统一认证 ldap mysql_Centos7 Ldap统一认证部署
LDAP介绍
LDAP是轻量目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP。它是基于X.500标准的,但是简单多了并且可以根据需要定制。与X.500不同,LDAP支持TCP/IP,这对访问Internet是必须的。LDAP的核心规范在RFC中都有定义,所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。
这篇部署文档是我参考了N多的国内外文章才整理出来的。
使用目的:
使用LDAP对运维相关用户名密码做统一管理。可以实现一个帐号登录多个不同系统。
部署:
一、Server端安装
Step 1: Install the following packages:
# yum install -y openldap openldap-clients openldap-servers migrationtools
二、配置
Step 2: Configure OpenLDAP Server:
[root@HBC-CtrlCenter ~]# vim /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{2\}hdb.ldif
change two lines: #change dc=yooma
olcSuffix: dc=yooma,dc=com
olcRootDN: cn=root,dc=yooma,dc=com
add one line:
olcRootPW: 123456 #密码根据自己需要修改
:wq!
Step 3: Configure Monitoring Database Configuration file:
[root@HBC-CtrlCenter ~]# vim /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{1\}monitor.ldif
#修改dn.base=""中的cn、dc项与step2中的相同
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern
al,cn=auth" read by dn.base="cn=root,dc=yooma,dc=com" read by * none
:wq!
Step 4: Prepare the LDAP database:
[root@HBC-CtrlCenter ~]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@HBC-CtrlCenter ~]# chown -R ldap.ldap /var/lib/ldap
Step 5: Test the configuration:
[root@HBC-CtrlCenter ~]# slaptest -u
56e7c83d ldif_read_file: checksum error on "/etc/openldap/slapd.d/cn=config/olcDatabase={1}monitor.ldif"
56e7c83d ldif_read_file: checksum error on "/etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif"
config file testing succeeded #验证成功
Step 6: Start and enable the slapd service at boot:
[root@HBC-CtrlCenter ~]# systemctl start slapd
[root@HBC-CtrlCenter ~]# systemctl enable slapd
Step 7: Check the LDAP activity:
[root@HBC-CtrlCenter ~]# netstat -lt | grep ldap
tcp 0 0 0.0.0.0:ldap 0.0.0.0:* LISTEN
tcp6 0 0 [::]:ldap [::]:* LISTEN
[root@HBC-CtrlCenter ~]# netstat -tunlp | egrep "389|636"
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 18814/slapd
tcp6 0 0 :::389 :::* LISTEN 18814/slapd
Step 8: To start the configuration of the LDAP server, add the follwing LDAP schemas:
[root@HBC-CtrlCenter ~]# cd /etc/openldap/schema/
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f cosine.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f nis.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f collective.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f corba.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f core.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f duaconf.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f dyngroup.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f inetorgperson.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f java.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f misc.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f openldap.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f pmi.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f ppolicy.ldif
##################################################
# NOTE-: You can add schema files according to your need: #
##################################################
Step 9: Now use Migration Tools to create LDAP DIT:
[root@HBC-CtrlCenter ~]# cd /usr/share/migrationtools/
[root@HBC-CtrlCenter migrationtools]# vim migrate_common.ph
on the Line Number 61, change "ou=Groups"
$NAMINGCONTEXT{'group'} = "ou=Groups";
on the Line Number 71, change your domain name
$DEFAULT_MAIL_DOMAIN = "yooma.com";
on the line number 74, change your base name
$DEFAULT_BASE = "dc=yooma,dc=com";
on the line number 90, change schema value
$EXTENDED_SCHEMA = 1;
:wq!
Step 10: Generate a base.ldif file for your Domain DIT:
[root@HBC-CtrlCenter migrationtools]# ./migrate_base.pl /root/base.ldif
Step 11: Load "base.ldif" into LDAP Database:
[root@HBC-CtrlCenter migrationtools]# ldapadd -x -W -D "cn=root,dc=yooma,dc=com" -f /root/base.ldif
Step 12: Now Create some users and Groups and migrate it from local database to LDAP database:
#mkdir /home/guests
#useradd -d /home/guests/ldapuser1 ldapuser1
#useradd -d /home/guests/ldapuser2 ldapuser2
#echo 'password' | passwd --stdin ldapuser1
#echo 'password' | passwd --stdin ldapuser2
Step 13: Now filter out these Users and Groups and it password from /etc/shadow to different file:
#getent passwd | tail -n 5 > /root/users
#getent shadow | tail -n 5 > /root/shadow
# getent group | tail -n 5 > /root/groups
Step 14: Now you need to create ldif file for these users using migrationtools:
[root@HBC-CtrlCenter ~]# cd /usr/share/migrationtools
[root@HBC-CtrlCenter migrationtools]# vim migrate_passwd.pl
#search /etc/shadow and replace it into /root/shadow on Line Number 188.
:wq!
[root@HBC-CtrlCenter migrationtools]# ./migrate_passwd.pl /root/users > users.ldif
[root@HBC-CtrlCenter migrationtools]# ./migrate_group.pl /root/groups > groups.ldif
Step 15: Upload these users and groups ldif file into LDAP Database:
[root@HBC-CtrlCenter migrationtools]# ldapadd -x -W -D "cn=root,dc=yooma,dc=com" -f users.ldif
[root@HBC-CtrlCenter migrationtools]# ldapadd -x -W -D "cn=root,dc=yooma,dc=com" -f groups.ldif
Step 16: Now search LDAP DIT for all records:
[root@HBC-CtrlCenter migrationtools]# ldapsearch -x -b "dc=yooma,dc=com" -H ldap://127.0.0.1
三、客户端安装配置调试
[root@HBC-C1-WB-5 ~]# yum install -y nss-pam*
[root@HBC-C1-WB-5 ~]# authconfig-tui #chose the secend [ Use LDAP] and next
click OK.
[root@HBC-C1-WB-5 ~]# su ldapuser1
bash-4.2$ #测试成功
统一认证 ldap mysql_Centos7 Ldap统一认证部署相关推荐
- LDAP简述及统一认证说明
LDAP简述 LDAP相关概念 1)轻型目录访问协议(Lightweight Directory Access Protocol),LDAP是一种通信协议,LDAP能够支持TCP/IP.协议就是标准, ...
- 华为外部Portal认证 Radius认证计费 实现基于Mac快速认证的Mac无感知认证和结合CAS单点登录统一认证平台和AD域LDAP对接配置
华为外部Portal认证 Radius认证计费 实现基于Mac快速认证的Mac无感知认证 结合CAS单点登录统一认证平台 AD域LDAP对接配置 实现用户名密码实名认证 访客短信认证 二维码扫码 钉钉 ...
- linux samba 配置ldap认证,Samba通过Openldap统一认证
Samba通过Openldap统一认证 发布时间:2020-07-07 05:13:49 来源:51CTO 阅读:25675 作者:linuxzkq 1.环境准备 1.1.实验环境 [root@mob ...
- ldap统一用户认证php,针对LDAP服务器进行身份认证
Symfony提供了不同的方法来配合LDAP服务器使用. Security组件提供: ldap user provider,使用的是 form_login_ldap authentication pr ...
- Zabbix 对接 LDAP 实现用户统一登录的方法
需求 某公司环境是基于AD域来批量管理域用户的,zabbix监控平台上又要创建账号,这样非常麻烦,也不利于账号的管理,所以为了集中管理,想通过zabbix对接公司AD域用户,实现用户认证统一登录. 环 ...
- ur机械臂 控制器_OnRobot末端执行器和统一接口已通过UR +计划认证
近日,OnRobot 宣布其One System Solution末端执行器和统一接口现已通过UR +计划认证,UR +计划对夹具等配件进行测试和认证,以便与Universal Robots A / ...
- Rhel7 Ldap为本地用户认证方式,设置域、服务器位置和下载key
Rhel7 Ldap为本地用户认证方式,设置域.服务器位置和下载key yum -y install sssd authconfig-gtk krb5-workstation system-confi ...
- python 用户认证_Python使用LDAP做用户认证的方法
LDAP(Light Directory Access Portocol)是轻量目录访问协议,基于X.500标准,支持TCP/IP. LDAP目录以树状的层次结构来存储数据.每个目录记录都有标识名(D ...
- 将 LDAP 目录用于 Samba 认证
原文地址: http://www.ibm.com/developerworks/cn/education/linux/smb-ldap/smb-ldap.html 开放源码 Samba 将 Unix ...
- Ubuntu中使用freeradius配置RADIUS,并在RADIUS中配置LDAP 并实现AP认证
RADIUS介绍 RADIUS(Remote Authentication Dial-In User Server,远程认证拨号用户服务)是一种分布式的.C/S架构的信息交互协议,能包含网络不受未授权 ...
最新文章
- go gorm指定别名_GORM入门指南
- JavaScript实现继承的方式,不正确的是:
- 最常用的15个前端表单验证JS正则表达式
- 网站访问过程HTML
- MVC - 建立模型/实体类,对应到数据库
- 【解决方案】IP代理池设计与解决方案
- ipv6单播地址包括哪两种类型_IPv6基础介绍
- wx-jq:一套完全原创的微信小程序插件集合库
- 会议OA项目之我的审批(查询会议签字)
- 计算机更新有用吗,驱动有必要升级吗_n卡驱动有必要更新吗
- pycharm显示中间变量
- linux有类似酷狗qq音乐软件,除了网易云QQ音乐,这些小众音乐APP同样值得推荐。...
- 安卓+七牛云的第三方图片存储实践
- 3D世界 ORGE SceneManager GetStart
- java菜单管理模块_后台管理系统-菜单管理模块
- 骑友,怎么挑选适合自己的赛事
- 围观网络之一 —— 初步看看应用层:Winsock AFD
- freemarer代码生成案例
- 不安装DBC2000安装架设传奇服务端的方法
- React-Cropper实现图片裁剪