openldap主机访问控制(基于用户组)

最新推荐文章于 2023-09-25 13:17:40 发布
最新推荐文章于 2023-09-25 13:17:40 发布
阅读量404 收藏
点赞数
文章标签: ldap 运维
原文链接:http://www.cnblogs.com/liujitao79/p/5959939.html
版权
openldap主机访问控制(基于用户组)
建立组织单元
cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv
dn: ou=host,dc=suntv,dc=tv
ou: host
objectClass: organizationalUnit

dn: ou=people,dc=suntv,dc=tv
ou: people
objectClass: organizationalUnit

dn: ou=group,dc=suntv,dc=tv
ou: group
objectClass: organizationalUnit
_EOF_
建立用户组
cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv
dn: cn=admin,ou=group,dc=suntv,dc=tv
objectClass: posixGroup
cn: admin
gidNumber: 2001

dn: cn=op,ou=group,dc=suntv,dc=tv
objectClass: posixGroup
cn: op
gidNumber: 2002

dn: cn=dev,ou=group,dc=suntv,dc=tv
objectClass: posixGroup
cn: dev
gidNumber: 2003
_EOF_
建立用户
cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv
dn: uid=admin01,ou=people,dc=suntv,dc=tv
objectClass: posixAccount
objectClass: shadowAccount
objectClass: inetOrgPerson
uid: admin01
cn: admin01
sn: admin01
userPassword: 123456
shadowLastChange: 17085
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1001
gidNumber: 2001
homeDirectory: /home/admin01

dn: uid=op01,ou=people,dc=suntv,dc=tv
objectClass: posixAccount
objectClass: shadowAccount
objectClass: inetOrgPerson
uid: op01
cn: op01
sn: op01
userPassword: 123456
shadowLastChange: 17085
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1002
gidNumber: 2002
homeDirectory: /home/op01

dn: uid=dev01,ou=people,dc=suntv,dc=tv
objectClass: posixAccount
objectClass: shadowAccount
objectClass: inetOrgPerson
uid: dev01
cn: dev01
sn: dev01
userPassword: 123456
shadowLastChange: 17085
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1003
gidNumber: 2003
homeDirectory: /home/dev01
_EOF_
建立授权用户组
cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv
dn: cn=admin,ou=host,dc=suntv,dc=tv
objectclass: groupOfNames
cn: admin
member: uid=admin01,ou=people,dc=suntv,dc=tv

dn: cn=dev,ou=host,dc=suntv,dc=tv
objectclass: groupOfNames
cn: dev
member: uid=dev01,ou=people,dc=suntv,dc=tv

dn: cn=op,ou=host,dc=suntv,dc=tv
objectclass: groupOfNames
cn: dev
member: uid=op01,ou=people,dc=suntv,dc=tv
_EOF_
openldap服务器配置反向组查询
# /etc/openldap/slapd.conf 确保有以下配置项
modulepath /usr/lib64/openldap
moduleload memberof.la
overlay memberof
rm -rf /etc/openldap/slapd.d/*
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
chown -R ldap:ldap /etc/openldap/slapd.d
systemctl restart slapd
测试

ldapsearch -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv -b uid=op01,ou=people,dc=suntv,dc=tv "uid=op01" memberOf

# extended LDIF
#
# LDAPv3
# base <uid=op01,ou=people,dc=suntv,dc=tv> with scope subtree
# filter: uid=op01
# requesting: memberOf 
#

# op01, people, suntv.tv
dn: uid=op01,ou=people,dc=suntv,dc=tv
memberOf: cn=op,ou=host,dc=suntv,dc=tv # 这里是关键

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

ldapsearch -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv -b uid=admin01,ou=people,dc=suntv,dc=tv "uid=admin01" memberOf

# admin01, people, suntv.tv
dn: uid=admin01,ou=people,dc=suntv,dc=tv
memberOf: cn=all,ou=host,dc=suntv,dc=tv

ldapsearch -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv -b uid=dev01,ou=people,dc=suntv,dc=tv "uid=dev01" memberOf

# dev01, people, suntv.tv
dn: uid=dev01,ou=people,dc=suntv,dc=tv
memberOf: cn=dev,ou=host,dc=suntv,dc=tv
登录服务器配置
yum -y install openldap-clients sssd

authconfig --enablesssd --enablesssdauth --enableldap --enableldapauth --ldapserver=ldaps://master.local,ldaps://slave.local --ldapbasedn='dc=suntv,dc=tv' --enablelocauthorize --enableldaptls --enablemkhomedir  --update
cat > /etc/sssd/sssd.conf << _EOF_
[domain/LDAP]
debug_level = 9
cache_credentials = True
enumerate = false

id_provider = ldap
auth_provider = ldap
chpass_provider = ldap

ldap_uri = ldaps://master.local
ldap_backup_uri = ldaps://slave.local
ldap_search_base = dc=suntv,dc=tv
ldap_user_search_base = ou=people,dc=suntv,dc=tv
ldap_group_search_base = ou=group,dc=suntv,dc=tv

access_provider = ldap
ldap_access_order = filter
ldap_access_filter = (|(memberOf=cn=admin,ou=host,dc=suntv,dc=tv)(memberOf=cn=dev,ou=host,dc=suntv,dc=tv))

ldap_tls_cacertdir = /etc/openldap/cacerts
ldap_tls_cacert = /etc/openldap/cacerts/ca.crt
ldap_tls_reqcert = never
ldap_id_use_start_tls = false

[sssd]
domains = LDAP
services = nss, pam
config_file_version = 2

[nss]
domains = LDAP
filter_users = root
filter_groups = root

[pam]
domains = LDAP

[sudo]
domains = LDAP

[ssh]
domains = LDAP
_EOF_

配置自启动

centso7 : 
systemctl restart sssd
systemctl enable sssd

centos6 : 
/etc/init.d/sssd restart
chkconfig sssd on

权限

192.168.1.21 centos7  允许op组及admin组登录
ldap_access_filter =  (|(memberOf=cn=admin,ou=host,dc=suntv,dc=tv)(memberOf=cn=op,ou=host,dc=suntv,dc=tv))

192.168.1.22 centos6  允许dev组及admin组登录
ldap_access_filter =  (|(memberOf=cn=admin,ou=host,dc=suntv,dc=tv)(memberOf=cn=dev,ou=host,dc=suntv,dc=tv))

测试结果

op01 登录192.168.1.21成功,登录192.168.1.22失败
dev01 登录192.168.1.21失败,登录192.168.1.22成功
admin 登录192.168.1.21成功,登录192.168.1.22成功

[root@centos-1-21 home]# ll
total 0
drwx------ 2 admin01 admin 79 Oct 14 16:40 admin01
drwx------ 2 op01    op    79 Oct 14 16:40 op01

[root@centos6-1-22 home]# ll
total 8
drwx------ 2 admin01 admin 4096 Oct 14 16:40 admin01
drwx------ 2 dev01   dev   4096 Oct 14 16:40 dev01
posted on 2016-10-14 12:38 北京涛子 阅读( ...) 评论( ...) 编辑 收藏

转载于:https://www.cnblogs.com/liujitao79/p/5959939.html

weixin_30471065
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ldap 访问AD测试
03-01
博文链接:https://balaschen.iteye.com/blog/88178
OPENLDAP认证系统服务1
08-03
在服务器B(172.25.18.11)上,安装`httpd`、`mod_ldap`和证书,然后配置虚拟主机和目录权限,使用`authldapurl`指定LDAP服务器的URL,以及`require valid-user`确保只有验证过的用户才能访问。 在客户端机器如...
OPENLDAP 访问控制
ssl vpn ------adito (ssl explorer) (openvpn als)&amp;amp;&amp;amp;网络安全
01-10 3167
 1 语法access to [by ]+其中,access to指示启用访问控制,上句大致可以理解为:access to [by ]+2 剖析2.1 控制目标这一域主要是实现对ACL应用对象的指定,对象可以是记录和属性。选择ACL目标记录的方法一般有两种:DN和filter,语法为: ::= * |
openldap访问控制
最新发布
yyp1998的博客
09-25 414
系统:debian12。
08-OpenLDAP主机控制策略
weixin_34061555的博客
06-09 351
OpenLDAP主机控制策略 阅读视图 参考 环境准备 openldap服务端配置 openldap客户端配置 客户端测试登录 故障处理 1. 参考 本文基本转载博客openldap主机访问控制(基于hostname) 该博主另一篇文档,还没测试openldap主机访问控制(基于ip) 2. 环境准备 因为本文与其他文档属性不冲突,所以完全可以使用以前的环境做实验。 3. ope...
Openldap 访问控制列表
★ 分享、传播、open source
11-24 606
http://bbs.chinaunix.net/viewthread.php?tid=926041 这些是我的个理解,其中或许不当之处还很多,大家讨论一下…… 1 语法 access to [by ]+ 其中,access to指示启用访问控制,上句大致可以理解为: access to [by ]+ 2 剖析 2.1 控制目标 这一域
LINUX+APACHE+BDB+OPENLDAP+PHPLDAPADMIN安装配置包和步骤1
08-03
7. 配置OpenLDAP:设置LDAP服务器的根DN(Distinguished Name),创建初始目录树,导入用户和组数据。 8. 安装PHPLDAPadmin:通过包管理器或源代码安装PHPLDAPadmin,配置Web服务器的访问权限和SSL证书(如果需要...
LINUX+APACHE+PHP+BDB+OPENLDAP+PHPLDAPADMIN安装配置包和步骤2
08-03
**OPENLDAP**: OpenLDAP是一个开源的LDAP(Lightweight Directory Access Protocol)服务器,用于存储和管理用户账户、组和其他目录信息。它提供了一种标准的方式来查找、编辑和管理网络中的数据。 **PHPLDAPADMIN*...
OpenLDAPforWindows_x86.zip
03-28
7. **权限与访问控制**: 配置访问控制指令(ACI)以决定哪些用户或组可以读写目录中的哪些信息。 8. **日志和监控**: 配置日志记录,以便在出现问题时能够追踪和诊断。同时,了解如何监控OpenLDAP的服务状态也很...
samba+ldap实现用户登陆共享认证1
08-08
通过以上步骤,我们可以实现基于组的权限控制,当用户使用S1账号登录时,他们的权限会受到更安全和精确的控制。例如,属于IT组的用户将拥有对/public目录的写入权限。这种设置提供了更高效和安全的资源共享方式,...
《Linux/UNIX OpenLDAP实战指南》——2.9 OpenLDAP控制策略
weixin_34326429的博客
05-02 120
本节书摘来自异步社区《Linux/UNIX OpenLDAP实战指南》一书中的第2章,第2.9节,作者:郭大勇著,更多章节内容可以访问云栖社区“异步社区”公众号查看 2.9 OpenLDAP控制策略 2.9.1 通过slapd.conf定义用户策略控制默认情况下,不允许OpenLDAP用户自身修改密码,仅管理员具有修改权限。为了提高个人账号的安全性,需要...
Java 访问Ldap
sinat_38244712的博客
02-12 367
1,安装openldap,下载openldap: http://download.csdn.net/detail/kkdelta/8090881  修改c:\openldap\slapd.conf 本示例中的suffix 和rootdn修改为如下: database    bdb #suffix        "dc=maxcrc,dc=com" #rootdn        "cn=Manage...
LDAP 协议入门(轻量目录访问协议)
pushiqiang的博客
08-29 2896
什么是 LDAPLDAP 的全称是 Lightweight Directory Access Protocol,「轻量目录访问协议」。 划重点,LDAP「是一个协议」,约定了 Client 与 Server 之间的信息交互格式、使用的端口号、认证方式等内容。而「LDAP 协议的实现」,有着众多版本,例如微软的 Active Directory 是 LDAP 在 Windows 上的实现,AD 实现了 LDAP 所需的树形数据库、具体如何解析请求数据并到数据库查询然后返回结果等功能。再例如 Ope..
LDAP目录访问协议
2201_75825131的博客
04-08 176
OpenLDAP用户和用户组之间是没有任何关联的,需要新建添加用户到用户组的ldif文件,下面把lsuser zuusr wuusr用户加入到ldsgp用户组。四. 修改olcDatabase\=\{2\}hdb.ldif文件 修改这三个地方。使用migrate_passwd.pl文件生成要添加用户和用户组的ldif。修改olcDatabase\=\{1\}monitor.ldif文件这里。修改密码下边的这一串需要记住后边需要添加。-f 使用ldif文件进行条目添加的文件。-w 绑定DN的密码。
为初学者介绍轻量级目录访问协议——LDAP
运维有小邓
12-05 818
以上就是LDAP的具体描述以及其与AD域之间的关系,不知道我们的文章是否对您有所帮助,如需了解更多LDAP相关知识,请持续关注“运维有小邓”,小邓将带您了解更多IT运维新知识!
LDAP入门
ljheee的博客
12-07 3458
LDAP入门 首先要先理解什么是LDAP,当时我看了很多解释,也是云里雾里,弄不清楚。在这里给大家稍微捋一捋。 首先LDAP是一种通讯协议,LDAP支持TCP/IP。协议就是标准,并且是抽象的。在这套标准下,AD(ActiveDirectory)是微软出的一套实现。 那AD是什么呢?暂且把它理解成是个数据库。也有很多人直接把LDAP说成数据库(可以把LDAP理解成存储数据...
OpenLDAP:用ACL控制访问权限
搬砖小胖子
08-13 2905
用ACL控制授权 我们在LDAP中创建目录树后,最感兴趣的就是如何控制用户在目录树中的权限(读写)。谁在什么条件下有记录权限,我们有权限看到哪些信息。ACL(Access Control List)访问控制列表就是解决用户权限问题的。 我们要把ACL写在哪里? ACL写在OpenLDAP的服务端全局配置文件slapd.conf中,如下这段即为其指令: # access to dn.base="" ...
openldap主机访问控制(基于ip)
weixin_30703911的博客
10-12 664
openldap主机访问控制(基于ip) http://blog.oddbit.com/2013/07/22/generating-a-membero/ http://gsr-linux.blogspot.jp/2011/01/howto-on-using-dynlist-with-openldap.html 建立组织单元 cat <&l...
LDAP应用篇(1)CentOS8接入登录
05-10 2450
CentOS8接入LDAP,使用LDAP账户登录,通过memberOf授权账户。
openLDAP的用户管理
07-15
OpenLDAP是一个开源的轻量级目录访问协议(LDAP)服务器,用于存储和管理用户和其他目录数据。在OpenLDAP中,用户管理涉及创建、修改、删除和查询用户等操作。下面是一些常见的用户管理操作: 1. 创建用户:使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值