2. 程式人生 > >OpenLDAP客戶端配置,實現用戶認證(原創)

OpenLDAP客戶端配置,實現用戶認證(原創)

阿新 發佈:2018-08-20
pen img sss fuse sys src file 由於 onf

1.工作過程 
        OpenLDAP服務分為客戶端和服務端兩個部分,服務端的配置過程這裏不再贅述。當服務端配置結束後,在服務端的ldap數據庫中,應存放著用戶的信息,客戶端通過安裝nss-pam-ldapd(一個瘦身版本的 PAM 模塊和一個瘦身版本的 NSS 模塊集合),以及配置/etc/pam.d下的system-auth文件和password-auth兩個文件來完成客戶端的配置。下面給出具體配置過程以及一些坑的解答。

2.配置過程

1)yum install nss-pam-ldapd openldap-clients openldap -y

        nss-pam-ldapd,是pam模塊和nss模塊的集合,主要作用是使存在於服務端ldap數據庫中的用戶,進行ssh登陸客戶端時,可以通過pam方式進行驗證,而這種情況下此用戶是不存在於客戶端的服務器上的。
        openldap-clients,就是OpenLDAP的客戶端軟件包,此軟件包安裝後,不需要像服務端一樣運行起來,他的作用主要是集成了類似ldapsearch,ldapadd之類的命令,可以用戶驗證服務端或者對服務端數據庫中的用戶信息進行查詢,添加等。
        openldap,主要包含了OpenLDAP所必須的庫文件,當通過pam驗證時,這些庫文件是必須有的。

2)vim /etc/openldap/ldap.conf

技術分享圖片

3)authconfig-tui # 將下圖中紅框中的選中,然後next,按照提示操作完成即可。

技術分享圖片

4)分別查看以下文件的內容,是否已經自動更改成如下所示,若沒有,請手動更改,手動更改後,請勿再執行authconfig-tui命令,否則會將手動更改的內容覆蓋掉!

vim /etc/nsswitch.conf
passwd: files ldap
shadow: files ldap
group: files ldap
automount: files sss ldap

vim /etc/pam.d/system-auth

auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 100 quiet_success
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
password requisite pam_pwquality.so try_first_pass local_users_only retry=3
authtok_type=
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session optional pam_mkhomedir.so skel=/etc/skel/ umask=0022
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so

vim /etc/pam.d/password-auth
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 100 quiet_success
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so

account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so

password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok

password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session optional pam_mkhomedir.so skel=/etc/skel/ umask=0022
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so

vim /etc/sysconfig/authconfig
USELDAP=yes
USELDAPAUTH=yes

vim /etc/ssh/sshd_config #確保沒有其他禁止用戶登陸的選項,將使用pam模塊選項改成yes
UsePAM yes

systemctl restart nslcd
systemctl restart sshd

嘗試從服務端查看ldap用戶信息

ldapsearch -H ldap://你的ldap服務端ip -x -b "ou=你自己的,dc=你自己的,dc=你自己的" | grep dn

若能查看到,使用id命令,查看ldap用戶在客戶端本機是否能查看到,能的話,再嘗試ssh使用ldap用戶登錄,登錄成功,即完畢!

3.常見問題解答

1)
問:在網上的有些文檔中,經常看到再重啟nslcd之前,要先停掉sssd服務,很多人可能不知道sssd是什麽服務,而且當去停止sssd服務的時候,發現根本就沒有這個服務。
答:新版RedHat/CentOS默認改為使用SSSD來處理有關系統安全服務的名稱查詢請求,因為sssd服務本身已經具備緩存的功能,因此可以不使用nscd後臺進程(重復緩存並無好處),因此如果你此時發現你並沒有sssd服務,那麽你就可以跳過停掉sssd服務這一步。
2)
問:ldapsearch和id命令都可以查看到用戶,但是當用su切過去的時候,卻說此用戶不在sudoers文件中。
答:按照此文檔,配置ldap中的用戶到sudoers文件中, https://www.jb51.net/article/113902.htm
3)
問:遠程ssh登陸時候,總是permission rufused
答:將/etc/pam.d/system-auth  和 password-auth中的uid >=1000改為100,如下
auth        requisite     pam_succeed_if.so uid >= 100 quiet_success
4)
問:執行ldapsearch的時候,總是報這個錯誤
ldap_bind: Can‘t contact LDAP server (-1)
答:首先從客戶端ping服務端,看是否能通
        其次,查看服務端的389端口是否開啟
        以及是否關閉了防火墻,若是開著防火墻,將389端口放行
5)
問:ldapsearch可以查看到用戶,但是id查看不到,su和ssh也不行
答:systemctl stop nscd ; systemctl restart nslcd
註意這裏的nslcd和nscd並不是一個服務,nslcd在上面已經介紹過,nscd服務是一個緩存服務,主要緩存passwd group hosts,所以它會記錄三個庫,分別對應源/etc/passwd, /etc/hosts 和 /etc/resolv.conf每個庫保存兩份緩存,一份是找到記錄的,一份是沒有找到記錄的,因此由於緩存的存在,查看不到更新的ldap用戶信息。

OpenLDAP客戶端配置,實現用戶認證(原創)

相關推薦

OpenLDAP客戶配置實現認證(原創)

pen img sss fuse sys src file 由於 onf 1.工作過程 OpenLDAP服務分為客戶端和服務端兩個部分,服務端的配置過程這裏不再贅述。當服務端配置結束後,在服務端的ldap數據庫中,應存放著用戶的信息,客戶端通過安裝nss-p

ajaxbeforeSend自定義請求過程中客戶事件提高體驗

函數 fun 直接 alert 完成後 and success ram reat 本文為博主原創,未經允許不得轉載: 在應用ajax的過程中,當我們再前臺提交請求的時候,如果服務端響應事件比較長,就會導致需要等很長時間在前臺才能接受到服務端返回的 響應結果,往

nginx安裝默認主機配置Nginx認證Nginx域名重定向

nginx安裝默認主機配置Nginxnginx安裝cd /usr/local/srcwget http://220.112.193.202/files/302100000569FBE9/nginx.org/download/nginx-1.12.2.tar.gz解壓到/usr/local/nginx./con

原創:PHP利用session實現登錄後回到點擊的頁面(本文以TP為例)

con gop query php代碼 自帶 ttr strpos 手機 roo 1、以下內容純屬原創,請謹慎選擇: ①目的:用戶登錄超時,session過期,點擊後跳轉到登錄頁,登錄成功再跳轉到鼠標點擊的頁面。 ②流程:用戶登錄---session過期---點擊跳

Python tkinter 實現簡單登陸註冊 基於B/S三層體系結構實現身份驗證

cte cursor 實現簡單 結果 pass 分享圖片 not null for 技術 Python tkinter 實現簡單登陸註冊 最終效果 開始界面 ? 註冊 登陸 ? 源碼 login.py # encoding=utf-8 f

【微信小程式控制硬體②】 開始微信小程式之旅匯入小程式Mqtt客戶原始碼實現簡單的驗證和通訊於伺服器!(附帶原始碼)

本博文由熱愛分享熱愛技術的半顆心臟原創,非官方人員、非組織名義編寫,博文如有不對或侵犯您的權益,請及時留言,第一時間糾正! 一、前言; 繼續我們的小程式控制智慧硬體(包括esp8266)學

html頁面通過http訪問mysql數據庫中的內容實現登錄的功能

默認 存在 apache ron username 問題 登錄界面 ble rom 需求:   通過html編寫用戶登錄頁面,頁面內容包括用戶名、密碼和登錄按鈕,點擊登錄後訪問login.php文件,使用按鈕默認的submit提交用戶名和密碼,在login.php中訪問my

Django基於Cookie裝飾器實現認證

.html 用戶 print class request 裝飾器 col password bsp def login(request): if request.method =="GET": return render(request,"logi

vsftpd基於mysql實現認證

pri fig rom 用戶 nbsp bre localtime margin align 一、演示環境:IP地址操作系統服務器角色192.168.1.144CentOS 6.9 vsftpd服務器192.168.1.145CentOS 6.9mysql服務器二、

django之基於cookie和裝飾器實現認證

view itl 代碼 重新 -- eve method args () 一、使用Django自帶的decorator 通常情況,使用 函數定義的view,可以直接使用 login_required 直接裝飾 @login_required def index(requ

【laravel】基於jwt實現認證

composer 基礎 ons 生成 控制器 rest temp 詳解 div 安裝及基礎配置 使用 composer 安裝 # 建議使用1.0以上版本 composer require tymon/jwt-auth 1.*@rc 進行一些配置 有些文檔會

Windows server 2012 NTP配置實現成員服務器及客戶時間與域控制器時間同步

ges 域控制器 pad 右鍵 多個 控制器 lint 命令 解決方法 近期,發現公司域成員用戶時間與域服務器時間不同步 ,要實現:1、域內成員服務器及域內客戶端與域內NTP服務器同步 ,2、域NTP服務器當做客戶端與外網NTP服務器同步(配置Windows 時間服務以使用

android 訪問web與解析json模擬登錄

android用戶登錄 與解析json數據 之前寫過一個java web端的登錄驗證,最後返回一個json字符串。字符串格式如下:{"appmsg":"賬號或密碼錯誤","appcode":0,"_default_boolean_a":false}今天就結合著Android來寫一個簡單的登錄。註意:

Linux VPS 安全配置:禁用22口、root以及配置Denyhosts防暴力破解

usermod run 主題 工具 wheel mit smt 個人 連不上 最近租用了一臺Vultr東京機房的VPS,每天都會生成許多異常登錄失敗的日誌,疑似受到掃描軟件的暴力破解,遂Google了一下服務器安全防護方面的知識。 廢話不多說,下面將操作過程記錄下來: 註意

PVS桌面主鏡像配置實際登錄配置未生效

src 文件 mini body 隱藏文件 lang 目錄 隱藏 nis 1、打開系統屬性——高級——用戶配置文件下的【設置】 2、打開用戶配置文件,可以看到【復制】項灰化 3、使用windwows enable 工具啟動上述灰化項,運行附件的exe文件後,任務欄出現下

Apache(httpd)配置--認證域名跳轉和訪問日誌配置

用戶認證 域名跳轉 訪問日誌 一、用戶認證 用戶認證功能就是在用戶訪問網站的時候,需要輸入用戶名密碼才能進行訪問。一些比較好總要的站點和網站後臺都會加上用戶認證,以保證安全。實例:下面對zlinux.com站點來做一個全站的用戶認證: 步驟1:編輯虛擬主機配置文件 [root@zlinux ~]#

配置允許匿名登錄訪問vsftpd服務進行文檔的上傳下載、文檔的新建刪除等操作

vsftp ftp服務器 匿名用戶 centos7系統 這裏在centos7版本系統下驗證的。一般情況下,匿名用戶的上傳下載,所使用的用戶都是ftp用戶的權限;若要上傳文件,則需要ftp用戶對文件有w的權限,若要下載,則需要ftp用戶對文件有r的權限。步驟修改配置文件vsftpd.conf(根

搭建FTP服務實現三種方式的訪問:1.匿名訪問;2本地訪問;3虛擬訪問。

行程 工作環境 能夠 ftp用戶 a10 linu 進入 編輯 binary FTP服務(File Transfer Protocol,文件傳輸協議)是典型的C/S結構 的應用層協議,需要由服務端軟件,客戶端軟件兩部分共同實 現文件

Linux修改主機名DNS客戶配置

Linux修改主機名,DNS客戶端配置 修改主機名 在Linux 7以前用hostname命令修改 //臨時修改主機名 [[email protected] ~]# hostname "lishengshengTest" //如果需要永久修改主機名,需

伺服器tomcat配置實現繫結二級域名和不同埠釋出不同專案

配置版本tomcat7與jre1.6 注意:配置是一定要注意自己使用的版本,因為不同的版本配置可能略有些不同。博主就遇到了=-= 在伺服器配置時需要開啟tomcat安裝檔案目錄下的conf資料夾下sever.xml 一、實現繫結域名 進行一下配置 首先將預設8080介面改為80介