IC公司EDA环境用户认证(AD+autofs)

最新推荐文章于 2024-10-19 20:58:11 发布
最新推荐文章于 2024-10-19 20:58:11 发布
阅读量380 收藏 1
点赞数
文章标签: linux 服务器 centos hpc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2262166/article/details/131152219
版权
文章介绍了如何通过ActiveDirectory(AD)统一管理Linux系统的密码,包括CentOS加入AD域的步骤,以及如何通过修改sssd配置文件实现短用户名和限制登录。此外,还详细阐述了如何配置AD集成autofs服务,以统一管理挂载点,提高系统管理效率和安全性。
摘要由CSDN通过智能技术生成

环境简单架构图:

 

 

使用AD的原因就是统一linux和windows密码,密码不同确实很头疼,经常有用户会问密码,还有用户会将密码搞错,所以用AD统一管理会解决这个问题,具体如下:
 

一、 将centos系统加入AD域

1、安装工具:

yum install -ysssd realmd oddjob oddjob-mkhomedir adcli samba-common samba-common-toolskrb5-workstation openldap-clients policycoreutils-python

2、配置dns

3、加域:

realm join --automatic-id-mapping=no --user=administratoreda.local

4、修改为短用户名:

由于CentOS中默认使用完整用户名“administrator@example.com”,需要修改 /etc/sssd/sssd.conf 配置文件来达到使用短用户名的目的;

use_fully_qualified_names = False
  
fallback_homedir = /home/%u
  
  
重启服务使其生效;
  
  
systemctl restart sssd

加域成功后在linux系统中会自动生产UID和GID等信息,大部分AD用户会加很多windows组,在linux系统中的用户也会显示这些组;而且每个用户都能登录linux系统,对于IC公司来说存在一定的安全漏洞;我们可以在AD中设置用户的linux属性gidNumber和uidNumber这样就可以限制只有设置了linux属性的用户才能登录linux系统,而且在linux中用户group会比较干净只显示有gidNumber的group;另外也可以通过自定义uidNumber和gidNumber的方式将账号从nis或者ldap中迁移到AD中,做到用户的windows和linux的密码统一;要使用AD中的linux属性需要修改sssd的配置文件,在配置文件中将ldap_id_mapping 改成 False,然后清理缓存重启sssd服务器(rm -rf /var/lib/sss/db/*)

二、 配置Autofs

AD也可以集成autofs服务,通过AD来统一管理Autofs配置文件,通过AD的ADSI编辑器来创建和管理Autofs配置文件,如下已挂载home目录为例:

1、在AD上用ADSI编辑器创建autofs OU

2、使用ADSI编辑器创建nisMap

cn = auto.master

nisMapName = auto.master

3、创建nisMap  atuo.home

cn = auto.home

nisMapName = auto.home

4、在auto.home 下创建nisObject(挂载点)

cn = /home

nisMapName = auto.home

nisMapEntry =-rw,hard,bg,intr,nfsvers=3,tcp 192.168.111.11:/home

8、auto.master CN 中创建挂载点指针,请右键单击 auto.master 并创建 一个新的 nisObject 对象

cn = /-

nisMapName = auto.master

nisMapEntry = auto.home

三、 修改sssd的配置文件,支持sssd管理autofs:

cat  /etc/sssd/sssd.conf
  
[sssd]
  
domains  = vastai.com
  
config_file_version  = 2
  
services  = nss, pam, autofs
  
  
[domain/eda.local]
  
ad_domain  = eda.local
  
krb5_realm  = EDA.LOCAL
  
realmd_tags  = manages-system joined-with-samba
  
cache_credentials  = False
  
id_provider  = ad
  
krb5_store_password_if_offline  = True
  
default_shell  = /bin/tcsh
  
ldap_id_mapping  = False
  
use_fully_qualified_names  = False
  
fallback_homedir  = /home/%u
  
access_provider  = ad
  
autofs_provider  = ad
  
ldap_autofs_search_base  = ou=autofs,dc=eda,dc=local
  
ldap_autofs_map_object_class  = nisMap
  
ldap_autofs_map_name  = nisMapName
  
ldap_autofs_entry_object_class  = nisObject
  
ldap_autofs_entry_key  = cn
  
ldap_autofs_entry_value  = nisMapEntry
  
  
清零缓存重启sssd服务
  
rm  -rf /var/lib/sss/db/*
  
systemctl  restart sssd
  
systemctl  restart autofs
  
  
查看autofs是否生效:
  
automount  -m

l2262166
关注
NIS+autofs实现用户家目录自动挂载
DoloresOOO的博客
08-17 1749
NIS+autofs实现用户家目录自动挂载 网络信息服务(NIS)(Network Information Service) NIS是集中控制几个系统管理数据库的网络用品。NIS简化了UNIX和LINUX桌面客户的管理工作,客户端利用它可以使用中心服务器的管理文件桌面系统的用户无需建立他们自己的/etc/passwd,他们只简单的使用维护在NIS服务器的文件即可。 ypbind是定义NIS...
linux服务器实现AD认证,Linux用户启用Windows AD做集中认证
weixin_36140403的博客
04-30 2002
Why为什么要做服务器的集中认证(和统一权限管理)呢?简答之:当服务器数量呈几何级增长之后,为每台机器维护单独的用户系统已经成为了一个几乎不可能完成的任务(试想下为一万台服务器上的每个用户每三个月修改一次密码),虽然现在也可以通过类似于ansible之类的工具也可以比较容易地做到,但我们有更好的解决方案----统一认证,这样,只需要在一个地方维护用户数据即可,这样简洁可靠的方案,肯定比ansibl...
【转载】浅谈EDA验证工具
Emmahuu424的博客
10-18 1052
原文链接:https://news.eeworld.com.cn/mp/EEWorld/a91610.jspx
[CENTOS7] 加入Windows域
weixin_34032621的博客
12-22 3705
This following article is a snapshot from: https://www.rootusers.com/how-to-join-centos-linux-to-an-active-directory-domain/ Home Linux Windows Security Exam Guides Archives About Con...
【能力地图】芯片EDA验证的几个关键能力
weixin_45436145的博客
11-13 1179
跟伙伴们讨论,芯片EDA验证的几个关键基本能力。 1),业务能力; 2),debug能力; 3),测试点分解能力; 4),完备性证明能力; 5),个人验证计划管理能力; 这几点还是说到点子上了。 另,sv和uvm的平台搭建能力,这个也很基本。 ...
CentOS加入AD
bengfan19750112的博客
08-07 2215
首先安装各个依赖包;yum install sssd realmd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation openldap-clients policycoreutils-python ntp –y确保至AD的解析正常,编辑 /etc/resolv.conf...
nis+nfs+autofs环境实现共享主机文件
weixin_44052660的博客
09-16 448
原文出处 nis:https://blog.csdn.net/younger_china/article/details/53130780 nfs+autofs:https://blog.csdn.net/weixin_43844928/article/details/103114371 前提环境 1.实现root用户无密钥登录其他节点:用把master机上的公钥传给slaves也行或者使用nis管理 2.在主服务器设置共享文档/home,/share;其他节点共享这两个目录 3.配置这些时一定要先关闭防火
samba服务部署+autofs+nfs
weixin_46119868的博客
03-19 223
1. samba服务简介 作用: windows系统共享文件时用到的协议smb smb是由miscrosoft+sun Linux cifs ######2.samba基本信息###### 服务启动脚本: smb.service 主配置目录: /etc/samba 主配置文件: /etc/samba.conf 安全上下文: samba_share_t 端口: 139 445 安装包: samba ...
NIS配置使用+nfs+autofs.docx
11-02
NIS配置使用+nfs+autofs.docx
NFS+NIS+Autofs客户端配置
06-25
"NFS+NIS+Autofs客户端配置" NFS(Network File System)是一种允许不同操作系统之间共享文件的网络协议。NIS(Network Information Service)是一种提供集中式身份验证和管理的服务。Autofs是一种自动挂载文件系统...
Redhat NIS+NFS+AUTOFS 配置实现用户远程挂载
"在Linux系统,特别是Red Hat环境中,配置NIS(Network Information Service)、NFS(Network File System)和AUTOFs服务可以实现用户在多台机器间共享登录信息和自动挂载家目录。本配置教程适用于创建一个服务器...
Linux介绍及常用命令
小旺的博客
10-16 1059
1969 年,AT&T 公司的⻉尔实验室P MIT 合作开发的 Unix,í在于创建⼀个⽤于⼤型、并⾏、多⽤户的操作系统Unix 的推⼴:从学校⾛进企业Unix 的版本要两个:AT&T System V ——就是俗称的 系统 5linux是一种操作系统1991 年,芬兰赫尔⾟基⼤学的学⽣ Linus Torvals 为了能在家⾥的 PC 机上使⽤与学校⼀的操作系统,开始编写了类 UNIX.
Linux】解读信号的本质&相关函数及指令的介绍
YYDsis的博客
10-14 761
一.信号的本质与相关概念1.体现中断的例子:.系统定义的信号列表1.用kill -l命令可以察看系统定义的信号列表2.(ps&kill&raise&abort)进程指令&信号相关函数【总结】【1】ps指令【2】kill&raise函数介绍与演示【3】abort函数介绍与演示三.产生信号的四种方式1.通过终端按键产生信号(Core Dump)2.调用系统函数向进程发信号3.由软件条件产生信号4.硬件异常产生信号
Linux】ioctl分析
目标:MVP
10-14 1091
一个字符设备驱动通常会实现常规的openreleaseread和write接口,但是如果需要扩展新的功能,通常以ioctl接口的方式实现。fill:#333;user spacevfsdriverioctl()ulocked_ioctl()或compat_ioctl()user spacevfsdriver。
Linux--firewalld服务
Menimeky的专栏
10-16 948
firewalld是CentOS 7.0新推出的管理netfilter的用户空间软件工具firewalld是配置和监控防火墙规则的系统守护进程。可以实iptables,ip6tables,ebtables的功能firewalld服务由firewalld包提供firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则先根据数据包中源地址,将其纳为某个zone纳为网络接口所属zone纳入默认zone,默认为public zone,管理员可以改为其它zone。
Linux动静态库
2301_76197086的博客
10-13 1124
详解Linux系统中的动静态库生成和使用,以及可执行程序运行时与动态库进行动态链接的原理
Linux:进程状态
2301_79171011的博客
10-16 1096
相对应地,在Windows操作系统中,当用户将一个耗时的任务,如下载大文件,最小化其窗口后,该任务便在后台运行。当CPU要调度pid为1的进程时,我们假设使用最简单的FIFO(先进先出)调度算法,那么CPU会到runqueue队列中找到第一个task_struct对象,获取该进程main函数地址和数据,放到CPU的寄存器中,并执行该进程。但是由于处于运行状态的进程太多而导致内存资源不足,而运行队列尾部的进程一段时间都不会被调度,操作系统就会将这些进程放到磁盘中的swap分区,此时进程状态叫做运行挂起状态。
Linux——动态卷的管理
最新发布
Xinan_____的博客
10-19 808
如果还没有单节点集群,可以使用 Minikube 创建一个。在该节点的 Shell 中,创建一个 /mnt/data 目录:# 这里假定你的节点使用 "sudo" 来以超级用户角色执行命令 sudo mkdir /mnt/data 在 /mnt/data 目录中创建一个 index.html 文件:# 这里再次假定你的节点使用 "sudo" 来以超级用户角色执行命令 sudo sh -c "echo 'Hello from Kubernetes storage' > /mnt/data/index.
Linux】了解pthread线程库,清楚并没有线程创建接口,明白Linux并不存在真正意义的线程(附带模型图详解析)
YYDsis的博客
10-16 563
一.Linux不存在真正的线程(没有实体):Linux并没有提供thread_struct结构体(TCB) 二.了解线程pthread原生线程库:不会直接提供线程创建的接口1.pthread原生线程库不提供线程创建接口2.从Linux系统模型角度看看我们创建的线程三.线程与进程相关知识点1.线程的官方概念&进程的对比2.线程准确定义&运行本质
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值