配置Linux使用LDAP用戶認證的方法

2022-10-14 13:01| 查看: 1432 |來源: 互聯網

我這里使用的是CentOS完成的LDAP用戶管理，可能與網上的大部分教程不同，不過寫出來了，那么是肯定能用的了，不過會有部分文件，忘指教。這里使用的 OPENLdap ...

我這里使用的是CentOS完成的LDAP用戶管理，可能與網上的大部分教程不同，不過寫出來了，那么是肯定能用的了，不過會有部分文件，忘指教。
這里使用的 OPENLdap 配合 CentOS7 完成的用戶管理，需要配置 nssswitch 、pam 和 sssd 3個服務，需要先有一定的了解才能完成本文的配置。

基礎配置#

1.完成yum源的配置

mkdir /root/back
tar -Jcvf /root/back/yum.repos.d-`date '+(%Y.%m.%d_%H:%M:%S)'`.tar.xz /etc/yum.repos.d/
rm -rf /etc/yum.repos.d/*
curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo
curl -o /etc/yum,repos.d/CentOS-epel.repo http://mirrors.aliyun.com/repo/epel-7.repo
yum makecache

1.安裝必要軟件

yum -y install vim bash-completion openldap-servers openldap-clients nss-pam-ldapd sssd

OPENLdap服務部分配置#

初始化過程就不再過多贅述，詳細查詢《OPENLDAP 服務搭建和后期管理》。

1.首先停止數據庫服務:

systemctl stop slapd

1.然后編輯文件：

# 首先備份文件，以免無法復原
mkdir /root/back
tar -Jcvf /root/back/slapd.config-`date '+(%Y.%m.%d_%H:%M:%S)'`.tar.xz /etc/openldap/slapd.d/
tar -Jcvf /root/back/slapd.data-`date '+(%Y.%m.%d_%H:%M:%S)'`.tar.xz /var/lib/ldap/
# 然后再刪除配置文件
rm -rf /etc/openldap/slapd.d/*
rm -rf /var/lib/ldap/*
# 復制配置文件到臨時目錄
mkdir /root/ldap
cd /root/ldap

1.編寫slapd的配置文件。這里的配置文件是從 /usr/share/openldap-servers/slapd.ldif 中演變而來的，主要修改了baseDN(suffix), OPENLDAPTLS，olcRootPW(密碼由 slappasswd 生成，本文中的密碼為: 123456) 和 include。

# file: /root/ldap/slapd.ldif
dn: cn=config
objectClass: olcGlobal
cn: config
olcArgsFile: /var/run/openldap/slapd.args
olcPidFile: /var/run/openldap/slapd.pid
olcTLSCertificateFile: /etc/openldap/certs/server.crt
olcTLSCertificateKeyFile: /etc/openldap/certs/server.key
olcTLSCACertificateFile: /etc/openldap/cacerts/cacert.pem
dn: cn=schema,cn=config
objectClass: olcSchemaConfig
cn: schema
include: file:///etc/openldap/schema/core.ldif
include: file:///etc/openldap/schema/cosine.ldif
include: file:///etc/openldap/schema/nis.ldif
include: file:///etc/openldap/schema/inetorgperson.ldif
dn: olcDatabase=frontend,cn=config
objectClass: olcDatabaseConfig
objectClass: olcFrontendConfig
olcDatabase: frontend
dn: olcDatabase=config,cn=config
objectClass: olcDatabaseConfig
olcDatabase: config
olcAccess: to * 
 by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage 
 by * none
dn: olcDatabase=monitor,cn=config
objectClass: olcDatabaseConfig
olcDatabase: monitor
olcAccess: to * 
 by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read 
 by dn.base="cn=Manager,dc=black,dc=com" read 
 by * none
dn: olcDatabase=hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: hdb
olcSuffix: dc=black,dc=com
olcRootDN: cn=Manager,dc=black,dc=com
olcRootPW: {SSHA}l1vBI/HOMKLEiQZgcm3Co+hFQI68rH1Q
olcDbDirectory: /var/lib/ldap
olcDbIndex: objectClass eq,pres
olcDbIndex: ou,cn,mail,surname,givenname eq,pres,sub

1.配置OPENSSL的證書。為openldap服務器的加密隧道使用。

# 首先是創建CA服務的證書文件
cd /etc/pki/CA
openssl genrsa -out private/cakey.pem 2048
openssl req -new -x509 -key private/cakey.pem -out cacert.pem # 這里的證書創建過程就省略不寫了。
# 不過需要注意的是，必須要保證后面服務器證書申請的開頭部分必須與證書開頭相同，否則無法通過CA簽發證書。
touch index.txt
echo "01" > serial
# 然后申請簽發服務器證書
cd /etc/openldap/certs/
openssl genrsa -out server.key 2048
openssl ca -in server.csr -out server.crt -days 365
# 復制CA證書到指定位置
mkdir /etc/openldap/cacerts
cp /etc/pki/CA/cacert.pem /etc/openldap/cacerts/

1.根據配置生成服務器的配置文件

slapadd -F "/etc/openldap/slapd.d/" -b "cn=config" -l slapd.ldif
# 這里還需要注意文件屬主還是root的，需要改回為openldap
chown -R ldap:ldap /etc/openldap/slapd.d/*
# 然后再開啟服務即可
systemctl start slapd

_#################### 100.00% eta none elapsed none fast!
 Closing DB...

1.初始化數據庫

dn: dc=black,dc=com
dc: black
objectClass: top
objectClass: domain

dn: cn=Manager,dc=black,dc=com
objectClass: organizationalRole
cn: Manager
description: LDAP Manager

dn: ou=People,dc=black,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit
objectClass: domainRelatedObject
associatedDomain: black.com

dn: ou=Group,dc=black,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit
objectClass: domainRelatedObject
associatedDomain: black.com

1.導入至數據庫

ldapadd -x -D "cn=Manager,dc=black,dc=com" -w 123456 -f base.ldif # 將基礎信息導入數據庫。
adding new entry "dc=black,dc=com"
 adding new entry "cn=root,dc=black,dc=com"
 adding new entry "ou=People,dc=black,dc=com"
 adding new entry "ou=Group,dc=black,dc=com"

1.那么再使用apache directory studio來查看服務器是否配置成功。

首先先將防火墻開啟

firewall-cmd --add-service=ldap

1.我們這里先導入一個用戶用于后面的測試使用

Linux 用戶認證部分配置#

我這里設計的用戶認證和解析是這樣完成的：

與網上其他人寫的會有所不同，需要注意。

NSS服務配置#

如果想使 nss 可以查詢ldap，那么首先就需要啟用一個叫 nslcd 的服務，以下是該服務的配置文件。

# file: /etc/nslcd.conf
uid nslcd
gid ldap
uri ldap://127.0.0.1/
base dc=black,dc=com
binddn cn=Manager,dc=black,dc=com
bindpw 123456
ssl no
tls_cacertdir /etc/openldap/cacerts

啟動服務

chmod 600 /etc/nslcd.conf systemctl start nslcd systemctl enable nslcd

配置nss

# file: /etc/nsswitch.conf

passwd: files ldap  # 主要就是 passwd、shadow 和 group 這3行需要后面添加ldap
shadow: files ldap
group: files ldap
hosts: files dns myhostname
bootparams: nisplus [NOTFOUND=return] files
ethers: files
netmasks: files
networks: files
protocols: files
rpc: files
services: files sss
netgroup: nisplus sss
publickey: nisplus
automount: files nisplus sss
aliases: files nisplus

測試是否可用：

getent passwd | grep black
black:x:1001:1001:black:/home/black:/bin/bash

PAM服務配置#

pam模塊已經有通過SSSD認證的相關模塊配置了，我們這里引用以下即可。

cd /etc/pam.d/
 mv system-auth{,.bak}
 ln -s system-auth-ac system-auth

PAM不用進行服務重啟，直接可以使用

sssd服務配置#

針對LDAP用戶登入，PAM配置會將其轉發給SSSD，由SSSD來認證用戶。下面就是sssd.conf 的配置文件了：

# file: /etc/sssd/sssd.conf
[domain/black.com]
autofs_provider = ldap # 配置 autofs 的提供程序為 ldap
id_provider = ldap  # id 的提供程序為 ldap
auth_provider = ldap # 配置 auth 認證的提供程序為 ldap
chpass_provider = ldap # 更改密碼 操作時的對用應用
cache_credentials = True # 開啟緩存
ldap_search_base = dc=black,dc=com # ldap 查詢的base dn
ldap_uri = ldap://127.0.0.1/ # ldap 的 URL 路徑
ldap_id_use_start_tls = True # 開啟 ldap 的 tls 加密。
ldap_tls_reqcert = never # 不強制要求 tls 加密(這里可以設置為 hard 強制 TLS 加密，如果 tls 無法使用則可能導致服務失敗； 由于ldap 與 sssd在同一臺，所以不需要 tls 加密)
ldap_tls_cacertdir = /etc/openldap/cacerts # ldap 服務 tls 加密信任證書(CA根證書)。
[sssd]
services = nss, pam, autofs # 提供的服務
domains = black.com # 設置啟用的域
[nss]
homedir_substring = /home
[pam]
[sudo]
[autofs]
[ssh]
[pac]
[ifp]
[secrets]
[session_recording]

配置啟動服務，并且設置開機自啟動。

chmod 600 /etc/sssd/sssd.conf # 注意權限的配置，否則無法啟動。
systemctl start sssd
systmctl enable sssd

測試#

那么這樣用戶認證的部分就制作好了，那么現在來測試一下：
因為配置的 system-auth 文件，并沒有配置 ssh 文件，所以ssh是連接不進去的。這里使用login來測試可行性。

這里我們也能看到，用戶時能登入了的，還有一個瑕疵就是提示沒有家目錄下面通過腳本來解決。

腳本#

我為這個DAP用戶認證寫了一個腳本，方便添加用戶。我這里還是要強調一下，CentOS雖然有提供 migrationtools 工具用于將用戶存放至LDAP數據庫，但是如果你把本地用戶全都提到 LDAP 數據庫，不保留本地用戶，那么你就會發現，電腦就會無法重啟了，所以推薦不要把UID小于1000的用戶存放到 LDAP 服務器。

注：該腳本必須在搭建好上述環境后才可使用，其余環境可能有未知問題。
腳本放在gitee上了。https://gitee.com/somata/script/blob/master/ldap_adduser.sh

使用方法很簡單

然后再測試一下這個添加的用戶是否可以登入：

總結

以上就是小編給大家介紹的配置Linux使用LDAP用戶認證的方法，希望對大家有所幫助，如果大家有任何疑問歡迎給我留言，小編會及時回復大家的！

本文最后更新于 2022-10-14 13:01，某些文章具有時效性，若有錯誤或已失效，請在網站留言或聯系站長：17tui@17tui.com

·END·

站長網微信號：w17tui，關注站長、創業、關注互聯網人 - 互聯網創業者營銷服務中心

免責聲明：本站部分文章和圖片均來自用戶投稿和網絡收集，旨在傳播知識，文章和圖片版權歸原作者及原出處所有，僅供學習與參考，請勿用于商業用途，如果損害了您的權利，請聯系我們及時修正或刪除。謝謝！

下一篇：Linux 3.X/4.x/5.x 忘記寶塔面板密碼的解決方法上一篇：詳解samba + OPENldap 搭建文件共享服務器問題

17站長網微信二維碼

始終以前瞻性的眼光聚焦站長、創業、互聯網等領域，為您提供最新最全的互聯網資訊，幫助站長轉型升級，為互聯網創業者提供更加優質的創業信息和品牌營銷服務，與站長一起進步！讓互聯網創業者不再孤獨！

掃一掃，關注站長網微信

精品免费在线观看-精品欧美-精品欧美成人bd高清在线观看-精品欧美高清不卡在线-精品欧美日韩一区二区

配置Linux使用LDAP用戶認證的方法

大家都在看

相關分類

熱門排行

最近更新