kerberos&LDAP实现免密码登录搭建
kerberos && openldap 1.install openldap & kerberos server:
yum install db4 db4-utils db4-devel cyrus-sasl* krb5-server-ldap -y
yum install openldap openldap-servers openldap-clients openldap-devel compat-openldap -y 2.conf ldap
rm -rf /var/lib/ldap/*
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown -R ldap.ldap /var/lib/ldap
cp -rf /etc/openldap/slapd.d /etc/openldap/slapd.d.bak
cp /usr/share/doc/krb5-server-ldap-1.15.1/kerberos.schema /etc/openldap/schema/ #include (kerberos & openldap) schema:
cat >>/etc/openldap/slapd.conf<<"EOF"
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/collective.schema
include /etc/openldap/schema/corba.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/duaconf.schema
include /etc/openldap/schema/dyngroup.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/java.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/ppolicy.schema
include /etc/openldap/schema/kerberos.schema
EOF #update slapd.d
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
chown -R ldap:ldap /etc/openldap/slapd.d && chmod -R 700 /etc/openldap/slapd.d #start sldap
rpm -e cyrus-sasl-sql
rpm -e cyrus-sasl-ldap systemctl start slapd
systemctl enable slapd
ps aux | grep slapd | grep -v grep cat >>/root/modify.ldif<<"EOF"
dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=test,dc=com dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=test,dc=com dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}R5ZBYELRk8gpViFSY2MLnyHsIwHDP3Ec
#PW: slappasswd 123456生成的密码:{SSHA}R5ZBYELRk8gpViFSY2MLnyHsIwHDP3Ec dn: cn=config
changetype: modify
add: olcAuthzRegexp
olcAuthzRegexp: uid=([^,]*),cn=GSSAPI,cn=auth uid=$1,ou=people,dc=test,dc=com dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to dn.base="" by * read
olcAccess: {1}to * by dn.base="cn=Manager,dc=test,dc=com" write by self write by * read
EOF ldapmodify -Y EXTERNAL -H ldapi:/// -f modify.ldif cat >>/root/init.ldif<<"EOF"
dn: dc=test,dc=com
dc: test
objectClass: domain
objectClass: dcObject dn: cn=Kerberos,dc=test,dc=com
cn: Kerberos
objectClass: organizationalRole dn: ou=people,dc=test,dc=com
objectclass: organizationalUnit
ou: people
description: Users dn: ou=group,dc=test,dc=com
objectClass: organizationalUnit
description: Groups
ou: group
EOF #导入数据:
ldapadd -x -D 'cn=Manager,dc=test,dc=com' -w 123456 -h 127.0.0.1 -f init.ldif
#执行命令验证数据导入是否成功:
ldapsearch -x -D 'cn=Manager,dc=test,dc=com' -w 123456 -h 127.0.0.1 -b 'dc=test,dc=com' 配置kerberos: cat >/etc/krb5.conf<<EOF
# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/ [logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log [libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
default_ccache_name = KEYRING:persistent:%{uid}
default_realm = TEST.COM [realms]
TEST.COM = {
kdc = 10.130.98.196
admin_server = 10.130.98.196
default_domain = TEST.COM
database_module = openldap_ldapconf
key_stash_file = /etc/krb5.TEST.COM
max_life = 1d 0h 0m 0s
max_renewable_life = 90d 0h 0m 0s
dict_file = /usr/share/dict/words
} [dbdefaults]
ldap_kerberos_container_dn = cn=Kerberos,dc=test,dc=com [dbmodules]
openldap_ldapconf = {
db_library = kldap
ldap_servers = ldapi://
ldap_kerberos_container_dn = cn=Kerberos,dc=test,dc=com
ldap_kdc_dn = cn=Manager,dc=test,dc=com
ldap_kadmind_dn = cn=Manager,dc=test,dc=com
ldap_service_password_file = /etc/krb5.ldap
ldap_conns_per_server = 5
} [domain_realm]
test.com = TEST.COM
.test.com = TEST.COM
EOF 生成访问ldap的服务密码文件:
kdb5_ldap_util -D cn=Manager,dc=test,dc=com -w 123456 stashsrvpw -f /etc/krb5.ldap cn=Manager,dc=test,dc=com 创建kerberos数据库:
kdb5_ldap_util -D cn=Manager,dc=test,dc=com -H ldap:// create -r TEST.COM 启动kerberos
systemctl start krb5kdc
systemctl status krb5kdc
systemctl start kadmin
systemctl status kadmin 测试添加用户:
kadmin.local -q 'ank -pw 123456 test' #配置 test 用户的密码为:123456 测试
slapcat |grep "test"
测试获取凭证:
kinit test 导入系统用户:
yum install migrationtools -y
vim /usr/share/migrationtools/migrate_common.ph
DEFAULT_MAIL_DOMAIN = "example.com"; #改成自己的域名
DEFAULT_BASE = "dc=example,dc=com"; #改成自己的域名 grep -E "test" /etc/passwd >/opt/passwd.txt #选择要导入ldap的帐号
grep -E "test" /etc/group >/opt/group.txt #选择要导入ldap的组
/usr/share/migrationtools/migrate_passwd.pl /opt/passwd.txt /opt/passwd.ldif #生成ldap帐号文件
/usr/share/migrationtools/migrate_group.pl /opt/group.txt /opt/group.ldif #生成group文件
ldapadd -x -D "cn=Manager,dc=test,dc=com" -w 123456 -f /opt/group.ldif #导入用户组
ldapadd -x -D "cn=Manager,dc=test,dc=com" -w 123456 -f /opt/passwd.ldif #导入用户数据 #测试LDAP是否正常
getent passwd test
systemctl status nslcd #ldap 方式认证,test 用户设置密码123456
cat >/root/change.ldif<<EOF
dn: uid=cjb,ou=People,dc=test,dc=com
changetype: modify
add: userPassword
userPassword:: e1NTSEF9Ym0rZXloV1ExalB1aWNEVU1BaHlNM0hZVHh3REIrWU4K
EOF ldapmodify -x -D 'cn=Manager,dc=test,dc=com' -w 123456 -f change.ldif
测试test密码是否生效
ldapsearch -x -D 'uid=test,ou=People,dc=test,dc=com' -w 123456 127.0.0.1 -b 'ou=People,dc=test,dc=com' #Kerberos方式认证
echo -n "{SASL}test@TEST.COM" | base64 生成串:e1NBU0x9dGVzdEBURVNULkNPTQ== cat >/root/change.ldif<<EOF
dn: uid=maokey,ou=People,dc=test,dc=com
changetype: modify
replace: userPassword
userPassword:: e1NBU0x9bWFva2V5QFRFU1QuQ09N
EOF ldapmodify -x -D 'cn=Manager,dc=test,dc=com' -w 123456 -f change.ldif #修改saslauthd 配置
vim MECH=kerberos5 cat >/etc/sasl2/slapd.conf<<EOF
pwcheck_method: saslauthd
EOF
service slapd restart
service saslauthd status -l #查看有没报错 #Kerberos 相关操作 待整理
服务端相关操作:
创建管理员:
/usr/sbin/kadmin.local -q "addprinc admin/admin"
#database administrator设置ACL权限
vim /var/kerberos/krb5kdc/kadm5.acl #修改里面的内容
#创建主机KEY
kadmin.local
addprinc -randkey host/node2.example.com
#kadmin.local -q "ank -clearpolicy -randkey host/node2.example.com"
#kadmin.local -q "ktadd host/c2bde55" #keytab必须为:/etc/krb5.keytab , kdestroy 删除凭证
service saslauthd restart
ps -aux | grep saslauthd Kerberos 认证测试:
testsaslauthd -u test -p 123456 执行 ldapsearch测试LDAP 认证:
ldapsearch -x -D 'uid=test,ou=People,dc=test,dc=com' -w 123456 -h 127.0.0.1 -b 'ou=People,dc=test,dc=com' clinet相关操作
yum -y install nss-pam-ldapd #ldap认证模块
yum -y install pam_krb5 sssd krb5-workstation #Kerberos 认证模块、 #配置用户ldap,认证:kerberos
authconfig-tui
注意:
1.会更改三个配置文件:/etc/sssd/sssd.conf 、/etc/nsswithch.conf、/etc/pam.d/system-auth
2.配置结束,sssd服务自动启动 systemctl status nslcd #LDAP确认此服务成功启动,否则无法ldap用户信息
systemctl status sssd #认证缓存,服务挂将引发无法登录 .导入keytab #客户端导出:/etc/krb5.keytab ,keytab必须为:/etc/krb5.keytab
kinit kadmin/admin #上面创建用的用记
kadmin
ktadd host/client.example.com #根据配置文件,连接到kerberos服务器,将主机的key下载到本地,在此之前,请确认主机已设定hostame 而且主机名可以解析 #ssh相关配置
vi /etc/ssh/ssh_config
GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes
vi /etc/ssh/sshd_config
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
systemctl reload sshd
#测试
ssh demouser1@node1 #不需要输入密码就对了 klist #列出票据 https://blog.csdn.net/linlinv3/article/details/45171097
kerberos&LDAP实现免密码登录搭建的更多相关文章
- Hadoop集群搭建过程中ssh免密码登录(二)
一.为什么设置ssh免密码登录 在集群中,Hadoop控制脚本依赖SSH来执行针对整个集群的操作.例如,某个脚本能够终止并重启集群中的所有守护进程.所以,需要安装SSH,但是,SSH远程登陆的时候,需 ...
- hadoop搭建----centos免密码登录、修改hosts文件
分布式系统在传输数据时需要多台电脑免密码登录 如:A(192.168.227.12)想ssh免密码登录到B(192.168.227.12),需要把A的公钥文件(~/.ssh/id_rsa.pub)里内 ...
- redhat6.2下的ssh密钥免密码登录(原创)
这个是我自己写的,鼓励转载,请说明转载地址:http://www.cnblogs.com/nucdy/p/5664840.html 在进行hadoop的免密码的登录操作是,老是发生no route等错 ...
- Linux下SSH免密码登录(转)
搭建hadoop集群的时候一定会用到的就是SSH免密码登录 [hadoop@hadoop1 ~]$ ssh-keygen -t rsa Generating public/private rsa ke ...
- ssh免密码登录、secureCRT免密码登录详解
再放一张真机实现图: 接下来就详细讲述实现细节. 实现过程中吃了不少苦头,这个不对,那个不通.好在慢慢一点点摸索出来了,经验分享在这里. 希望能终结网上ssh免密码登录,以及SecureCRT免密码登 ...
- 配置ssh免密码登录设置后还是提示需要输入密码
工作之余搭建了一个集群测试,配置了ssh免密码登录以后 ,所有的ssh-copy-id 密钥也都分发了 ,各项配置也没有问题,但是使用ssh进行免密登录时,没有报错,但是要输入被ssh主机的登录密码 ...
- ssh 免密码登录实现批量处理
搭建集群的时候ssh 免密码登录是一个问题以下脚本将实现批量处理 文件1主机名:host 17.19.18.11:12317.19.18.12:123 文件2:ssh_setup.py #!/usr/ ...
- Ubuntu使用ssh公钥实现免密码登录
ssh 无密码登录要使用公钥与私钥.linux下可以用用ssh-keygen生成公钥/私钥对,下面我以Ubuntu为例. 有机器A(10.0.2.1),B(10.0.2.100).现想A通过ssh免密 ...
- Linux使用ssh公钥实现免密码登录Linux
ssh 无密码登录要使用公钥与私钥.linux下可以用用ssh-keygen生成公钥/私钥对,下面我以CentOS为例.有机器A(192.168.1.155),B(192.168.1.181).现想A ...
随机推荐
- C语言异常处理
异常的概念-程序在运行过程中可能产生异常-异常(Exception)与Bug的区别 异常是程序运行时可预料的执行分支 Bug是程序中的错误,是不被预期的运行方式 异常(Exception)和Bug的对 ...
- 第十六周博客作业 <西北师范大学| 周安伟>
第十六周作业 助教博客链接https://home.cnblogs.com/u/zaw-315/ 作业要求链接https://www.cnblogs.com/nwnu-daizh/p/10980707 ...
- Codeforces Round #573 (Div. 1)
Preface 军训终于结束了回来补一补之前的坑发现很多题目题意都忘记了 这场感觉难度适中,F由于智力不够所以弃了,E的话石乐志看了官方英文题解才发现自己已经胡了一大半就差实现了233 水平下降严重. ...
- 阿里Sentinel支持Spring Cloud Gateway啦
1. 前言 4月25号,Sentinel 1.6.0 正式发布,带来 Spring Cloud Gateway 支持.控制台登录功能.改进的热点限流和注解 fallback 等多项新特性,该出手时就出 ...
- 第02组 Beta冲刺(3/5)
队名:無駄無駄 组长博客 作业博客 组员情况 张越洋 过去两天完成了哪些任务 数据库实践的报告 提交记录(全组共用) 接下来的计划 加快校园百科的进度 还剩下哪些任务 学习软工的理论课 学习代码评估. ...
- 生活点滴:java基础知识细化
生活点滴:java基础知识细化 一.前言 越是对一门语言深入了解,就会发现自己不知道的东西越多,这才是走向了正道,同样的,对于java语言特性的学习,笔者也只是初窥门径. 二.java基础知识思考 i ...
- C# 原子操作理解
C#内置提供的原子操作 Interlocked.Increment:以原子操作的形式递增指定变量的值并存储结果. Interlocked.Decrement:以原子操作的形式递减指定变量的值并存储结果 ...
- Azure DevOps Server(TFS) 客户端分析
Azure DevOps Server(TFS) 是微软公司的软件协作开发管理平台产品,为软件研发.测试.实施提供全流程的服务.作为一款应用服务器产品,他的客户端是什么,在哪里下载客户端?我们在项目实 ...
- 物联网架构成长之路(34)-物联网数据可视化grafana展示
一.前言 前面介绍了利用后台业务服务器监听EMQ的Topic,作为EMQ的一个客户端方式来保存数据.然后将数据保存到时序数据库InfluxDB中.本小节就简单介绍一下如何安装和使用,及如何利用Graf ...
- jdbc:mysql:/// jdbc连接数据url简写方式
正常情况下我们写jdbc连接本地mysql数据库的时候通常是这样写 jdbc:mysql:localhost:3306/数据库名 下面就是要提到的简单的方法 jdbc:mysql:///数据库名