建立组织单元

cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv

dn: ou=host,dc=suntv,dc=tv

ou: host

objectClass: organizationalUnit

dn: ou=people,dc=suntv,dc=tv

ou: people

objectClass: organizationalUnit

dn: ou=group,dc=suntv,dc=tv

ou: group

objectClass: organizationalUnit

_EOF_

建立用户组

cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv

dn: cn=admin,ou=group,dc=suntv,dc=tv

objectClass: posixGroup

cn: admin

gidNumber: 2001

dn: cn=op,ou=group,dc=suntv,dc=tv

objectClass: posixGroup

cn: op

gidNumber: 2002

dn: cn=dev,ou=group,dc=suntv,dc=tv

objectClass: posixGroup

cn: dev

gidNumber: 2003

_EOF_

建立用户

cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv

dn: uid=admin01,ou=people,dc=suntv,dc=tv

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

uid: admin01

cn: admin01

sn: admin01

userPassword: 123456

shadowLastChange: 17085

shadowMin: 0

shadowMax: 99999

shadowWarning: 7

loginShell: /bin/bash

uidNumber: 1001

gidNumber: 2001

homeDirectory: /home/admin01

dn: uid=op01,ou=people,dc=suntv,dc=tv

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

uid: op01

cn: op01

sn: op01

userPassword: 123456

shadowLastChange: 17085

shadowMin: 0

shadowMax: 99999

shadowWarning: 7

loginShell: /bin/bash

uidNumber: 1002

gidNumber: 2002

homeDirectory: /home/op01

dn: uid=dev01,ou=people,dc=suntv,dc=tv

objectClass: posixAccount

objectClass: shadowAccount

objectClass: inetOrgPerson

uid: dev01

cn: dev01

sn: dev01

userPassword: 123456

shadowLastChange: 17085

shadowMin: 0

shadowMax: 99999

shadowWarning: 7

loginShell: /bin/bash

uidNumber: 1003

gidNumber: 2003

homeDirectory: /home/dev01

_EOF_

建立授权用户组

cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv

dn: cn=admin,ou=host,dc=suntv,dc=tv

objectclass: groupOfNames

cn: admin

member: uid=admin01,ou=people,dc=suntv,dc=tv

dn: cn=dev,ou=host,dc=suntv,dc=tv

objectclass: groupOfNames

cn: dev

member: uid=dev01,ou=people,dc=suntv,dc=tv

dn: cn=op,ou=host,dc=suntv,dc=tv

objectclass: groupOfNames

cn: dev

member: uid=op01,ou=people,dc=suntv,dc=tv

_EOF_

openldap服务器配置反向组查询

# /etc/openldap/slapd.conf 确保有以下配置项

modulepath /usr/lib64/openldap

moduleload memberof.la

overlay memberof


rm -rf /etc/openldap/slapd.d/*

slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d

chown -R ldap:ldap /etc/openldap/slapd.d

systemctl restart slapd

测试

ldapsearch -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv -b uid=op01,ou=people,dc=suntv,dc=tv "uid=op01" memberOf

# extended LDIF

#

# LDAPv3

# base <uid=op01,ou=people,dc=suntv,dc=tv> with scope subtree

# filter: uid=op01

# requesting: memberOf

#

# op01, people, suntv.tv

dn: uid=op01,ou=people,dc=suntv,dc=tv

memberOf: cn=op,ou=host,dc=suntv,dc=tv # 这里是关键

# search result

search: 2

result: 0 Success

# numResponses: 2

# numEntries: 1

ldapsearch -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv -b uid=admin01,ou=people,dc=suntv,dc=tv "uid=admin01" memberOf

# admin01, people, suntv.tv

dn: uid=admin01,ou=people,dc=suntv,dc=tv

memberOf: cn=all,ou=host,dc=suntv,dc=tv

ldapsearch -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv -b uid=dev01,ou=people,dc=suntv,dc=tv "uid=dev01" memberOf

# dev01, people, suntv.tv

dn: uid=dev01,ou=people,dc=suntv,dc=tv

memberOf: cn=dev,ou=host,dc=suntv,dc=tv

登录服务器配置

yum -y install openldap-clients sssd

authconfig --enablesssd --enablesssdauth --enableldap --enableldapauth --ldapserver=ldaps://master.local,ldaps://slave.local --ldapbasedn='dc=suntv,dc=tv' --enablelocauthorize --enableldaptls --enablemkhomedir  --update


cat > /etc/sssd/sssd.conf << _EOF_

[domain/LDAP]

debug_level = 9

cache_credentials = True

enumerate = false

id_provider = ldap

auth_provider = ldap

chpass_provider = ldap

ldap_uri = ldaps://master.local

ldap_backup_uri = ldaps://slave.local

ldap_search_base = dc=suntv,dc=tv

ldap_user_search_base = ou=people,dc=suntv,dc=tv

ldap_group_search_base = ou=group,dc=suntv,dc=tv

access_provider = ldap

ldap_access_order = filter

ldap_access_filter = (|(memberOf=cn=admin,ou=host,dc=suntv,dc=tv)(memberOf=cn=dev,ou=host,dc=suntv,dc=tv))

ldap_tls_cacertdir = /etc/openldap/cacerts

ldap_tls_cacert = /etc/openldap/cacerts/ca.crt

ldap_tls_reqcert = never

ldap_id_use_start_tls = false

[sssd]

domains = LDAP

services = nss, pam

config_file_version = 2

[nss]

domains = LDAP

filter_users = root

filter_groups = root

[pam]

domains = LDAP

[sudo]

domains = LDAP

[ssh]

domains = LDAP

_EOF_

配置自启动

centso7 :

systemctl restart sssd

systemctl enable sssd

centos6 :

/etc/init.d/sssd restart

chkconfig sssd on

权限

192.168.1.21 centos7  允许op组及admin组登录

ldap_access_filter =  (|(memberOf=cn=admin,ou=host,dc=suntv,dc=tv)(memberOf=cn=op,ou=host,dc=suntv,dc=tv))

192.168.1.22 centos6  允许dev组及admin组登录

ldap_access_filter =  (|(memberOf=cn=admin,ou=host,dc=suntv,dc=tv)(memberOf=cn=dev,ou=host,dc=suntv,dc=tv))

测试结果

op01 登录192.168.1.21成功,登录192.168.1.22失败

dev01 登录192.168.1.21失败,登录192.168.1.22成功

admin 登录192.168.1.21成功,登录192.168.1.22成功

[root@centos-1-21 home]# ll

total 0

drwx------ 2 admin01 admin 79 Oct 14 16:40 admin01

drwx------ 2 op01    op    79 Oct 14 16:40 op01

[root@centos6-1-22 home]# ll

total 8

drwx------ 2 admin01 admin 4096 Oct 14 16:40 admin01

drwx------ 2 dev01   dev   4096 Oct 14 16:40 dev01

openldap主机访问控制(基于用户组)的更多相关文章

  1. openldap主机访问控制(基于ip)

    http://blog.oddbit.com/2013/07/22/generating-a-membero/ http://gsr-linux.blogspot.jp/2011/01/howto-o ...

  2. openldap主机访问控制(基于hostname)

    http://mayiwei.com/2013/03/21/centos6-openldap/ http://www.zytrax.com/books/ldap/ch11/dynamic.html h ...

  3. linux apache虚拟主机配置(基于ip,端口,域名)

    配置环境: linux版本:Centos6.4 httpd版本: [root@centos64Study init.d]# pwd/etc/init.d[root@centos64Study init ...

  4. archlinux+UEFI模式在linux主机下基于KVM-QEMU命令行虚拟机安装笔记

    ArchLinux十分精简,并且具有强大的滚动更新.最近在基于ubuntu的宿主机下通过KVM-QEMU虚拟机安装了archlinux,将过程记录下来以供参考. 1.下载启动盘 1.1.下载archl ...

  5. Apache的虚拟主机功能(基于IP地址、基于虚拟主机、基于端口)

    1. 安装Apache服务程序(系统用户,1-199之间) 第一步:在虚拟机软件里选中光盘镜像: 第二步:将光盘设备挂载到/media/cdrom目录 输入:mkdir -p /media/cdrom ...

  6. 6、架构--Nginx虚拟主机(基于多ip、端口、域名方式)、日志配置、Nginx模块(访问控制模块、状态监控模块、访问链接控制模块)

    笔记 1.晨考 2.昨日问题 3.今日内容 1.Nginx虚拟主机 - 基于多IP的方式 - 基于多端口的方式 - 基于多域名的方式 2.日志配置 Nginx有非常灵活的日志记录模式,每个级别的配置可 ...

  7. 在云主机上基于nginx部署基于Flask的网站服务器 (自己部署 )

    1.申请云主机 a.阿里云 (注意:阿里云的服务器需要手动添加安全规则使能80端口) b.腾讯云 2.把网站服务器程序拷贝到云主机 3.远程登录云主机 4.解压网站服务器程序 yum install ...

  8. 在阿里云主机上基于CentOS用vsftpd搭建FTP服务器

    最近需要在一台阿里云的云服务器上搭建FTP服务器,在这篇博文中分享一下我们根据实际需求进行的一些配置. ftp软件用的是vsftpd. vsftpd是一款在Linux发行版中最受推崇的FTP服务器程序 ...

  9. 08-OpenLDAP主机控制策略

    OpenLDAP主机控制策略 阅读视图 参考 环境准备 openldap服务端配置 openldap客户端配置 客户端测试登录 故障处理 1. 参考 本文基本转载博客openldap主机访问控制(基于 ...

随机推荐

  1. SQL同列合并

    SELECT cast(id as varchar(8)) new_id FROM tourol_Atractions where tcid>0 order by new_id SELECT t ...

  2. linux安装eclipse

    1  采用ssh无法运行eclipse, 错误如下: Autolaunch error: X11 initialization failed.\n,  打开日志文件: org.eclipse.swt. ...

  3. 纯CSS3实现轮播切换效果

    使用纯css3实现与轮播器一样的功能. HTML代码: <div class="slide-container"> <input type="radio ...

  4. c语言scanf返回值

    1. scanf 函数是有返回值的,它的返回值可以分成三种情况 1) 正整数,表示正确输入参数的个数.例如执行 scanf("%d %d", &a, &b); 如果 ...

  5. Appium 解决不能输入中文字符问题

    只需在初始化driver方法时,写这两行代码即可:   capabilities.setCapability("unicodeKeyboard", "True" ...

  6. 学习使用monkey 测试

    一.Monkey测试简介Monkey测试是Android平台自动化测试的一种手段,通过Monkey程序模拟用户触摸屏幕.滑动Trackball.按键等操作来对设备上的程序进行压力测试,检测程序多久的时 ...

  7. vim替换指令备忘

    1.  替换当前行中的内容: :s/from/to/    (s即substitude) :s/from/to/     :  将当前行中的第一个from,替换成to.如果当前行含有多个        ...

  8. Web Storage的方法

    1.分为两种:localStorage与sessionStorage.2.存储形式:key-value的形式.sessionStorage 1.session定义:session指用户在浏览某个网站时 ...

  9. JavaScript对象属性赋值操作的逻辑

    对象进行属性赋值操作时,其执行逻辑如下所示: 1. 当前对象中是否有该属性?有,进行赋值操作:没有,进行下一步判断. 2. 对象的原型链中是否有该属性?没有,在当前对象上创建该属性,并赋值:有,进行下 ...

  10. 安装 Ghost 博客和 Nginx

    Ghost 认 node 的版本,所以使用 nvm 更好. 1.安装 nvm: 可以去 github 查看 nvm 的说明,通过:wget -qO- https://raw.githubusercon ...