OpenLDAP部署并整合Windows AD认证

最新推荐文章于 2023-03-17 19:21:20 发布
最新推荐文章于 2023-03-17 19:21:20 发布
阅读量6.8k 收藏 15
点赞数 3
分类专栏: 服务搭建 手记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shion0305/article/details/114934202
版权

一、背景

OpenLDAP是开源的目录服务实现,AD是微软的目录服务现实。在我们的业务环境中可能会出现有的应用场景(应用、客户端)跟OpenLDAP结合比较容易;有的应用场景又必须要使用AD。几乎不可能弃用其中的任意一种。但同时维护两套系统意味着维护工作大量增加(不仅仅只是增加一倍,要考虑信息分别维护、同步等)、出错几率大大增加。

其中的一种较成熟、使用比较多的解决方案是:OpenLDAP使用AD的认证,即只在AD上维护一套用户密码,OpenLDAP将认证转发到微软AD上进行。

二、相关组件

  1. LDAP Client:这个是实际调用ldap服务的系统,也可以是类似ldapsearch之类的client程序
  2. OpenLDAP服务器:开源服务端,实际进程为slapd
  3. saslauthd:简单认证服务层的守护进程,该进程要安装在openldap服务器上
  4. AD:微软AD

三、部署

1、安装OpenLdap

(1)安装OpenLDAP服务

注:本文仅以OpenLDAP 2.4.44版本为例进行安装和配置说明,其他版本如有差异请以实际为准。

[root@localhost ~]# yum install -y openldap openldap-clients openldap-servers-sql compat-openldap openldap-devel openldap-servers
[root@localhost ~]# systemctl restart slapd.service
[root@localhost ~]# systemctl enable slapd.service
(2)配置OpenLDAP管理密码,并修改openldap配置
[root@localhost ~]# slappasswd
New password: 
Re-enter new password: 
{SSHA}zBfhcYEI5u6mUJUAk6f46rSxLPksOLQo
# 把上面生成的{SSHA}开头的字符串记下来,后面修改配置文件要用

创建一个ldif问用于修改openldap配置,旧版本的OpenLDAP修改配置是可以直接修改slapd.conf文件的,但是新版本的OpenLDAP的配置文件全部在/etc/openldap/slapd.d/目录下,不能随意使用vim修改,如果手动使用vim方式修改了配置文件,则会导致配置文件校验和不一致,可能会出现一些未知的问题。

# 新建一个ldif文件用于修改openldap配置
[root@localhost ~]#  vim change_ldap_cfg.ldif
# 将以下内容写入
# 实际配置的时候建议把“#”后面的注释内容删掉,只保留配置内容
dn: olcDatabase={2}hdb,cn=config  # 表示修改/etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif这个文件里的内容
changetype: modify  # 表示我们需要为这个文件执行变更操作
replace: olcRootDN  # 修改olcRootDN这个字段的内容
olcRootDN: cn=Manager,dc=test,dc=winad,dc=com  # 把olcRootDN这个字段的内容修改成这样
-  # 具体含义不知道,但是大概表示上面这个dn的配置还没修改完,下面还是修改这个dn的配置
replace: olcSuffix  # 修改olcSuffix这个字段的内容
olcSuffix: dc=test,dc=winad,dc=com  # 把olcSuffix这个字段的内容修改成这样
-
add: olcRootPW   # 增加一个olcRootPW字段
olcRootPW: {SSHA}NKL0WdsiEPUSnjpCrz+ZbwJTuTK1inZh   # 增加的olcRootPW这个字段的内容是这样

dn: olcDatabase={1}monitor,cn=config  # 表示修改/etc/openldap/slapd.d/cn=config/olcDatabase={1}monitor.ldif这个文件里的内容
changetype: modify  # 表示我们需要为这个文件执行变更操作
replace: olcAccess  # 修改olcAccess这个字段的内容
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern
 al,cn=auth" read by dn.base="cn=Manager,dc=test,dc=winad,dc=com" read by * none  # 把olcAccess这个字段的内容修改成这样

上面的配置文件保存好之后,执行ldapmodify命令进行修改

[root@localhost ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f change_ldap_cfg.ldif 
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={2}hdb,cn=config"

modifying entry "olcDatabase={1}monitor,cn=config"

执行完了以后看下下面这两个文件,看看需要修改的字段改过来没有
/etc/openldap/slapd.d/cn=config/olcDatabase={1}monitor.ldif
/etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif

(3)创建管理员账号
# 新建一个ldif文件用于导入管理员账号
[root@localhost ~]# vim base.ldif
# 添加以下内容
dn: dc=test,dc=winad,dc=com
o: test winad com
dc: test
objectClass: top
objectClass: dcObject
objectclass: organization

dn: cn=Manager,dc=test,dc=winad,dc=com
cn: Manager
objectClass: organizationalRole
description: Directory Manager

上面的配置文件保存好之后,执行ldapadd命令导入

导入账号
[root@localhost ~]# ldapadd -x -D "cn=Manager,dc=test,dc=winad,dc=com" -W -f base.ldif 
Enter LDAP Password:  # 这里输的密码就是上面第二步的时候配置的那个密码
adding new entry "dc=test,dc=winad,dc=com"

adding new entry "cn=Manager,dc=test,dc=winad,dc=com"
(4)配置DB数据库
[root@localhost ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@localhost ~]# chown ldap:ldap -R /var/lib/ldap
[root@localhost ~]# chmod 700 -R /var/lib/ldap
(5)验证OpenLDAP配置文件是否正确
[root@localhost ~]# slaptest -u
config file testing succeeded   #验证成功,如果是返回其他内容则失败。
(6)给相关目录授权,否则启动服务时可能会报错,权限不足
[root@localhost ~]# chown ldap:ldap -R /var/run/openldap
[root@localhost ~]# chown ldap:ldap -R /etc/openldap/
(7)导入schema
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/collective.ldif
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/corba.ldif
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/core.ldif
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/duaconf.ldif
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/java.ldif
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/misc.ldif
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/openldap.ldif
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/pmi.ldif
[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif
(8)添加memberOf模块

因为我们是要和WindowsAD联动,所以需要将权限组这个模块提前准备好。如果提前没有准备好,后面再加的话,还得把建好的组全删掉再重建。这个模块的作用是当你建一个组的时候,把一些用户添加到这个组里去,它会自动给这些用户添加一个memberOf属性,有很多应用需要检查这个属性。

添加的时候比较麻烦,需要建3个ldif文件,然后1个执行ldapmodify,2个执行ldapadd,注意顺序,不能出错

新建一个memberof_config.ldif文件

# 在文件中写入以下内容
dn: cn=module,cn=config
cn: module
objectClass: olcModuleList
olcModuleLoad: memberof
olcModulePath: /usr/lib64/openldap # 这里请注意,请确认/usr/lib64/目录下是否有openldap目录

dn: olcOverlay={0}memberof,olcDatabase={2}hdb,cn=config  # 这个意思是说在/etc/openldap/slapd.d/cn=config/目录下创建一个olcDatabase={2}hdb目录,然后在里面再创建一个olcOverlay={0}memberof.ldif文件
objectClass: olcConfig
objectClass: olcMemberOf
objectClass: olcOverlayConfig
objectClass: top
olcOverlay: memberof
olcMemberOfDangling: ignore
olcMemberOfRefInt: TRUE
olcMemberOfGroupOC: groupOfNames
olcMemberOfMemberAD: member
olcMemberOfMemberOfAD: memberOf

文件保存好之后,执行ldapadd命令

[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f memberof_config.ldif

执行完之后,检查你的/etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb/目录下,看是不是多了一个olcOverlay={0}memberof.ldif模块
然后检查你的/etc/openldap/slapd.d/cn=config/目录下,看是不是多了一个cn=module{0}.ldif模块,这个模块的数字编号直接影响下一步操作。

新建一个refint1.ldif文件

# 在文件中写入以下内容
dn: cn=module{0},cn=config # 这里的意思就是我们上面说的那个/etc/openldap/slapd.d/cn=config/目录下的cn=module{0}.ldif,我们这一次要修改这个文件
add: olcmoduleload
olcmoduleload: refint

如果你那边不是module{0}的话,那就看是几,是几就写几就行了,对于这个文件,我们要执行ldapmodify操作:

[root@localhost ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f refint1.ldif

接下来新建一个refint2.ldif文件

dn: olcOverlay={1}refint,olcDatabase={2}hdb,cn=config # 在/etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb目录下,再创建一个olcOverlay={1}refint.ldif文件
objectClass: olcConfig
objectClass: olcOverlayConfig
objectClass: olcRefintConfig
objectClass: top
olcOverlay: {1}refint
olcRefintAttribute: memberof member manager owner

对这个文件执行ldapadd操作:

[root@localhost ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f refint2.ldif

重启slapd服务

[root@localhost ~]# systemctl restart slapd.service 
[root@localhost ~]# systemctl status slapd.service 
● slapd.service - OpenLDAP Server Daemon
   Loaded: loaded (/usr/lib/systemd/system/slapd.service; enabled; vendor preset: disabled)
   Active: active (running) since Wed 2021-03-17 18:11:37 CST; 8s ago
     Docs: man:slapd
           man:slapd-config
           man:slapd-hdb
           man:slapd-mdb
           file:///usr/share/doc/openldap-servers/guide.html
  Process: 1144 ExecStart=/usr/sbin/slapd -u ldap -h ${SLAPD_URLS} $SLAPD_OPTIONS (code=exited, status=0/SUCCESS)
  Process: 1113 ExecStartPre=/usr/libexec/openldap/check-config.sh (code=exited, status=0/SUCCESS)
 Main PID: 1147 (slapd)
   CGroup: /system.slice/slapd.service
           └─1147 /usr/sbin/slapd -u ldap -h ldapi:/// ldap:///

Mar 17 18:11:36 localhost.localdomain runuser[1137]: pam_unix(runuser:session): ses...p
Mar 17 18:11:36 localhost.localdomain runuser[1139]: pam_unix(runuser:session): ses...)
Mar 17 18:11:36 localhost.localdomain runuser[1139]: pam_unix(runuser:session): ses...p
Mar 17 18:11:36 localhost.localdomain runuser[1141]: pam_unix(runuser:session): ses...)
Mar 17 18:11:36 localhost.localdomain runuser[1141]: pam_unix(runuser:session): ses...p
Mar 17 18:11:36 localhost.localdomain slapd[1144]: @(#) $OpenLDAP: slapd 2.4.44 (Se...$
                                                           mockbuild@x86-02.bsys.ce...d
Mar 17 18:11:36 localhost.localdomain slapd[1144]: ldif_read_file: checksum error o..."
Mar 17 18:11:36 localhost.localdomain slapd[1144]: ldif_read_file: checksum error o..."
Mar 17 18:11:37 localhost.localdomain slapd[1147]: slapd starting
Mar 17 18:11:37 localhost.localdomain systemd[1]: Started OpenLDAP Server Daemon.
Hint: Some lines were ellipsized, use -l to show in full.
检查OpenLDAP状态

执行ldapsearch -x检查是否有如下输出

[root@localhost ~]# ldapsearch -x -b '' -s base'(objectclass=*)'
# extended LDIF
#
# LDAPv3
# base <> with scope baseObject
# filter: (objectclass=*)
# requesting: ALL
#

#
dn:
objectClass: top
objectClass: OpenLDAProotDSE

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

2、部署Saslauthd

(1)安装saslauthd服务
[root@localhost ~]# yum install -y cyrus-sasl
[root@localhost ~]# systemctl restart saslauthd.service
[root@localhost ~]# systemctl enable saslauthd.service
(2)测试一下ldapsearch搜索WindowsAD是否正常
[root@localhost ~]# /usr/bin/ldapsearch -x -H ldap://test.winad.com "(&(objectClass=organizationalPerson)(!(objectClass=computer)))" dn objectClass cn description sAMAccountName email uSNCreated -D "CN=Administrator,CN=Users,DC=test,DC=winad,DC=com" -w "testtest" -b "OU=Test Users,DC=test,DC=winad,DC=com" -L

如果能搜索到用户,说明openldap访问Windows AD正常

(3)配置sasl访问ad

编辑/etc/sysconfig/saslauthd

[root@localhost ~]# vim /etc/sysconfig/saslauthd
# 修改下面两行

MECH=ldap
FLAGS="-O /etc/saslauthd2ad.conf"

然后新建一个 /etc/saslauthd2ad.conf ,写入下面内容

ldap_servers: ldap://test.winad.com
ldap_search_base: DC=test,DC=winad,DC=com
ldap_timeout: 60
ldap_filter: sAMAccountName=%U
ldap_bind_dn: CN=Administrator,CN=Users,DC=test,DC=winad,DC=com
ldap_password: testAD
ldap_deref: never
ldap_restart: yes
ldap_scope: sub
ldap_use_sasl: no
ldap_start_tls: no
ldap_version: 3
ldap_auth_method: bind

重启saslauthd服务

[root@localhost ~]# systemctl restart saslauthd.service

使用testsaslauthd命令测试WindowsAD上的用户是否认证成功

[root@localhost ~]# testsaslauthd -u Administrator -p testAD
0: OK "Success."

可进一步AD里面加用户、或改密码测试。需注意AD修改密码,老密码依然可用5分钟。如验证不通过检查 sasl的配置。

(4)配置openldap使用Saslauthd

编辑/etc/openldap/ldap.conf

[root@localhost ~]# vim /etc/openldap/ldap.conf
# 增加以下内容
TLS_REQCERT never

[root@localhost ~]# vim /etc/sasl2/slapd.conf
# 添加如下内容
mech_list: plain
pwcheck_method: saslauthd
saslauthd_path: /var/run/saslauthd/mux

重启saslauthd服务

[root@localhost ~]# systemctl restart saslauthd.service

验证openldap是否支持SASL

[root@localhost ~]# ldapsearch -x -H ldap://127.0.0.1 -ZZ -b "" -LLL -s base supportedSASLMechanisms
dn:
supportedSASLMechanisms: LOGIN
supportedSASLMechanisms: PLAIN
# 出现如上结果说明openldap已支持SASL认证

3、安装phpldapadmin

phpldapadmin提供了使用web页面管理OpenLDAP的方式

(1)安装php基础包和phpldapadmin
[root@localhost ~]# yum -y install httpd php php-ldap php-gd php-mbstring php-pear php-bcmath php-xml
[root@localhost ~]# yum install -y epel-release
[root@localhost ~]# yum install -y phpldapadmin
(2)配置phpldapadmin
[root@localhost ~]# vim /etc/httpd/conf.d/phpldapadmin.conf
添加以下内容
#
#  Web-based tool for managing LDAP servers
#

Alias /phpldapadmin /usr/share/phpldapadmin/htdocs
Alias /ldapadmin /usr/share/phpldapadmin/htdocs

<Directory /usr/share/phpldapadmin/htdocs>
  <IfModule mod_authz_core.c>
    # Apache 2.4
    Require local
    Require all granted # 新增此行
  </IfModule>
  <IfModule !mod_authz_core.c> # 如果你的php是2.2版本才需要关注这里,否则不用关注。
    # Apache 2.2
    Order Deny,Allow
    Deny from all
    Allow from 127.0.0.1
    Allow from ::1
  </IfModule>
</Directory>
(3)修改phpldapadmin配置文件
[root@localhost ~]# vim /etc/phpldapadmin/config.php
# 修改
$servers->setValue('login','attr','uid');
# 为
$servers->setValue('login','attr','dn');
(4)启动httpd服务
[root@localhost ~]# systemctl start httpd
[root@localhost ~]# systemctl enable httpd
[root@localhost ~]# systemctl status httpd
(5)登录验证

使用浏览器登录phpldapadmin
http://192.168.1.28/phpldapadmin
页面输入管理员的DN和密码即可登录
在这里插入图片描述
在这里插入图片描述

4、测试OpenLDAP使用AD密码进行认证

创建一个测试用户导入文件testuser.ldif

[root@localhost ~]# vim testuser.ldif
写入以下内容
dn: cn=testuset,dc=test,dc=winad,dc=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
cn:: testuser
sn:: testuser
description: testuser
uid: testuser
userPassword: {SASL}testuser

导入测试用户

[root@localhost ~]# ldapadd -x -D "cn=Manager,dc=test,dc=winad,dc=com" -W -f testuser.ldif
Enter LDAP Password: 
adding new entry "cn=testuser,dc=test,dc=winad,dc=com"

使用命令测试

[root@localhost ~]# ldapsearch -w testuser -H ldap://10.206.153.222 -D "cn=testuser,dc=test,dc=winad,dc=com" -b "dc=test,dc=winad,dc=com"

这个测试命令,testuser用户在openldap和Windows AD上都存在,IP是本机openldap的IP,DN,查询DN也都是openldap的信息,但是密码却是在windows AD上管理的。如成功,到windows AD上修改用户密码,用新密码验证,再等5分钟,旧密码失效。到此配置完成

星又の學長
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
ldap 389同步ad上的用户_在Kubernetes上使用Openldap做集中认证
weixin_42310231的博客
12-25 506
LDAP是Lightweight Directory Access Protocol的缩写,提供LDAP服务的软件有很多商业上获得成功的,其中以MS的AD和Redhat的NDS(Netscape directory server)使用最为广泛,而开源领域则是OpenLdap了,为了集成认证后面需要的gitlab,jenkins,nexus,harbor等,因此我们在准备在kubernet...
关于saslauthd 使用的一点擦边球
捏磐火 凤凰巢
02-05 5363
由于之前在做openvpn的时候和这次vsftp的时候都利用了saslauthd进行验证测试,使我不禁对这个工具有了兴趣。于是在网上找不到太多资料的情况下,对saslauthd的man 资料进行了汉化,以了解这个工具的具体使用方法。但我这个英语渣还是高估了网络机翻的水平,最后虽有所得,但大部分还是云山雾海。 附渣翻译如下: ///////////////////////////////////
统一身份认证(SSO/AD域/LDAP)
weixin_44281141的博客
03-17 5876
公司需要一个统一认证系统,自助分配权限系统,定期审计,集中分配与追踪所有权限,便于记录。单点登录网络生活中随处可见,比如登录了QQ客户端,然后你可以打开腾讯微博,QQ空间,QQ邮箱,校友录等等一系列的应用,这时候我们不需要在一个个再输入用户名和密码了,作为受信任的站点,就可以直接登录了。入职后每个人会接触多个系统,项目管理系统,需求管理系统,代码仓库,持续集成,文件服务器,有八个系统就有八个密码,每个系统用一个密码安全隐患较大,每个系统都用不同的密码也不容易记住。收费较高,公司使用不建议使用破解版本。
CentOS7.4配置OpenLDAP Client集成AD服务及SSSD服务与SSH服务
小陌成长之路
04-14 2284
CentOS7.4配置OpenLDAP Client集成AD服务及SSSD服务与SSH服务
Openldap for windows
Chenxin-小斤的专栏
03-05 3743
由于毕设要用到openldap,自己便尝试在windows环境下配置openldap server在http://download.bergmans.us/openldapopenldap的安装包,虽然版本只有2.29 问题终于来了,在做aci的时候,发现自己的server缺失了OpenLDAPaci的attributeType,手动也添加不了原来2.29中该属性默认存在,但是只
安装PHPLDAPadmin图形化管理工具
热门推荐
it-wangxiaobai的博客
09-18 1万+
PHPLDAPadmin 文章目录PHPLDAPadmin1. 安装phpLDAPadmin2. 修改配置文件3. 启动httpd服务4. 访问PHPLDAPadmin图形界面 1. 安装phpLDAPadmin LDAP的命令行管理工具非常不好用,因此我们使用phpLDAPadmin图形化管理工具来进行LDAP的使用 安装PHPLDAPadmin yum -y install phpldapadmin 若出现报错信息,no package phpldapadmin available 是因为使用y
openldap for windows
06-03
Windows环境下部署OpenLDAP,可以提供一个中央化的身份验证和授权服务,便于管理和组织用户数据。本指南将详细介绍如何在32位和64位的Windows系统上安装OpenLDAP。 首先,你需要下载对应系统的安装包。在这个...
编译windows版本openldap
02-08
Windows环境下编译OpenLDAP可以让开发者在本地进行定制化开发或者适应特定的系统需求。以下是关于如何在Windows上使用Visual Studio 2008 (VC9)编译OpenLDAP的详细步骤和相关知识点: 1. **环境准备**: - 首先...
OpenLDAP部署
09-29
OpenLDAP部署是一个重要的任务,尤其对于那些需要集中管理和控制用户身份信息的企业或组织。OpenLDAP(Open Source LDAP)是轻量级目录访问协议(Lightweight Directory Access Protocol)的一个开源实现,它提供了...
Django集成OpenLDAP认证的实现
09-19
首先,我们要使用`django-auth-ldap`这个第三方库来实现Django与OpenLDAP整合。你可以通过`pip`来安装这个库: ```bash pip install django-auth-ldap ``` 接下来,在你的Django项目的`settings.py`文件中进行...
搭建OPENLDAP代理服务无缝访问AD服务器
qq_30391343的博客
01-06 7163
安装Berkeley DB 安装openldap AD服务器 配置openldap代理服务 测试代理服务 查询AD数据
ldap 389同步ad上的用户_CentOS6上安装配置OpenLDAP
weixin_32384503的博客
12-25 392
openldap安装配置1,在服务器上安装openldap。yum install openldap openldap-* -y2,生成ldap密码,并记录。这里不知道用了什么算法,每次生成密码不同,都能用。slappasswd -s 1234563,复制配置文件并修改cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/open...
JAVA 之AD域登录和域用户同步 (LDAP域 AD域登录,域用户同步
qq_39969506的博客
07-29 3806
关于AD域的介绍 ,就百度一搜一大把啦; 这里主要分享一下拿来就用的java代码; 公用私有方法:连接到AD域 private LdapContext ldapContext = null; private LdapConfig ldapConfig = null; private LdapContext ldapConnect() { LdapConfig config = getLdapConfig(); //此处是ad域的连接配置信息 String usern
BASH脚本 - OpenLDAP导入AD组织结构
黑神瞬的博客
03-16 532
用途:将AD的组织结构导入OpenLDAP,一般用于OpenLDAP刚刚搭建完毕,第一次向OpenLDAP同步AD用户 #!/bin/bash # 预定义参数 AD_DOMAIN="<Your AD's domain>" AD_ADMIN_DN="CN=<Admin account name>,OU=XXX,OU=XXX,DC=XXX,DC=XXX,DC=XXX" AD_ADMIN_PWD="<Your admin password>" AD_BASE_DN="DC=X
ldap 389同步ad上的用户_Workspace ONE Access用户管理
weixin_36364419的博客
12-25 453
嗨大家好,Workspace ONE Access 是如何设计访问管理架构?我们又如何通过它来管理用户呢?一起从这篇文章中寻找答案吧!管理架构用户资料库用户属性01访问管理架构在设计访问管理架构的时候,通常会有如下2种模式。Workspace ONE Access 采取的是下面第2种模式。1第一种验证可以是实时的。每当用户发起访问时,Access 会即可向目录查询。优点你可以查询到实时的...
OpenLDAP 数据同步
weixin_34034670的博客
07-24 2786
一、数据同步模式refreshonly模式refreshandpersist模式ldap:389ldaps:636二、LDAP 数据同步server端IP:172.16.216.157[root@openldap~]#cd/usr/local/openldap.2.4.46/etc/openldap/ [root@openldapopenldap]#vimslap...
open***通过ldap或ad统一认证解决方案思路分享
weixin_33774615的博客
09-10 445
缘起:成百上千台服务器,上千人的公司,对于账户统一认证的需求非常强烈,一个人入职开账号太繁琐了,走了删除也费劲,最近给一个公司做了AD+LDAP账户统一认证解决方案,两个公司内部网络和几个机房的IDC网络做统一账户认证,其中包括SVN,POSFIX,***,FTP,SAMBA, LINUX登录等等。实际部署实施过程涉及了lvs,haproxy,ha,keepalived等,其中,大家普遍对于***...
openldap 集成windows AD认证
最新发布
06-03
要将 OpenLDAP 集成到 Windows AD 认证中,需要进行以下步骤: 1. 安装 OpenLDAP:首先需要安装 OpenLDAP,可以在官网下载相应的安装包进行安装。 2. 安装 Kerberos:在 Windows AD 中使用 Kerberos 进行身份验证,因此需要在 OpenLDAP 服务器上安装 Kerberos。 3. 配置 Kerberos:配置 Kerberos,以便 OpenLDAP 服务器可以与 Windows AD 进行身份验证。 4. 配置 OpenLDAP:在 OpenLDAP 服务器上配置 LDAP,以便可以使用 Kerberos 进行身份验证。 5. 测试:最后,进行测试以确保 OpenLDAP 可以正确地与 Windows AD 进行身份验证。 需要注意的是,这是一个比较复杂的过程,需要具备一定的技术水平。建议在进行操作之前先备份相关数据,以免出现不可预料的错误。
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值