ldap管理linux用户,ldap服务器用户及权限管理控制linux操作系统 -电脑资料
ldap服务器可能使用的用户比较少,但自己就要去用在百度找了N久没找到什么可用的内容,就只在看英文了,下面我来给大家介绍ldap服务器用户及权限管理控制,希望此文章对大家有帮助,
openldap默认的账户是cn=Manager,dc=361way,dc=com这样的一个账户 ,其写在配置文件/etc/openldap/slapd.conf文件中,但这样的一个账户就像linux下的root一样,虽然好用,不过权限太大 。出于安全考量,我们需要根据具体应用的需要,建立只读账户或者可写用户。
一、新建管理账号
新建管理账户的方法很多,可以使用像诸如 ldapadmin、phpldapadmin、LDAP browser/editor等工具,也可以通过ldapadd 或slapadd这样的客户端工具(关于两者的区别可以参看IBM 技术网)。这里假设以ldapadd为例,具体做法如下:
1、新建一 ldif文件,具体内容类似下面的:代码如下复制代码
dn: cn=bbs,dc=361way,dc=com
objectClass: person
objectClass: shadowAccount
objectClass: top
cn: bbs
sn: bbs
uid: bbs
userPassword:: e1NTSEF9RHpONi9jM0xvaDRpd0RzN2ROVnVKZGdxYVJ0eUg1RGU=
structuralObjectClass: person
entryUUID: d08e9e12-a8c9-1032-9efa-9d41910b717f
creatorsName: cn=Manager,dc=361way,dc=com
createTimestamp: 20130903094905Z
entryCSN: 20130903094905Z#000001#00#000000
modifiersName: cn=Manager,dc=361way,dc=com
modifyTimestamp: 20130903094905Z
2、执行如下的命令操作导入:代码如下复制代码
ldapadd -x -W -D "cn=Manager,dc=361way,dc=com" -f test.ldif
注:如果条件允许,建议还是使用图形化的客户端去操作。如delphi写的LDAPadmin就非常好用。
二、给账号设置权限
默认新建的这个账号是没有管理任何用户的权限的 ,可以用这个新建的账号登陆客户端验证。
给新建的账户赋权限也是通过修改配置文件/etc/openldap/slapd.conf来实现,具体的增加的内容如下:代码如下复制代码# Personal LDAP address book.
access to dn.regex="cn=[^,]+,mail=([^,]+)@([^,]+),ou=Users,domainName=([^,]+),o=domains,dc=361way,dc=com$"
by anonymous none
by self none
by dn.exact="cn=bbs,dc=361way,dc=com" read
by dn.exact="cn=bbsadmin,dc=361way,dc=com" write
by dn.regex="mail=$1@$2,ou=Users,domainName=$3,o=domains,dc=361way,dc=com$" write
by users none
# Allow users to change their own passwords and mail forwarding addresses.
access to attrs="userPassword,mailForwardingAddress"
by anonymous auth
by self write
by dn.exact="cn=bbs,dc=361way,dc=com" read
by dn.exact="cn=bbsadmin,dc=361way,dc=com" write
by users none
# Allow to read others public info.
access to attrs="cn,sn,gn,givenName,telephoneNumber"
by anonymous auth
by self write
by dn.exact="cn=bbs,dc=361way,dc=com" read
by dn.exact="cn=bbsadmin,dc=361way,dc=com" write
by users read
# Domain attrs.
access to attrs="objectclass,domainName,mtaTransport,enabledService,domainSenderBccAddress,domainRecipientBccAddress,domainBackupMX,domainMaxQuotaSize,domainMaxUserNumber"
by anonymous auth
by self read
by dn.exact="cn=bbs,dc=361way,dc=com" read
by dn.exact="cn=bbsadmin,dc=361way,dc=com" write
by users read
access to attrs="domainAdmin,domainGlobalAdmin,domainSenderBccAddress,domainRecipientBccAddress"
by anonymous auth
by self read
by dn.exact="cn=bbs,dc=361way,dc=com" read
by dn.exact="cn=bbsadmin,dc=361way,dc=com" write
by users none
# User attrs.
access to attrs="employeeNumber,homeDirectory,mailMessageStore,mail,accountStatus,userSenderBccAddress,userRecipientBccAddress,mailQuota,backupMailAddress,shadowAddress"
by anonymous auth
by self read
by dn.exact="cn=bbs,dc=361way,dc=com" read
by dn.exact="cn=bbsadmin,dc=361way,dc=com" write
by users read
#
# Set ACL for bbs/bbsadmin.
#
access to dn="cn=bbs,dc=361way,dc=com"
by anonymous auth
by self write
by dn.exact="cn=bbsadmin,dc=361way,dc=com" write
by users none
access to dn="cn=bbsadmin,dc=361way,dc=com"
by anonymous auth
by self write
by users none
#
# Allow users to access their own domain subtree.
# Allow domain admin to modify accounts under same domain.
#
access to dn.regex="domainName=([^,]+),o=domains,dc=361way,dc=com$"
by anonymous auth
by self write
by dn.exact="cn=bbs,dc=361way,dc=com" read
by dn.exact="cn=bbsadmin,dc=361way,dc=com" write
by dn.regex="mail=[^,]+@$1,o=domainAdmins,dc=361way,dc=com$" write
by dn.regex="mail=[^,]+@$1,ou=Users,domainName=$1,o=domains,dc=361way,dc=com$" read
by users none
#
# Grant correct privileges to bbs/bbsadmin.
#
access to dn.subtree="o=domains,dc=361way,dc=com"
by anonymous auth
by self write
by dn.exact="cn=bbs,dc=361way,dc=com" read
by dn.exact="cn=bbsadmin,dc=361way,dc=com" write
by dn.regex="mail=[^,]+,ou=Users,domainName=$1,o=domains,dc=361way,dc=com$" read
by users read
access to dn.subtree="o=domainAdmins,dc=361way,dc=com"
by anonymous auth
by self write
by dn.exact="cn=bbs,dc=361way,dc=com" read
by dn.exact="cn=bbsadmin,dc=361way,dc=com" write
by users none
#
# Set permission for "cn=*,dc=361way,dc=com".
#
access to dn.regex="cn=[^,]+,dc=361way,dc=com"
by anonymous auth
by self write
by users none
#
# Set default permission.
#
access to *
by anonymous auth
by self write
by users read
如上面示例中就定义了两个用户,一个是只读用户cn=bbs,dc=361way,dc=com和一个可写用户cn=bbsadmin,dc=361way,dc=com 以及这两个用户对所列的字段、正则匹配的用户有相应的权限 ,ldap服务器用户及权限管理控制linux操作系统》(https://www.unjs.com)。
更改完该配置文件后重启ldap服务,再重新登陆查看,如下
以上这个只读账户如果想删除相应的内容就会提示没有权限 :
ldap管理linux用户,ldap服务器用户及权限管理控制linux操作系统 -电脑资料相关推荐
- linux权限644是什么,linux系统644、755、777权限详解linux操作系统 电脑资料
linux系统644.755.777权限详解linux操作系统 电脑资料 在linux系统中644.755.777三种权限是非常重要的一些权限了,下面我来详细的介绍644.755.777三种权限的使用 ...
- linux 往共享目录写文件 权限,在 Linux 上给用户赋予指定目录的读写权限
在上篇文章中我们向您展示了如何在 Linux 上创建一个共享目录.这次,我们会为您介绍如何将 Linux 上指定目录的读写权限赋予用户. 有两种方法可以实现这个目标:第一种是 使用 ACL (访问控制 ...
- linux忘了用户名和密码_Linux 服务器忘记用户名密码的找回办法总结linux操作系统 -电脑资料...
本文章总结了关于Linux 服务器忘记用户名密码的找回办法,有碰到此类问题的朋友可参考本文章来操作, 今天遇到的问题,服务器版本是 ubuntu9.04 我发神经去改了 /etc/passwd 文件里 ...
- 2003服务器系统打开iis,windows2003服务器iis网站安全设置图解linux操作系统 -电脑资料...
iis安全配置是一个非常重要的环节了,以前我是把所有网站让一个user用户来访问了,这样只要出问题那么其它网站可能有问题,后来发现可以每个用户一个站并且权限为guest,然后把网站只允许adminis ...
- 免费邮件服务器软件 linux,U-Mail for linux 64-bit 邮件服务器软件下载|U-Mail for linux 64-bit 邮件服务器软件官方下载-太平洋下载中心...
U-Mail for linux 64-bit 邮件服务器软件是网络工具频道下深受用户喜爱的软件,太平洋下载中心提供U-Mail for linux 64-bit 邮件服务器软件官方下载. U-Mai ...
- 鸟哥的Linux私房菜(服务器)- 第六章、 Linux 网络侦错
第六章. Linux 网络侦错 最近更新日期:2011/07/19 虽然我们在第四章谈完了连上 Internet 的方法,也大略介绍了五个主要的网络检查步骤.不过,网络是很复杂的东西, 鸟哥也是接触了 ...
- 服务器用户名 administrator 修改,windows2003中Administrator用户名与密码修改图解Windows服务器操作系统 -电脑资料...
本文章总结了一在windows2003服务器中修改administrator用户名与修改administrator用户名密码的方法,有需要的朋友可参考, 修改Administrator用户名 1.开始 ...
- scp命令默认传输速度多大_linux中scp命令使用技巧详解(传输速度)linux操作系统 -电脑资料...
在linux中scp命令与cp命令一样的是复制文件,下面小编来给各位同学介绍一下关于linux中scp命令使用技巧详解,希望此方法对大家会帮助, scp 命令 scp 可以在 2个 linux 主机间 ...
- 电脑中linux系统在哪里设置密码,linux添加一个root级别账户并设置密码linux操作系统 -电脑资料...
在linux中我们增加用户会用到useradd了,但这个过程个人感觉比较复杂很用户再加权限,我这里介绍的useradd只要一条命令可以快速增加一个root超级管理员并设置密码命令,希望对大家有帮助, ...
最新文章
- 微信小程序编译 tunneling socket could not be established,cause=connect ······
- jQuery 表格插件
- mysql事务,START TRANSACTION, COMMIT和ROLLBACK,SET AUTOCOMMIT语法
- php 获取config,PHP MVC如何自动调用config?
- 玉林中专计算机专业,玉林最好的中专学校有哪些 十大中专学校排名
- Unix系统编程():分散输入和集中输出(Scatter-Gather IO):readv和writev
- Bailian4099 队列和栈【堆栈+队列】
- c语言中文网pdf免费下载,C语言中文网VIP教程11.9.pdf
- CSDN积分获取方法
- Unity 接入图灵机器人
- 数据库表历史数据备份(定时任务)
- 冻结html表格标题列,HTML表格冻结第一列 | 学步园
- android开发下载功能实现原理图,Android开发者掌握Android图像显示原理
- php 多核cpu,paip.提升性能--多核cpu中的java/.net/php/c++编程
- Windows7下新建记事本的四种编码方式
- 开发也可以如此简单!华为云发布两款开发工具
- git的使用和上传代码到gitee(码云) 教程
- 两个学院少了计算机相关专业招生?985华中科技大学计算机考研
- 【python】使用pandas快速提取腾讯问卷信息,比对未填写的人员的名单
- CSS基础之背景样式
热门文章
- 创业:PK一回再重来 虽败犹荣
- 【定期发布】全国汽油97#零售价格走势(单位:元/吨) (截止至2010-10-16)
- 鸿蒙OS渲染图,华为P50 Pro + 渲染图再曝,鸿蒙OS Beta 3月末推送升级
- 怎么写Java项目测试用例
- 2022-2028年中国铁矿石原矿行业供需态势分析及投资机会分析报告
- linux查找权限为755的文件,linux系统文件夹644、755、777权限设置详解
- Kotlin遍历文件目录
- shell语法----文件重定向
- Cropper.js实现对上传图片的剪裁
- iOS 7.X完美越狱工具放出 支持所有iOS设备