centos7部署openldap开启memberof并接入jumpserver

已于 2023-08-11 16:45:34 修改
阅读量456 收藏
点赞数
分类专栏: Linux运维 文章标签: linux openldap phpldapadmin jumpserver memberOf
于 2023-08-11 16:23:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liang_operations/article/details/132233263
版权

文章目录

前言

介绍如何在centos7上部署openldap,并配置memberof进行组管理用户并介入jumpserver堡垒机

openldap参考的是这位大佬的博客,大佬文章的ldif格式有点乱,添加的时候不处理会报错 https://blog.csdn.net/weixin_41004350/article/details/89521170

1.yum安装openldap

[root@ldapserver 10:37:52 ~]# yum install -y openldap openldap-clients openldap-servers
[root@ldapserver 10:39:08 ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@ldapserver 10:39:10 ~]# chown -R ldap. /var/lib/ldap/DB_CONFIG
[root@ldapserver 10:39:14 ~]# systemctl start slapd
[root@ldapserver 10:39:14 ~]#systemctl enable slapd
[root@ldapserver 10:39:20 ~]# systemctl status slapd
● slapd.service - OpenLDAP Server Daemon
   Loaded: loaded (/usr/lib/systemd/system/slapd.service; disabled; vendor preset: disabled)
   Active: active (running) since 三 2023-07-12 10:39:20 CST; 3s ago

2.配置密码

我这里涉及到的密码都是000000

[root@ldapserver 10:39:24 ~]# slappasswd -s 000000
{SSHA}LSgYPTUW4zjGtIVtuZ8cRUqqFRv1tWpE


最后一行使用上面生成的密码
[root@ldapserver 10:39:32 ~]# vim changepwd.ldif
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}LSgYPTUW4zjGtIVtuZ8cRUqqFRv1tWpE

[root@ldapserver 10:39:47 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f changepwd.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={0}config,cn=config"

3.导入配置

这里可以根据需要导入,不知道需要什么都执行一遍

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/collective.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/corba.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/duaconf.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/java.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/misc.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/openldap.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/pmi.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif

4.定义域

我这里定义的是:dc=yinhan,dc=com,可根据自己的修改,比如改成dc=test,dc=com
这里修改建议是在vim模式下批量改:%s/dc=yinhan,dc=com/dc=xxx,dc=xxxx/g

这里olcRootPW的密码使用的也是前面生成的000000加密后的密文
[root@ldapserver ~]# cat changedomain.ldif
dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=admin,dc=yinhan,dc=com" read by * none

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=yinhan,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=admin,dc=yinhan,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}LSgYPTUW4zjGtIVtuZ8cRUqqFRv1tWpE

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=yinhan,dc=com" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=admin,dc=yinhan,dc=com" write by * read


[root@ldapserver ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f changedomain.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}monitor,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={2}hdb,cn=config"

5.配置memberof

[root@ldapserver ~]# cat add-memberof.ldif 
dn: cn=module{0},cn=config
cn: modulle{0}
objectClass: olcModuleList
objectclass: top
olcModuleload: memberof.la
olcModulePath: /usr/lib64/openldap

dn: olcOverlay={0}memberof,olcDatabase={2}hdb,cn=config
objectClass: olcConfig
objectClass: olcMemberOf
objectClass: olcOverlayConfig
objectClass: top
olcOverlay: memberof
olcMemberOfDangling: ignore
olcMemberOfRefInt: TRUE
olcMemberOfGroupOC: groupOfUniqueNames
olcMemberOfMemberAD: uniqueMember
olcMemberOfMemberOfAD: memberOf

[root@etcd-test 10:45:41 ~]# vim refint1.ldif
dn: cn=module{0},cn=config
add: olcmoduleload
olcmoduleload: refint

[root@etcd-test 10:45:53 ~]# vim refint2.ldif
dn: olcOverlay=refint,olcDatabase={2}hdb,cn=config
objectClass: olcConfig
objectClass: olcOverlayConfig
objectClass: olcRefintConfig
objectClass: top
olcOverlay: refint
olcRefintAttribute: memberof uniqueMember  manager owner


[root@ldapserver ~]# ldapadd -Q -Y EXTERNAL -H ldapi:/// -f add-memberof.ldif
adding new entry "cn=module{0},cn=config"

adding new entry "olcOverlay={0}memberof,olcDatabase={2}hdb,cn=config"

[root@ldapserver ~]# echo $?
0
[root@ldapserver ~]# ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f refint1.ldif
modifying entry "cn=module{0},cn=config"

[root@ldapserver ~]# ldapadd -Q -Y EXTERNAL -H ldapi:/// -f refint2.ldif
adding new entry "olcOverlay=refint,olcDatabase={2}hdb,cn=config"

6.配置base dn

[root@ldapserver ~]# cat base.ldif 
dn: dc=yinhan,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: yinhan Company
dc: yinhan

dn: cn=admin,dc=yinhan,dc=com
objectClass: organizationalRole
cn: admin

dn: ou=People,dc=yinhan,dc=com
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=yinhan,dc=com
objectClass: organizationalRole
cn: Group

[root@ldapserver ~]# ldapadd -x -D cn=admin,dc=yinhan,dc=com -f base.ldif -w 000000
Enter LDAP Password: 
adding new entry "dc=yinhan,dc=com"

adding new entry "cn=admin,dc=yinhan,dc=com"

adding new entry "ou=People,dc=yinhan,dc=com"

adding new entry "ou=Group,dc=yinhan,dc=com"

7.安装phpldapadmin管理

这里需要有epel的yum源

[root@ldapserver ~]# yum install phpldapadmin -y

8.调整httpd的配置

增加12行IP为自己的网段

[root@ldapserver ~]# cat -n  /etc/httpd/conf.d/phpldapadmin.conf 
     1  #
     2  #  Web-based tool for managing LDAP servers
     3  #
     4
     5  Alias /phpldapadmin /usr/share/phpldapadmin/htdocs
     6  Alias /ldapadmin /usr/share/phpldapadmin/htdocs
     7
     8  <Directory /usr/share/phpldapadmin/htdocs>
     9    <IfModule mod_authz_core.c>
    10      # Apache 2.4
    11      Require local
    12      Require ip 192.168.0.0/16
    13    </IfModule>
    14    <IfModule !mod_authz_core.c>
    15      # Apache 2.2
    16      Order Deny,Allow
    17      Allow from 127.0.0.1
    18      Allow from ::1
    19    </IfModule>
    20  </Directory>

9.调整php的配置

注释掉389行 开启397行
[root@ldapserver ~]#vim /etc/phpldapadmin/config.php 
397 $servers->setValue('login','attr','dn');
398 //$servers->setValue('login','attr','uid');
[root@ldapserver phpldapadmin]# systemctl restart httpd

10.登陆php管理页面

登陆地址: http://ip/ldapadmin
账号为第四步定义的:cn=admin,dc=yinhan,dc=com
密码也是前面定义的

登陆报错解决

[root@ldapserver ~]# setsebool -P httpd_can_connect_ldap on

在这里插入图片描述

11.同步旧ldapsever用户数据(可省略)

我这里原来有一套ldapserver已经跑了很多年了,可以通过slapcat跟slapadd把数据导入到新的server里

[root@ldapserver bak]# systemctl stop slapd  
[root@ldapserver bak]# grep 'dn: uid='  user.ldif      
dn: uid=test1,ou=People,dc=yinhan,dc=com
dn: uid=test2,ou=People,dc=yinhan,dc=com

[root@ldapserver bak]# slapadd -n 2 -l user.ldif 
.#################### 100.00% eta   none elapsed            none fast!         
Closing DB...
[root@ldapserver bak]# systemctl start slapd

12.客户端配置

[root@compute02_11bak]# yum install -y openldap-clients nss-pam-ldapd
[root@compute02_11:58:44_~ $ip a|grep 'inet 17'
    inet 172.16.4.80/16 brd 172.16.255.255 scope global eth0
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
    inet 172.20.0.1/16 brd 172.20.255.255 scope global br-b76db9453ac8
    inet 172.23.0.1/16 brd 172.23.255.255 scope global br-f422a62a0cc9
root@compute02_11:58:55_~ $authconfig --enablemkhomedir --enableshadow --enableldap --enableldapauth --ldapserver=ldap://192.168.11.21 --ldapbasedn=dc=yinhan,dc=com --disableldaptls --enablecache --disablewinbindauth --disablesssdauth --updateall

getsebool:  SELinux is disabled
getsebool:  SELinux is disabled
root@compute02_11:59:03_~ $id liliangde
uid=1000(liliangde) gid=500(sa_test)=908(monitorUsers),917(hc_group),902(sa_group),903(dba_group),500(sa_test)
root@compute02_11:59:06_~ $id liliangde1
uid=1001(liliangde1) gid=500(sa_test)=500(sa_test)

root@compute02_11:59:07_~ $ssh liliangde1@172.16.4.80
liliangde1@172.16.4.80's password: 
Creating directory '/data/home/liliangde1'.
Last login: Tue Jun 28 18:37:23 2022
liliangde1@compute02_11:59:35_~ $who
root     pts/0        2023-08-11 11:57 (mirrors.yh.com)
liliangde1 pts/1        2023-08-11 11:59 (compute02)

13.对接jumpserver

添加一个新的组,按照红色框勾选的操作
在这里插入图片描述

这里需要勾选groupOfUnxxx
在这里插入图片描述
新组的名称我设置为 test_mem
在这里插入图片描述
添加完成通过命令可以通过uniqueMember查看组里面包含哪些用户

[root@ldapserver bak]# ldapsearch -LL -Y EXTERNAL -H ldapi:/// "(cn=test_mem)" -b dc=yinhan,dc=com uniqueMember
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
version: 1

dn: cn=test_mem,ou=Group,dc=yinhan,dc=com
uniqueMember: cn=liliangde,ou=People,dc=yinhan,dc=com

jumpserver上面配置
在这里插入图片描述
配置完导入可以看到新的组
在这里插入图片描述

聪明勇敢有力气...
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenLDAP开启MemberOf及配置主从
格子的博客
07-05 1403
很多场景下,我们需要快速的查询某一个用户是属于哪一个或多个组的。`memberOf` 正是提供了这样的一个功能:如果某个组中通过 `member` 属性新增了一个用户,`OpenLDAP` 便会自动在该用户上创建一个 `memberOf` 属性,其值为该组的 `dn`。遗憾的是,`OpenLDAP` 默认并不启用这个特性,因此我们需要通过相关的配置开启它...............
LDAP应用:OpenLDAP集成到Jumpserver
漠效的博客
10-27 1001
前言 由于最近处理了一个jumpserver问题,刚好想起填一下openldap的坑. Jumpserver是国内流行的开源堡垒机,被很多公司在使用.从2018年的0.5.0版,截至到现在已经出到2.14.2了,功能是越来越强大,部署和迁移也越来越便捷,并且它也提供了 LDAP 的用户认证方式.因此我们可以连接LDAP,使LDAP的用户,使用统一的账号和密码,登录Jumpserver Web页面和终端(COCO) 的用户认证,再使用Jumpserver 创建的系统用户,跳到目标主机 系统用户是 J
JumpServer 整合ldap认证
友人A的博客
01-29 4672
前提: ldap服务器已经安装:OpenLDAP安装部署 一、JumpServer安装 官网安装地址安装部署 - JumpServer 文档 1、一键部署 #默认会安装到 /opt/jumpserver-installer-v2.18.1 目录 curl -sSL https://github.com/jumpserver/jumpserver/releases/download/v2.18.1/quick_start.sh | bash 2、安装完成验证 安装完成后配置文件 /opt
jumpserver配置LDAP
admin的博客
09-22 3295
解释: CN=Common Name 为用户名或服务器名,最长可以到80个字符,可以为中文 OU=Organization Unit为组织单元,最多可以有四级,每级最长32个字符,可以为中文 O=Organization 为组织名,可以3—64个字符长 C=Country为国家名,可选,为2个字符长 Jumpserver LDAP 单个ou只能导入1000个user,集团的ad已经超过三千用户。单独添加根ou无法添加到添加的ldap用户。 只要添加多ou就可以了。 如: ou=jumpserver,dc=.
Jumpserver与Freeipa集成(以及其他配置)
最新发布
saynaihe的博客
04-11 1200
准备将Freeipa与Jumpserver集成。其实Freeipa搭建后linux客户端如果安装了Freeipa client。。但是还是不能很好的完成操作的审计等操作。且用jumpserver管理能更好完成用户的操作审计。但是freeipa创建的linux用户账户的密码修改同步推送也会有各种的问题?该怎么在账号管理中同步账户信息的变更?最后折衷了还是:freeipa只与jumpserver完成认证,同步用户,用户组。同一用户组使用相同账户(linux用户)管理。linux主机不与freeipa联动?
openldap2.4.48-centos7部署日志
07-31
此文件为centos7部署openldap全过程的日志文件,非常详细,照此操作基本无误 ######################################## #### OS:CentOS Linux release 7.3.1611 (Core) #### db:berkeleydb-5.1.29 #### lpad:...
CentOS7安装openLDAPphpldapadmin.pdf
10-28
搭建openldap来统一用户名和密码,centos7下环境实现。踩坑》镜像欢迎》踩坑》还原。。。成功啦~
centos7 postifx dovecot openldap配置
11-14
基于Centos7 部署Varnish缓存代理服务器
09-14
在本文中,我们将深入探讨如何在CentOS 7操作系统上部署Varnish缓存代理服务器。Varnish是一款高效的开源反向代理服务器,它被设计用于提高Web服务的性能和响应速度,尤其适合处理高并发场景。 首先,让我们了解...
CentOS 7 部署 Elasticsearch7.4 集群并进行安全认证.docx
08-10
CentOS 7 部署 Elasticsearch 7.4 集群并进行安全认证 Elasticsearch 是一个基于 Lucene 库的搜索和数据分析引擎,它提供了一个分布式的搜索引擎,可以对大规模数据进行搜索、分析和可视化。在本文中,我们将了解...
Linux 安装并配置 OpenLDAP 新编(6)模块管理
05-07 873
OpenLDAP如何启用memberof功能,什么是overlay,如何启用模块,以及用户、组之间的关联。
启用OpenLDAPmemberOf特性
Listen2You的博客
09-14 6700
之前,我们已经通过 Docker 的方式安装部署OpenLDAP 服务。所以本文将主要介绍如何启用 OpenLDAP 中非常有用的 memberOf 特性。 很多场景下,我们需要快速的查询某一个用户是属于哪一个或多个组的(member of)。memberOf 正是提供了这样的一个功能:如果某个组中通过 member 属性新增了一个用户,OpenLDAP 便会自动在该用户上创建一个 memb...
centos 6.5 openldap php,CentOS 6.5安装Openldap添加memberof属性
weixin_35656078的博客
03-29 367
默认情况下,openLDAP安装之后schema中是没有memberof属性的,如果只是通过ldap进行系统登录认证还没有什么影响,但是如果是和第三方应用结合,那么这就成了一件痛苦的事儿。环境说明主机名角色IP地址ldapserver.contoso.comopenLDAP server192.168.49.139一、准备环境[root@ldapserver~]#iptables-L-nC...
OpenLDAP
Xu的博客
02-13 531
OpenLDAP
OPENLDAP关于numberof模块的设置详解
yes_is_ok的博客
11-08 938
一,背景: openldap版本 2.4.44 二,注意事项 所有涉及的配置文件的行开头不准有空格,凡是首行带有空格的均默认是上一行的continuous! 三,配置开始 1,编辑第一个ldif文件(名字随意,后缀必须要有ldif,我就命名为memberof_config.ldif),文件内容如下 [root@localhost ~]# cat memberof_config.l...
GitLab集成LDAP登录并解决OpenLDAPmemberOf问题
热门推荐
点滴成长
09-14 2万+
LDAP是Light weight Directory Access Protocol(轻量级目录访问协议)的缩写,其前身是更为古老的DAP协议。该文章的亮点(也是写这篇文章的主要目的)是解决了 OpenLDAP(我使用的版本号为2.4.*)加载memberof模块,并通过groupOfNames和memberOf实现分组认证的功能。
Docker -- 统一账户管理中心配置OPEN LDAP(在一套CI架构中,我们需要使用到各种各样得软件,需要这些软件协同工作。但是我们又不希望让用户在每一软件上都单独去进行账户得注册以及密码得维)
ayhg1的博客
01-17 1648
在一套CI架构中,我们需要使用到各种各样得软件,需要这些软件协同工作。但是我们又不希望让用户在每一软件上都单独去进行账户得注册以及密码得维护。为了方便运维管理,我们引入LDAP作为统一账户管理中心。LDAP实际上是一个协议,目前针对轻量级目录服务协议的实现产品有很多。我们选择使用OPEN LDAP作为实现产品。该产品是免费的,功能也较为全面。客户端软件我们采用LDAP ADMIN
Jumpserver堡垒机二次开发实战
悦分享
08-20 1809
基于该项目进行 jumpserver 二次开发,实现向zabbix推送jumpserver主机。
jumpserver 使用教程_Jumpserver 简单使用
weixin_32254267的博客
12-29 5047
说起跳板机,现在首先被提起的一定是jumpserver,由于开源免费且功能强大,深受欢迎出于学习和实验的目的,通过docker方式就可以简单的搭建起来jumpserver/jms_all:latest 官方镜像运行容器docker run -d -p 8080:80 -p 2220:2222 --name jumpserver jumpserver/jms_all:latest03f9b2f8c7...
centos7.6 部署openldap实战
04-11
请确认您的问题,因为看上去是一个编码问题?如果您是在询问如何在CentOS 7.6上部署OpenLDAP,可以参考以下步骤: 1. 安装OpenLDAP ``` sudo yum install openldap openldap-servers openldap-clients -y ``` 2. 配置LDAP域名 编辑 /etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif 文件,将以下内容替换为您的域名: ``` olcSuffix: dc=my-domain,dc=com olcRootDN: cn=admin,dc=my-domain,dc=com ``` 3. 启动OpenLDAP服务 ``` sudo systemctl start slapd ``` 4. 验证OpenLDAP服务 查看OpenLDAP服务状态: ``` sudo systemctl status slapd ``` 运行以下命令连接到LDAP服务器: ``` ldapsearch -x ``` 您应该看到OpenLDAP服务器上的所有数据和设置。 5. 配置LDAP客户端 安装LDAP客户端: ``` sudo yum install openldap-clients -y ``` 编辑 /etc/openldap/ldap.conf 文件以设置LDAP服务器: ``` URI ldap://ldap.my-domain.com BASE dc=my-domain,dc=com ``` 6. 测试LDAP客户端 运行以下命令测试您的LDAP客户端连接: ``` ldapsearch -x ``` 您应该看到您LDAP服务器中的所有数据。 这些步骤应该可以让您在CentOS 7.6上部署OpenLDAP

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值