAP传递身份验证到Active Directory

OpenLDAP作为一种开源的目录服务解决方案,与Windows Active Directory(AD)作为微软提供的目录服务系统,各自在特定场景下展现出优势。当前情况显示,部分应用场景(如应用集成、客户端配置)与OpenLDAP的集成更为顺畅,而另一些场景则严格依赖于AD的功能。因此,完全放弃其中任一系统均非明智之举,但这同时也带来了双重维护的挑战——不仅工作量显著增加,还涉及信息的分散管理、同步复杂性提升及错误率的潜在上升。
为解决这一难题,业界已发展出一种成熟且广泛应用的策略:通过让OpenLDAP采用Windows AD进行认证。此方案巧妙地实现了单点管理用户凭证(即用户密码),仅需在AD中维护一套认证信息,即可同时服务于OpenLDAP及依赖AD的应用场景。此方案不仅简化了维护工作,降低了出错风险,还促进了系统间的无缝协作,是平衡开放性与兼容性需求的有效手段。

1.LDAP client;这个是实际调用ldap服务的系统,也可以是类似ldapsearch之类的client 程序

2.Openldap; 开源服务端,实际进程为slapd

3.Saslauthd;简单认证服务层的守护进程,该进程要安装在openldap服务器上

4.Active directory;即windows AD

1563964600770

二、配置Saslauthd

安装Saslauthd

yum install cyrus-sasl cyrus-sasl-ldap cyrus-sasl-plain -y

启用saslauthd LDAP机制

cat /etc/sysconfig/saslauthd

SOCKETDIR=/run/saslauthd

MECH=ldap

FLAGS="-O /etc/saslauthd.conf"

配置ldap参数

cat /etc/saslauthd.conf

ldap_servers: ldap://192.168.1.1

ldap_search_base: dc=ts,dc=com

ldap_filter: (|(cn=%u)(userPrincipalName=%u))

ldap_bind_dn: CN=username,cn=Users,dc=ts,dc=com

ldap_password: password

ldap_timeout: 10

ldap_deref: never

ldap_restart: yes

ldap_scope: sub

ldap_use_sasl: no

ldap_start_tls: no

ldap_version: 3

ldap_auth_method: bind

开启saslauthd服务

systemctl enable --now saslauthd

sasl配置

cat /etc/sasl2/slapd.conf

mech_list: plain

pwcheck_method: saslauthd

saslauthd_path: /var/run/saslauthd/mux

重启OpenLDAP

systemctl restart slapd

测试绑定AD用户并添加至OpenLDAP

cat >> user1.ldif <<EOF

dn: uid=ad_test1,ou=people,dc=ts,dc=com

objectClass: person

objectClass: organizationalPerson

objectClass: inetOrgPerson

objectClass: top

uid: ad_test1

cn: ad_test1

sn: ad_test1

userpassword: {SASL}ad_test1@ts.com

givenname: ad_test1

mail: ad_test1@ts.com

EOF
ldapadd -x -w "password" -D "cn=Manager,dc=ts,dc=com" -f user1.ldif

使用ad密码进行认证

ldapwhoami -x -D uid=ad_test1,ou=People,dc=ts,dc=com -w password

三、AD同步至OpenLDAP

安装lsc

cat > /etc/yum.repos.d/lsc-project.repo << EOF

[lsc-project]

name=LSC project packages

baseurl=http://lsc-project.org/rpm/noarch

enabled=1

gpgcheck=1

gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-LTB-project

EOF
rpm --import http://ltb-project.org/wiki/lib/RPM-GPG-KEY-LTB-project

yum install -y lsc java

AD域同步至OpenLDAP

mkdir /etc/lsc/ad2openldap/

cp /etc/lsc/logback.xml /etc/lsc/ad2openldap

cp /etc/lsc/lsc.xml /etc/lsc/ad2openldap

cat /etc/lsc/ad2openldap/lsc.xml

执行同步

/usr/bin/lsc -f /etc/lsc/ad2openldap -s all -c all -n

LSC会将Active Directory中的数据源同步到OpenLDAP,即lsc.xml的内容:

<?xml version="1.0" encoding="utf-8"?>

<lsc xmlns="http://lsc-project.org/XSD/lsc-core-2.1.xsd" revision="0">

<connections>

<ldapConnection>

<name>ad</name>

<url>ldap://192.168.1.1:389/dc=ts,dc=com</url>

<username>CN=admin,CN=Users,DC=ts,DC=com</username>

<password>password</password>

<authentication>SIMPLE</authentication>

<referral>IGNORE</referral>

<derefAliases>NEVER</derefAliases>

<version>VERSION_3</version>

<pageSize>1000</pageSize>

<factory>com.sun.jndi.ldap.LdapCtxFactory</factory>

<tlsActivated>false</tlsActivated>

</ldapConnection>

<ldapConnection>

<name>openldap</name>

<url>ldap://127.0.0.1:389/dc=ts,dc=com</url>

<username>cn=Manager,dc=ts,dc=com</username>

<password>password</password>

<authentication>SIMPLE</authentication>

<referral>THROW</referral>

<derefAliases>NEVER</derefAliases>

<version>VERSION_3</version>

<pageSize>-1</pageSize>

<factory>com.sun.jndi.ldap.LdapCtxFactory</factory>

<tlsActivated>false</tlsActivated>

</ldapConnection>

</connections>

<tasks>

<task>

<name>a-PeopleSyncTask</name>

<bean>org.lsc.beans.SimpleBean</bean>

<ldapSourceService>

<name>ad-source-service</name>

<connection reference="ad"/>

<baseDn>OU=TS科技,DC=ts,DC=com</baseDn>

<pivotAttributes>

<string>samAccountName</string>

</pivotAttributes>

<fetchedAttributes>

<string>description</string>

<string>cn</string>

<string>sn</string>

<string>givenName</string>

<string>mail</string>

<string>samAccountName</string>

<string>userPrincipalName</string>

</fetchedAttributes>

<getAllFilter>(&amp;(objectClass=user)(!(cn=Administrator))(!(cn=Guest))(!(cn=DefaultAccount))(!(cn=krbtgt)))</getAllFilter>

<getOneFilter>(&amp;(objectClass=user)(samAccountName={samAccountName}))</getOneFilter>

<cleanFilter>(&amp;(objectClass=user)(samAccountName={uid}))</cleanFilter>

</ldapSourceService>

<ldapDestinationService>

<name>opends-dst-service</name>

<connection reference="openldap"/>

<baseDn>ou=People,dc=ts,dc=com</baseDn>

<pivotAttributes>

<string>uid</string>

</pivotAttributes>

<fetchedAttributes>

<string>description</string>

<string>cn</string>

<string>sn</string>

<string>userPassword</string>

<string>objectClass</string>

<string>uid</string>

<string>mail</string>

</fetchedAttributes>

<getAllFilter>(objectClass=inetorgperson)</getAllFilter>

<getOneFilter>(&amp;(objectClass=inetorgperson)(uid={samAccountName}))</getOneFilter>

</ldapDestinationService>

<propertiesBasedSyncOptions>

<mainIdentifier>"uid=" + srcBean.getDatasetFirstValueById("samAccountName") + ",ou=People,dc=ts,dc=com"</mainIdentifier>

<defaultDelimiter>;</defaultDelimiter>

<defaultPolicy>FORCE</defaultPolicy>

<conditions>

<create>true</create>

<update>true</update>

<delete>false</delete>

<changeId>true</changeId>

</conditions>

<dataset>

<name>objectClass</name>

<policy>KEEP</policy>

<createValues>

<string>"organizationalPerson"</string>

<string>"inetOrgPerson"</string>

<string>"person"</string>

<string>"top"</string>

</createValues>

</dataset>

<dataset>

<name>description</name>

<policy>FORCE</policy>

<forceValues>

<string>js:srcBean.getDatasetFirstValueById("cn").toUpperCase() + " (" + srcBean.getDatasetFirstValueById("userPrincipalName") + ")"</string>

</forceValues>

</dataset>

<dataset>

<name>userPassword</name>

<policy>KEEP</policy>

<createValues>

<string>js:"{SASL}" + srcBean.getDatasetFirstValueById("userPrincipalName")</string>

</createValues>

</dataset>

<dataset>

<name>sn</name>

<policy>FORCE</policy>

<createValues>

<string>js:srcBean.getDatasetFirstValueById("cn")</string>

</createValues>

</dataset>

<dataset>

<name>uid</name>

<policy>KEEP</policy>

<createValues>

<string>js:srcBean.getDatasetFirstValueById("cn")</string>

</createValues>

</dataset>

<dataset>

<name>mail</name>

<policy>FORCE</policy>

<forceValues>

<string>js:srcBean.getDatasetFirstValueById("mail")</string>

</forceValues>

</dataset>

</propertiesBasedSyncOptions>

</task>

<task>

<name>b-GroupSyncTask</name>

<bean>org.lsc.beans.SimpleBean</bean>

<ldapSourceService>

<name>ad-src-service</name>

<connection reference="ad"/>

<baseDn>OU=TS科技,DC=ts,DC=com</baseDn>

<pivotAttributes>

<string>cn</string>

</pivotAttributes>

<fetchedAttributes>

<string>cn</string>

<string>member</string>

<string>description</string>

</fetchedAttributes>

<getAllFilter>(&amp;(objectClass=group)(member=*))</getAllFilter>

<getOneFilter>(&amp;(objectClass=group)(cn={cn}))</getOneFilter>

<cleanFilter>(&amp;(objectClass=group)(cn={cn}))</cleanFilter>

<interval>100</interval>

</ldapSourceService>

<ldapDestinationService>

<name>openldap-dst-service</name>

<connection reference="openldap"/>

<baseDn>ou=Group,DC=ts,DC=com</baseDn>

<pivotAttributes>

<string>cn</string>

</pivotAttributes>

<fetchedAttributes>

<string>cn</string>

<string>member</string>

<string>objectClass</string>

<string>description</string>

</fetchedAttributes>

<getAllFilter>(objectClass=groupOfNames)</getAllFilter>

<getOneFilter>(&amp;(objectClass=groupOfNames)(cn={cn}))</getOneFilter>

</ldapDestinationService>

<propertiesBasedSyncOptions>

<mainIdentifier>"cn=" + javax.naming.ldap.Rdn.escapeValue(srcBean.getDatasetFirstValueById("cn")) + ",ou=Group,DC=ts,DC=com"</mainIdentifier>

<defaultDelimiter>;</defaultDelimiter>

<defaultPolicy>FORCE</defaultPolicy>

<conditions>

<create>true</create>

<update>true</update>

<delete>false</delete>

<changeId>true</changeId>

</conditions>

<dataset>

<name>objectClass</name>

<policy>FORCE</policy>

<forceValues>

<string>"groupOfNames"</string>

<string>"top"</string>

</forceValues>

<delimiter>$</delimiter>

</dataset>

<dataset>

<name>default</name>

<policy>FORCE</policy>

</dataset>

</propertiesBasedSyncOptions>

</task>

</tasks>

</lsc>

附:

OpenLDAP禁止匿名登录

ldapmodify -Q -Y EXTERNAL -H ldapi:/// <<EOF

dn: cn=config

changetype: modify

add: olcDisallows

olcDisallows: bind_anon

EOF
ldapmodify -Q -Y EXTERNAL -H ldapi:/// <<EOF

dn: olcDatabase={-1}frontend,cn=config

changetype: modify

add: olcRequires

olcRequires: authc

EOF

开启OpenLDAP日志

cat > loglevel.ldif << EOF

dn: cn=config

changetype: modify

replace: olcLogLevel

olcLogLevel: stats

EOF
ldapmodify -Y EXTERNAL -H ldapi:/// -f loglevel.ldif

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

modifying entry "cn=config"

echo 'local4.* /var/log/slapd.log' >> /etc/rsyslog.conf

systemctl restart rsyslog

systemctl restart slapd

OpenLDAP主从

master配置

创建一个对所有LDAP对象具有读访问权限的用户,用作slave访问master

cat > syncuser.ldif <<EOF

dn: uid=syncuser,dc=ts,dc=com

objectClass: simpleSecurityObject

objectclass: account

uid: syncuser

description: Replication User

userPassword: h-O0i5kua7sS

EOF
ldapadd -x -W -D "cn=tsadmin,dc=ts,dc=com" -f syncuser.ldif

开启syncprov module

cat >syncprov_mod.ldif <<EOF

dn: cn=module,cn=config

objectClass: olcModuleList

cn: module

olcModulePath: /usr/lib64/openldap

olcModuleLoad: syncprov.la

EOF
ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov_mod.ldif

SASL/EXTERNAL authentication started

SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth

SASL SSF: 0

adding new entry "cn=module,cn=config"

开启syncprov

cat >syncprov.ldif <<EOF

dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config

objectClass: olcOverlayConfig

objectClass: olcSyncProvConfig

olcOverlay: syncprov

olcSpSessionLog: 100

EOF

slave配置

cat >syncrepl.ldif <<EOF

dn: olcDatabase={2}hdb,cn=config

changetype: modify

add: olcSyncRepl

olcSyncRepl: rid=001

provider=ldap://10.31.2.21:389/

bindmethod=simple

binddn="uid=syncuser,dc=ts,dc=com"

credentials=h-O0i5kua7sS

searchbase="dc=ts,dc=com"

scope=sub

schemachecking=on

type=refreshAndPersist

retry="30 5 300 3"

interval=00:00:05:00

EOF
ldapmodify -Y EXTERNAL -H ldapi:/// -f syncrepl.ldif

参考链接:​​​​​​配置OpenLDAP传递身份验证到Active Directory

LDAP Synchronization Connector - Welcome

使用lsc同步openldap和ad之间的用户和组

在CentOS 7上配置OpenLDAP主从复制模式

secaryuan
关注
  • 23
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AD域和LDAP协议
weixin_43522969的博客
06-23 9087
AD域和LDAP协议 1、LDAP 1.1 常见的目录服务软件 X.500 LDAP Actrive Directory,Microsoft公司 NIS 1.2 LDAP特点 LDAP是轻量目录访问协议(Lightweight Directory Access Protocol)的缩写。 LDAP是一种开放Internet标准,LDAP协议是跨平台的Interent协议 LDAP标准实际上是在X.500标准基础上产生的一个简化版本,它是基于X.500标准的, 与X.500不同,LDAP支持TCP/IP
Linux LDAP安装部署集成kerberos
wangkuangood3200的专栏
09-12 874
一、概述 由于Hadoop安全模块不存储用户和用户组信息,同时在集群开启kerberos认证后,需要映射Kerberos Principle到linux的用户及用户组,统一管理用户信息的方式有OpenLDAPAD,而AD部署在Windows上的,本文主要介绍在linux环境下OpenLDAP的安装及部署。 二、Server端安装与配置 2.1 安装介质 $ yum install ...
openldap介绍以及使用
罗伯特是疯子丶
05-22 5148
openldap的介绍、部署、及使用详情
Openldap开启TLS
Swordfall的博客
04-20 2371
1. 概述   为啥要用TLS?   Openldap默认使用简单验证,对slapd的所有访问都使用明文密码通过未加密通道进行。为了确保信息安全,需要对信息进行加密传输,SSL(Secure Sockets Layer)是一个可靠的解决方案。   它使用X.509证书,由可信任第三方(Certificate Authority(CA))进行数字签名的一个标准格式的数据。有效的数字签名意味着已签名...
Ubuntu OpenLdAP 安装及其配置
dhcas24的博客
05-03 2206
环境:Ubuntu 16.04   虚拟机LDAP(Lightweight Directory Access Protocol)是基于X.500标准的轻量级目录访问协议,在Unix操作系统里面,和NIS,DNS一样,属于名称服务(Naming Service)。本文描述了如何在Ubuntu操作系统上面,搭建LDAP服务。第一步:修改hosts ,具体如下:127.0.0.1       local...
《Linux/UNIX OpenLDAP实战指南》——2.5 OpenLDAP单节点配置案例
weixin_34233856的博客
05-02 385
本节书摘来自异步社区《Linux/UNIX OpenLDAP实战指南》一书中的第2章,第2.5节,作者:郭大勇著,更多章节内容可以访问云栖社区“异步社区”公众号查看 2.5 OpenLDAP单节点配置案例 2.5.1 安装环境规划 安装环境的拓扑图如图2-1所示。 安装环境要求如下。 环境平台:VMware ESXi 5.0.0系统版本:Red Hat...
CentOS7下OpenLDAP统一认证的主从环境部署记录
justlpf的专栏
04-17 699
同样,在slave上也需要配置syncrepl,因为syncrepl实现的主从复制是单向的,即master的所有操作都会同步到slave上,slave无法同步到master上,为了避免master与slave上的数据不一致,slave上禁止对ldap信息的增删改操作,只允许查询操作。Ldap由于scheam的控制,文件里的属性有严格的控制,错误的或者不存在的属性将无法执行ldif文件,所以ldif文件的字体颜色会帮助我们配置ldif文件(属性:绿色,属性值:红色)同步系统时间(两个节点机器上都要操作)
OpenLDAP学习笔记(基于OpenLDAP-2.4.x)
weixin_33964094的博客
06-18 221
1.1、什么是目录服务(Directory Services)? 目录是一个特殊的数据库,专门用于搜索和浏览,另外也支持基本的查询和更新功能。目录是一个为查询、浏览和搜索而优化的专业分布式数据库,它呈树状结构组织数据,就好象Linux/Unix系统中的文件目录一样。目录数据库和关系数据库不同,它有优异的读性能,但写性能差,并且没有事务处理、回滚等复杂功能,不适于...
ldap统一认证架构方案及实现指南(一)
weixin_34268579的博客
11-05 3755
一、ldap目录服务介绍什么是目录服务? 目录是一类为了浏览和搜索数据而设计的特殊的数据库。例如,为人所熟知的微软公司的活动目录(active directory)就是目录数据库的一种。目录服务是按照树状形式存储信息的,目录包含基于属性的描述性信息,并且支持高级的过滤功能。什么是LDAP? LDAP是轻量目录访问协议,英文全称是Lightweight Directory ...
Django集成OpenLDAP认证实现
09-19
首先,我们要使用`django-auth-ldap`这个第三方库来实现Django与OpenLDAP的整合。你可以通过`pip`来安装这个库: ```bash pip install django-auth-ldap ``` 接下来,在你的Django项目的`settings.py`文件中进行...
openldap2.4.48-centos7部署日志
07-31
此文件为centos7部署openldap全过程的日志文件,非常详细,照此操作基本无误 ######################################## #### OS:CentOS Linux release 7.3.1611 (Core) #### db:berkeleydb-5.1.29 #### lpad:...
Docker部署openldap细节
01-20
1.yum 安装docker 切root用户,更新yum包 如有必要则卸载旧版本docker: yum remove docker docker-common docker-selinux docker-engine 安装需要的软件包, yum-util 提供yum-config-manager功能,另外两个是...
OpenLDAP+PhpLdapAdmin高可用模式部署记录(个人完整版本)
08-28
本篇文章是基于本人在测试环境下的OpenLDAP+phpldapadmin高可用方案实施手册,完整部署过程,测试通用!
OpenLDAP部署
09-29
部署使用OpenLDAP过程中,可能会遇到如连接问题、权限问题、数据一致性问题等。解决这些问题通常需要理解LDAP协议、熟悉OpenLDAP日志分析以及适时查阅官方文档和社区资源。 总之,OpenLDAP部署涉及多方面的工作...
阅读、分析和维护高质量开源软件有感——小计一笔
m0_54182006的博客
08-14 765
□开发者一资深团队 √ 小米公司MIUI 团队开发的一款开源移动APP软件 □主要功能一易于理解 √创建和管理便签、编辑、基于Google Task的云同步 □代码规模一适 中 √ 6个包、170个文件、41个Java类、471个类方法 √ 8800行代码 □代码质量一高质量 √软件设计和代码质量较高
理解常见开源协议的区别
分享关于Java编程、数据库管理和信息安全方面的最佳实践
07-09 946
本文将介绍几种常见的开源许可证,包括GPL、LGPL、MIT、Apache、BSD 和 木兰协议(Mulan PSL),并详细解释它们的区别。
漏洞扫描的重要性,如何做好漏洞扫描服务
最新发布
dexunyun的博客
08-15 819
总之,系统漏洞扫描是守护网络安全的重要防线之一。通过漏洞扫描VSS,丰富的漏洞规则库,可针对各种类型的网站进行全面深入的漏洞扫描,提供专业全面的扫描报告。德迅云安全可以提供有效应对网络安全威胁的解决方案,为用户网络安全提供安全保障。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值