CentOS 6 使用 OpenLDAP 认证
为什么80%的码农都做不了架构师?>>>
OpenLDAP 简介
OpenLDAP 简介网上一大堆这里就不做介绍,可参考:http://baike.baidu.com/view/308683.htm
环境
服务端 IP:192.168.1.2
客户端 IP:192.168.1.3
添加用户
useradd -M -s /sbin/nologin ldap
BerkeleyDB 安装
./dist/configure --prefix=/usr/local/BerkeleyDB --enable-dbm --enable-share
make
make install
安装完后需要将 BerkeleyDB 动态库路径写入 /etc/ld.so.conf,否则有的程序找不到 BerkeleyDB 相应的动态库
echo "/usr/local/BerkeleyDB/lib" >> /etc/ld.so.conf
ldconfig
OpenLDAP 服务端安装
./configure --prefix=/usr/local/OpenLDAP --enable-spasswd --enable-crypt --enable-overlays --enable-accesslog --enable-auditlog --enable-passwd --enable-ldap --enable-relay --enable-meta --enable-bdb
make
make install
OpenLDAP 服务端配置
1、编辑 /usr/local/OpenLDAP/etc/openldap/slapd.conf
添加
include /usr/local/OpenLDAP/etc/openldap/schema/core.schema
include /usr/local/OpenLDAP/etc/openldap/schema/corba.schema
include /usr/local/OpenLDAP/etc/openldap/schema/collective.schema
include /usr/local/OpenLDAP/etc/openldap/schema/cosine.schema
include /usr/local/OpenLDAP/etc/openldap/schema/duaconf.schema
include /usr/local/OpenLDAP/etc/openldap/schema/dyngroup.schema
include /usr/local/OpenLDAP/etc/openldap/schema/inetorgperson.schema
include /usr/local/OpenLDAP/etc/openldap/schema/java.schema
include /usr/local/OpenLDAP/etc/openldap/schema/misc.schema
include /usr/local/OpenLDAP/etc/openldap/schema/nis.schema
include /usr/local/OpenLDAP/etc/openldap/schema/pmi.schema
include /usr/local/OpenLDAP/etc/openldap/schema/ppolicy.schema
include /usr/local/OpenLDAP/etc/openldap/schema/openldap.schema
修改 pidfile
pidfile /var/run/slapd.pid
修改 argsfile
argsfile /usr/local/OpenLDAP/var/slapd.args
禁止匿名访问
disallow bind_anon
修改操作权限(管理员可修改所有用户资料,普通用户只能查看他人资料和修改自己资料)
access to attr=shadowLastChange,userPasswordby self writeby anonymous authby * none
access to *by self writeby * read
2.4.40 开始 是 attrs , 而不再是 attr
数据库使用 bdb
database bdb
修改 DN 后缀
suffix "dc=domain,dc=com"
修改根 DN
rootdn "cn=root,dc=domain,dc=com"
rootpw {SSHA}xxxx // 密码可使用命令:“/usr/local/OpenLDAP/sbin/slappasswd -h{SSHA} -s 密码” 来生成
修改数据目录
directory /usr/local/OpenLDAP/data
创建复制BDB数据库配置文件
OpenLDAP 服务器默认采用 BDB(伯克利)数据库作为后台,需要先将 /usr/local/OpenLDAP/etc/openldap/DB_CONFIG.example 复制到 /usr/local/OpenLDAP/data 目录下,并更名为 DB_CONFIG,并更改权限为 ldap 所有。
cp /usr/local/OpenLDAP/etc/openldap/DB_CONFIG.example /usr/local/OpenLDAP/data
mv /usr/local/OpenLDAP/data/DB_CONFIG.example /usr/local/OpenLDAP/data/DB_CONFIG
chown -fR ldap:ldap /usr/local/OpenLDAP/data
初始化数据
编辑 init.ldif
dn: dc=domain,dc=com
objectClass: dcObject
objectClass: organization
dc: domain
o: domain.com Inc.
description: domain.com LDAP Serverdn: cn=root,dc=domain,dc=com
objectClass: organizationalRole
cn: root
用以下命令添加模板信息
/usr/local/OpenLDAP/bin/ldapadd -x -D "cn=root,dc=domain,dc=com" -W -f init.ldif
启动 OpenLDAP
/usr/local/OpenLDAP/libexec/slapd -4 -n "OpenLDAP Server" -g ldap -u ldap -f /usr/local/OpenLDAP/etc/openldap/slapd.conf
检测 OpenLDAP 是否启动
netstat -anp|grep 389
导入系统组、账号数据
下载 MigrationTools,下载地址:ftp://ftp.padl.com/pub/MigrationTools.tgz
下载完成解压后,进入该目录
修改 migrate_common.ph
$DEFAULT_MAIL_DOMAIN = "domain.com";
$DEFAULT_BASE = "dc=domain,dc=com"; (说明:此处需要和前面配置的 slapd.conf 指定的域名相同)
生成模板信息
./migrate_base.pl > base.ldif
编辑 base.ldif
删除 除了 ou=People,dc=domain,dc=com 和 ou=Group,dc=domain,dc=com 外的其它所有条目
dn: ou=People,dc=domain,dc=com 替换为 ou=User,ou=Server,dc=domain,dc=com
dn: ou=Group,dc=domain,dc=com 替换为 ou=Group,ou=Server,dc=domain,dc=com
当然也可以不用改。为什么要改?可能你的 OpenLDAP 需要管理若干系统用户。这么做是为了清晰的分组管理。
DN ou=Server,dc=domain,dc=com 下都为服务器用户组、用户账号信息。
/usr/local/OpenLDAP/bin/ldapadd -x -D "cn=root,dc=domain,dc=com" -W -f base.ldif
导出用户组
./migrate_group.pl > group.ldif
替换 group.ldif 中的 ou=Group,dc=domain,dc=com 替换为 ou=Group,ou=Server,dc=domain,dc=com
/usr/local/OpenLDAP/bin/ldapadd -x -D "cn=root,dc=domain,dc=com" -W -f group.ldif
导出用户
./migrate_passwd.pl > user.ldif
将 user.ldif 中的 ou=People,dc=domain,dc=com 替换为 ou=User,ou=Server,dc=domain,dc=com
/usr/local/OpenLDAP/bin/ldapadd -x -D "cn=root,dc=domain,dc=com" -W -f user.ldif
其它相关配置(如:开机自启动、防火墙等等)这里就不再重复描述,和其它软件无异。
可以使用 phpLDAPadmin 来进行可视化管理,可通过防火墙限制 OpenLDAP 只能在局域网内访问。
OpenLDAP 客户端安装
客户端不需要 OpenLDAP 服务端库,所以可以通过 yum 仅安装 OpenLDAP 客户端库
yum install openldap-clients
OpenLDAP 客户端配置
编辑 /etc/openldap/ldap.conf
BASE dc=domain,dc=com
URI ldap://192.168.1.2
系统认证配置
在配置系统文件时,为了避免由于错误,造成没法登录,建议开启两个窗口,且在修改文件之前做好备份,以方便恢复。
安装 nss-pam-ldap
yum install nss-pam-ldapd pam_ldap
编辑 /etc/nsswitch.conf
将
passwd: files
shadow: files
group: files
改为
passwd: files ldap
shadow: files ldap
group: files ldap
编辑 /etc/sysconfig/authconfig ,将以下几项改为 yes
USESYSNETAUTH=yes
USESHADOW=yes
USELOCAUTHORIZE=yes
USELDAP=yes
USELDAPAUTH=yes
USEMKHOMEDIR=yes
PASSWDALGORITHM=sha512
编辑 /etc/pam_ldap.conf
host 192.168.1.2
base dc=domain,dc=com
rootbinddn cn=root,dc=domain,dc=com
bindpw root 密码
pam_password sha512nss_base_passwd ou=User,ou=Server,dc=domain,dc=com?filter
nss_base_shadow ou=User,ou=Server,dc=domain,dc=com?filter
nss_base_group ou=Group,ou=Server,dc=domain,dc=com?filter
编辑 /etc/nslcd.conf
uri ldap://192.168.1.2/
base dc=domain,dc=comrootpwmoddn cn=root,dc=domain,dc=com
bindpw root 密码base group ou=Group,ou=Server,dc=domain,dc=com
base passwd ou=User,ou=Server,dc=domain,dc=com
base shadow ou=User,ou=Server,dc=domain,dc=com
修改 /etc/pam.d/system-auth
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth sufficient pam_ldap.so nullok use_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.soaccount required pam_unix.so
account sufficient pam_localuser.so
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.sopassword requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password required pam_deny.sosession optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
session optional pam_mkhomedir.so skel=/etc/skel umask=0077
修改 /etc/pam.d/password-auth
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_ldap.so use_first_pass
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password required pam_deny.sosession optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session required pam_ldap.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
/etc/pam.d/password-auth 必须加上
session required pam_ldap.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
否则无法自动创建用户目录,当然如果自动同步主目录,则客户机上就不行在 /etc/pam.d/system-auth、/etc/pam.d/password-auth 加上
session xxx pam_mkhomedir.so skel=/etc/skel umask=0077
最后,需要启动 nslcd
service nslcd restart
测试,是否同步成功
id yourusername
用户主目录同步
通过 NFS 自动同步用户主目录,参考资料:
http://blog.chinaunix.net/uid-20748874-id-4078997.html
转载于:https://my.oschina.net/eduosi/blog/303783
CentOS 6 使用 OpenLDAP 认证相关推荐
- Centos配置OpenVPN+OpenLDAP认证
Centos配置OpenVPN+OpenLDAP认证 一.安装openvpn-auth-ldap插件 二.配置ldap.conf文件 三.配置openvpn中的server.conf文件 四.配置客户 ...
- LDAP落地实战(三):GitLab集成OpenLDAP认证
上一篇文章介绍了svn集成OpenLDAP认证,版本控制除了svn外,git目前也被越来越多的开发者所喜爱,本文将介绍GitLab如何集成openldap实现账号认证 GitLab集成OpenLDAP ...
- openldap 认证
openldap openldap openldap简介 openldap基础配置与操作 安装openldap 配置openldap 全局配置文件 数据库配置文件 建立安全连接 证书配置相关参数 启动 ...
- 关于虚拟机纯命令行centos解决web上网认证的解决方案
关于虚拟机纯命令行centos解决web上网认证的解决方案 虚拟机版本:CentOS Linux release 7.1.1503 (Core) 在我们学校,有校园网的存在,导致我在配置虚拟机的时候遇 ...
- centos下华科校园网认证
原文:centos下华科校园网认证 centos系统以稳定著称,适合服务器应用.之前测试一直用ubuntu,然而安装flashcache时候似乎有点问题,折腾了很久(当然,也有其他折腾的事情),忍无可 ...
- CentOS搭建Open服务(集成openldap认证)
1.安装openvpn 和easy-rsa(该包用来制作ca证书) (1)安装epel 仓库源 wget http://dl.fedoraproject.org/pub/epel/6/i386/epe ...
- centos redhat 6+ openldap 初级介绍
为什么80%的码农都做不了架构师?>>> 搜索很长时间始终发现博文与我的centos6.3里的openldap文件目录不同.敢肯定是版本问题. 于是参考了rhel官方文档,在这 ...
- Samba整合Openldap认证
Step 1☆ 執行安裝命令 rpm -ivh http://mirrors.aliyun.com/epel/6/x86_64/epel-release-6-8.noarch.rpm yum inst ...
- 纯命令行的centos如何通过上网认证的解决方案
(一)问题描述:所在网络打开网页,会跳到认证页面,需要输入用户名和密码,认证通过后,才会正常上网.对于纯命令行的centos,无法通过浏览器进入认证页面进行认证. (二)解决手段:使用curl命令模拟 ...
最新文章
- 基于HotNet2的扩散传播,竟是“图卷积”的特例
- JavaWEB开发21——综合项目(图书商城)
- 算法--06年华为面试:求两个数组的最小差值(Java实现)
- reactjs组件实例三大属性之refs使用示例:字符串形式的ref、回调函数形式的ref、回调ref中回调执行次数的问题
- gearman初探(一、编译和安装)
- 美团技术:百亿规模API网关服务Shepherd的设计与实现
- unity 2020 怎么写shader使其接受光照?_用Unity实现半条命Alyx中的液体物理效果
- 去掉状态条并全屏_机关单位内必须懂的道理:20条潜规则和13条定律
- 今晚7点,NVIDIA专家深度解析全新推荐系统解决方案Merlin
- 写给初学者的话---linux使用说明
- php中echo和print的区别
- 【紫书第五章】String、结构体、部分STL的常见用法
- 缅怀三年——炫丽的新加坡(下)
- 加密狗 破解 复制 模拟 软件
- [AndroidO] [RK3399] -- 支持 CH341 驱动 -- 驱动模块的标准添加流程
- js获取IP地址的4种方法
- 数学 - 泰勒公式,常见麦克劳林公式及Maple函数拟合
- 分享国内常用的免费MD5在线解密网站,这5个网站很实用
- 电容器的10大总结!
- 记录一次jar文件在windows系统下开机自启