openldap指定用户加密方式_openldap集中账户管理

最新推荐文章于 2024-04-02 18:01:10 发布
最新推荐文章于 2024-04-02 18:01:10 发布
阅读量904 收藏 1
点赞数
文章标签: openldap指定用户加密方式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39957068/article/details/111674102
版权

e16eb39ebc13107f1153da89f05e4873.png

简介

最近梳理了下自己的自动化运维体系,发现目前运维管理中的各子系统都是独立运行。在管理过程中在各子系统中需要创建不同的账号,给管理及其他使用人员带来了极大的不便,需要记录各种登录密码。因此在消化总结其他人的知识图谱后,可以使用ldap来打通各子系统的账户体系,如zabbix、jenkins、jumpserver等。

基本概念

1.条目

条目entry 就是目录管理的对象,他是ldap中最基本的颗粒,就像字典中的词条,或是数据库中的记录。通常对ldap的添加、删除、更改、检索就是以条目为基本对象的。

每一个条目都有一个唯一的标识名(distinguished name,dn),如:

dc=test,dc=cn 有3个条目,而且它本身也是一个条目:

92fcf05dc70740f10ee306e0ba77d982.png

2.属性
每个条目可以有多个属性,常见的属性名称:

3a5e809eb6c83d4cb473c45a08b53b65.png

安装

yum install -y openldap openldap-clients openldap-servers# 复制一个默认配置到指定目录下,并授权,这一步一定要做,然后再启动服务,不然生产密码时会报错cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIGchown -R ldap.ldap /var/lib/ldap/DB_CONFIGsystemctl enable slapdsystemctl start slapd

配置openldap

一、密码设置

1.生成管理员密码[root@phab cn=config]# slappasswd -s test{SSHA}0Pgrrxa0cczUisQSCNRjiDAdW8iSwHgW2.新增修改密码文件vim changepwd.ldifdn: olcDatabase={0}config,cn=configchangetype: modifyadd: olcRootPWolcRootPW: {SSHA}0Pgrrxa0cczUisQSCNRjiDAdW8iSwHgW3.执行命令如下:[root@phab ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f changepwd.ldifSASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0modifying entry "olcDatabase={0}config,cn=config"执行完命令后,会在 /etc/openldap/slapd.d/cn=config/olcDatabase={0}config.ldif 文件中新增olcRootPW:: e1NTSEF9eGNGRUZwRTBzb0cnRGNWVENHRRQmk0ZWIwVGErYVc=

注意:上面是一个完整的修改配置的过程,不能直接修改/etc/openldap/slapd.d/目录下的配置。

二、基础配置

1.导入基本的schema ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/collective.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/corba.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/duaconf.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/java.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/misc.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/openldap.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/pmi.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif2.修改域名vim changedomain.ldifdn: olcDatabase={1}monitor,cn=configchangetype: modifyreplace: olcAccessolcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=admin,dc=test,dc=cn" read by * none dn: olcDatabase={2}hdb,cn=configchangetype: modifyreplace: olcSuffixolcSuffix: dc=test,dc=cn dn: olcDatabase={2}hdb,cn=configchangetype: modifyreplace: olcRootDNolcRootDN: cn=admin,dc=test,dc=cn dn: olcDatabase={2}hdb,cn=configchangetype: modifyreplace: olcRootPWolcRootPW: {SSHA}xcFEFpE0smv4rtF5eD4tQBi4eb0Ta+aW dn: olcDatabase={2}hdb,cn=configchangetype: modifyadd: olcAccessolcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=test,dc=cn" write by anonymous auth by self write by * noneolcAccess: {1}to dn.base="" by * readolcAccess: {2}to * by dn="cn=admin,dc=test,dc=cn" write by * read执行命令ldapmodify -Y EXTERNAL -H ldapi:/// -f changedomain.ldif[root@phab ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f changedomain.ldifSASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0modifying entry "olcDatabase={1}monitor,cn=config"modifying entry "olcDatabase={2}hdb,cn=config"modifying entry "olcDatabase={2}hdb,cn=config"modifying entry "olcDatabase={2}hdb,cn=config"modifying entry "olcDatabase={2}hdb,cn=config"

通过以上的所有步骤,我们就设置好了一个 LDAP 目录树:其中基准 dc=test,dc=cn 是该树的根节点,其下有一个管理域 cn=admin,dc=test,dc=cn 和两个组织单元 ou=People,dc=test,dc=cn 及 ou=Group,dc=test,dc=cn。

配置完成后,后面的步骤可以通过phpldapadmin在界面操作。

集成子系统

1.jumpserver

eb72df3a0c9db90450d527dc2e4707f8.png

注意:ldap属性映射中由于映射了mail属性,因此在ldap中的用户中必须添加邮件属性,否则jumpserver在启用ldap认证中会报错。

2.zabbix

57e37d7667ab4bf937c7f69ec6913f07.png

注意: zabbix的用户必须提前创建且和ldap中账户一致,也可通过脚本方式自动同步。

3.jenkins

cbd66a5affbfa3ff15628c49730a4308.png

jenkins设置完毕后,我们只需对账户进行分配相关项目即可。

d7c630f0e07606293c36eee4fe3ba0d2.png
weixin_39957068
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CAS_LDAP.rar_CAS SSO_cas ldap_cas openldap_cas_ldap_soa和sso
09-19
在做SOA项目或者单点登录SSO的时候,用户目录往往都是通过LDAP来完成的,那么CAS与LDAP整合的问题是必须要做的,这里采用OpenLDAP和CAS来记录一下自己的配置过程
openldap-2.0.19.tgz_ldap_openldap
09-21
开放源码的ldap系统
openldap(一):简介和安装
最新发布
dl_11的博客
04-02 1393
LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是一种用于访问分布式目录服务的网络协议。它提供了一种标准化的方法来查询和操作目录中的信息,这些信息通常以树状结构组织,用于存储用户、组织和其他实体的数据。OpenLDAP 是 LDAP 协议的一个开源实现,由 OpenLDAP 项目提供。它包括服务器、客户端库、工具和示例应用程序,用于构建和操作 LDAP 目录服务。
OpenLDAP应用实例-之帐号集中管理
08-11
OpenLDAP应用之帐号集中管理.doc
openldap-2.4.45.rar_openldap
09-21
openldap工具,最新功能强大,方便使用,测试等等
openldap-2.4.30.zip_OpenLDAP2.4.30_openldap 2.4 windo_openldap-2
09-23
最新版的openldap 2.4.30 源代码
配置 OpenLDAP 使用 SSL/TLS 加密数据通信
long12310225的专栏
08-30 2903
OpenLDAP 和 OpenSSL 简介 OpenLDAP 是最常用的目录服务之一,它是一个由开源社区及志愿者开发和管理的一个开源项目,提供了目录服务的所有功能,包括目录搜索、身份认证、安全通道、过滤器等等。大多数的 Linux 发行版里面都带有 OpenLDAP 的安装包。OpenLDAP 服务默认使用非加密的 TCP/IP 协议来接收服务的请求,并将查询结果传回到客户端。由于大多数目录
OpenLDAP加密
weixin_34220834的博客
08-23 314
传输加密(TLS) 2.4.1注意事项 1)如果在生产环境安装,注意证书的时间问题。可修改CA.pl脚本 2)关于/etc/pki/tls/misc目录下的CA.pl脚本,要安装 yum install o...
Openldap配置TLS加密传输(完整版——手动配置)
杰儿__er 的博客
05-30 1万+
为啥要用TLS?Openldap默认使用简单验证,对slapd的所有访问都使用明文密码通过未加密通道进行。为了确保信息安全,需要对信息进行加密传输,SSL(Secure Sockets Layer)是一个可靠的解决方案。它使用 X.509 证书,由可信任第三方(Certificate Authority (CA))进行数字签名的一个标准格式的数据。有效的数字签名意味着已签名的数据没有被篡改。如果签...
openldap 的加密密码都是不可逆的吗
qq_34486648的博客
03-22 222
但是,尽管密码是不可逆的,黑客仍可以使用密码破解技术来尝试找到与给定散列值相对应的原始密码。为了增加密码的安全性,OpenLDAP 还可以使用“盐”(salt)来增加密码的复杂度,从而降低黑客破解的成功率。OpenLDAP 使用一种称为散列函数(hash function)的算法来加密密码。散列函数是一种单向函数,其将输入数据(即密码)转换为固定长度的哈希值,该哈希值通常被用作加密后的密码。因此,一旦密码被散列,就无法将其还原回原始密码。这意味着,OpenLDAP 中的密码是不可逆的。
OpenLDAP密码策略实现
热门推荐
wilbertzhou的专栏
12-16 2万+
OpenLDAP密码控制策略很强大,可以控制: 密码的生命周期(最大和最小值);保存密码历史,避免在一段时间内重用相同的密码密码强度,新密码可以根据各种特性进行检查;密码连续认证失败的最大次数;自动账号锁定;支持自动或管理员解锁账号;优雅(Grace)绑定(允许密码失效后登录的次数);密码策略可以在任意DIT范围定义,可以是用户、组或任意组合。 具体ppolicy的规格细节参考:htt
BASH脚本 - OpenLDAP同步AD用户(新增)
黑神瞬的博客
03-16 1859
用途:当AD中有新增用户时,可以使用此脚本进行同步 #!/bin/bash # 预定义参数 AD_DOMAIN="<Your AD's domain>" AD_ADMIN_DN="CN=<Admin account name>,OU=XXX,OU=XXX,DC=XXX,DC=XXX,DC=XXX" AD_ADMIN_PWD="<Your admin password>" AD_BASE_DN="DC=XXX,DC=XXX,DC=XXX" LDAP_DOMAIN="&lt
12-openldap使用AD密码
weixin_34257076的博客
07-31 959
阅读视图 本文严重参考 Openldap 整合windows AD认证 本文其他参考 OpenLDAP使用AD密码 Configuring OpenLDAP pass-through authentication to Active Directory 一、需求概述及解决方案 1. 需求概述 Openldap是开源的目录服务实现,windows AD是微软的目录服务现实。现状是有的场景...
OpenLDAP部署并整合Windows AD认证
黑神瞬的博客
03-22 6483
安装OpenLdap [root@localhost ~]# yum install -y openldap openldap-clients openldap-servers-sql compat-openldap openldap-devel openldap-servers [root@localhost ~]# systemctl restart slapd.service [root@localhost ~]# systemctl enable slapd.service 配置OpenLDAP
openLDAP自定义密码验证
u013484030的博客
03-18 768
之前对接一个客户,他们直接传入明文去LDAP进行验证,但是我们写进LDAP的密码是MD5加密的,这时候就需要LDAP对明文密码进行加密然后验证了。然后在openLDAP服务下的slapd.conf配置文件,加入password-hash {CRYPT}MD5配置项,然后重启openLDAP服务,这时候LDAP服务就自动对传过来的明文进行加密验证了。这时候与我们LDAP服务存的密码就不一样了,我们需要在存密码的时候进行相关转换,就可以了:注意,此处的Pwd参数是已经MD5加密之后的字符串。
Openldap配置TLS加密传输(完整版——shell脚本实现[即在客户端执行代码,即可实现TLS加密])
杰儿__er 的博客
06-14 519
此脚本中只是负责实现了TLS加密配置部分,openLDAP的编译安装以及设置是前期已经配置好的!具体的配置看上上篇文章openLDAP的编译安装以及配置。注意slapd.conf中的配置,脚本中为【suffix "dc=mirage,dc=com"   rootdn  "cn=AuthUsers,dc=mirage,dc=com"】ldapTls.sh代码在此不做太多的解释,配置文档看Openld...
java ldap用户密码md5加密
discovery8090的专栏
09-17 1681
java ldap用户密码md5加密 在这里不过多介绍ldap,因为这样的文章特别多,这里就简单直接的记录这一个问题。 在springboot中通过引入spring-boot-starter-data-ldap,使用LdapTemplate真的挺方便,现在遇到一个问题,添加用户时,userPasswod在ldap中显示的是明文密码,我现在要对这个userPassword加密. 而我们不做任何设置查看源码发现默认使用的是simple 1 public class SimpleDirCont
针对用户密码几种加密方法
HL_xzf的博客
06-14 1594
1、md5加密(引用jquery.md5.js) 2、base64加解密 3、HmacSHA1加密 4、密码先做base64,然后前后调换,然后再做base64,然后再做异或,跟abcdef...字符进行异或。
[系统集成] OpenLDAP使用AD密码
weixin_34111790的博客
01-29 512
关于OpenLDAPAD帐号的整合,网上有大量的文档,绝大多数都不符合我们的需求,下面的方案是我经过调研、测试、修改、最终采用的。 1. 需求概述 公司网络中有两种帐号:OpenLDAP帐号和AD帐号,用户需要记住两套密码,需要修改系统让用户只需要记住一套密码。 2. 需求分析 本方案主要解决使用便利性问题:用户只需要记一个密码,就可登录相关系统。 根...
openldap修改密码加密方式
07-14
要在OpenLDAP中修改密码加密方式,你需要执行以下步骤: 1. 首先,确保你已经安装了OpenLDAP服务器并且已经运行。你还需要安装`slappasswd`工具,它用于生成加密的密码。 2. 打开OpenLDAP配置文件`slapd.conf`(或者是`slapd.d`目录下的适当配置文件,具体取决于你的安装方式)。 3. 在配置文件中找到`password-hash`或类似的指令。这个指令用于指定密码的加密方式。通常,默认值是`{CRYPT}`,它使用UNIX的crypt()函数来加密密码。 4. 修改`password-hash`指令的值为你想要使用的加密方式。例如,如果你想要使用SSHA加密方式,将其修改为`{SSHA}`。 5. 保存并关闭配置文件。 6. 使用`slappasswd`命令生成新密码的加密哈希。例如,如果你要生成SSHA加密的密码哈希,可以运行以下命令: ``` $ slappasswd -h {SSHA} ``` 7. 输入新密码并记录生成的加密哈希值。 8. 打开LDAP管理工具(如Apache Directory Studio或ldapmodify命令行工具)。 9. 连接到OpenLDAP服务器,并使用管理员凭据登录。 10. 找到需要修改密码的用户条目。 11. 修改用户条目中的`userPassword`属性,将其值设置为步骤6中生成的加密哈希值。 12. 保存修改并关闭LDAP管理工具。 现在,用户的密码加密方式已经修改成功。请记住,这些步骤可能会因为你的OpenLDAP版本和配置方式而有所不同,所以请确保参考官方文档或适当的资源来获取更准确的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值