OpenLDAP 部署及实践(五)

最新推荐文章于 2024-05-16 15:44:43 发布
最新推荐文章于 2024-05-16 15:44:43 发布
阅读量700 收藏
点赞数
分类专栏: OpenLDAP 文章标签: 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29733349/article/details/122782482
版权

OpenLDAP 自助更改密码

1. 更新OpenLDAP配置
1-1. 给数据库olcDatabase{2}hdb.ldif添加一个ACL信息
ldapmodify -Y EXTERNAL -H  ldapi:/// -f updatepass.ldif

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: to attrs=userPassword
        by dn="cn=admin,dc=boybo,dc=cn" write
        by dn.children="cn=admin,dc=boybo,dc=cn" write
        by anonymous auth
        by self write
        by * none
olcAccess: to *
        by dn="cn=admin,dc=boybo,dc=cn" write
        by dn.children="cn=admin,dc=boybo,dc=cn" write
        by * read
2.下载第三方软件(self-service-password)

用于页面更改ldap用户密码

2-1. 安装self-service-password软件

配置self-service-password的yum仓库

cat << EOF > /etc/yum.repos.d/ltb-project.repo
[ltb-project-noarch]
name=LTB project packages (noarch)
baseurl=https://ltb-project.org/rpm/\$releasever/noarch
enabled=1
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-LTB-project
EOF

rpm --import https://ltb-project.org/wiki/lib/RPM-GPG-KEY-LTB-project

yum update -y
yum install -y apr libzip php-common apr-util httpd-tools mailcap.noarch php-cli php-ldap php-mcrypt sendmail
yum install -y self-service-password
2-2. 配置http服务,更改self-service-password服务的监听端口
cat > /etc/httpd/conf.d/self-service-password.conf << "EOF"
Listen 88
<VirtualHost *:88>
       ServerName 192.168.3.10
       DocumentRoot /usr/share/self-service-password
       DirectoryIndex index.php
       AddDefaultCharset UTF-8
      <Directory "/usr/share/self-service-password">
            AllowOverride None
            Require all granted
      </Directory>
      LogLevel warn
      ErrorLog /var/log/httpd/ssp_error_log
      CustomLog /var/log/httpd/ssp_access_log combined
</VirtualHost>
EOF
2-3. 配置self-service-password服务连接OpenLDAP及发送邮件
cp -a /usr/share/self-service-password/conf/config.inc.php{,_backup}
cat > /usr/share/self-service-password/conf/config.inc.php << "EOF"
<?php
$debug = false;
$ldap_url = "ldap://192.168.3.10";
$ldap_starttls = false;
$ldap_binddn = "cn=admin,dc=boybo,dc=cn";
$ldap_bindpw = "boybo";
$ldap_base = "dc=boybo,dc=cn";
$ldap_login_attribute = "uid";
$ldap_fullname_attribute = "cn";
$ldap_filter = "(&(objectClass=person)($ldap_login_attribute={login}))";
$ad_mode = false;
$ad_options['force_unlock'] = false;
$ad_options['force_pwd_change'] = false;
$ad_options['change_expired_password'] = false;
$samba_mode = false;
$shadow_options['update_shadowLastChange'] = false;
$shadow_options['update_shadowExpire'] = false;
$shadow_options['shadow_expire_days'] = -1;
$hash = "clear";
$hash_options['crypt_salt_prefix'] = "$6$";
$hash_options['crypt_salt_length'] = "6";
$pwd_min_length = 0;
$pwd_max_length = 0;
$pwd_min_lower = 0;
$pwd_min_upper = 0;
$pwd_min_digit = 0;
$pwd_min_special = 0;
$pwd_special_chars = "^a-zA-Z0-9";
$pwd_no_reuse = true;
$pwd_diff_login = true;
$pwd_complexity = 0;
$use_pwnedpasswords = false;
$pwd_show_policy = "never";
$pwd_show_policy_pos = "above";
$who_change_password = "user";
$use_change = true;
$change_sshkey = false;
$change_sshkey_attribute = "sshPublicKey";
$who_change_sshkey = "user";
$notify_on_sshkey_change = false;
$use_questions = false;
$answer_objectClass = "extensibleObject";
$answer_attribute = "info";
$crypt_answers = true;
$use_tokens = true;
$crypt_tokens = true;
$token_lifetime = "3600";
$mail_attribute = "mail";
$mail_address_use_ldap = false;
$mail_from = "devops@win-stock.com.cn";
$mail_from_name = "OpenLDAP-Server";
$mail_signature = "";
$notify_on_change = true;
$mail_sendmailpath = '/usr/sbin/sendmail';
$mail_protocol = 'smtp';
$mail_smtp_debug = 0;
$mail_debug_format = 'html';
$mail_smtp_host = 'smtphz.qiye.163.com';
$mail_smtp_auth = true;
$mail_smtp_user = '123@123.163.com;
$mail_smtp_pass = '123456';
$mail_smtp_port = 587;
$mail_smtp_timeout = 30;
$mail_smtp_keepalive = false;
$mail_smtp_secure = 'tls';
$mail_smtp_autotls = true;
$mail_contenttype = 'text/plain';
$mail_wordwrap = 0;
$mail_charset = 'utf-8';
$mail_priority = 3;
$mail_newline = PHP_EOL;
$use_sms = false;
$sms_method = "mail";
$sms_api_lib = "lib/smsapi.inc.php";
$sms_attribute = "mobile";
$sms_partially_hide_number = true;
$smsmailto = "{sms_attribute}@service.provider.com";
$smsmail_subject = "Provider code";
$sms_message = "{smsresetmessage} {smstoken}";
$sms_sanitize_number = false;
$sms_truncate_number = false;
$sms_truncate_number_length = 10;
$sms_token_length = 6;
$max_attempts = 3;
$keyphrase = "ldapchangepasswd";
$show_help = true;
$lang = "en";
$allowed_lang = array();
$show_menu = true;
$logo = "images/ltb-logo.png";
$login_forbidden_chars = "*()&|";
$use_recaptcha = false;
$recaptcha_publickey = "";
$recaptcha_privatekey = "";
$recaptcha_theme = "light";
$recaptcha_type = "image";
$recaptcha_size = "normal";
$recaptcha_request_method = null;
$default_action = "change";
if (file_exists (__DIR__ . '/config.inc.local.php')) {
    require __DIR__ . '/config.inc.local.php';
}
EOF
2-4.self-service-password WEB页面调整

注释 self-service-password.css文件中第一段html内容

/*
html, body {
  background: #eee;
  padding-top: 20px;
  font-size: 12pt;
}
*/

添加一段内容到index.php并重启http服务

cd /usr/share/self-service-password
cp index.php{,_backup_$(date +%F)}
sed -i "/<\/body/i\<script type=text/javascript color=0,205,205 opacity='1' zIndex=-2 count=99  src=//cdn.bootcss.com/canvas-nest.js/1.0.1/canvas-nest.min.js></script>" index.php
systemctl restart httpd
3.自助修改密码
3-1.主动修改密码

使用浏览器输入地址: http://192.168.3.10:88
点击“自助修改密码服务”,输入用户名和旧密码
然后输入两次新密码更改用户密码

3-2. 忘记密码

使用浏览器输入地址: http://192.168.3.10:88
点击**“邮件”**
输入ldap的用户名 以及该用户对应的Email邮箱地址

若用户没有配置邮件或者用户邮件与记录不符,则更改密码失败

展春秋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OpenLDAP 部署实践(六)
展春秋的博客
02-05 292
OpenLDAP接入第三方软件或系统 角色 主机名 操作系统 IP地址 备注 ldap-1 ldap1 CentOS7 192.168.3.11 VIP 192.168.3.10 ldap-2 ldap2 CentOS7 192.168.3.12 VIP 192.168.3.10 1. 开启MemberOf功能 ldapadd -Y EXTERNAL -H ldapi:/// -f memberOf.ldif dn: cn=module,cn=config objectClass:
【Ldap】修改openLdap管理员密码(docker-compose非容器方式/容器化方式/docker-compose)
运维玄德公
09-23 1824
1. 非容器化方式 1.1 查看管理员信息 1.2 获取密码的加密字串 1.3 生成密码修改文件 1.4 修改密码 1.5 问题 2. 容器化方式
生产环境 OpenLDAP 部署流程
最新发布
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
05-16 918
一个目录,除了支持基本的查找和更新功能外,是一个特别设计用来搜索和浏览的专门的数据库。目录倾向于包含描述性的、基于属性的信息,并支持精细的过滤能力。目录通常不支持复杂的事务和回滚机制,这与关系数据库不一样。
OpenLDAP常见运维管理操作
Begoniaish的博客
01-14 1940
(4)测试服务端认证是否成功 ldapwhoami -x -D cn=admin,dc=ldap,dc=test,dc=com -W 在输入密码后显示dn:cn=admin,dc=ldap,dc=test,dc=com,则表示成功 ldapwhoami –x 输出anonymous,则表示成功。ldapsearch -x -LLL -D cn=readonly,dc=ldap,dc=test,dc=com -w 密码 -b dc=ldap,dc=test,dc=com。
openldap服务器密码修改,搭建OpenLDAP自助修改密码系统Self Service Password系统搭建好后注意问题...
weixin_28755847的博客
08-04 858
搭建方法引自:https://www.ilanni.com/?p=13822,本人亲测没有问题,只是在烂泥兄弟的基础上做了几点说明如下:1 默认有自助密码修改,也就是你用了一段时间密码可以自行更改,输入旧密码及新密码即可。2 邮件方式更改,这里推荐,因为有时自己的密码忘记了,就不能用第一种方法了,所以只能用这个了,配置邮件时,需要编辑Self Service Password目录conf目录下的c...
使用OpenLDAP搭建Postfix邮件系统。
在水一方
06-12 8566
前些时间了解了下OpenLDAP(http://waringid.blog.51cto.com/65148/79517),加上近段时间公司对Exchange邮件服务器作了一些规范要求,需要统一各地区(香港,无锡,江西,清远)的邮件显示名.(各地区有不同的邮件服务器,通过Microsoft的MIIS实现所有的联系人同步),初步估算了下要修改的用户差不多有800人,如果使用手工处理的话,那将是一个噩梦
Docker部署LDAP自助密码服务self-service-password
wangshui898的专栏
06-20 3210
公网环境 使用现成的docker镜像 创建数据目录 mkdir -pv /data/openldap/self-service-password/{htdocs,logs} mkdir /data/docker-compose/openldap/ssp/ docker-compose文件 cat > /data/docker-compose/openldap/ssp/docker-compose.yml << EOF version: "3" services: self-ser
OpenLDAP部署
09-29
OpenLDAP部署是一个重要的任务,尤其对于那些需要集中管理和控制用户身份信息的企业或组织。OpenLDAP(Open Source LDAP)是轻量级目录访问协议(Lightweight Directory Access Protocol)的一个开源实现,它提供了...
LDAP (OpenLDAP)+ CentOS7.5 部署实践
06-12
本套系统旨在 ” 带领大家搭建起公司内部的一套高可用支持TLS/SSL加密的统一账号管理系统OpenLDAP” ,但同样也如实告诉大家一点:这个教程并没有特深入的讲解 OpenLDAP 的理论知识,更加深入的学习,任重而道远,让...
openLDAP for windows.7z
10-09
在Windows环境下部署OpenLDAP,可以实现跨平台的身份验证、目录服务和数据共享。 标题“openLDAP for windows.7z”表明这是一个包含了OpenLDAP在Windows平台上运行所需的所有文件的压缩包。这个压缩包可能包含了...
ldap openldap
09-21
**LDAP与OpenLDAP** LDAP(轻量级目录访问协议)是一种开放的标准,用于在互联网上存储和检索目录信息。... **OpenLDAP** OpenLDAP是实现LDAP协议的一个开源软件...在部署和使用时,确保正确配置和安全是至关重要的。
Linux UNIX OpenLDAP实战指南
10-29
通过深入学习本书,读者可以掌握如何在企业环境中高效地部署、配置和管理OpenLDAP服务。 OpenLDAP的核心功能是作为目录服务器,它提供了快速查询和存储大量结构化数据的能力。相比于传统的数据库管理系统,OpenLDAP...
Linux服务器部署系列之八—Sendmail篇 【邮件服务器
weixin_34018169的博客
12-14 193
Sendmail是目前Linux系统下面用得最广的邮件系统之一,虽然它存在一些不足,不过,目前还是有不少公司在使用它。对它的学习,也能让我们更深的了解邮件系统的运作。下面我们就来看看sendmail邮件服务器部署。 本文将从以下几个方面讲解Sendmail邮件系统: 1.Sendmail安装; 2.Sendmail基本配置; 3.Openwebmail安装和配置; 4.配置Mailsc...
openldap更改管理员密码(亲测有效)
狂人日志
08-11 3273
网上有各种LDAP更改管理员密码得笔记,有些没有效果,有些写的很复杂,所以觉得有必要写一篇简洁明了,无坑得笔记。 root@localhost ~]# slappasswd -s zkdn58154 {SSHA}ipQGmoPyTV/s+H+fdMvldL3ZZ6wMuT54 #记住上述加密密码 [root@localhost ~]# vim changepwd.ldif dn: olcDatabase={0}config,cn=config changetype: modify replace:
Openldap开启TLS
Swordfall的博客
04-20 2358
1. 概述   为啥要用TLS?   Openldap默认使用简单验证,对slapd的所有访问都使用明文密码通过未加密通道进行。为了确保信息安全,需要对信息进行加密传输,SSL(Secure Sockets Layer)是一个可靠的解决方案。   它使用X.509证书,由可信任第三方(Certificate Authority(CA))进行数字签名的一个标准格式的数据。有效的数字签名意味着已签名...
内部服务器账号密码,如何更改OpenLDAP服务器上的账户密码
weixin_39611340的博客
07-29 660
介绍LDAP系统通常用于存储用户帐户信息。 事实上,一些最常见的向LDAP进行身份验证的方法涉及存储在LDAP条目中的帐户信息。无论您的LDAP条目是由外部服务用于帐户信息还是仅用于LDAP特定的授权绑定,密码管理变得非常重要。 在本指南中,我们将讨论如何修改LDAP条目的密码。更改您自己的用户密码更改密码的能力由LDAP服务器的访问控制管理。 通常,LDAP配置为允许帐户更改自己的密码。 如果您...
搭建OpenLDAP自助修改密码系统Self Service Password
浅抒流年的博客
06-12 1873
转载链接 搭建OpenLDAP自助修改密码系统Self Service Password
OpenLdap Spring LdapTemplate 设置和修改用户的密码
隔壁老瓦的专栏
02-11 3447
使用java代码保存OpenLdap 用户时,未做任何处理直接加密,发现存储的时明文, 使用Openladp admin 工具设置密码时有很多加密方式 MD5、SHA1等等 @Override public boolean create(User t) throws Exception{ try { // Base BasicAttri...
安装ldap全流程
u013289746的博客
02-07 1034
备注:若大家只是想直接装完这个,理论部分不需要看,直接走安装步骤1、2、3等就可以了,可以装完之后再回过头来理解理解;   注意,不同linux操作系统版本之间的差异很大,我用的是centos7; 其实啊,openldap的安装真的是非常简单,直接用yum装一个server端和client端,然后启动服务就OK了。难的是修改它的配置文件以及导入我们需要的shema(这个其实理解了它的概念也就
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值