[OpenBMC] LDAP 设定(二) - openldap 伺服架设与BMC的设定

已于 2022-08-31 22:04:21 修改
阅读量2.5k 收藏 3
点赞数
分类专栏: LDAP BMC 文章标签: ldap bmc linux 运维 服务器
于 2022-01-29 20:42:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeiris/article/details/122746088
版权
BMC 同时被 2 个专栏收录
19 篇文章 107 订阅
订阅专栏
LDAP
3 篇文章 2 订阅
订阅专栏

[OpenBMC] LDAP 设定(一) - nss-pam-ldapd 提到了openbmc ldap设定和验证,能从以下几个方向来看 

这篇会接续介绍ldap server的架设和redfish/web设定,因为openbmc支援了 openldap 和 windows 的ad,这篇选用OpenLDAP server架设为范例

在Ubuntu上架设OpenLDAP Server

OpenLDAP是轻型目录访问协议(Lightweight Directory Access Protocol)的开源实现。通常用来管理公司组织的员工资料(帐号密码),那从Directory可看出他就是一个目录结构,那我们来一层一层解析

dc(Domain Component): 这是一开始要设定的"DNS domain name"会作为base dn 使用,bmc.com, 最后会转换成 dc=bmc,dc=com 并成为ldap server的"base dn"

dn(Distinguished Name): 是ldap的中每个entry独一无二的区分名,因为他是个目录结构,因此每个dn都会基于"base dn"往下长,例如ou=Group,他的dn就会是"ou=Group,dc=bmc,dc=com

admin account: ldap 都会有个admin entry(用来操作使用),他的dn通常会是"cn=admin,dc=bmc,dc=com",我们可以通做这组帐号来access ldap server

那我们开始在ubuntu上面安装ldap server

下载 openldap

sudo apt install slapd ldap-utils

如果已经下载了,但想要重新设定

sudo dpkg-reconfigure slapd

自订ldap 设定

设定domain name: bmc.com --> "base dn" 为"dc=bmc,dc=com"

设定组织名称

设定admin entry(cn=admin,dc=bmc,dc=com)的密码(我是设定成admin)

最后都选default就行了

设定完成后,我们就能用ldapsearch 来看到目前的ldap 的内容

ldapsearch -LL -Y EXTERNAL -H ldapi:/// -b dc=bmc,dc=com

ldapsearch -x -H ldap://127.0.0.1:389  -b "dc=bmc,dc=com" -D "cn=admin,dc=bmc,dc=com" -w admin 

接下来产生两个组织单位ou (Organizational Unit),分别是People和Group

使用ldapadd指令新增entry, 先将要新增的组织资料写在ldif file中

The LDAP Data Interchange Format (LDIF) is a standard plain text data interchange format for representing LDAP

newou.ldif

dn: ou=Group,dc=bmc,dc=com
objectclass: organizationalUnit
ou: Group

dn: ou=People,dc=bmc,dc=com
objectclass: organizationalUnit
ou: People

command

ldapadd -x -H ldap://127.0.0.1:389 -D "cn=admin,dc=bmc,dc=com" -w admin -f newou.ldif

接下来创建user 和 qroup

nss_pam_ldapd的default attributes如下(撷取自官网)

group (objectClass=posixGroup)
  cn                - group name
  userPassword      - password (by default mapped to "*")
  gidNumber         - gid
  memberUid         - members (user names)
  member            - members (DN values)
passwd (objectClass=posixAccount)
  uid               - account name
  userPassword      - password (by default mapped to "*")
  uidNumber         - uid
  gidNumber         - gid
  gecos             - gecos
  homeDirectory     - home directory
  loginShell        - shell

为什么objectClass分别指定是posixAccount和posixGroup呢?

我们先来看看/etc/passwd的格式


provided from https://landoflinux.com/linux_passwd_command.html

其中原本linux密码放在/etc/passwd里面,但因为安全考虑,之后密码就移到/etc/shadow,而在/etc/passwd第二项以x作为标记。

如果ldap account需要有和/etc/passwd相对应的atrribute的话,那符合的类型就是posixAccount,他个格式范例如下

refer to An Approach for Using LDAP as a Network Information Service

The following entry is an example of the posixAccount class:

dn: uid=lester, dc=aja, dc=com
objectClass: top
objectClass: account
objectClass: posixAccount
uid: lester
cn: Lester the Nightfly
userPassword: {crypt}X5/DBrWPOQQaI
gecos: Lester
loginShell: /bin/csh
uidNumber: 10
gidNumber: 10
homeDirectory: /home/lester

userPassword values MUST be represented by following syntax:

passwordvalue          = schemeprefix encryptedpassword
schemeprefix           = "{" scheme "}"
scheme                 = "crypt" / "md5" / "sha" / altscheme
altscheme              = "x-" keystring
encryptedpassword      = encrypted password

The encrypted password contains of a plaintext key hashed using the algorithm scheme.

和/etc/passwd的atrribute对应如下

objectClass: posixAccount

id

uid

password

userPassword

uid

uidNumber

gid

gidNumber

full_name

gecos

Home Directory

homeDirectory

Login shell

loginShell


group也是差不多。因为passwd的格式有点复杂,所以我们先产生一个没有密码的user,后面再来设定他的密码,和ou产生方式差不多,我们先产生一个newuser.ldif

#新增user iris
#newuser.ldif

dn: uid=iris,ou=People,dc=bmc,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: iris ye
sn: ye
uid: iris
uidNumber: 3001
gidNumber: 1200
loginShell: /bin/bash
homeDirectory: /tmp

command:

ldapadd -x -H ldap://127.0.0.1:389 -D "cn=admin,dc=bmc,dc=com" -w admin -f newuser.ldif


接下来设定user密码

ldappasswd -x -H ldap://127.0.0.1:389 -D "cn=admin,dc=bmc,dc=com" -w admin  "uid=iris,ou=People,dc=bmc,dc=com"

会回传 New password: sdUo1UhJ 一个乱数密码

那我们再透过这个乱数密码来设定新的密码(这边设为iris)

ldappasswd -x -H ldap://127.0.0.1:389 -D "uid=iris,ou=People,dc=bmc,dc=com" -w sdUo1UhJ -s iris

#新增group webgroup
#newgroup.ldif

dn: cn=webgroup,ou=Group,dc=bmc,dc=com
cn: webgroup
description: web users group
objectClass: posixGroup
gidNumber: 1200

command:

ldapadd -x -H ldap://127.0.0.1:389 -D "cn=admin,dc=bmc,dc=com" -w admin -f newgroup.ldif

有了user 和 group之后,我们需要把user加入进group,透过新增memberUid这个atrribute

那这边要用到ldapmodify的指令来修改atrribute

#adduser2group.ldif

dn: cn=webgroup,ou=Group,dc=bmc,dc=com
changetype: modify
add: memberUid
memberUid: iris

command:

ldapmodify -x -H ldap://127.0.0.2:389  -D "cn=admin,dc=bmc,dc=com" -w admin -f adduser2group.ldif

这样ldap server就完成了

BMC端的设定

再webui上面填入相对应的值,就能透过iris这个user登入了

底下server URI 应该是ldap://192.168.24.1:389,字被cut掉了,但这边没填port number也没关系,可以只填ldap://192.168.24.1 

也能透过redfish 的patch method来更改LDAP的设定,[PATCH] /redfish/v1/AccountService, body 如下

{
    "LDAP": {
        "Authentication": {
            "AuthenticationType": "UsernameAndPassword",
            "Password": "admin",
            "Username": "cn=admin,dc=bmc,dc=com"
        },
        "LDAPService": {
            "SearchSettings": {
                "BaseDistinguishedNames": [
                    "dc=bmc,dc=com"
                ],
                "GroupsAttribute": "gidNumber",
                "UsernameAttribute": "uid"
            }
        },
        "RemoteRoleMapping": [
            {
                "LocalRole": "Administrator",
                "RemoteGroup": "webgroup"
            }
        ],
        "ServiceAddresses": [
            "ldap://10.142.24.9:389"
        ],
        "ServiceEnabled": true
    }
}

**补充 AMI BMC 之 LDAP user/group设定**

他的一些属性(objectClass)和openbmc需要的不同

dn: cn=iris,ou=People,dc=bmc,dc=com
cn: iris
sn: ye
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: top
uid: iris

dn: cn=amigroup,ou=Group,dc=bmc,dc=com
member: cn=iris,ou=People,dc=bmc,dc=com
cn: amigroup
objectClass: groupOfNames
objectClass: top
草莓配上鲜奶油
关注
专栏目录
ldap-ui:OpenLDAP的简约Web前端
04-28
简单的LDAP编辑器 这是LDAP目录的最小Web界面。 特征: 目录树视图 条目创建/修改/删除 LDIF导入/导出 JPEG支持inetOrgPerson 模式感知 简单搜索(可配置) 具有可扩展性的异步LDAP后端 可作为 该应用程序始终需要身份验证,即使目录允许匿名访问也是如此。 用户凭据通过目录上的bind进行验证。 特定用户可以看到(和编辑)的内容完全由目录访问规则控制。 该应用程序显示目录内容,仅此而已。 手动安装和配置 先决条件: 要在.venv3设置虚拟Python环境, .venv3执行以下操作: 进行设置 检查的配置。 它很短,希望可以自我解释。 用法 单机版 使用运行应用程序 跑 并转到 。 码头工人 包含一个Dockerfile。 容器公开端口5000。LDAP访问由以下环境变量控制: LDAP_URL :连接URL(可选),默认为ldap:/// 。
[OpenBMC] LDAP 设定(三) - LDAPS(LDAP over TLS)
yeiris的博客
01-29 5042
openbmc ldap设定和验证,能从以下几个方向来看 nss-pam-ldapd[OpenBMC] LDAP 设定(一) - nss-pam-ldapd LDAP server 架设 Redfish/Web设定[OpenBMC] LDAP 设定() - openldap 伺服架设BMC设定 LDAP over TLS 终于到了最后一个部分 LDAPS, 这部分我们会依序介绍 TLS的原理(这边会补充密码学基础) 非对称式加密 vs 对称式加密 数位签章 数位凭证 TLS握.
openbmc dbus架构简析
最新发布
wit_yuan的专栏
08-17 420
openbmc dbus架构简析
[OpenBMC] LDAP 设定(一) - nss-pam-ldapd
yeiris的博客
01-29 3246
Note. OpenBMC的官方已经有文件对帐户管理有简单的介绍,可以先阅读 OpenBMC ldap设定和验证,可分成几个部分,本篇会先介绍第一个部分nss-pam-ldapd nss-pam-ldapd LDAP server 架设 Redfish/Web设定 LDAP over TLS nss-pam-ldapd 底下 OpenBMC 对nss-pam-ldapd 的描述 Bringing the LDAP authentication module support in openb
openldap为一个用户设置为多个组
热门推荐
黑猫警长
02-21 1万+
使用ldap创建账号体系,除了要给每个员工、用户创建账号,还需要给他们分配一个组的角色,有了组,就能比较好的进行权限控制,比如ssh+ldap这样的组合,可以通过组来对组成员的sudo权限进行控制,但是有时候一个用户不是仅仅只是一个组的成员,有可能他既是开发,也是db管理员,既是产品经理,还是整个项目的管理员,这样就不太好给这样的用户单独配一个组。 可以针对每一种角色配置一个组,如开发组、测试组、
openbmc如何快速入门
weixin_35752122的博客
01-02 1801
OpenBMC 是一个开源项目,用于在基础设施设备(如服务器)上运行基于 LinuxBMC 软件。BMC (Baseboard Management Controller) 是一种硬件,它可以监控和管理服务器的硬件,并使用网络协议(如 IPMI)与服务器进行通信。 如果你想快速入门 OpenBMC,可以从以下几个方面入手: 安装 OpenBMC 软件:你可以在 OpenBMC 项目的 Gi...
bitnami-docker-openldap:用于OpenLDAP的Bitnami Docker映像
04-19
LDAP(轻型目录访问协议)的开源解决方案。 它是用于从分层目录结构(例如数据库)中存储和检索数据的协议。TL; DR $ docker run --name openldap bitnami/openldap:latestDocker撰写$ curl -sSL ...
centos系统LDAP服务端一键卸载脚本-openldap-server-uninstall.sh
06-26
本文件为centos系统LDAP服务端一键卸载脚本-openldap_server_uninstall.sh,使用前请根据现场实际情况修改相关参数内容,切记不可盲目执行,找测试环境测试好以后再到生产环境下使用,欢迎下载使用!
centos7系统LDAP服务端一键安装脚本-openldap-server-install.sh
06-26
centos7系统LDAP服务端一键安装脚本-openldap_server_install.sh,使用前请按现场实际情况修改相关参数,切记不要盲目执行,使用前请充分测试后使用,本脚本目前只在centos7下测试使用过,未在其它版本Linux系统下...
docker-test-openldap:用于测试LDAP应用程序的Docker OpenLDAP Server
02-06
docker-test-openldap:用于测试LDAP应用程序的Docker OpenLDAP Server
openbmc开发40:webui开发—增加snmp设置页面
master
08-20 1437
站位。
BMCOpenBMC使用基础(WSL2版本)
jiangwei0512的博客
07-31 6296
BMCOpenBMC使用基础(WSL2版本)。
第一章 OpenBMC是什么
weixin_39259643的博客
12-04 2467
OpenBMC
Cloudera Manager 配置 LDAP - 通过搜索绑定实现用户和组的映射
跟着大数据和AI去旅行
01-26 3836
直接绑定和搜索绑定 因为使用直接绑定方式,会导致集群无法被多个团队的多个角色混用。举个例子,我们有这样的场景: 用户 a1 属于组 A,组 A 对应 Sentry 中的 dev 角色; 用户 a2 属于组 A,组 A 对应 Sentry 中的 dev 角色; 用户 b1 属于组 B,组 B 对应 Sentry 中的 ops 角色; 用户 b2 属于组 B,组 B 对应 Sentry 中的 o
OpenBMC 系列】1.OpenBMC 开发环境搭建
AiFool的博客
12-10 7998
文档目的:如何搭建OpenBMC开发环境 受众:熟悉 LinuxBMC 的程序员 先决条件:当前的 Linux、Mac 或 Windows 系统 概述 OpenBMC 使用Yocto项目作为其底层构建和分发生成框架。主要的 OpenBMCREADME提供了有关使用 Yocto 和 OpenBMC 的信息。有一些机制可以使用此过程来构建您的更改,但对于您的软件的初始调试和验证来说,它可能既缓慢又麻烦。本指南重点介绍如何使用 OpenBMC 软件开发工具包 (SDK) 和QEMU快速测试新更改..
openbmc简介
dsafsdas的博客
07-21 8367
openbmc简介OpenBMCIPMI简介OpenBMC软件架构 OpenBMC 在说OpenBMC之前,先说一下BMC(Baseboard Manager Controller,简称BMC),BMC应用了IPMI架构的智能性,是嵌入在计算机(通常是服务器)主板上的专用的微控制器。它是负责管理系统和管理软件与服务器平台硬件之间的一个接口。 根据IPMI规范,BMC需要满足如下条件: 具有IMPI命令; 提供BMC访问接口(一般是网口); 提供标准的看门狗定时器接口和看门狗内部事件产生功能; 提供可被其他
OpenBMC笔记4:在镜像中添加Web界面
openbmc的博客
07-28 1167
​在上一篇《OpenBMC笔记3:内核的PHY芯片适配》文章中,我们的机器刷入OpenBMC后,已经可以获取到IP地址了,但是当我们在浏览器里面输入IP地址,尝试打开OpenBMC的Web界面时,发现是空的,只提示了:Unauthorized,如下图所示。所以,本文目的是添加OpenBMC的Web界面。
openbmc开发20:添加自己的应用软件
master
04-04 5181
openbmc已经提供了很多的软件包,但是这些软件包并不能满足所有的需求,比如自定义的协议通信或者传感器值得获取等等。openbmc本身是嵌入式的linux系统,其上运行的软件你在其他发行版linux系统上运行的软件没什么不同,只是运行的载体CPU有所不同而已。因此软件代码没有任何区别,都是依赖于标准库或者自己开发的库,只是由于编译方式不同,不能在运行的操作系统下直接使用gcc来编译(其实也可以实现,只要添加添加gcc的编译器以及编译库等,只是不符合实际使用需求),而是在制作镜像之前编译好,放到文件系统下。
OpenBMC 示例的编译和构建
Imagine Miracle的博客
02-27 2401
OpenBMC项目是一个Linux基金会协作开源项目,它生成底板管理控制器(BMC) 固件堆栈的开源实现。OpenBMCBMCLinux发行版,旨在跨异构系统工作,包括企业、高性能计算(HPC)、电信和云规模数据中心。2014年,四名Facebook程序员在Facebook黑客马拉松活动中创建了一个名为OpenBMC的开源BMC固件堆栈原型。2015年,IBM与Rackspace合作开发了开源BMC固件堆栈(也称为OpenBMC这些项目仅在名称和概念上相似。2018年3月,OpenBMC成为Linux
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值