建立组织单元

cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv

dn: ou=host,dc=suntv,dc=tv

ou: host

objectClass: organizationalUnit

dn: ou=people,dc=suntv,dc=tv

ou: people

objectClass: organizationalUnit

dn: ou=group,dc=suntv,dc=tv

ou: group

objectClass: organizationalUnit

_EOF_

建立用户组

cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv

dn: cn=admin,ou=group,dc=suntv,dc=tv

objectClass: posixGroup

cn: admin

gidNumber: 2001

dn: cn=op,ou=group,dc=suntv,dc=tv

objectClass: posixGroup

cn: op

gidNumber: 2002

dn: cn=dev,ou=group,dc=suntv,dc=tv

objectClass: posixGroup

cn: dev

gidNumber: 2003

_EOF_

建立用户

cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv

dn: uid=admin01,ou=people,dc=suntv,dc=tv

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

uid: admin01

cn: admin01

sn: admin01

userPassword: 123456

shadowLastChange: 17085

shadowMin: 0

shadowMax: 99999

shadowWarning: 7

loginShell: /bin/bash

uidNumber: 1001

gidNumber: 2001

homeDirectory: /home/admin01

dn: uid=op01,ou=people,dc=suntv,dc=tv

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

uid: op01

cn: op01

sn: op01

userPassword: 123456

shadowLastChange: 17085

shadowMin: 0

shadowMax: 99999

shadowWarning: 7

loginShell: /bin/bash

uidNumber: 1002

gidNumber: 2002

homeDirectory: /home/op01

dn: uid=dev01,ou=people,dc=suntv,dc=tv

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

uid: dev01

cn: dev01

sn: dev01

userPassword: 123456

shadowLastChange: 17085

shadowMin: 0

shadowMax: 99999

shadowWarning: 7

loginShell: /bin/bash

uidNumber: 1003

gidNumber: 2003

homeDirectory: /home/dev01

_EOF_

建立授权用户组

cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv

dn: cn=admin,ou=host,dc=suntv,dc=tv

objectclass: groupOfNames

cn: admin

member: uid=admin01,ou=people,dc=suntv,dc=tv

dn: cn=dev,ou=host,dc=suntv,dc=tv

objectclass: groupOfNames

cn: dev

member: uid=dev01,ou=people,dc=suntv,dc=tv

dn: cn=op,ou=host,dc=suntv,dc=tv

objectclass: groupOfNames

cn: dev

member: uid=op01,ou=people,dc=suntv,dc=tv

_EOF_

openldap服务器配置反向组查询

# /etc/openldap/slapd.conf 确保有以下配置项

modulepath /usr/lib64/openldap

moduleload memberof.la

overlay memberof


rm -rf /etc/openldap/slapd.d/*

slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d

chown -R ldap:ldap /etc/openldap/slapd.d

systemctl restart slapd

测试

ldapsearch -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv -b uid=op01,ou=people,dc=suntv,dc=tv "uid=op01" memberOf

# extended LDIF

#

# LDAPv3

# base <uid=op01,ou=people,dc=suntv,dc=tv> with scope subtree

# filter: uid=op01

# requesting: memberOf

#

# op01, people, suntv.tv

dn: uid=op01,ou=people,dc=suntv,dc=tv

memberOf: cn=op,ou=host,dc=suntv,dc=tv # 这里是关键

# search result

search: 2

result: 0 Success

# numResponses: 2

# numEntries: 1

ldapsearch -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv -b uid=admin01,ou=people,dc=suntv,dc=tv "uid=admin01" memberOf

# admin01, people, suntv.tv

dn: uid=admin01,ou=people,dc=suntv,dc=tv

memberOf: cn=all,ou=host,dc=suntv,dc=tv

ldapsearch -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv -b uid=dev01,ou=people,dc=suntv,dc=tv "uid=dev01" memberOf

# dev01, people, suntv.tv

dn: uid=dev01,ou=people,dc=suntv,dc=tv

memberOf: cn=dev,ou=host,dc=suntv,dc=tv

登录服务器配置

yum -y install openldap-clients sssd

authconfig --enablesssd --enablesssdauth --enableldap --enableldapauth --ldapserver=ldaps://master.local,ldaps://slave.local --ldapbasedn='dc=suntv,dc=tv' --enablelocauthorize --enableldaptls --enablemkhomedir  --update


cat > /etc/sssd/sssd.conf << _EOF_

[domain/LDAP]

debug_level = 9

cache_credentials = True

enumerate = false

id_provider = ldap

auth_provider = ldap

chpass_provider = ldap

ldap_uri = ldaps://master.local

ldap_backup_uri = ldaps://slave.local

ldap_search_base = dc=suntv,dc=tv

ldap_user_search_base = ou=people,dc=suntv,dc=tv

ldap_group_search_base = ou=group,dc=suntv,dc=tv

access_provider = ldap

ldap_access_order = filter

ldap_access_filter = (|(memberOf=cn=admin,ou=host,dc=suntv,dc=tv)(memberOf=cn=dev,ou=host,dc=suntv,dc=tv))

ldap_tls_cacertdir = /etc/openldap/cacerts

ldap_tls_cacert = /etc/openldap/cacerts/ca.crt

ldap_tls_reqcert = never

ldap_id_use_start_tls = false

[sssd]

domains = LDAP

services = nss, pam

config_file_version = 2

[nss]

domains = LDAP

filter_users = root

filter_groups = root

[pam]

domains = LDAP

[sudo]

domains = LDAP

[ssh]

domains = LDAP

_EOF_

配置自启动

centso7 :

systemctl restart sssd

systemctl enable sssd

centos6 :

/etc/init.d/sssd restart

chkconfig sssd on

权限

192.168.1.21 centos7  允许op组及admin组登录

ldap_access_filter =  (|(memberOf=cn=admin,ou=host,dc=suntv,dc=tv)(memberOf=cn=op,ou=host,dc=suntv,dc=tv))

192.168.1.22 centos6  允许dev组及admin组登录

ldap_access_filter =  (|(memberOf=cn=admin,ou=host,dc=suntv,dc=tv)(memberOf=cn=dev,ou=host,dc=suntv,dc=tv))

测试结果

op01 登录192.168.1.21成功,登录192.168.1.22失败

dev01 登录192.168.1.21失败,登录192.168.1.22成功

admin 登录192.168.1.21成功,登录192.168.1.22成功

[root@centos-1-21 home]# ll

total 0

drwx------ 2 admin01 admin 79 Oct 14 16:40 admin01

drwx------ 2 op01    op    79 Oct 14 16:40 op01

[root@centos6-1-22 home]# ll

total 8

drwx------ 2 admin01 admin 4096 Oct 14 16:40 admin01

drwx------ 2 dev01   dev   4096 Oct 14 16:40 dev01

openldap主机访问控制(基于用户组)的更多相关文章

  1. openldap主机访问控制(基于ip)

    http://blog.oddbit.com/2013/07/22/generating-a-membero/ http://gsr-linux.blogspot.jp/2011/01/howto-o ...

  2. openldap主机访问控制(基于hostname)

    http://mayiwei.com/2013/03/21/centos6-openldap/ http://www.zytrax.com/books/ldap/ch11/dynamic.html h ...

  3. linux apache虚拟主机配置(基于ip,端口,域名)

    配置环境: linux版本:Centos6.4 httpd版本: [root@centos64Study init.d]# pwd/etc/init.d[root@centos64Study init ...

  4. archlinux+UEFI模式在linux主机下基于KVM-QEMU命令行虚拟机安装笔记

    ArchLinux十分精简,并且具有强大的滚动更新.最近在基于ubuntu的宿主机下通过KVM-QEMU虚拟机安装了archlinux,将过程记录下来以供参考. 1.下载启动盘 1.1.下载archl ...

  5. Apache的虚拟主机功能(基于IP地址、基于虚拟主机、基于端口)

    1. 安装Apache服务程序(系统用户,1-199之间) 第一步:在虚拟机软件里选中光盘镜像: 第二步:将光盘设备挂载到/media/cdrom目录 输入:mkdir -p /media/cdrom ...

  6. 6、架构--Nginx虚拟主机(基于多ip、端口、域名方式)、日志配置、Nginx模块(访问控制模块、状态监控模块、访问链接控制模块)

    笔记 1.晨考 2.昨日问题 3.今日内容 1.Nginx虚拟主机 - 基于多IP的方式 - 基于多端口的方式 - 基于多域名的方式 2.日志配置 Nginx有非常灵活的日志记录模式,每个级别的配置可 ...

  7. 在云主机上基于nginx部署基于Flask的网站服务器 (自己部署 )

    1.申请云主机 a.阿里云 (注意:阿里云的服务器需要手动添加安全规则使能80端口) b.腾讯云 2.把网站服务器程序拷贝到云主机 3.远程登录云主机 4.解压网站服务器程序 yum install ...

  8. 在阿里云主机上基于CentOS用vsftpd搭建FTP服务器

    最近需要在一台阿里云的云服务器上搭建FTP服务器,在这篇博文中分享一下我们根据实际需求进行的一些配置. ftp软件用的是vsftpd. vsftpd是一款在Linux发行版中最受推崇的FTP服务器程序 ...

  9. 08-OpenLDAP主机控制策略

    OpenLDAP主机控制策略 阅读视图 参考 环境准备 openldap服务端配置 openldap客户端配置 客户端测试登录 故障处理 1. 参考 本文基本转载博客openldap主机访问控制(基于 ...

随机推荐

  1. 电脑无法登陆ftp

    电脑无法登陆ftp,或者对于少数ftp能登陆,大多数不能登陆,用了一大堆ftp软件一样登陆不了.后来baidu了一下,发现是防火墙的问题.据说是Windows防火墙阻止了20/21端口的通信,说白了就 ...

  2. HDU 1198(并查集)

    题意:给你11个图,每一个都有管道,然后给一张由这11个正方形中的n个组成的图,判断有几条连通的管道: 思路:在大一暑假的时候做过这道题,当时是当暴力来做的,正解是并查集,需要进行一下转换: 转换1: ...

  3. 引用计数gc机制使用不当导致内存泄漏

    上一篇文章找同事review了一下,收到的反馈是铺垫太长了,我尽量直入正题,哈哈 最近dbd压测时发现内存泄漏,其实这个问题去年已经暴露了,参见这篇博客[压测周].当时排查不够仔细,在此检讨下.关于d ...

  4. DIV+CSS制作二级横向弹出菜单,略简单

    没有使用JavaScript控制二级菜单的显示,结果如上图所示. 代码如下: <!DOCTYPE html> <html> <head> <meta char ...

  5. CentOS6 下rsync服务器配置

    一.rsync 简介 Rsync(remote synchronize)是一个远程数据同步工具,可通过LAN/WAN快速同步多台主机间的文件,也可以使用 Rsync 同步本地硬盘中的不同目录. Rsy ...

  6. |原创|unity 4.3 2D功能SpriteRenderer修改颜色的方法

    4.3增加了不少2D功能,然后实在没有找到有人分享,在国外查资料研究一下午然后给个简单的教程 ===================================================== ...

  7. cocoapod的下载安装解释

    本文不提供cocoapod的下载安装的流程,因为那些只要百度一下就有的东西,而是对里面的代码进行解释,希望对iOS小白安装cocoapod有帮助: 一.cocoapod是什么? 开发过程中,我们会用到 ...

  8. 《统计推断(Statistical Inference)》读书笔记——第4章 统计分布族

    数据分析工作中最常和多维随机变量打交道,第四章介绍了多维随机变量的基本知识,其中核心概念是条件分布和条件概率.条件分布和条件概率可以抽象出条件期望的概念,在随机分析的研究中,理解随机积分和鞅理论和关键 ...

  9. C语言编程心得

    记录这些是为了日后自己想查阅以前经验的方便,同时若能给其他网友带来一些帮助,就更好了~ C语言,自己经常遇到的问题: 1.段错误 段错误一般是由于访问了不存在的地址造成的,具体的原因有文件路径不存在, ...

  10. Mysql-简单安装

    centos上安装msqyl 通过如下命令来查看我们的操作系统上是否已经安装了mysql数据库 [root@CentOS6.5 ~]# rpm -qa | grep mysql #这个命令就会查看该操 ...