ldap 开启 sudo 权限:让 ldap 用户可以拥有执行 sudo 的能力

已于 2024-07-12 09:23:18 修改
阅读量135 收藏 1
点赞数 2
分类专栏: ldap 文章标签: python
于 2024-06-26 14:01:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40171314/article/details/139987424
版权

ldap 开启 sudo 权限:让 ldap 用户可以拥有执行 sudo 的能力

ldap 服务端

以下是容器部署 openldap server:

​ 容器镜像为: osixia/openldap:latest
​ 可视化客户镜像为: osixia/phpldapadmin:latest

进入容器:

在这里插入图片描述在这里插入图片描述

执行一下三条指令,开启 ldap sudo 能力:

参见:

基于docker的高可用openldap(包含lam-admin网页和sudo,ppolicy模块)

https://blog.csdn.net/qq_38120778/article/details/106889176

1.填加sudo的overlay模块:
cat<<EOF|ldapadd -Y EXTERNAL -H ldapi:///
dn: cn=sudo,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: sudo
olcAttributeTypes: {0}( 1.3.6.1.4.1.15953.9.1.1 NAME 'sudoUser' DESC 'User(s
 ) who may  run sudo' EQUALITY caseExactIA5Match SUBSTR caseExactIA5Substrin
 gsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {1}( 1.3.6.1.4.1.15953.9.1.2 NAME 'sudoHost' DESC 'Host(s
 ) who may run sudo' EQUALITY caseExactIA5Match SUBSTR caseExactIA5Substring
 sMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {2}( 1.3.6.1.4.1.15953.9.1.3 NAME 'sudoCommand' DESC 'Com
 mand(s) to be executed by sudo' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4
 .1.1466.115.121.1.26 )
olcAttributeTypes: {3}( 1.3.6.1.4.1.15953.9.1.4 NAME 'sudoRunAs' DESC 'User(
 s) impersonated by sudo (deprecated)' EQUALITY caseExactIA5Match SYNTAX 1.3
 .6.1.4.1.1466.115.121.1.26 )
olcAttributeTypes: {4}( 1.3.6.1.4.1.15953.9.1.5 NAME 'sudoOption' DESC 'Opti
 ons(s) followed by sudo' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.1466
 .115.121.1.26 )
olcAttributeTypes: {5}( 1.3.6.1.4.1.15953.9.1.6 NAME 'sudoRunAsUser' DESC 'U
 ser(s) impersonated by sudo' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.1.
 1466.115.121.1.26 )
olcAttributeTypes: {6}( 1.3.6.1.4.1.15953.9.1.7 NAME 'sudoRunAsGroup' DESC '
 Group(s) impersonated by sudo' EQUALITY caseExactIA5Match SYNTAX 1.3.6.1.4.
 1.1466.115.121.1.26 )
olcAttributeTypes: {7}( 1.3.6.1.4.1.15953.9.1.8 NAME 'sudoNotBefore' DESC 'S
 tart of time interval for which the entry is valid' EQUALITY generalizedTim
 eMatch ORDERING generalizedTimeOrderingMatch SYNTAX 1.3.6.1.4.1.1466.115.12
 1.1.24 )
olcAttributeTypes: {8}( 1.3.6.1.4.1.15953.9.1.9 NAME 'sudoNotAfter' DESC 'En
 d of time interval for which the entry is valid' EQUALITY generalizedTimeMa
 tch ORDERING generalizedTimeOrderingMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1
 .24 )
olcAttributeTypes: {9}( 1.3.6.1.4.1.15953.9.1.10 NAME 'sudoOrder' DESC 'an i
 nteger to order the sudoRole entries' EQUALITY integerMatch ORDERING intege
 rOrderingMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 )
olcObjectClasses: {0}( 1.3.6.1.4.1.15953.9.2.1 NAME 'sudoRole' DESC 'Sudoer
 Entries' SUP top STRUCTURAL MUST cn MAY ( sudoUser $ sudoHost $ sudoCommand
  $ sudoRunAs $ sudoRunAsUser $ sudoRunAsGroup $ sudoOption $ sudoOrder $ su
 doNotBefore $ sudoNotAfter $ description ) )
EOF
2.添加sudo功能:
cat<<EOF|ldapadd -x -W -D "cn=admin,dc=example,dc=com" # 注意修改这里改为 n=admin,dc=funsine,dc=com
dn: ou=SUDOers,dc=example,dc=com  # 注意修改这里改为 dn: ou=SUDOers,dc=funsine,dc=com
ou: SUDOers
objectClass: top
objectClass: organizationalUnit

dn: cn=defaults,ou=SUDOers,dc=example,dc=com
objectClass: sudoRole
cn: defaults
sudoOption: requiretty
sudoOption: !visiblepw
sudoOption: always_set_home
sudoOption: env_reset
sudoOption: env_keep =  "COLORS DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS_COLORS"
sudoOption: env_keep += "MAIL PS1 PS2 QTDIR USERNAME LANG LC_ADDRESS LC_CTYPE"
sudoOption: env_keep += "LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT LC_MESSAGES"
sudoOption: env_keep += "LC_MONETARY LC_NAME LC_NUMERIC LC_PAPER LC_TELEPHONE"
sudoOption: env_keep += "LC_TIME LC_ALL LANGUAGE LINGUAS _XKB_CHARSET XAUTHORITY"
sudoOption: secure_path = /sbin:/bin:/usr/sbin:/usr/bin
sudoOption: logfile = /var/log/sudo
EOF
并输入admin的密码
3.最后添加一个sudo的目录。用户为800001,之后用户可以用图形化的方法更改:
cat<<EOF|ldapadd -x -W -D "cn=admin,dc=example,dc=com"
dn: cn=sudo_ops_role,ou=SUDOers,dc=example,dc=com
objectClass: sudoRole
cn: sudo_ops_role
sudoOption: !authenticate
sudoRunAsUser: root
sudoCommand: ALL
sudoHost: ALL
sudoUser: 800001
EOF

ldap 客户端:

以下是在各个节点配置需要修改的地方:

How to Integrate Sudoers with OpenLDAP Serverlint

https://www.howtoforge.com/how-to-integrate-sudoers-with-openldap-server/

第一步:

修改nsswitch.conf文件:
sudo vim /etc/nsswitch.conf
在最后添加一行:
sudoers:	files	sss
如下所示:

在这里插入图片描述

第二步:

修改sssd.conf文件:
sudo vim /etc/sssd/sssd.conf
在[domain/default]下添加 sudoers_base 和 sudo_provider:
[domain/default]
....
sudoers_base ou=sudo,dc=funsine,dc=com
sudo_provider = ldap
在 [sssd] 下面的 service 最后面添加 sudo,autofs:
[sssd]
services = nss, pam, autofs, sudo
在文本的最后添加 [sudo]:
[sudo]
整体效果如下:
[sssd]
config_file_version = 2
# services = nss,pam 
# update for sudo
services = nss, pam, autofs, sudo
domains = test.com
debug_level = 9

[nss]
homedir_substring = /home

[pam]

[domain/funsine.com]
id_provider = ldap
#ldap_schema = rfc2307bis
auth_provider = ldap
#autofs_provider = ldap
#chpass_provider = ldap
ldap_uri = ldap://192.168.1.143:389
ldap_search_base = dc=test,dc=com
ldap_id_use_start_tls = False
ldap_tls_cacertdir = /etc/openldap/certs
ldap_default_bind_dn = cn=admin,dc=funsine,dc=com
ldap_default_authtok_type = password
ldap_default_authtok = admin
cache_credentials = True
ldap_tls_reqcert = never
entry_cache_timeout = 600
#ldap_network_timeout = 3
#ldap_connection_expire_timeout = 60

# for sudo
sudoers_base dc=test,dc=com 
sudo_provider = ldap

[sudo]
重启 sssd 服务:
sudo systemctl restart sssd

添加一个拥有sudo权限的用户需要注意的:

_connection_expire_timeout = 60

for sudo

sudoers_base ou=SUDOers,dc=funsine,dc=com
sudo_provider = ldap

[sudo]


#### 重启 sssd 服务:

```bash
sudo systemctl restart sssd

添加一个拥有sudo权限的用户需要注意的:

在这里插入图片描述

欠揍的兔子
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ldap sudo权限
weixin_34357962的博客
03-27 861
openldap默认情况下无法在phpldapadmin中设置用户sudo权限,但可以通过以下设置,来实现LDAP SERVER端:安装openssh-ldapyum-yinstallopenssh-ldap拷贝schema文件cp/usr/share/doc/sudo-1.8.6p3/schema.OpenLDAP/etc/openldap/schema/sud...
LDAP系列三用户权限控制
xyy511的专栏
05-24 9520
二:权限控制 8.1:访问控制 访问控制主要是通过在slapd.conf文件中配置来实现,具体配置解析如下: # Sample Access Control # Allow read access of root DSE # Allow self write access # Allow authenticated users read access #...
LDAP权限配置
热门推荐
niu870781892的专栏
06-19 1万+
简介:  您是否曾经设法与某个使用不同数据格式的人共享您的联系人列表,或者设法将您的地址簿迁移到另一个应用程序?如果是这样的话,您知道这是件令人头痛的事。导入和导出方案(如果它们确实存在)通常很笨拙而且使用起来不能令人满意,即使只使用一次也是如此,更不用说经常使用了。欢迎使用轻量级目录访问协议(Lightweight Directory Access Protocol)。本教程向您演示了如何创建一
linux错误—3.解决设置普通用户sudo权限中碰到的问题:sudo: /etc/sudoers is world writable...
柳杰的博客
05-18 1805
文章目录1. 解决问题2.设置普通用户sudo权限 1. 解决问题 问题: sudo: /etc/sudoers is world writable sudo: no valid sudoers sources found, quitting sudo: unable to initialize policy plugin 解决这个问题,只需要在root超级用户下,修改这个文件的权限即可 [root@centos swpu]# chmod 440 /etc/sudoers 2.设置普通用户sudo
LDAP扩展ssh与sudo
老实人的博客
01-09 3334
配置 支持 SUDO 与 SSH 服务器端 SUDO 部分 查看系统安装 sudo 包过滤出 OpenLDAP rpm -qal | grep sudo | grep -i &amp;amp;quot;OpenLDAP&amp;amp;quot; /usr/share/doc/sudo-1.8.19p2/schema.OpenLDAP 拷贝该档案到 LDAP schema中 cp /usr/share/doc/sudo-1.8.19p2/...
ldap用户登录linux和sudo权限
weixin_30908649的博客
02-04 873
1.配置ldap 用户登录权限(前提是该linux加入ldap)1)在ldap上设置adminzhy属于linuxadmin组,在linux系统上/etc/security/login.allowed加入一行为LinuxAdmin2).在linux系统上设置pam模块[root@vertica pam.d]# grep login.allowed ./*./password-auth-ac:...
ldap服务器搭建——sudo权限配置
记录技术成长之路
12-31 6564
在服务器上搭建好openldap服务器后,搭建phpldapadmin进行管理;默认的phpldapadmin没有进行sudo控制的template,所以还需要手动配置,配置过程下面博客网址有详细过程:https://www.pigo.idv.tw/archives/2914。 可是按照上述教程配置过程个人遇到两个问题:一是认证失败的问题,二是sudo权限设置不成功问题。 一 、认证失败的问题
如何在 Ubuntu 22.04 LTS 中添加、删除和授予用户 Sudo 权限
网络技术联盟站
05-29 8504
本教程介绍如何在 Ubuntu Linux 操作系统中添加、删除和授予用户Sudo权限。 1.什么是Sudo? 在 Linux 和 Unix 操作系统中,有一个特殊的用户叫做 root,用户可以在root类 Unix 系统中做任何事情。 在日常活动中使用 root 用户可能很危险,因此不建议这样做,一个错误的命令可以毁掉整个系统! Sudo 允许授权用户以 root 级别权限执行任务,即使他们不知道 root 用户密码。 这就是为什么创建一个普通用户并将他添加到 sudo 用户组以执行管理任务很重要的原因
ansible-sudo-ldap:使用 ldap 服务器进行 sudo 管理的剧本
06-13
ansible-sudo-ldap 使用 ldap 服务器进行 sudo 管理的剧本。要求Ansible(在 1.8 上测试)概述它将安装 OpenLDAPsudo 管理设置。 您可以通过编辑 vars 文件来自定义它。用法编辑 vars/main.yml 在 Vagrant 虚拟...
vault-ldap-auth:将HashiCorp Vault配置为使用LDAP进行身份验证的示例
05-09
保管库-ldap-auth 将HashiCorp Vault配置为使用LDAP进行身份验证的示例入门部署infrastructure/cloudformation.json模板。 该模板使用以下凭据和最少的权限创建用户,以完成实验室: 用户名: student 密码:密码...
ldap的离线安装包及安装方法
09-15
**LDAP(Lightweight Directory Access Protocol)**是一种轻量级目录访问协议,用于存储和检索分布式目录服务中的数据。它在企业环境中广泛使用,用于管理用户、组、资源和其他配置信息。Ubuntu 16.04 是一个基于 ...
ldap-sync:用于与其他后端进行单向实时 LDAP 同步的服务
06-14
安装您可以使用 npm 将此软件安装到全局上下文中: sudo npm install git+https://github.com/conversionscience/ldap-sync.git -g配置ldap-sync二进制文件将在/etc/ldap-sync/config.json 中搜索配置,如果导入失败...
sudo-1.9.12p1,解决cve-2022-43995
11-08
它通过sudoers文件来配置哪些用户可以执行哪些命令,以及在执行这些命令时需要何种级别的身份验证。sudoers文件通常位于/etc/sudoers,它定义了精细的规则集,这些规则决定了用户的访问权限。 **sudo-1.9.12p1版本...
快醒醒,别睡了!...讲《数据分析pandas库》了—/—<4>
最新发布
qq_64603703的博客
07-27 956
详细解说数据分析pandas库中的常用方法
全网最详细Gradio教程系列5——Gradio Client: python
shao918516的博客
07-26 1054
程序部署完成后,如何将Gradio App作为API访问使用呢,这就用到Gradio Client。本章讲解Gradio Client的三种使用方式:python、javascript和curl,受字数限制,所以分三篇博客发布。 使用Gradio Python Client非常易于将Gradio应用程序作为API使用,本节讲述gradio_client安装、如何连接Gradio应用程序、查看可用API及其使用方式、job及session等用法。 通过Gradio Python Cli
全面解析 SnowNLP:中文文本处理、情感分析
有勇气的牛排博客
07-24 718
SnowNLP 是一个专门用于处理中文文本的 Python库。分词情感分析关键词提取文本分类拼音转换繁体转简体词相似度计算等测试环境:Python3.10.9尚未测出该功能text = "有勇气的牛排写的文章通俗易懂,爱了爱了"文本分类使用的是 SnowNLP 的情感分析模型。
如何在centos7上配置apache服务器通过LDAP进行用户认证
09-20
### 回答1: 下面是在CentOS 7上配置Apache服务器通过LDAP进行用户认证的步骤: 1. 安装Apache和mod_authnz_ldap模块: ``` sudo yum install httpd mod_authnz_ldap ``` 2. 修改Apache配置文件,启用LDAP模块: ``` sudo vim /etc/httpd/conf/httpd.conf ``` 找到以下行并取消注释(去掉前面的#): ``` LoadModule authnz_ldap_module modules/mod_authnz_ldap.so ``` 3. 配置LDAP连接信息: 在Apache的配置文件中添加以下内容: ``` LDAPTrustedGlobalCert CA_BASE64 /etc/pki/tls/certs/ca-bundle.crt LDAPVerifyServerCert off <Location /secure> AuthType Basic AuthName "LDAP Authentication" AuthBasicProvider ldap AuthLDAPURL "ldap://ldap.example.com:389/dc=example,dc=com?cn" AuthLDAPBindDN "cn=admin,dc=example,dc=com" AuthLDAPBindPassword "password" Require valid-user </Location> ``` 说明: - `LDAPTrustedGlobalCert`:指定SSL/TLS连接时使用的证书。 - `LDAPVerifyServerCert`:是否验证LDAP服务器的证书。开启验证可以提高安全性,但需要正确配置证书。 - `Location`:指定需要进行LDAP认证的URL路径。 - `AuthType`:指定认证类型为Basic。 - `AuthName`:指定认证名称。 - `AuthBasicProvider`:指定使用LDAP进行认证。 - `AuthLDAPURL`:指定LDAP服务器的地址和搜索条件。 - `AuthLDAPBindDN`:LDAP服务器的管理员账号。 - `AuthLDAPBindPassword`:LDAP服务器的管理员密码。 - `Require`:指定需要认证的用户。 4. 重启Apache服务器: ``` sudo systemctl restart httpd ``` 现在,您可以通过访问配置的URL路径来进行LDAP认证。如果认证成功,用户将可以访问受保护的内容。 ### 回答2: 在CentOS 7上配置Apache服务器通过LDAP进行用户认证需要以下步骤: 1. 安装和配置LDAP服务器:首先,需要安装和配置一个LDAP服务器,例如OpenLDAP。你可以使用以下命令安装OpenLDAPsudo yum install openldap-servers openldap-clients 安装完成后,你需要配置LDAP服务器的基本设置,并创建一个LDAP用户和组。 2. 配置Apache服务器:在安装和配置LDAP服务器后,你需要在Apache服务器上进行一些配置。你可以使用以下命令安装Apache服务器: sudo yum install httpd 安装完成后,在Apache的配置文件`httpd.conf`中进行一些设置。你需要启用LDAP模块并指定LDAP服务器的地址和端口。例如: LoadModule authnz_ldap_module modules/mod_authnz_ldap.so <Location "/"> AuthName "LDAP Authentication" AuthType Basic AuthBasicProvider ldap AuthLDAPURL "ldap://ldap.example.com:389/dc=example,dc=com?uid?sub?(objectClass=*)" AuthLDAPBindDN "cn=admin,dc=example,dc=com" AuthLDAPBindPassword "password" Require valid-user </Location> 在以上配置中,你需要根据你实际的LDAP服务器地址和认证需求进行相应的修改。例如,`ldap.example.com`是LDAP服务器的域名,`dc=example,dc=com`是LDAP服务器的根目录,`AuthLDAPBindDN`是一个具有读取LDAP目录的管理员账号。 3. 重启Apache服务器:在完成以上配置后,你需要重启Apache服务器使其生效。你可以使用以下命令重启服务器: sudo systemctl restart httpd 注意确保没有任何错误信息。 4. 进行LDAP用户认证:现在你可以通过访问Apache服务器来进行LDAP用户认证。当访问需要认证的网页时,你将被提示输入用户名和密码。这些用户信息将会与LDAP服务器进行比对,如果认证成功,则可以访问受限资源。 通过以上步骤,在CentOS 7上配置Apache服务器通过LDAP进行用户认证。请确保设置正确并保护好服务器和LDAP的凭证,以确保安全性。 ### 回答3: 在CentOS 7上配置Apache服务器通过LDAP进行用户认证,需要以下步骤: 1. 安装Apache服务器:在CentOS 7上安装Apache服务器,可以使用以下命令: ``` sudo yum install httpd ``` 2. 配置LDAP模块:安装LDAP模块以启用用户认证功能。使用以下命令安装LDAP模块: ``` sudo yum install mod_ldap ``` 3. 配置LDAP服务器信息:在Apache配置文件中,找到`httpd.conf`文件并打开进行编辑。添加以下内容来配置LDAP服务器信息: ``` LDAPTrustedGlobalCert CERT_BASE64 /etc/ssl/certs/ca-certificates.crt LDAPVerifyServerCert on <Location "/"> AuthType Basic AuthName "LDAP Authentication" AuthBasicProvider ldap AuthLDAPURL ldap://ldap.example.com/o=example?uid AuthLDAPBindDN "cn=admin,dc=example,dc=com" AuthLDAPBindPassword "password" Require valid-user </Location> ``` 4. 重启Apache服务器:保存配置文件并重启Apache服务器使其生效。使用以下命令重启Apache服务器: ``` sudo systemctl restart httpd ``` 以上是在CentOS 7上配置Apache服务器通过LDAP进行用户认证的步骤。请根据你的LDAP服务器信息和需求进行相应的配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值