CentOS 6 使用 OpenLDAP 认证

Stella981
• 阅读 712

OpenLDAP 简介

OpenLDAP 简介网上一大堆这里就不做介绍,可参考:http://baike.baidu.com/view/308683.htm

环境

服务端 IP:192.168.1.2
客户端 IP:192.168.1.3

添加用户

useradd -M -s /sbin/nologin ldap

BerkeleyDB 安装

./dist/configure --prefix=/usr/local/BerkeleyDB --enable-dbm --enable-share
make
make install

安装完后需要将 BerkeleyDB 动态库路径写入 /etc/ld.so.conf,否则有的程序找不到 BerkeleyDB 相应的动态库

echo "/usr/local/BerkeleyDB/lib" >> /etc/ld.so.conf
ldconfig

OpenLDAP 服务端安装

./configure --prefix=/usr/local/OpenLDAP --enable-spasswd --enable-crypt --enable-overlays --enable-accesslog --enable-auditlog --enable-passwd --enable-ldap --enable-relay --enable-meta --enable-bdb
make
make install

OpenLDAP 服务端配置


1、编辑 /usr/local/OpenLDAP/etc/openldap/slapd.conf

添加

include     /usr/local/OpenLDAP/etc/openldap/schema/core.schema
include     /usr/local/OpenLDAP/etc/openldap/schema/corba.schema
include     /usr/local/OpenLDAP/etc/openldap/schema/collective.schema
include     /usr/local/OpenLDAP/etc/openldap/schema/cosine.schema
include     /usr/local/OpenLDAP/etc/openldap/schema/duaconf.schema
include     /usr/local/OpenLDAP/etc/openldap/schema/dyngroup.schema
include     /usr/local/OpenLDAP/etc/openldap/schema/inetorgperson.schema
include     /usr/local/OpenLDAP/etc/openldap/schema/java.schema
include     /usr/local/OpenLDAP/etc/openldap/schema/misc.schema
include     /usr/local/OpenLDAP/etc/openldap/schema/nis.schema
include     /usr/local/OpenLDAP/etc/openldap/schema/pmi.schema
include     /usr/local/OpenLDAP/etc/openldap/schema/ppolicy.schema
include     /usr/local/OpenLDAP/etc/openldap/schema/openldap.schema

修改 pidfile

pidfile /var/run/slapd.pid

修改 argsfile

argsfile /usr/local/OpenLDAP/var/slapd.args

禁止匿名访问

disallow bind_anon

修改操作权限(管理员可修改所有用户资料,普通用户只能查看他人资料和修改自己资料)

access to attr=shadowLastChange,userPassword
    by self write
    by anonymous auth
    by * none
access to *
    by self write
    by * read

2.4.40 开始 是 attrs , 而不再是 attr

数据库使用 bdb

database bdb

修改 DN 后缀

suffix "dc=domain,dc=com"

修改根 DN

rootdn "cn=root,dc=domain,dc=com"
rootpw {SSHA}xxxx // 密码可使用命令:“/usr/local/OpenLDAP/sbin/slappasswd -h{SSHA} -s 密码” 来生成

修改数据目录

directory /usr/local/OpenLDAP/data

创建复制BDB数据库配置文件

    OpenLDAP 服务器默认采用 BDB(伯克利)数据库作为后台,需要先将 /usr/local/OpenLDAP/etc/openldap/DB_CONFIG.example 复制到 /usr/local/OpenLDAP/data 目录下,并更名为 DB_CONFIG,并更改权限为 ldap 所有。

cp /usr/local/OpenLDAP/etc/openldap/DB_CONFIG.example /usr/local/OpenLDAP/data
mv /usr/local/OpenLDAP/data/DB_CONFIG.example /usr/local/OpenLDAP/data/DB_CONFIG
chown -fR ldap:ldap /usr/local/OpenLDAP/data

初始化数据

编辑 init.ldif

dn: dc=domain,dc=com
objectClass: dcObject
objectClass: organization
dc: domain
o: domain.com Inc.
description: domain.com LDAP Server

dn: cn=root,dc=domain,dc=com
objectClass: organizationalRole
cn: root

用以下命令添加模板信息

/usr/local/OpenLDAP/bin/ldapadd -x -D "cn=root,dc=domain,dc=com" -W -f init.ldif

启动 OpenLDAP

/usr/local/OpenLDAP/libexec/slapd -4 -n "OpenLDAP Server" -g ldap -u ldap -f /usr/local/OpenLDAP/etc/openldap/slapd.conf

检测 OpenLDAP 是否启动

netstat -anp|grep 389

导入系统组、账号数据

下载 MigrationTools,下载地址:ftp://ftp.padl.com/pub/MigrationTools.tgz

下载完成解压后,进入该目录

修改 migrate_common.ph

$DEFAULT_MAIL_DOMAIN = "domain.com"; 
$DEFAULT_BASE = "dc=domain,dc=com"; (说明:此处需要和前面配置的 slapd.conf 指定的域名相同)

 生成模板信息

./migrate_base.pl > base.ldif

编辑 base.ldif

删除 除了 ou=People,dc=domain,dc=com 和 ou=Group,dc=domain,dc=com 外的其它所有条目

dn: ou=People,dc=domain,dc=com 替换为 ou=User,ou=Server,dc=domain,dc=com
dn: ou=Group,dc=domain,dc=com 替换为 ou=Group,ou=Server,dc=domain,dc=com

当然也可以不用改。为什么要改?可能你的 OpenLDAP 需要管理若干系统用户。这么做是为了清晰的分组管理。

DN ou=Server,dc=domain,dc=com 下都为服务器用户组、用户账号信息。

/usr/local/OpenLDAP/bin/ldapadd -x -D "cn=root,dc=domain,dc=com" -W -f base.ldif

导出用户组

./migrate_group.pl > group.ldif

替换 group.ldif 中的 ou=Group,dc=domain,dc=com 替换为 ou=Group,ou=Server,dc=domain,dc=com

/usr/local/OpenLDAP/bin/ldapadd -x -D "cn=root,dc=domain,dc=com" -W -f group.ldif

导出用户

./migrate_passwd.pl > user.ldif

将 user.ldif 中的 ou=People,dc=domain,dc=com 替换为 ou=User,ou=Server,dc=domain,dc=com

/usr/local/OpenLDAP/bin/ldapadd -x -D "cn=root,dc=domain,dc=com" -W -f user.ldif

其它相关配置(如:开机自启动、防火墙等等)这里就不再重复描述,和其它软件无异。

可以使用 phpLDAPadmin 来进行可视化管理,可通过防火墙限制 OpenLDAP 只能在局域网内访问。

OpenLDAP 客户端安装

    客户端不需要 OpenLDAP 服务端库,所以可以通过 yum 仅安装 OpenLDAP 客户端库

yum install openldap-clients

OpenLDAP 客户端配置

编辑 /etc/openldap/ldap.conf

BASE dc=domain,dc=com
URI  ldap://192.168.1.2

系统认证配置

    在配置系统文件时,为了避免由于错误,造成没法登录,建议开启两个窗口,且在修改文件之前做好备份,以方便恢复。

安装 nss-pam-ldap

yum install nss-pam-ldapd pam_ldap

编辑 /etc/nsswitch.conf

passwd:     files
shadow:     files
group:      files

改为

passwd:     files ldap
shadow:     files ldap
group:      files ldap

编辑 /etc/sysconfig/authconfig ,将以下几项改为 yes

USESYSNETAUTH=yes
USESHADOW=yes
USELOCAUTHORIZE=yes
USELDAP=yes
USELDAPAUTH=yes
USEMKHOMEDIR=yes

PASSWDALGORITHM=sha512

编辑 /etc/pam_ldap.conf

host 192.168.1.2
base dc=domain,dc=com
rootbinddn cn=root,dc=domain,dc=com
bindpw root 密码
pam_password sha512

nss_base_passwd ou=User,ou=Server,dc=domain,dc=com?filter
nss_base_shadow ou=User,ou=Server,dc=domain,dc=com?filter
nss_base_group  ou=Group,ou=Server,dc=domain,dc=com?filter

编辑 /etc/nslcd.conf

uri ldap://192.168.1.2/
base dc=domain,dc=com

rootpwmoddn cn=root,dc=domain,dc=com
bindpw root 密码

base   group  ou=Group,ou=Server,dc=domain,dc=com
base   passwd ou=User,ou=Server,dc=domain,dc=com
base   shadow ou=User,ou=Server,dc=domain,dc=com

修改 /etc/pam.d/system-auth

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        sufficient    pam_ldap.so nullok use_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so
session     optional      pam_mkhomedir.so skel=/etc/skel umask=0077

修改 /etc/pam.d/password-auth

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_ldap.so use_first_pass
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     required      pam_ldap.so
session     required      pam_mkhomedir.so skel=/etc/skel umask=0077

/etc/pam.d/password-auth 必须加上

session     required      pam_ldap.so
session     required      pam_mkhomedir.so skel=/etc/skel umask=0077

否则无法自动创建用户目录,当然如果自动同步主目录,则客户机上就不行在 /etc/pam.d/system-auth、/etc/pam.d/password-auth 加上

session     xxx      pam_mkhomedir.so skel=/etc/skel umask=0077

最后,需要启动 nslcd

service nslcd restart

测试,是否同步成功

id yourusername

用户主目录同步


通过 NFS 自动同步用户主目录,参考资料:

http://blog.chinaunix.net/uid-20748874-id-4078997.html

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid()或uuid(sep)参数说明:sep布尔值,生成的uuid中是否包含分隔符'',缺省为
Jacquelyn38 Jacquelyn38
3年前
2020年前端实用代码段,为你的工作保驾护航
有空的时候,自己总结了几个代码段,在开发中也经常使用,谢谢。1、使用解构获取json数据let jsonData  id: 1,status: "OK",data: 'a', 'b';let  id, status, data: number   jsonData;console.log(id, status, number )
Stella981 Stella981
3年前
KVM调整cpu和内存
一.修改kvm虚拟机的配置1、virsheditcentos7找到“memory”和“vcpu”标签,将<namecentos7</name<uuid2220a6d1a36a4fbb8523e078b3dfe795</uuid
Wesley13 Wesley13
3年前
mysql设置时区
mysql设置时区mysql\_query("SETtime\_zone'8:00'")ordie('时区设置失败,请联系管理员!');中国在东8区所以加8方法二:selectcount(user\_id)asdevice,CONVERT\_TZ(FROM\_UNIXTIME(reg\_time),'08:00','0
Wesley13 Wesley13
3年前
00:Java简单了解
浅谈Java之概述Java是SUN(StanfordUniversityNetwork),斯坦福大学网络公司)1995年推出的一门高级编程语言。Java是一种面向Internet的编程语言。随着Java技术在web方面的不断成熟,已经成为Web应用程序的首选开发语言。Java是简单易学,完全面向对象,安全可靠,与平台无关的编程语言。
Stella981 Stella981
3年前
Django中Admin中的一些参数配置
设置在列表中显示的字段,id为django模型默认的主键list_display('id','name','sex','profession','email','qq','phone','status','create_time')设置在列表可编辑字段list_editable
Wesley13 Wesley13
3年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
背景描述Time:20190124T00:08:14.70572408:00User@Host:@Id:Schema:sentrymetaLast_errno:0Killed:0Query_time:0.315758Lock_
Python进阶者 Python进阶者
10个月前
Excel中这日期老是出来00:00:00,怎么用Pandas把这个去除
大家好,我是皮皮。一、前言前几天在Python白银交流群【上海新年人】问了一个Pandas数据筛选的问题。问题如下:这日期老是出来00:00:00,怎么把这个去除。二、实现过程后来【论草莓如何成为冻干莓】给了一个思路和代码如下:pd.toexcel之前把这