centos 7 安裝LDAP 並集成kerberos 和CDH
阿新 • • 發佈:2018-11-08
-s 綁定 java sha fir {0} aps pam.d 1-1
參考:https://blog.csdn.net/u011196623/article/details/82502570
http://blog.chinaunix.net/uid-21926461-id-5676013.html
http://blog.javachen.com/2014/11/12/config-ldap-with-kerberos-in-cdh-hadoop.html
一,簡介
LDAP是輕量目錄訪問協議,英文全稱是Lightweight Directory Access Protocol
,dc=com
olcRootDN: cn=Manager,dc=hadoop,dc=com
添加內容
olcRootPW: {SSHA}OvciPz+FWXBLNL0zxjP6RTS6K/UE1Dwb #頂格寫,:後有空格
2.1.4 修改驗證
vi /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{1\}monitor.ldif
修改內容
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern
al,cn=auth" read by dn.base="cn=Manager,dc=hadoop,dc=com" read by * none
2.1.5 配置DB數據庫
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown ldap:ldap -R /var/lib/ldap
chmod 700 -R /var/lib/ldap
2.1.6 驗證
slaptest -u
看見:config file testing succeeded #驗證成功,否則失敗
2.1.7 授權,若不授權啟動時或報錯,權限不足
chown ldap:ldap -R /var/run/openldap
chown -R ldap:ldap /etc/openldap/
2.1.8 啟動
systemctl start slapd
systemctl enable slapd
2.1.9 cd /etc/openldap/schema/
- LDAP的結構用樹來表示,而不是用表格。正因為這樣,就不能用SQL語句了
- LDAP可以很快地得到查詢結果,不過在寫方面,就慢得多
- LDAP提供了靜態數據的快速查詢方式
- Client/server模型,Server 用於存儲數據,Client提供操作目錄信息樹的工具
- 這些工具可以將數據庫的內容以文本格式(LDAP 數據交換格式,LDIF)呈現在您的面前
- LDAP是一種開放Internet標準,LDAP協議是跨平臺的Interent協議
o– organization(組織-公司) ou – organization unit(組織單元/部門) c - countryName(國家) dc - domainComponent(域名組件) sn – suer name(真實名稱) cn - common name(常用名稱) dn - distinguished name(專有名稱) 工作原理: OpenLDAP服務分為客戶端和服務端兩個部分,服務端的配置過程這裏不再贅述。當服務端配置結束後,在服務端的ldap數據庫中,應存放著用戶的信息,客戶端通過安裝nss-pam-ldapd(一個瘦身版本的 PAM 模塊和一個瘦身版本的 NSS 模塊集合),以及配置/etc/pam.d下的system-auth文件和password-auth兩個文件來完成客戶端的配置。 nss-pam-ldapd,是pam模塊和nss模塊的集合,主要作用是使存在於服務端ldap數據庫中的用戶,進行ssh登陸客戶端時,可以通過pam方式進行驗證,而這種情況下此用戶是不存在於客戶端的服務器上的。 openldap-clients,就是OpenLDAP的客戶端軟件包,此軟件包安裝後,不需要像服務端一樣運行起來,他的作用主要是集成了類似ldapsearch,ldapadd之類的命令,可以用戶驗證服務端或者對服務端數據庫中的用戶信息進行查詢, 添加等。 openldap,主要包含了OpenLDAP所必須的庫文件,當通過pam驗證時,這些庫文件是必須有的。 1. 環境說明
- 操作系統:CentOs 7
- Hadoop版本:CDH5.12.2
- JDK版本:1.8.0_101
- OpenLDAP 版本:2.4.44
- Kerberos 版本:1.15.1-19.el7
- 運行用戶:root
# ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f cosine.ldif # ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f nis.ldif # ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f collective.ldif # ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f corba.ldif # ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f core.ldif # ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f duaconf.ldif # ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f dyngroup.ldif # ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f inetorgperson.ldif # ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f java.ldif # ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f misc.ldif # ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f openldap.ldif # ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f pmi.ldif # ldapadd -Y EXTERNAL -H ldapi:/// -D "cn=config" -f ppolicy.ldif 2.1.10 執行ldapsearch -x檢查是否有如下輸出 ldapsearch -x -b ‘‘ -s base‘(objectclass=*)‘
# extended LDIF # # LDAPv3 # base <> with scope baseObject # filter: (objectclass=*) # requesting: ALL # # dn: objectClass: top objectClass: OpenLDAProotDSE # search result search: 2 result: 0 Success 如顯示上面信息,表示服務已經啟動成功。 2.1.11 創建管理員賬號 編輯ldif文件: vi base.ldif dn: dc=hadoop,dc=com o: hadoop com dc: hadoop objectClass: top objectClass: dcObject objectclass: organization dn: cn=root,dc=hadoop,dc=com cn: root objectClass: organizationalRole description: Directory Manager dn: ou=People,dc=hadoop,dc=com ou: People objectClass: top objectClass: organizationalUnit dn: ou=Group,dc=hadoop,dc=com ou: Group objectClass: top objectClass: organizationalUnit 導入數據庫 ldapadd -x -D "cn=Manager,dc=hadoop,dc=com" -W -f base.ldif 密碼是 duan 驗證 ldapsearch -x -b ‘dc= hadoop,dc=com‘ ‘(objectClass=*)‘ # extended LDIF # # LDAPv3 # base <dc= hadoop,dc=com> with scope subtree # filter: (objectClass=*) # requesting: ALL # # hadoop.com dn: dc=hadoop,dc=com o: hadoop com dc: hadoop objectClass: top objectClass: dcObject objectClass: organization # root, hadoop.com dn: cn=root,dc=hadoop,dc=com cn: root objectClass: organizationalRole description: Directory Manager # People, hadoop.com dn: ou=People,dc=hadoop,dc=com ou: People objectClass: top objectClass: organizationalUnit # Group, hadoop.com dn: ou=Group,dc=hadoop,dc=com ou: Group objectClass: top objectClass: organizationalUnit # search result search: 2 result: 0 Success # numResponses: 5 # numEntries: 4 2.1.12 通過migrationtools 實現OpenLDAP 用戶及用戶組的添加 參考:https://www.cnblogs.com/lemon-le/p/6206822.html (1)修改配置文件 vi /usr/share/migrationtools/migrate_common.ph # Default DNS domain $DEFAULT_MAIL_DOMAIN = "hadoop.com"; # Default base $DEFAULT_BASE = "dc=hadoop,dc=com"; (2) 生成基礎的數據導入數據庫文件 /usr/share/migrationtools/migrate_base.pl > base.ldif 並把base.ldif裏將不要的條目刪除,然後通過ldapadd導入LDAP ldapadd -x -D "cn=Manager,dc=hadoop,dc=com" -W -f base.ldif 密碼是 duan 驗證 ldapsearch -x -b ‘dc= hadoop,dc=com‘ ‘(objectClass=*)‘ (3)將系統用戶生成ldif文件 cat /etc/passwd |grep duan > duan.txt /usr/share/migrationtools/migrate_passwd.pl duan.txt duan.ldif /usr/share/migrationtools/migrate_group.pl /etc/group group.ldif ldapadd -x -D "cn=Manager,dc=hadoop,dc=com" -W -f duan.ldif adding new entry "uid=duan,ou=People,dc=hadoop,dc=com" ldap_add: Invalid syntax (21) additional info: objectClass: value #0 invalid per syntax 這通常的原因是導入的ldif 中存在不合法的Class,與Schema 中定義不符。例如:objectclass:organizationalRole 寫成 objectclass:organizational 等等。 解決方法是,修改Schema文件,或使用正確的Class定義。操作:2.1.9 步驟,出現ldap_add: Other (e.g., implementation specific) error (80) additional info: olcAttributeTypes: Duplicate attributeType: "2.5.4.2" 忽略即可。 2.2 client 客戶端安裝 http://blog.51cto.com/11093860/2161809 2.2.1 yum安裝 yum install nss-pam-ldapd openldap-clients openldap -y 2.2.2配置openLDAP-client vi /etc/openldap/ldap.conf TLS_CACERTDIR /etc/openldap/cacerts SASL_NOCANON on URI ldap://192.168.116.139/ BASE dc=hadoop,dc=com 2.2.3 authconfig-tui # 將下圖中紅框中的選中,然後next,按照提示操作完成即可。 2.2.4 分別查看以下文件的內容,是否已經自動更改成如下所示,若沒有,請手動更改,手動更改後,請勿再執行authconfig-tui命令,否則會將手動更改的內容覆蓋掉! (1)vi /etc/nsswitch.conf passwd: files ldap shadow: files ldap group: files ldap automount: files sss ldap (2) vi /etc/pam.d/system-auth (關註紅色字體就好) auth required pam_env.so auth required pam_faildelay.so delay=2000000 auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 1000 quiet account [default=bad success=ok user_unknown=ignore] pam_ldap.so account required pam_permit.so password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password sufficient pam_ldap.so use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so -session optional pam_systemd.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so session optional pam_ldap.so (3) vi /etc/pam.d/password-auth #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth required pam_faildelay.so delay=2000000 auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 1000 quiet account [default=bad success=ok user_unknown=ignore] pam_ldap.so account required pam_permit.so password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password sufficient pam_ldap.so use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so -session optional pam_systemd.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so session optional pam_ldap.so (4) vi /etc/sysconfig/authconfig(其中兩個) USELDAP=yes USELDAPAUTH=yes (5)vi /etc/ssh/sshd_config #確保沒有其他禁止用戶登陸的選項,將使用pam模塊選項改成yes UsePAM yes 2.2.5 啟動服務 systemctl restart nslcd systemctl restart sshd 2.2.6 測試 在服務端創建一個test,客戶端沒有改用戶。在客戶端 查詢: id test uid=1001(test) gid=1001 組=1001
2.2.6 nslcd 服務(沒有操作)
cp /etc/nslcd.conf /etc/nslcd.conf.old cat >> /etc/nslcd.conf <<EOF uri ldap://hadoop.com base dc=hadoop,dc=com EOF-
LDAP 和 Kerberos
centos 7 安裝LDAP 並集成kerberos 和CDH