LDAP部署及实践

1、安装ldap

yum -y install openldap openldap-servers  openldap-clients  compat-openldap migrationtools  openldap-servers-sql

 migrationtools 实现OpenLDAP 用户及用户组的添加,migrationtools 开源工具通过查找/etc/passwd、/etc/shadow、/etc/groups 生成LDIF 文件,并通过ldapadd 命令更新数据库数据,完成用户添加

2、查看版本

[root@192 ~]# slapd -V
@(#) $OpenLDAP: slapd 2.4.44 (Jan 29 2019 17:42:45) $
        mockbuild@x86-01.bsys.centos.org:/builddir/build/BUILD/openldap-2.4.44/openldap-2.4.44/servers/slapd

[root@192 ~]# 

从OpenLDAP2.4.23版本开始所有配置数据都保存在/etc/openldap/slapd.d/中,不再使用slapd.conf作为配置文件。

 

3、设置openldap的管理员密码:

[root@192 ~]# slappasswd -s 123
{SSHA}FbSX+pFZE9V9+zxG/FyZWX8XtzRBDwJl
[root@192 ~]# 

上述加密后的字段保存下,等会我们在配置文件中会使用到。

 

4、修改olcDatabase={2}hdb.ldif文件

[root@192 ~]# cd /etc/openldap/slapd.d/cn=config
[root@192 cn=config]# ll
total 24
drwxr-x---. 2 ldap ldap 4096 May  1 19:49 cn=schema
-rw-------. 1 ldap ldap  378 May  1 19:33 cn=schema.ldif
-rw-------  1 ldap ldap  624 May  1 19:48 olcDatabase={0}config.ldif
-rw-------. 1 ldap ldap  443 May  1 19:33 olcDatabase={-1}frontend.ldif
-rw-------. 1 ldap ldap  562 May  1 19:33 olcDatabase={1}monitor.ldif
-rw-------. 1 ldap ldap  609 May  1 19:33 olcDatabase={2}hdb.ldif
[root@192 cn=config]# vi olcDatabase\=\{2\}hdb.ldif 

# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
# CRC32 2b91b3bd
dn: olcDatabase={2}hdb
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {2}hdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=my-domain,dc=com
olcRootDN: cn=Manager,dc=my-domain,dc=com
olcDbIndex: objectClass eq,pres
olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub
structuralObjectClass: olcHdbConfig
entryUUID: 5f5347b6-1feb-103a-867d-35e9e57544e1
creatorsName: cn=config
createTimestamp: 20200501113350Z
entryCSN: 20200501113350.128694Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20200501113350Z

修改域信息

olcSuffix: dc=asiainfo,dc=com
olcRootDN: cn=root,dc=asiainfo,dc=com
olcRootPW: {SSHA}FbSX+pFZE9V9+zxG/FyZWX8XtzRBDwJl

注意:冒号后面一定加空格,其中cn=root中的root表示OpenLDAP管理员的用户名,而olcRootPW表示OpenLDAP管理员的密码,即上面生成的密码。

LDAP是一种通讯协议,如同HTTP是一种协议一样的!

LDAP连接服务器的连接字串格式为:ldap://servername/DN

其中DN有三个属性,分别是CN,OU,DC 

CN, OU, DC 都是 LDAP 连接服务器的端字符串中的区别名称(DN, distinguished   name)

CN:Common Name 为用户名或服务器名,最长可以到80个字符,可以为中文;

DC:Domain Component   domain component一般为公司名,例如:dc=163,dc=com

DN:Distinguished Name  distinguished name为一条LDAP记录项的名字,有唯一性,例如:dc:"cn=admin,ou=developer,dc=163,dc=com"

DN可以表示为ldap的某个目录,也可以表示成目录中的某个对象,这个对象可以是用户等。 

上边来了一堆的名词解释,看的云里雾里,还不是很明白,怎么跟自己的组织架构对应起来呢?看看下边的图是不是清晰明了

LDAP部署及实践

 

 

5、修改完可以测试配置信息是否正确

[root@192 cn=config]# slaptest -u
5eac4b21 ldif_read_file: checksum error on "/etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif"
config file testing succeeded
[root@192 cn=config]# 

 

6、启动ldap

systemctl start slapd

 

 

7、配置ldap数据库

OpenLDAP默认以Berkeley DB作为后端数据库,BerkeleyDB数据库主要以散列的数据类型进行数据存储,如以键值对的方式进行存储。

BerkeleyDB是一类特殊的面向查询进行优化、面向读取进行优化的数据库,主要用于搜索、浏览、更新查询操作,一般对于一次写入数据、多次查询和搜索有很好的效果。BerkeleyDB不支持事务型数据库(MySQL、MariDB、Oracle等)所支持的高并发的吞吐量以及复杂的事务操作。

现在来开始配置OpenLDAP数据库,使用如下命令:

[root@192 cn=config]# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
[root@192 cn=config]# chown ldap:ldap -R /var/lib/ldap
[root@192 cn=config]# chmod 700 -R /var/lib/ldap
[root@192 cn=config]# 

注意:/var/lib/ldap/就是BerkeleyDB数据库默认存储的路径。

 

8、导入基本Schema

 

[root@192 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=cosine,cn=schema,cn=config"

[root@192 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=nis,cn=schema,cn=config"

[root@192 ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=inetorgperson,cn=schema,cn=config"

[root@192 ~]# 

 

9、修改migrate_common.ph文件

migrate_common.ph文件主要是用于生成ldif文件使用,修改migrate_common.ph文件,

 修改下面三个值

$DEFAULT_MAIL_DOMAIN = “asiainfo.com”; #与上面配置的对应

$DEFAULT_BASE = “dc=asiainfo,dc=com”;  #与上面配置的对应

$EXTENDED_SCHEMA = 1;        #开启扩展模式

到此OpenLDAP的配置就已经全部完毕,下面我们来开始添加用户到OpenLDAP中。

 

10、默认情况下OpenLDAP是没有普通用户的,但是有一个管理员用户。管理用户就是前面我们刚刚配置的root。

现在我们把系统中的用户,添加到OpenLDAP中。为了进行区分,我们现在新加两个用户ldapuser1和ldapuser2,和两个用户组ldapgroup1和ldapgroup2,如下:

groupadd ldapgroup1
groupadd ldapgroup2

useradd -g ldapgroup1 ldapuser1
useradd -g ldapgroup2 ldapuser2

echo ldapuser1:123 | chpasswd 
echo ldapuser2:123 | chpasswd 

把刚刚添加的用户和用户组提取出来,这包括该用户的密码和其他相关属性

grep ":10[0-9][0-9]" /etc/passwd > /root/users   
grep ":10[0-9][0-9]" /etc/group > /root/groups

 

根据上述生成的用户和用户组属性,使用migrate_passwd.pl文件生成要添加用户和用户组的ldif,如下:

[root@192 ~]# /usr/share/migrationtools/migrate_passwd.pl /root/users > /root/users.ldif
[root@192 ~]# /usr/share/migrationtools/migrate_group.pl /root/groups > /root/groups.ldif

注意:后续如果要新加用户到OpenLDAP中的话,我们可以直接修改users.ldif文件即可。

 

导入用户及用户组到OpenLDAP数据库

配置openldap基础的数据库,如下:

vi base.ldif

dn: dc=asiainfo,dc=com
o: asiainfo com
dc: asiainfo
objectClass: top
objectClass: dcObject
objectclass: organization

dn: cn=root,dc=asiainfo,dc=com
cn: root
objectClass: organizationalRole
description: Directory Manager

dn: ou=People,dc=asiainfo,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit

dn: ou=Group,dc=asiainfo,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit

 

 

导入基础数据库

[root@192 ~]# ldapadd -x -w "123" -D "cn=root,dc=asiainfo,dc=com" -f /root/base.ldif
adding new entry "dc=asiainfo,dc=com"

adding new entry "cn=root,dc=asiainfo,dc=com"

adding new entry "ou=People,dc=asiainfo,dc=com"

adding new entry "ou=Group,dc=asiainfo,dc=com"

[root@192 ~]#

此密码是之前创建的root管理员密码,如果密码错误,会报错:

LDAP部署及实践

[root@192 ~]# ldapadd -x -w "123" -D "cn=root,dc=asiainfo,dc=com" -f /root/base.ldif
ldapadd: attributeDescription "dn": (possible missing newline after line 11, entry "dc=asiainfo,dc=com"?)
ldapadd: attributeDescription "dn": (possible missing newline after line 12, entry "dc=asiainfo,dc=com"?)
ldapadd: attributeDescription "dn": (possible missing newline after line 13, entry "dc=asiainfo,dc=com"?)
adding new entry "dc=asiainfo,dc=com"
ldap_add: Type or value exists (20)
        additional info: objectClass: value #0 provided more than once

[root@192 ~]# 

这是因为密码错误 或者dn前没有空一行,或者每行结尾有多余空格

 

 

将之前创建的俩个用户导入到数据库

[root@192 ~]# ldapadd -x -w "123" -D "cn=root,dc=asiainfo,dc=com" -f /root/users.ldif
adding new entry "uid=ldapuser1,ou=People,dc=asiainfo,dc=com"

adding new entry "uid=ldapuser2,ou=People,dc=asiainfo,dc=com"

[root@192 ~]#

导入用户组到数据库

[root@192 ~]# ldapadd -x -w "123" -D "cn=root,dc=asiainfo,dc=com" -f /root/groups.ldif
adding new entry "cn=ldapgroup1,ou=Group,dc=asiainfo,dc=com"

adding new entry "cn=ldapgroup2,ou=Group,dc=asiainfo,dc=com"

[root@192 ~]#

 

 

验证:

查看BerkeleyDB数据库文件,使用如下命令:

[root@192 ~]# ll /var/lib/ldap/
total 492
-rwx------ 1 ldap ldap     2048 May  2 17:47 alock
-rw------- 1 ldap ldap     8192 May  2 18:28 cn.bdb
-rwx------ 1 ldap ldap   262144 May  2 18:32 __db.001
-rwx------ 1 ldap ldap    32768 May  2 18:32 __db.002
-rwx------ 1 ldap ldap    93592 May  2 18:32 __db.003
-rwx------ 1 ldap ldap      845 May  2 17:47 DB_CONFIG
-rwx------ 1 ldap ldap     8192 May  2 17:47 dn2id.bdb
-rwx------ 1 ldap ldap    32768 May  2 17:47 id2entry.bdb
-rwx------ 1 ldap ldap 10485760 May  2 18:32 log.0000000001
-rw------- 1 ldap ldap     8192 May  2 18:32 mail.bdb
-rw------- 1 ldap ldap     8192 May  2 18:28 objectClass.bdb
-rw------- 1 ldap ldap     8192 May  2 18:28 ou.bdb
-rw------- 1 ldap ldap     8192 May  2 18:32 sn.bdb
[root@192 ~]# 

 

此时BerkeleyDB数据库文件中多了cn.bdb、sn.bdb、ou.bdb等数据库文件

 

查询OpenLDAP的相关信息

用户和用户组全部导入完毕后,我们就可以查询OpenLDAP的相关信息。

查询OpenLDAP全部信息,使用如下命令:

[root@192 ~]# ldapsearch -x -b "dc=asiainfo,dc=com" -H ldap://127.0.0.1       
# extended LDIF
#
# LDAPv3
# base <dc=asiainfo,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# asiainfo.com
dn: dc=asiainfo,dc=com
o: asiainfo com
dc: asiainfo
objectClass: top
objectClass: dcObject
objectClass: organization

# root, asiainfo.com
dn: cn=root,dc=asiainfo,dc=com
cn: root
objectClass: organizationalRole
description: Directory Manager

 

查询添加的OpenLDAP用户信息,使用如下命令:

[root@192 ~]# ldapsearch -LLL -x -D "cn=root,dc=asiainfo,dc=com" -w "123" -b "dc=asiainfo,dc=com" "uid=ldapuser1"                     
dn: uid=ldapuser1,ou=People,dc=asiainfo,dc=com
uid: ldapuser1
cn: ldapuser1
sn: ldapuser1
mail: ldapuser1@asiainfo.com
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword:: e2NyeXB0fSQ2JENGRmZsL05kNDI4RUhYeSRoTFhsbHhRR1pOeTNVQXVNSDlzR2h
 mdC8ua3JjSjg3eU96Njg1SjBvWEEvT1EybWxDaERFZFo0QUdieC9HSXk2c3FnM1E3eVlxMnVoNzNj
 ckJISy82Lw==
shadowLastChange: 18384
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/ldapuser1

[root@192 ~]# 

 

查询添加的OpenLDAP用户组信息,使用如下命令:

[root@192 ~]# ldapsearch -LLL -x -D "cn=root,dc=asiainfo,dc=com" -w "123" -b "dc=asiainfo,dc=com" "cn=ldapgroup1"                     
dn: cn=ldapgroup1,ou=Group,dc=asiainfo,dc=com
objectClass: posixGroup
objectClass: top
cn: ldapgroup1
userPassword:: e2NyeXB0fXg=
gidNumber: 1000

[root@192 ~]# 

 

 

把OpenLDAP用户加入到用户组

尽管我们已经把用户和用户组信息,导入到OpenLDAP数据库中了。但实际上目前OpenLDAP用户和用户组之间是没有任何关联的。

如果我们要把OpenLDAP数据库中的用户和用户组关联起来的话,我们还需要做另外单独的配置。

现在我们要把ldapuser1用户加入到ldapgroup1用户组,需要新建添加用户到用户组的ldif文件,如下:

cat > add_user_to_groups.ldif <<  EOF

dn: cn=ldapgroup1,ou=Group,dc=asiainfo,dc=com
changetype: modify
add: memberuid
memberuid: ldapuser1
EOF

然后执行

ldapadd -x -w "123" -D "cn=root,dc=asiainfo,dc=com" -f /root/add_user_to_groups.ldif

查询添加的OpenLDAP用户组信息,如下:

[root@192 ~]# ldapsearch -LLL -x -D "cn=root,dc=asiainfo,dc=com" -w "123" -b "dc=asiainfo,dc=com" "cn=ldapgroup1"                     
dn: cn=ldapgroup1,ou=Group,dc=asiainfo,dc=com
objectClass: posixGroup
objectClass: top
cn: ldapgroup1
userPassword:: e2NyeXB0fXg=
gidNumber: 1000
memberUid: ldapuser1

[root@192 ~]# 

可以很明显的看出ldapuser1用户已经加入到ldapgroup1用户组了。

开启OpenLDAP日志访问功能

默认情况下OpenLDAP是没有启用日志记录功能的,但是在实际使用过程中,我们为了定位问题需要使用到OpenLDAP日志。

新建日志配置ldif文件,如下:

cat > /root/loglevel.ldif << EOF

dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: stats

EOF

导入到OpenLDAP中,并重启OpenLDAP服务,如下:

[root@192 ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f /root/loglevel.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"


[root@192 ~]# systemctl restart slapd
[root@192 ~]# 

 

修改rsyslog配置文件,并重启rsyslog服务,如下:

cat >> /etc/rsyslog.conf << EOF

local4.* /var/log/slapd.log

EOF

systemctl restart rsyslog

 

查看OpenLDAP日志

tail -f /var/log/slapd.log

 

修改OpenLDAP默认监听端口

OpenLDAP默认监听的端口是389.如果我们现在要修改OpenLDAP监听端口的话,我们可以修改/etc/sysconfig/slapd文件。例如我们现在把OpenLDAP监听的端口修改为4567,可以进行如下操作:

vim /etc/sysconfig/slapd

SLAPD_URLS=”ldapi://0.0.0.0:4567/ldap://0.0.0.0:4567/”

重启OpenLDAP服务,如下:

systemctl restart slapd.service

 

 

 

-x   进行简单认证

-D   用来绑定服务器的DN

-h   目录服务的地址

-w   绑定DN的密码(ldap管理员密码)

-f    使用ldif文件进行条目添加的文件

-Y    指定用于身份验证的SASL机制。如果没有指定,程序将选择服务器知道的最佳机制

-H   指定引用ldap服务器的URI;只允许协议/主机/端口字段;一个用空格或逗号分隔的URI列表。

例子 

ldapadd -x -D "cn=root,dc=starxing,dc=com" -w secret -f /root/test.ldif 

ldapadd -x -D "cn=root,dc=starxing,dc=com" -w secret (这样写就是在命令行添加条目)

ldapsearch 

-x    进行简单认证

-D   用来绑定服务器的DN

-w   绑定DN的密码

-b   指定要查询的根节点

-H   指定要查询的服务器

-LLL  禁用打印无关信息

ldapsearch -x -D "cn=root,dc=starxing,dc=com" -w secret -b "dc=starxing,dc=com" 

使用简单认证,用 "cn=root,dc=starxing,dc=com" 进行绑定,

要查询的根是 "dc=starxing,dc=com"。这样会把绑定的用户能访问"dc=starxing,dc=com"下的

所有数据显示出来。

ldapsearch -x -W -D "cn=administrator,cn=users,dc=osdn,dc=zzti,dc=edu,dc=cn" -b "cn=administrator,cn=users,dc=osdn,dc=zzti,dc=edu,dc=cn" -h troy.osdn.zzti.edu.cn 

ldapsearch -b "dc=canon-is,dc=jp" -H ldaps://192.168.0.92:636 

ldapdelete 

ldapdelete -x -D "cn=Manager,dc=test,dc=com" -w secret "uid=test1,ou=People,dc=test,dc=com" 

ldapdelete -x -D 'cn=root,dc=it,dc=com' -w secert 'uid=zyx,dc=it,dc=com' 

这样就可以删除'uid=zyx,dc=it,dc=com'记录了,应该注意一点,如果o或ou中有成员是不能删除的。

ldappasswd 

-x   进行简单认证

-D   用来绑定服务器的DN

-w   绑定DN的密码

-S   提示的输入密码

-s pass 把密码设置为pass

-a pass 设置old passwd为pass

-A   提示的设置old passwd

-H   是指要绑定的服务器

-I   使用sasl会话方式

#ldappasswd -x -D 'cm=root,dc=it,dc=com' -w secret 'uid=zyx,dc=it,dc=com' -S

New password:

Re-enter new password: 

就可以更改密码了,如果原来记录中没有密码,将会自动生成一个userPassword

 

创建ldap账号

https://blog.51cto.com/ljl2013/1359441

 

 

Linux基于LDAP进行用户认证

有三种方法:

一、使用authconfig-tui  图形界面配置

二、使用authconfig启动

1、准备工作

关闭防火墙

关闭selinux

2、安装ldap客户端

yum install -y nss-pam-ldapd pam_ldap openldap-clients

 

3、备份配置文件

#备份
authconfig --savebackup=openldap.bak

#恢复
authconfig --restorebackup=openldap.bak

4、authconfig启动即可

authconfig --enableldap --enableldapauth --ldapserver=192.168.7.6 --ldapbasedn="dc=asiainfo,dc=com" --enablemkhomedir --update

如果执行上述命令没效果,可以执行authconfig --restorebackup=openldap.bak恢复初始配置,再执行“authconfig 命令,操作如下:

[root@slave-02 ~]# authconfig --enableldap --enableldapauth --ldapserver=192.168.7.6 --ldapbasedn="dc=asiainfo,dc=com" --enablemkhomedir --update
[root@slave-02 ~]# ps -ef | grep nslcd  #可以看到上面没有启动成功
root       2436   1912  0 21:57 pts/0    00:00:00 grep --color=auto nslcd
[root@slave-02 ~]# 
[root@slave-02 ~]# authconfig  --restorebackup=openldap.bak #恢复
[root@slave-02 ~]# 
[root@slave-02 ~]# authconfig --enableldap --enableldapauth --ldapserver=192.168.7.6 --ldapbasedn="dc=asiainfo,dc=com" --enablemkhomedir --update
[root@slave-02 ~]# ps -ef | grep nslcd       #启动成功了              
nslcd      2569      1  0 21:58 ?        00:00:00 /usr/sbin/nslcd
root       2579   1912  0 21:58 pts/0    00:00:00 grep --color=auto nslcd
[root@slave-02 ~]# 

 

 

 

三、主机配置(略复杂)

1-3 与authconfig一样

4、配置 /etc/sysconfig/authconfig

/etc/sysconfig/authconfig 文件由 authconfig 包自动创建。 配置该文件的目的是用来跟踪 LDAP 身份认证机制是否正确启用。

[root@slave-02 ~]# cp /etc/sysconfig/authconfig /etc/sysconfig/authconfig.$(date +%F)
[root@slave-02 ~]# sed -i '/USESYSNETAUTH/s/no/yes/' /etc/sysconfig/authconfig
[root@slave-02 ~]# sed -i '/USELDAPAUTH/s/no/yes/' /etc/sysconfig/authconfig
[root@slave-02 ~]# sed -i '/USEMKHOMEDIR/s/no/yes/' /etc/sysconfig/authconfig
[root@slave-02 ~]# sed -i '/PASSWDALGORITHM/s/md5/yes/' /etc/sysconfig/authconfig
[root@slave-02 ~]# sed -i '/USELDAP/s/no/yes/' /etc/sysconfig/authconfig
[root@slave-02 ~]# cat /etc/sysconfig/authconfig | grep yes
CACHECREDENTIALS=yes
PASSWDALGORITHM=yes
USELDAP=yes
USELDAPAUTH=yes
USELOCAUTHORIZE=yes
USEMKHOMEDIR=yes
USEPWQUALITY=yes
USESHADOW=yes
USESSSD=yes
USESYSNETAUTH=yes
[root@slave-02 ~]# 

 

5、配置 /etc/nsswith.conf

/etc/nsswith.conf 文件由glibc包自动创建, 该文件用于名称转换服务。通常LINUX系统身份验证读取本地文件,要使身份验证查询通过LDAP服务器必须在该文件中找到passwd; shadow; group;三行在files后空格添加“ldap”

[root@slave-02 ~]# cp /etc/nsswitch.conf /etc/nsswitch.conf.$(date +%F)
[root@slave-02 ~]# sed -i '/^passwd:/s/files/files   ldap/' /etc/nsswitch.conf
[root@slave-02 ~]# sed -i '/^shadow:/s/files/files   ldap/' /etc/nsswitch.conf
[root@slave-02 ~]# sed -i '/^group:/s/files/files ldap/' /etc/nsswitch.conf
[root@slave-02 ~]# sed -i '/^group:/s/files/files ldap/' /etc/nsswitch.conf
[root@slave-02 ~]#
[root@slave-02 ~]# egrep "^passwd|^shadow|^group" /etc/nsswitch.conf
passwd: files ldap sss
shadow: files ldap sss
group: files ldap sss
[root@slave-02 ~]#

 

6、配置 /etc/pam.d/system-auth

 身份验证服务是实际向LDAP验证用户身份的服务。可插入身份验证模块(PAM)提供了本地Linux身份验证服务。pam_unix.so模块是通用模块,使用PAM机制对本地的/etc/passwd文件检查用户帐号。PAMLDAP模块可以用来将身份验证重定向到LDAP目录上。身份验证本身是由PAM程序执行的,它从身份验证候选机制中获取用户名,将其绑定到openLDAP 服务器上。如果绑定成功,PAM会报告说这个用户已经成功通过了pam_ldap.so提供的身份验证测试。根据PAM的配置不同,在用户看到命令提示符之前可能会执行其它测试。

    /etc/pam.d/system-auth文件是CentOS的系统认证PAM文件。在该文件的auth,account,password,session四段中pam_unix.so模块后添加pam_ldap.so模块使身份验证先对本地的/etc/passwd文件检查用户帐号,然后再对LDAP服务器进行检查。同时因为是LDAP认证需要为用户创建根目录,所以还必须在会话(SESSION)阶段增加pam_mkhomedir.so模块,为用户登录自动创建宿主目录。

[root@slave-02 ~]# vi /etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so


account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so


password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so


session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session optional pam_mkhomedir.so umask=0077
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so

 

 

[root@slave-02 ~]#  vi /etc/pam.d/password-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so


account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so


password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so


session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session optional pam_mkhomedir.so umask=0077
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so

 

 

 

7、配置 /etc/openldap/ldap.conf

[root@slave-02 ~]# cp /etc/openldap/ldap.conf /etc/openldap/ldap.conf.$(date +%F)
[root@slave-02 ~]# echo "BASE dc=asiainfo,dc=com" >>/etc/openldap/ldap.conf
[root@slave-02 ~]# echo "URI ldap://192.168.7.6" >>/etc/openldap/ldap.conf
[root@slave-02 ~]#

 

8、使用 ldapsearch命令测试能否读取 openldap server 中的数据

[root@slave-02 ~]# ldapsearch -x -b "dc=asiainfo,dc=com"
# extended LDIF
#
# LDAPv3
# base <dc=asiainfo,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# asiainfo.com
dn: dc=asiainfo,dc=com
o: asiainfo com
dc: asiainfo
objectClass: top
objectClass: dcObject
objectClass: organization

# root, asiainfo.com
dn: cn=root,dc=asiainfo,dc=com
cn: root
objectClass: organizationalRole
description: Directory Manager

# People, asiainfo.com
dn: ou=People,dc=asiainfo,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit

# Group, asiainfo.com
dn: ou=Group,dc=asiainfo,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit

 

 

如果出现下面信息,解决该问题的方法是:

      1)检查/etc/hosts文件,是否有ldapserver的记录,最好能ping一下,看能否解析成功

      2)到openldap server上检查slapd服务是否正在运行,如果没有,启动slapd服务

      3)检查/etc/openldap/ldap.conf文件,查看里面的BASE和URI是否正确

[root@slave-02 ~]# ldapsearch -x -b "dc=asiainfo,dc=com"
ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
[root@slave-02 ~]# 

 

9、启动 nslcd

systemctl start nslcd

 

10、测试,可以看到虽然主机上没有ldapuser1这个用户,但启动nslcd后,连接上ldap server,便可以使用这个账号

[root@slave-02 ~]# id ldapuser1
id: ldapuser1: no such user
[root@slave-02 ~]# systemctl start nslcd
[root@slave-02 ~]# id ldapuser1         
uid=1000(any) gid=1000(any) groups=1000(any)
[root@slave-02 ~]# su - ldapuser1 
Creating directory '/home/ldapuser1'.
[any@slave-02 ~]$ 

 

 

 

https://blog.csdn.net/weixin_33713707/article/details/92177797

https://mp.weixin.qq.com/s/JyH5mqwWFt0N1nGYZqBCBQ

 

上一篇:LDAP系列(四)smbldap-tools 使用教程


下一篇:SVN搭建与LDAP集成