linux2 账号集中认证实验,使用OpenLDAP实现集中用户认证

最新推荐文章于 2022-03-21 10:04:28 发布
最新推荐文章于 2022-03-21 10:04:28 发布
阅读量244 收藏
点赞数
文章标签: linux2 账号集中认证实验

测试环境: centos5.1

如果你有很多台Linux服务器需要管理,每一台服务器都有自己的用户名和口令,修改口令将是一件很麻烦的事情。这时候你可以考虑使用LDAP服务实现集中的用户认证。当然,LDAP的应用是非常广泛的,还需要我们不断的去实践。

服务器端配置

1、安装OpenLDAP Server

OpenLDAP是一个LDAP服务的实现。By default, OpenLDAP uses TCP and UDP port 389 for unencrypted connections and TCP

and UDP port 636 for secure, encrypted connections.

我们需要一台OpenLDAP Server, 这个server集中管理用户,其他客户端(如另外一台linux)通过这个Server进行身份认证。

安装命令:

yum install openldap openldap-servers openldap-clients

2、配置LDAP

编辑 /etc/openldap/slapd.conf

修改suffix改为你想要的domain

suffix “dc=example,dc=com”

定义一个具有完全控制权的用户,可以是admin或任何你喜欢的名字

rootdn “cn=admin,dc=example,dc=com”

如果要远程管理,要设置一个口令

rootpw {SSHA}vhSdnGD3mNZpvxF63OmuaAUlNF16yVVT

这个口令不是明文,明文配置在这里是不安全的,口令可以用命令slappasswd生成。

在/var/lib/ldap下生成一个DB_CONFIG文件,这个文件中有一些参数调整的选项。可以直接拷贝一个。

cp /etc/openldap/DB_CONFIG.example  /var/lib/ldap/DB_CONFIG

3、启动LDAP服务

service ldap start

这时应该可以正常启动

4、建立用户信息

建立一个user.ldif文件,内容如下

###############################

dn: dc=example, dc=com

objectClass: top

objectClass: dcObject

objectClass: organization

dc: example

o: example, Inc.

dn: ou=People,dc=example,dc=com

ou: People

objectClass: top

objectClass: organizationalUnit

dn: ou=Group,dc=example,dc=com

ou: Group

objectClass: top

objectClass: organizationalUnit

dn: cn=testuser1,ou=Group,dc=example,dc=com

objectClass: posixGroup

objectClass: top

cn: testuser1

userPassword: {crypt}x

gidNumber: 1002

dn: cn=testuser2,ou=Group,dc=example,dc=com

objectClass: posixGroup

objectClass: top

cn: testuser2

userPassword: {crypt}x

gidNumber: 1003

dn: uid=testuser1,ou=People,dc=example,dc=com

uid: testuser1

cn: testuser1

objectClass: account

objectClass: posixAccount

objectClass: top

userPassword: {MD5}Qdp28Pw+xippOeY0v7ajQg==

loginShell: /bin/sh

uidNumber: 1002

gidNumber: 1002

homeDirectory: /home/testuser1

dn: uid=testuser2,ou=People,dc=example,dc=com

uid: testuser2

cn: testuser2

objectClass: account

objectClass: posixAccount

objectClass: top

userPassword: {MD5}WN0CTUnh0bg6XTB/CfMnNA==

loginShell: /bin/sh

uidNumber: 1003

gidNumber: 1003

homeDirectory: /home/testuser2

###############################

这个文件定义了两个用户testuser1和testuser2和对应的组testuser1和testuser2

下面把这个文件导入到LDAP Server中,

先停止LDAP Server

service ldap stop

然后导入

slapadd -v -l user.ldif

如果运新正常,你可以看到以下信息:

added: "dc=example,dc=com" (00000001)

added: "ou=People,dc=example,dc=com" (00000002)

added: "ou=Group,dc=example,dc=com" (00000003)

added: "cn=testuser1,ou=Group,dc=example,dc=com" (00000004)

added: "cn=testuser2,ou=Group,dc=example,dc=com" (00000005)

added: "cn=testuser3,ou=Group,dc=example,dc=com" (00000006)

added: "uid=testuser1,ou=People,dc=example,dc=com" (00000007)

added: "uid=testuser2,ou=People,dc=example,dc=com" (00000008)

added: "uid=testuser3,ou=People,dc=example,dc=com" (00000009)

修改/var/lib/ldap下文件的权限

chown ldap.ldap /var/lib/ldap/*

5、启动LDAP服务

service ldap start

检查服务是否正常

ldapsearch -x -b 'dc=example,dc=com'

我们可以看到之前导入的数据

If encryption has not been enabled, the -x option must also be specified to use simple

authentication instead

客户端配置

找另外一台机器配置为客户端。只有一台机器?可以用xen做一个虚拟机测试。

1、安装OpenLDAP Client

安装命令:

yum install openldap openldap-clients

2、修改认证方式

运行命令: authconfig-tui

在User Information处,选择 Use LDAP

在Authentication处,选择 Use LDAP Authentication 和 Local authorization is sufficient

在LDAP Settings处,填写

Server ldap://xxx.xxx.xxx.xxx/  (这里的IP就是你配置的LDAP Server的IP)

Base DN: dc=example,dc=com

authconfig-tui帮助你完成了一些文件的配置,你会发现以下文件的内容改变了,你也可以直接修改这些文件达到相同的效果(这就是Unix/Liinux的一贯作风!)

/etc/openldap/ldap.conf

/etc/ldap.conf

/etc/nsswitch.conf

/etc/pam.d/system-auth

3、测试

从其他地方ssh登录这台机器,你应该可以用testuser1, testuser2登录。你同时也可以用这台机器本地的root登录。

如果有问题,除了检查一下配置外,还要看看iptables, 是不是把LDAP用的端口给禁了。

By default, OpenLDAP uses TCP and UDP port 389 for unencrypted connections and TCP and UDP port 636 for secure, encrypted connections.

4、自动创建用户目录

当你用testuser1登录时,系统提示目录/home/testuser1不存在,可以修改一下配置来自动创建。

编辑 /etc/pam.d/system-auth

session     required      pam_unix.so

session     required      pam_mkhomedir.so skel=/etc/skel/  #在这里插入这一行

session     optional      pam_ldap.so

再登录看看,目录有了!

这只是一个简单的配置记录,如果要理解为什么这么配置,你需要了解LDAP和PAM的一些知识。

动物园园长助理
关注
linux统一身份认证,OpenLDAP统一身份认证 [CentOS6/7]
weixin_42501704的博客
05-15 727
本文CentOS6/CentOS7 Linux系统平台,构建OpenLDAP的统一身份认证和双主从同步架构。即两台LDAP服务器互为主、备,其中任一节点数据更新,将自动同步到另外一个节点上,从而达到数据备份,避免了单点故障。 1.OpenLDAP安装 #CentOS7或CentOS7[root@centos ~]# yum install -y openldap-servers openldap...
Ubuntu下使用OpenLDAP实现账号集中管理
lodian的博客
06-04 1786
安装和配置LDAP服务器 sudo apt-get update更新软件包列表 sudo apt-get install slapd ldap-utils migrationtools安装openLDAP 在这个过程中有很多选项需要做出选择。以下作为参考: 跳过OpenLDAP服务器配置? No DNS域名? 此选项将确定目录路径的基本结构。即使没有DNS域名,也可以填入所需的任何值。 这里...
openldap认证liunx服务器(Centos7)
weixin_46516921的博客
03-21 1110
安装所需要的库 yum -y install nss-pam-ldapd pam_ldap yum -y install openldap-clients-2.4.44-25.el7_9.x86_64 yum -y install epel* 关闭seliunx 通过命令“”获取selinux状态, 命令 功能 getenforce 获取seliunx状态 setenforce 0 临时关闭seliunx setenforce 1 开启seliunx 想要永久关闭SEliunx
linux中ldap管理工具,使用openldap集中linux系统帐号管理
weixin_42516668的博客
05-03 168
软件环境:rh4u2DNS: ldap8.test.com A 192.168.1.81、安装软件包:# rpm -qa | grep openldapopenldap-clients-2.2.13-3openldap-servers-2.2.13-3openldap-2.2.13-3openldap-devel-2.2.13-3compat-openldap-2.1.30-32、配置openld...
linux 账户集中管理,OpenLDAP集中管理用户帐号学习笔记(ZZ)
weixin_33894886的博客
05-15 430
本文使用Redhat Enterprice Linux 4.0版本测试,并成功实现openldap为系统自带工具,可以在安装时选择相应软件包安装或用rpm命令安装。需要的包为:openldap-2.2.13-2:包含 OpenLDAP 配置文件、库和文档openldap-servers-2.2.13-2:包含 slapd 和 slurpd 服务器、迁移脚本和相关文件openldap-client...
open***使用openldap进行认证
weixin_34268843的博客
09-21 511
Open×××的认证方式有多种,一般而言证书的安全性比较好,但是操作起来稍显麻烦,所以就衍生出很多使用本地密码、数据库、pam、ldap等认证方式的需求,网上对于open***使用ldap认证的教程有很多,大体上分为两类,一类是使用open***-auth-ldap,一类是使用老男孩发布的Python脚本,当然了也可以使用pam,然后通过pam_ldap调用ldap进行验证,...
配置Linux使用LDAP用户认证的方法
09-14
至此,你已经成功配置了Linux使用LDAP进行用户认证。请注意,实际操作中,你需要替换示例中的域名、DN和密码等信息,以匹配你的LDAP服务器环境。在部署前,请确保对所有步骤有充分的理解,并根据实际情况进行调整。...
Django集成OpenLDAP认证实现
09-19
在本文中,我们将深入探讨如何在Django项目中集成OpenLDAP认证OpenLDAP(Open Lightweight Directory ...通过`django-auth-ldap`库,我们可以轻松地将Django与OpenLDAP连接起来,实现用户认证和授权的无缝集成。
linux-openldap管理linux用户组密码策略
08-13
Linux系统中,OpenLDAP(Open Source Lightweight Directory Access Protocol)是一种强大的目录服务,常用于管理用户、组和其他系统资源。本教程将深入探讨如何利用OpenLDAP来管理Linux用户和组,以及实施密码...
Openldap用户组创建
rockstics的博客
08-18 4611
LDAP搭建请看我之前的博客,openvpn+nginx+phpldapadmin 在phpldapadmin web页面创建用户组,不用编写复杂的ldif文件 1.首先创建用户,可以用ldif导入,也可以直接在页面创建, 在OU=people中点击“创建新条目” -->点击“默认” --> ObjectClasses 选择 "inetOrgPerson" ---> “继续” RDN 选择cn 或者 uid ,然后属性中只需要选择带*的必需属性,其余后期都可以根据需求修...
linux批量登陆软件,vnc批量登录,vnc批量登录Linux的方法介绍
weixin_29062963的博客
05-05 303
VNC (Virtual Network Console)是虚拟网络控制台的缩写。它 是一款优秀的远程控制工具软件,由著名的 AT&T 的欧洲研究实验室开发的。VNC 是在基于 UNIX 和 Linux 操作系统的免费的开源软件,远程控制能力强大,高效实用,其性能可以和 Windows 和 MAC 中的任何远程控制软件媲美。 在 Linux 中,VNC 包括以下四个命令:vncserver...
使用 OpenLDAP 集中管理用户帐号
weixin_34209406的博客
06-16 758
Linux-PAM 和 OpenLDAP 简介Linux-PAM 简介Linux-PAM (Linux 系统的可插入式认证模块) 是一套共享函数库,它表示一种性能健硕而且灵活方便的用户认证方式,允许系统管理员来决定应用程序如何识别用户,即不需要 (重写和) 重新编译一个 (支持 PAM 的) 应用,就可以切换它所用的认证机制。目前,Linux-PAM 已经成为 Linux、...
ldap部署和用户创建
weixin_33713707的博客
10-26 1088
轻型目录访问协议(英文:Lightweight Directory Access Protocol,缩写:LDAP)是一个开放的,中立的,工业标准的应用协议,通过IP协议提供访问控制和维护分布式信息的目录信息。OpenLDAP是轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)的自由和开源的实现,在其OpenLDAP许可证...
LDAP部署和用户创建
weixin_30402085的博客
08-05 796
轻型目录访问协议(英文:Lightweight Directory Access Protocol,缩写:LDAP)是一个开放的,中立的,工业标准的应用协议,通过IP协议提供访问控制和维护分布式信息的目录信息。 OpenLDAP是轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)的自由和开源的实现,在其OpenLDAP许可证下发行,...
配置openldap_Centos8.2 使用 Openldap 认证登录
weixin_30700095的博客
12-12 1535
1. 配置 SSSDSSSD是系统安全服务守护进程的缩写。它提供对不同身份和身份验证提供者的访问。//安装 sssd$ dnf update$ dnf install sssd sssd-tools接下来,配置SSSD已允许通过OpenLDAP对本地系统进行身份验证。SSSD通常不附带任何默认配置文件。因此,需要手动创建和配置它。//创建 sssd 配置文件$ vim /etc/sssd/sssd...
安装OpenLDAP及添加相关用户和组
it-wangxiaobai的博客
10-12 5717
文章目录1.安装openLDAP2. 配置 OpenLDAP3. 添加用户和组 1.安装openLDAP centos中执行如下命令 yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools 2. 生成管理员密码 # 执行如下命令后,生成的是对密码进行加密后的字符串 slappasswd -s admin12
《基于LinuxOpenLdap上添加用户和组》
司小幽
08-07 3588
生产场景:之前一段时间和师傅一起搞Openldap时候,发现如果有新员工入职了,人工手动添加相应的Ldap号非常浪费时间,所以就琢磨着看能不能写个脚本优化下这种操作? 需求:通过运行脚本,给定相应参数,将新来的员工添加至公司的OpenLdap。 解决方案:基于LinuxOpenLdap上添加用户和组
OpenLDAP实战:实现账户集中管理
本文档基于作者参考网上资源和 IBM DeveloperWorks 文章完成的 OpenLDAP 账号集中管理配置实践,旨在提供一个清晰的配置过程和理解 LDAP 与 Linux 密码文件之间关系的基础。 首先,LDAP(Lightweight Directory ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值