http://mayiwei.com/2013/03/21/centos6-openldap/

http://www.zytrax.com/books/ldap/ch11/dynamic.html

https://www.linux.com/blog/centralized-authentication-openldap

https://live.paloaltonetworks.com/twzvq79624/attachments/twzvq79624/learning_tkb/304/1/How_to_Work_with_UserID_and_OpenLDAP_Dynamic_Groups.pdf

http://serverfault.com/questions/643650/ssh-access-to-hosts-groups-based-on-user-groups-using-ldap

https://www.jqlinux.com/archives/600

http://blog.oddbit.com/2013/07/22/generating-a-membero/

文档

man slapo-dynlist

导入ldapns.schema方案,(hostObject类属性)

https://github.com/openldap/openldap/blob/master/contrib/slapd-modules/nssov/ldapns.schema

cat > /etc/openldap/schema/ldapns.schema << _EOF_

# $OpenLDAP$

# $Id: ldapns.schema,v 1.3 2009-10-01 19:17:20 tedcheng Exp $

# LDAP Name Service Additional Schema

# http://www.iana.org/assignments/gssapi-service-names

#

# Not part of the distribution: this is a workaround!

#

attributetype ( 1.3.6.1.4.1.5322.17.2.1 NAME 'authorizedService'

          DESC 'IANA GSS-API authorized service name'

          EQUALITY caseIgnoreMatch

          SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{256} )

attributetype ( 1.3.6.1.4.1.5322.17.2.2 NAME 'loginStatus'

          DESC 'Currently logged in sessions for a user'

          EQUALITY caseIgnoreMatch

          SUBSTR caseIgnoreSubstringsMatch

          ORDERING caseIgnoreOrderingMatch

          SYNTAX OMsDirectoryString )

objectclass ( 1.3.6.1.4.1.5322.17.1.1 NAME 'authorizedServiceObject'

          DESC 'Auxiliary object class for adding authorizedService attribute'

          SUP top

          AUXILIARY

          MAY authorizedService )

objectclass ( 1.3.6.1.4.1.5322.17.1.2 NAME 'hostObject'

          DESC 'Auxiliary object class for adding host attribute'

          SUP top

          AUXILIARY

          MAY host )

objectclass ( 1.3.6.1.4.1.5322.17.1.3 NAME 'loginStatusObject'

          DESC 'Auxiliary object class for login status attribute'

          SUP top

          AUXILIARY

          MAY loginStatus )

_EOF_

/etc/openldap/slapd.conf

include     /etc/openldap/schema/ldapns.schema

modulepath /usr/lib64/openldap

moduleload dynlist.la

overlay dynlist

dynlist-attrset inetOrgPerson labeledURI


rm -rf /etc/openldap/slapd.d/*

slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d

chown -R ldap:ldap /etc/openldap/slapd.d

systemctl restart slapd

定义主机列表组

cat << _EOF_ | ldapadd -x -W -H ldaps:/// -D cn=Manager,dc=suntv,dc=tv

dn: ou=servers,dc=suntv,dc=tv

objectClass: organizationalUnit

ou: servers

dn: ou=ophost,ou=servers,dc=suntv,dc=tv

objectClass: organizationalUnit

objectClass: hostObject

ou: ophost

host: client-1-21

host: client-1-22

dn: ou=devhost,ou=servers,dc=suntv,dc=tv

objectClass: organizationalUnit

objectClass: hostObject

ou: devhost

host: client-1-31

host: client-1-32

_EOF_

定义用户组

cat << _EOF_ | ldapadd -x -W -H ldaps:/// -D cn=Manager,dc=suntv,dc=tv

dn: ou=people,dc=suntv,dc=tv

objectClass: organizationalUnit

ou: people

dn: ou=group,dc=suntv,dc=tv

objectClass: organizationalUnit

ou: group

dn: cn=opteam,ou=group,dc=suntv,dc=tv

objectClass: posixGroup

cn: opteam

gidNumber: 2001

dn: cn=devteam,ou=group,dc=suntv,dc=tv

objectClass: posixGroup

cn: devteam

gidNumber: 2002

_EOF_

定义用户

cat << _EOF_ | ldapadd -x -W -H ldaps:/// -D cn=Manager,dc=suntv,dc=tv

dn: uid=op01,ou=people,dc=suntv,dc=tv

objectClass: posixAccount

objectClass: shadowAccount

objectClass: person

objectClass: inetOrgPerson

objectClass: hostObject

cn: op01

sn: op01

uid: op01

userPassword: 123456

uidNumber: 1001

gidNumber: 2001

gecos: opteam

homeDirectory: /home/op01

loginShell: /bin/bash

shadowLastChange: 15000

shadowMin: 0

shadowMax: 999999

shadowWarning: 7

shadowExpire: -1

mobile: 13900001001

mail: op01@abc.com

labeledURI: ldap:///ou=ophost,ou=servers,dc=suntv,dc=tv?host

_EOF_


cat << _EOF_ | ldapadd -x -W -H ldaps:/// -D cn=Manager,dc=suntv,dc=tv

dn: uid=dev01,ou=people,dc=suntv,dc=tv

objectClass: posixAccount

objectClass: shadowAccount

objectClass: person

objectClass: inetOrgPerson

objectClass: hostObject

cn: dev01

sn: dev01

uid: dev01

userPassword: 123456

uidNumber: 1002

gidNumber: 2002

gecos: opteam

homeDirectory: /home/dev01

loginShell: /bin/bash

shadowLastChange: 15000

shadowMin: 0

shadowMax: 999999

shadowWarning: 7

shadowExpire: -1

mobile: 13900001002

mail: dev01@abc.com

labeledURI: ldap:///ou=devhost,ou=servers,dc=suntv,dc=tv?host

_EOF_

已经测试成功。但是nss-pam-ldap仅centos 6.x可用。

host属性需要获取登录主机hostname的fdqn,要不用dns,要不在/etc/hosts里指定。

客户端

cat pam_ldap.conf

pam_check_host_attr yes

openldap主机访问控制(基于hostname)的更多相关文章

  1. openldap主机访问控制(基于ip)

    http://blog.oddbit.com/2013/07/22/generating-a-membero/ http://gsr-linux.blogspot.jp/2011/01/howto-o ...

  2. openldap主机访问控制(基于用户组)

    建立组织单元 cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv dn: o ...

  3. 修改主机名(/etc/hostname和/etc/hosts区别)

    ubuntu永久修改主机名 1.查看主机名 在Ubuntu系统中,快速查看主机名有多种方法:其一,打开一个GNOME终端窗口,在命令提示符中可以看到主机名,主机名通常位于“@”符号后:其二,在终端窗口 ...

  4. archlinux+UEFI模式在linux主机下基于KVM-QEMU命令行虚拟机安装笔记

    ArchLinux十分精简,并且具有强大的滚动更新.最近在基于ubuntu的宿主机下通过KVM-QEMU虚拟机安装了archlinux,将过程记录下来以供参考. 1.下载启动盘 1.1.下载archl ...

  5. Redhat Linux 修改主机名(HOSTNAME)

    hostname #查看当前主机的主机名hostname NEWHOSTNAME #临时修改当前主机名 修改主机名vi /etc/sysconfig/network #通过配置文件修改主机名NETWO ...

  6. linux修改主机名(hostname)转载

    Linux修改主机名的方法 用hostname命令可以临时修改机器名,但机器重新启动之后就会恢复原来的值. #hostname   //查看机器名#hostname -i  //查看本机器名对应的ip ...

  7. [Linux] 修改主机名(hostname)

    在Linux命令行下输入hostname,查看当前主机名,如果想修改它,直接在hostname后面加上新主机名即可(注:以下操作都需要root用户执行),如: # hostname newhostna ...

  8. linux apache虚拟主机配置(基于ip,端口,域名)

    配置环境: linux版本:Centos6.4 httpd版本: [root@centos64Study init.d]# pwd/etc/init.d[root@centos64Study init ...

  9. linux hostname 命令 显示当前主机域名 /etc/hostname

    hostname显示当前主机域名, 我们可以使用 hostname 命令来修改主机名,但这种修改方式只有当前有效,等服务器重启后hostname就会失效,回到原来的hostname. [root@my ...

随机推荐

  1. js事件捕获,事件冒泡,事件委托以及DOM事件流

    一:DOM事件流: 事件流是从页面接收事件的顺序,DOM2级事件规定事件流包括三个阶段: ①事件捕获阶段:用意在于事件达到目标之前捕获它,在事件捕获阶段事件流模型:document→html→body ...

  2. android技巧(三)屏幕适配

    屏幕适配策略: 1.控件使用wrap_content.match_parent控制某些视图组件的宽度和高度,而不是硬编码的尺寸. “wrap_content”系统就会将视图的宽度或高度设置成所需的最小 ...

  3. C#实现微信公众号群发消息(解决一天只能发一次的限制)

    经过几天研究网上的代码和谢灿大神的帮忙,今天终于用C#实现了微信公众号群发消息,现在整理一下. 总体思路:1.首先必须要在微信公众平台上申请一个公众号. 2.然后进行模拟登陆.(由于我对http传输原 ...

  4. Gym 100960G (set+树状数组)

    Problem Youngling Tournament 题目大意 给一个序列a[i],每次操作可以更改一个数,每次询问 将序列排序后有多少个数a[i]>=sum[i-1]. n<=10^ ...

  5. asp.net 动态添加自定义控件

    前两天一直纠结asp.net动态添加控件后,后台获取不到控件的问题,查看了网上很多的回答,可能自己的理解有误或者自己所掌握的知识有限,都没有解决我遇到的问题,经过两天的研究,终于把问题解决了. 我这里 ...

  6. 史上最全的html标签属性用法对照表

    html标签特效代码语法使用对照说明 <!> 跑马灯 <marquee>...</marquee>普通卷动 <marquee behavior=slide&g ...

  7. bigworld源码分析(1)—— 研究bigworld的意义和目标

    对于网络游戏服务器开发熟悉的人,基本都知道bigworld引擎,此引擎包括客户端部分和服务器部分,已经有很多知名的网络游戏通过bigworld来构建游戏.我主要关注bigworld的服务器部分,它是一 ...

  8. 用python+selenium将腾讯首页今日话题的内容自动发表到自己cnblog里

    目的:使用pyhton下的unittest单元测试框架并结合selenium的webdriver来实现将腾讯首页的今日话题下的内容自动发表达到自己的cnblog里. 思路:创建QQDailyTopic ...

  9. Array.prototype.indexOf

    arr.indexOf(searchElement[, fromIndex = 0]) Array.prototype.indexOf()

  10. Selenium定位二 --多个元素定位方法 和层级定位方法

    定位多个元素: findElements()方法可以返回一个符合条件的元素List 组 如: public void hitUpdatePersonnel(WebDriver driver, int ...