云计算之ldap实现Linux账号管理

最新推荐文章于 2023-07-06 15:32:00 发布
最新推荐文章于 2023-07-06 15:32:00 发布
阅读量510 收藏
点赞数
分类专栏: 云计算之开发之路 文章标签: ldap ldap-client
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mx_steve/article/details/104949820
版权

1. 向dns服务器(192.168.89.128,与ldap服务器是同一台)中添加解析: 
    

# ktz.com -> 192.168.89.128
    vim /etc/named.conf
        zone "ktz.com" IN {
            type master;
            file "ktz.com.zone";
        };
    vim /var/named/ktz.com.zone
        $TTL 1D
        @    IN SOA    @ ktz.com. (
                            0    ; serial
                            1D    ; refresh
                            1H    ; retry
                            1W    ; expire
                            3H )    ; minimum
            NS    @
            A    192.168.89.128
        www    A    192.168.89.128
    systemctl restart named


2. 禁用防火墙和selinux[客户端],并修改dns服务器
    

vim /etc/resolv.conf
        nameserver 192.168.89.128
vim /etc/selinux/config
        SELINUX=disabled


3. 安装客户端软件
    

yum install -y nss-pam-ldapd openldap-clients


4. 配置openLDAP-client
    

cp /etc/nsswitch.conf /etc/nsswitch.conf.old
#让 NSS 服务使用 OpenLDAP 服务器
sed -i '/^passwd:.*$/s//&  ldap/g' /etc/nsswitch.conf
sed -i '/^shadow:.*$/s//&  ldap/g' /etc/nsswitch.conf
sed -i '/^group:.*$/s//&  ldap/g' /etc/nsswitch.conf

#配置ldapclient 配置文件
cp /etc/openldap/ldap.conf /etc/openldap/ldap.conf.old
vim /etc/openldap/ldap.conf
        #注释掉上面的host和BASE字段,在结尾追加
        host 192.168.85.129
        BASE dc=ktz,dc=com
        URI ldap://ktz.com ldap://ktz.com:389
        ssl off


5. 启用LDAP身份验证机制
    

cp /etc/sysconfig/authconfig /etc/sysconfig/authconfig.old
vim /etc/sysconfig/authconfig
        IPADOMAINJOINED=no
        USEMKHOMEDIR=no
        USEPAMACCESS=no
        CACHECREDENTIALS=yes
        USESSSDAUTH=no
        USESHADOW=yes
        USEWINBIND=no
        USEDB=no
        USEFPRINTD=yes
        FORCESMARTCARD=no
        PASSWDALGORITHM=sha512 
        USELDAPAUTH=yes
        USEPASSWDQC=no
        IPAV2NONTP=no
        USELOCAUTHORIZE=yes
        USECRACKLIB=yes
        USEIPAV2=no
        USEWINBINDAUTH=no
        USESMARTCARD=no
        USELDAP=yes
        USENIS=no
        USEKERBEROS=no
        USESYSNETAUTH=no
        USESSSD=no
        USEHESIOD=no
        USEMD5=yes
        FORCELEGACY=no


6. pam 认证
    

cp /etc/pam_ldap.conf /etc/pam_ldap.conf.old
vim /etc/pam_ldap.conf
        #注释掉上面的host和base字段,在结尾追加
        host=192.168.89.128
        base dc=ktz,dc=com
        uri ldap://ktz.com


7. 编辑系统认证文件,保证使用LDAP来认证
    

cp /etc/pam.d/system-auth /etc/pam.d/system-auth.old
        #%PAM-1.0
        # This file is auto-generated.
        # User changes will be destroyed the next time authconfig is run.
        auth        required      pam_env.so
        auth        required      pam_faildelay.so delay=2000000
        auth        sufficient    pam_fprintd.so
        auth        sufficient    pam_unix.so nullok try_first_pass
        auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
        auth        sufficient    pam_ldap.so use_first_pass
        auth        required      pam_deny.so

        account     required      pam_unix.so broken_shadow
        account     sufficient    pam_localuser.so
        account     sufficient    pam_succeed_if.so uid < 1000 quiet
        account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
        account     required      pam_permit.so

        password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
        password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
        password    sufficient    pam_ldap.so use_authtok
        password    required      pam_deny.so

        session     optional      pam_keyinit.so revoke
        session     required      pam_limits.so
        session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
        session     required      pam_unix.so
        session     optional      pam_ldap.so
        session     required      pam_mkhomedir.so skel=/etc/skel/ umask=0022


8. 启动并开机自启

systemctl restart nslcd
systemctl enable nslcd


9. 测试登录
    

ldap服务器上创建用户: test5/123456
id test5    
        uid=1007(test5) gid=500(devops) groups=500(devops)
ssh test5@127.0.0.1
        test5@127.0.0.1's password: 
        Last login: Wed Mar 18 17:29:29 2020 from localhost


    登录成功,验证完成,注意如果进入 -sh-42:模式,说明创建用户时没有使用/bin/bash解释器,修改下即可
    可以写成脚本进行批量操作,后期就无需在不同服务器建不同用户了

mx_steve
关注
专栏目录
LDAP认证——配置UNIX和Linux客户端使用活动目录.pdf
09-06
LDAP认证——配置UNIX和Linux客户端使用活动目录.pdf
Linux】密码验证设置
zclinux的博客
04-25 3715
enforce_for_root ##确保即使是root用户设置密码,也应强制执行复杂性策略。ocredit=-1 ##设置其他符号的最小数量,例如@,#、!lcredit=-1 ##将密码应包含的小写字母的最小数目设置为至少一个。ucredit=-1 ##将密码上的大写字母的最小数目设置为至少一个。dcredit=-1 ##将密码中包含的最小位数至少设置为一个。PASS_MIN_DAYS 2 ##设置密码修改之间最小的天数。minlen=8 ##将密码的最小长度设置为8个字符。
LDAP搭建,实现Linux账号统一管理
最新发布
Eng_ingLi的博客
07-06 6542
详细的LDAP server端和client端的搭建方法
CentOS7.4下OpenLDAP 的安装与配置及OpenLDAP主从主主
sfdst的博客
08-06 4757
文章目录1 OpenLDAP简介2.环境准备2.1 服务器规划2.2 关闭SELinux2.3 修改主机名2.4 关闭iptables2.5 系统环境信息3 server端安装OpenLDAP3.1 yum安装OpenLDAP3.2 配置OpenLDAP3.2.1 设置LDAP管理密码3.2.2 配置OpenLDAP数据库3.2.3 添加需要的schemas3.2.4 启动和开机自启及验证3.2.5 配置openLDAP服务config3.3 域devopstack配置3.4 创建一个测试用户3.5
在CentOS 7上实施密码复杂性策略
ss810540895的博客
05-22 1511
对于CentOS 7或类似的衍生产品,使用/etc/security/pwquality.conf或/etc/pam.d/system-auth配置文件。在本指南中,我们将学习如何在基于CentOS 7 / RHEL的派生产品上实施密码复杂性策略。与我们之前的指南类似,我们将使用PAM pwquality模块在基于CentOS 7 / RHEL的派生产品上实施密码复杂性策略。选项附加到上的以下行/etc/pam.d/system-auth。以root用户身份,尝试使用不符合设置的凭据的密码更改用户的密码。
LDAP实现AD域账号验证 - Java/SpringBoot
03-23
在IT行业中, Lightweight Directory Access Protocol (LDAP) 是一种用于存储和检索目录信息的标准协议,而Active Directory (AD) 是微软提供的目录服务,广泛应用于企业环境中进行用户身份验证和权限管理。...
LDAP账号一体化管理
09-03
LDAP 账号管理是指使用LDAP 技术管理账号实现账号的统一管理和身份验证。LDAP 账号管理可以将不同的应用系统和服务集成到一起,提供一个统一的身份验证和授权机制,以提高安全性和便捷性。 2.1 LDAP 管理工具 ...
配置Linux使用LDAP用户认证的方法
09-14
Linux环境中,使用LDAP(轻量级目录访问协议)进行用户认证是一种常见的集中式身份验证方法,它允许管理员在一个中心化的目录服务器管理用户账户和权限。本篇将详细介绍如何在CentOS 7系统上配置Linux以使用LDAP...
数据仓库之LDAP
03-02
LDAP是轻量目录访问协议,英文全称是LightweightDirectoryAccessProtocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。...
ldap服务器用户及权限管理控制linux操作系统-电脑资料.doc
12-21
下面将详细介绍 LDAP 服务器用户及权限管理控制在 Linux 操作系统中的实现。 一、新建管理账户 在 LDAP 服务器中,默认的管理员账户是_manager_,dc=361way,dc=,其写在配置文件_/etc/openldap/slapd.conf_中。但是...
在NIS服务器上实验密码验证功能
weixin_33994429的博客
03-29 139
服务器上的配置 1、服务器软件安装(第一张光盘) 2、设置time和time-udp服务的启动状态,并重启xinetd服务使设置生效(默认这两个服务是禁用状态) 3、配置IP地址,主机名和NIS域名 4、创建用户(在生成影射文件前创建用户,否则,在创建用户后要再生成一次) 5、设置ypserv服务的配置文件,控制客户端的访问(vi /et...
Linux 密码复杂度设置pam_pwquality、pam_passwdqc(centos7)
weixin_34162629的博客
01-17 3551
1、Linux对应的密码策略模块有:pam_passwdqc 和 pam_pwquality 。其中pam_passwdqc模块对应的是/etc/login.defs,pam_pwquality对应的是/etc/security/pwquality.conf 2、模块的添加方法:/etc/pam.d/pass...
2021-07-07
weixin_44072572的博客
07-07 103
强制使用强密码(用户密码安全配置) PAM身份验证安全配置实例   一、强制使用强密码(用户密码安全配置) PAM配置文件:/etc/pam.d/system-auth- 模块名称:pam_cracklib(仅适用于password模块接口) 模块参数: minlen=12       密码字符长度不少于12位(默认为9) lcredit=-1      至少包含1个小写字母 ucredit=-1      
linux系统pam配置文件,【PAM】 How to Configure and Use PAM in Linux
weixin_30199703的博客
05-01 1582
一、什么是PAMPAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添加新的认证手段。PAM最初是集成在Solaris中,目前已移植到其它系统中,如Linux...
Linux使用ldap账号登录,ldap实现Linux登录账号统一管理-svn
weixin_35858450的博客
05-13 1401
安装http 服务yum install -y httpd检查http是否安装httpd -version安装httpd支持SVN的模块 mod_dav_svnyum install mod_dav_svn -y安装成功后,会有mod_dav_svn.so和mod_authz_svn.so两个文件。find / -name mod_dav_svn.so/usr/lib64/httpd/modu...
ldap管理linux用户,使用LDAPLinux鉴权和进行用户管理
weixin_29471541的博客
04-30 1568
From:http://maxshu.lofter.com/post/6c7b3_93f73安装LDAP:# yum install openldap-servers安装openSSL:# tar -zxvf openssl-1.0.0e.tar.gz# cd openssl-1.0.0e# ./config -fPIC shared# make clean# make# make test# m...
ldap管理linux用户,Linux管理LDAP网络用户及其home目录
weixin_35814475的博客
04-30 940
企业需求:一、配置你的主机账号和密码验证方式为LDAP方式,通过ldapuser5可以登录成功,ldapuser5密码为:password。证书可以从下载:http://ip/dir/ldap.crt,用户登录后是没有宿主目录的,除非你配置了后续题目中的autofs二、配置autofs,实现ldapuser5登录成功后,有家目录/rhome/ldapuser5。家目录在172.28.10.1上被n...
Linux - 搭建LDAP统一认证服务
11-17 7330
目的 通过以下步骤最终可使用ldap server中的用户登录一台ldap client,并允许有sudo权限。平常公司中所用的域账号以及服务器账号也许就是使用如下方式,但是应该没有这么简陋,只是借机了解一波ldap 环境信息 [root@suhw ~]# hostnamectl Static hostname: suhw Icon name: computer-vm Chassis: vm Machine ID: c9006a74a367
ldap管理linux用户,ldap服务器用户及权限管理控制linux操作系统 -电脑资料
weixin_35866747的博客
04-30 1903
ldap服务器可能使用的用户比较少,但自己就要去用在百度找了N久没找到什么可用的内容,就只在看英文了,下面我来给大家介绍ldap服务器用户及权限管理控制,希望此文章对大家有帮助,openldap默认的账户是cn=Manager,dc=361way,dc=com这样的一个账户 ,其写在配置文件/etc/openldap/slapd.conf文件中,但这样的一个账户就像linux下的root一样,虽然...
Linux 平台LDAP 服务器配置与管理深度剖析
LDAP服务器配置与管理Linux系统中的一个重要组件,旨在实现资源和信息的统一管理,保障数据的一致性和完整性。 **目录服务概述** 目录服务是一种按照树状信息组织模式,实现信息管理和服务接口的方法,可以有效...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值