UBUNTU_Network Authentication(三)

最新推荐文章于 2024-05-24 17:32:56 发布
最新推荐文章于 2024-05-24 17:32:56 发布
阅读量368 收藏
点赞数
文章标签: 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25562325/article/details/116495553
版权

LDAP认证

一旦您有了一个工作的LDAP服务器,您将需要在客户机上安装库,以便知道如何以及何时与它联系。在Ubuntu上,这通常是通过安装libnss-ldap包来完成的。
这个包将引入其他工具,帮助您完成配置步骤。现在安装这个包:

apt install libnss-ldap

将提示您输入LDAP服务器的详细信息。如果你说错了,你可以用:

dpkg-reconfigure ldap-auth-config

对话框的结果可以在/etc/ldap.conf中看到。如果您的服务器需要菜单中没有涵盖的选项,请相应地编辑此文件。
现在为NSS配置LDAP配置文件:

sudo auth-client-config -t nss -p lac_ldap

配置系统使用LDAP认证:

sudo pam-auth-update

从菜单中,选择LDAP和您需要的任何其他身份验证机制。
您现在应该能够使用基于ldap的凭据进行登录。
如果使用副本,LDAP客户机将需要引用多个服务器。在/etc/ldap.conf中,你会看到如下内容:

uri ldap://ldap01.example.com ldap://ldap02.example.com

如果提供者(ldap01)失去响应,请求将超时,消费者(ldap02)将试图被访问。

用户和组管理

ldap-utils包提供了足够的实用程序来管理目录,但是所需的一长串选项可能会使它们成为使用的负担。ldapscripts包包含这些实用程序的包装器脚本,有些人认为这些实用程序更容易使用。
安装包:

sudo apt install ldapscripts

然后编辑/etc/ldapscripts/ldapscripts.conf文件,得到类似如下内容:

SERVER=localhost
BINDDN='cn=admin,dc=example,dc=com'
BINDPWDFILE="/etc/ldapscripts/ldapscripts.passwd"
SUFFIX='dc=example,dc=com'
GSUFFIX='ou=Groups'
USUFFIX='ou=People'
MSUFFIX='ou=Computers'
GIDSTART=10000
UIDSTART=10000
MIDSTART=10000

现在,创建ldapscripts.passwd文件允许rootDN访问目录:

sudo sh -c "echo -n 'secret' > /etc/ldapscripts/ldapscripts.passwd"
sudo chmod 400 /etc/ldapscripts/ldapcripts.passwd

将“secret”替换为数据库rootDN用户的实际密码。
这些脚本现在可以帮助管理目录了。以下是一些如何使用它们的例子:

  • 创建用户
sudo ldapadduser george example

创建用户george,设置用户组example

  • 更改用户密码
sudo ldapsetpasswd george
Changing password for user uid=george,ou=People,dc=example,dc=com
New Password:
New Password (verify):
  • 删除用户
sudo ldapdeleteuser george
  • 添加组
sudo ldapaddgroup qa
  • 删除组
sudo ldapdeletegroup qa
  • 添加用户到组
sudo ldapaddusertogroup george qa

现在可以看到qa组中的memberuid中有george。

  • 从组中移除用户
sudo ldapdeleteuserformgroup george qa
  • ldapmodifyuser脚本允许您添加、删除或替换用户的属性。该脚本使用与ldapmodify实用程序相同的语法。例如:
sudo ldapmodifyuser george 

#About to modify the following entry :
dn: uid=george,ou=People,dc=example,dc=com
objectClass: account
objectClass: posixAccount
cn: george
uid: george
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/george
loginShell: /bin/bash
gecos: george
description: User account
userPassword:: e1NTSEF9eXFsTFcyWlhwWkF1eGUybVdFWHZKRzJVMjFTSG9vcHk=
#Enter your modifications here, end with CTRL-D.
dn: uid=george,ou=People,dc=example,dc=com
replace: gecos
gecos: George Carlin
  • •ldapscripts的一个很好的特性是模板系统。模板允许您自定义用户、组和机器对象的属性。例如,要启用用户模板,请编辑/etc/ldapscripts/ ldapscripts.conf修改:
    UTEMPLATE="/etc/ldapscripts/ldapadduser.template"
    在/usr/share/doc/ldapscripts/examples目录中有一些示例模板。将ldapadduser.template.sample文件复制或重命名为/etc/ldapscripts/ldapadduser.template:
sudo cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \
/etc/ldapscripts/ldapadduser.template

编辑新模板以添加所需的属性。下面将使用inetOrgPerson的objectClass创建新用户:

dn: uid=<user>,<usuffix>,<suffix>
objectClass: inetOrgPerson
objectClass: posixAccount
cn: <user>
sn: <ask>
uid: <user>
uidNumber: <uid>
gidNumber: <gid>
homeDirectory: <home>
loginShell: <shell>
gecos: <user>
description: User account
title: Employee

注意sn属性使用的选项。这将使ldapadduser提示您输入它的值。

备份与还原

:现在我们已经按照我们想要的方式运行了ldap,是时候确保我们可以保存所有工作并在需要时恢复它了。
我们需要的是一种备份ldap数据库的方法,特别是后端(cn=config)和前端
(dc =例子,dc = com)。如果我们要将这些数据库备份到/export/backup,我们可以使用如下脚本所示的slapcat,名为/usr/local/bin/ldapbackup:

#!/bin/bash
BACKUP_PATH=/export/backup
SLAPCAT=/usr/sbin/slapcat
nice ${SLAPCAT} -n 0 > ${BACKUP_PATH}/config.ldif
nice ${SLAPCAT} -n 1 > ${BACKUP_PATH}/example.com.ldif
nice ${SLAPCAT} -n 2 > ${BACKUP_PATH}/access.ldif
chmod 640 ${BACKUP_PATH}/*.ldif

注:这些文件是未压缩的文本文件,其中包含ldap数据库中的所有内容,包括树布局、用户名和每个密码。因此,您可能需要考虑将/export/ backup创建为加密分区,甚至让脚本在创建这些文件时对它们进行加密。
理想情况下,您应该两者都做,但这取决于您的安全需求。
然后,只要有一个cron脚本来尽可能频繁地运行这个程序就可以了。对许多人来说,一天一次就足够了。对其他人来说,则需要更多的时间。下面是一个名为/etc/ cron的cron脚本示例。每天晚上22:45运行的D /ldapbackup:

MAILTO=backup-emails@domain.com
45 22 * * * root /usr/local/bin/ldapbackup

现在文件已经创建,它们应该被复制到备份服务器上。
假设我们重新安装ldap,恢复过程可能是这样的:

sudo systemctl stop slapd.service
sudo mkdir /var/lib/ldap/accesslog
#清空安装生成的默认配置,防止影响配置文件的导入
sudo rm -rf /etc/openldap/slapd.d/*
sudo slapadd -F /etc/ldap/slapd.d -n 0 -l /export/backup/config.ldif
sudo slapadd -F /etc/ldap/slapd.d -n 1 -l /export/backup/domain.com.ldif
sudo slapadd -F /etc/ldap/slapd.d -n 2 -l /export/backup/access.ldif
sudo chown -R openldap:openldap /etc/ldap/slapd.d/
sudo chown -R openldap:openldap /var/lib/ldap/
sudo systemctl start slapd.service
IForFree
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
ubuntu 13.10安装后认证企业wifi网络出错的解决方法
wangfei584521的专栏
04-11 3392
症状:在网络管理面板中 A workaround based on keith (alclsdkrak1) workaround in #1168293 : Enter network details as normal using the network manager but select a random certificate so the dialog is not disp
scrt-sfx-9.1.0-2579.ubuntu20-64.x86_64.deb
09-29
Mac, and Linux combines rock-solid terminal emulation with the strong encryption, broad range of authentication options, and data integrity of the SSH (Secure Shell) protocol for secure network ...
Ubuntu 20.04 解决弹出 Authentication required 对话框
最新发布
qq_45529538的博客
05-24 518
【代码】Ubuntu 20.04 解决弹出 Authentication required 对话框。
UBUNTU_Network Authentication
IForFree
05-07 273
主要介绍LDAP网络认证和授权。 OpenLDAP Server 轻量级目录访问协议(Lightweight Directory Access Protocol,简称LDAP)是一种用于查询和修改运行在TCP/IP上的基于X.500(构成全球分布式的名录服务系统的协议)的目录服务的协议。 现在使用的绝大部分版本都是由RFC4510标准定义的LDAPv3。 LDAP协议访问LDAP目录。以下是一些关键的概念和术语: LDAP目录是一个具有层次结构的数据条目树,称为Directory Information
ubuntu 连校园网,需要wifi网络要认证
小小酥的博客
08-30 6109
ubuntu 连校园网 勾选不需要ca证书 内部认证:mschapv2
ubuntu下WiFi链接出现需要ca证书的问题
自由翱翔的鱼
10-02 1万+
之前在Ubuntu下想连接学校的WiFi时出现了需要输入ca证书的问题,下面给大家一种解决方案: step1: 其中认证选项一定要设置为受保护的EAP方式,即PEAP方式。匿名身份可以不用填写,CA证书选择不需要。内部认证选项一定要设置为MSCHAPv2。                           补: 受保护的可扩展的身份验证协议 (PEAP) 是...
Ubuntu wifinetwork无法设置的问题
circleyuanquan的博客
09-27 737
直接运行:sudo /etc/init.d/NetworkManager/NetworkManager.conf 完美解决!
scrt-9.1.1-2638.ubuntu20-64.x86_64.deb for unbuntu 20.04
01-11
Mac, and Linux combines rock-solid terminal emulation with the strong encryption, broad range of authentication options, and data integrity of the SSH (Secure Shell) protocol for secure network ...
Troubleshooting.Ubuntu.Server.1785284142
10-26
Network Authentication Chapter 4. Monitoring and Optimization Chapter 5. Process Management Chapter 6. Shell Management, Tools, and User Management Chapter 7. Virtualization Chapter 8. OpenStack with...
Ubuntu The Complete Reference
10-19
- **Kerberos Authentication**: Introduction to Kerberos, a network authentication protocol that uses tickets to allow nodes communicating over a non-secure network to prove their identity to one ...
network-manager
05-17
Ubuntu 13.04(代号Raring Ringtail)64位版本中,用户可能遇到802.1X EAP(Extensible Authentication Protocol)认证上网问题,这通常是由于内置的network-manager版本不支持某些特定的EAP类型或存在bug所致。...
ubuntu w网络连接配置
brucexu1978的专栏
06-30 1184
# 根据网上资料整理# 方式1和方式4已验证# anything the matter, please contact: asksamuel@sina.com目录方式1:网卡通过DHCP自动获取IP地址方式2:网卡静态分配IP地址方式3:PPPoE宽带拨号配置方式4:通过无线局域网接入互联网方式1:网卡通过DHCP自动获取IP地址$ sudo gedit /etc/network/interfac
ubuntu命令行配置无线网络
kevin3683的专栏
08-13 8614
安装工具: sudo apt-get install iwconfig sudo apt-get install wpa_supplicant 首先先启动无线网卡#下面wlan0代表网卡接口,请根据实际情况修改 ifconfig wlan0 up查看你的要接入的无线网络的配置: iwlist wlan0 scan 比如我家的WIFI结果大概如下: 说明我家的是WPA/WPA2模式,Pai
Ubuntu安装新的无线网卡驱动rtl88x2bu出现问题
LostForWords的博客
09-15 3790
Ubuntu安装新的无线网卡驱动出现问题驱动名称:RTL88x2bu解决办法 驱动名称:RTL88x2bu 在该驱动文件夹下执行./install.sh命令后出现如下错误: Authentication requested [root] for make clean: install.sh: 38: [: unexpected operator #make -C /lib/modules/5.11.0-25-generic/build M=/home/driver/RTL88x2BU_WiFi_linux_
Ubuntu Server网络配置
hsj13426293717的专栏
11-19 2464
Ubuntu Server配置静态IP地址
Ubuntu出现Authentication failure(认证失败)的解决方法
热门推荐
hpf247的博客
03-28 2万+
当我们想在刚安装的Linux系统启动某些服务或者想进入root用户时提示认证失败或者权限不够时,原因是刚安装Ubuntu后,root用户默认是未激活的,不允许登录,也不允许使用su命令到转到root用户。对于Ubuntu系统桌面用户来说是为了增强安全性,但是有时我们需要进入到root用户中去办某些事情时却办不了,所以设置一下还是必要的。在终端设置如下:输入:sudo passwd Passwor
学习ubuntu之文件/文件夹操作命令
weixin_33872660的博客
03-30 1283
新建文件:sudo touch mysql(文件名称)新建文件后文件属性是只读的,如果要编辑文件需要sudo gedit mysql删除文件:sudo rm mysql移动文件:1、先把改变操作目录,cd /home/zhoum/download2、移动文件到指定目录,sudo mv aaa(文件名) /home/development也可以同时移动多个文件到指定目录,文件...
ubuntu SVN Authentication realm
04-19
Ubuntu中,SVN(Subversion)是一种版本控制系统,用于管理和跟踪文件和目录的变化。Authentication realm(身份验证领域)是指用于验证用户身份的范围或域。 在Ubuntu中,SVN的身份验证领域可以通过配置文件进行设置。具体而言,可以在Subversion的配置文件(通常位于/etc/subversion目录下)中设置身份验证领域。 要设置SVN的身份验证领域,可以按照以下步骤进行操作: 1. 打开Subversion的配置文件,可以使用文本编辑器打开/etc/subversion/servers文件。 2. 在文件中找到[global]部分。 3. 在[global]部分下方添加或修改以下行: ``` realm = Your_Authentication_Realm ``` 其中,Your_Authentication_Realm是你想要设置的身份验证领域名称。 4. 保存并关闭文件。 设置完身份验证领域后,当用户使用SVN进行操作时,会提示输入用户名和密码。用户需要提供正确的用户名和密码才能进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IForFree

整理不易,望多支持!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值