http://mayiwei.com/2013/03/21/centos6-openldap/

http://www.zytrax.com/books/ldap/ch11/dynamic.html

https://www.linux.com/blog/centralized-authentication-openldap

https://live.paloaltonetworks.com/twzvq79624/attachments/twzvq79624/learning_tkb/304/1/How_to_Work_with_UserID_and_OpenLDAP_Dynamic_Groups.pdf

http://serverfault.com/questions/643650/ssh-access-to-hosts-groups-based-on-user-groups-using-ldap

https://www.jqlinux.com/archives/600

http://blog.oddbit.com/2013/07/22/generating-a-membero/

文档

man slapo-dynlist

导入ldapns.schema方案,(hostObject类属性)

https://github.com/openldap/openldap/blob/master/contrib/slapd-modules/nssov/ldapns.schema

cat > /etc/openldap/schema/ldapns.schema << _EOF_

# $OpenLDAP$

# $Id: ldapns.schema,v 1.3 2009-10-01 19:17:20 tedcheng Exp $

# LDAP Name Service Additional Schema

# http://www.iana.org/assignments/gssapi-service-names

#

# Not part of the distribution: this is a workaround!

#

attributetype ( 1.3.6.1.4.1.5322.17.2.1 NAME 'authorizedService'

          DESC 'IANA GSS-API authorized service name'

          EQUALITY caseIgnoreMatch

          SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{256} )

attributetype ( 1.3.6.1.4.1.5322.17.2.2 NAME 'loginStatus'

          DESC 'Currently logged in sessions for a user'

          EQUALITY caseIgnoreMatch

          SUBSTR caseIgnoreSubstringsMatch

          ORDERING caseIgnoreOrderingMatch

          SYNTAX OMsDirectoryString )

objectclass ( 1.3.6.1.4.1.5322.17.1.1 NAME 'authorizedServiceObject'

          DESC 'Auxiliary object class for adding authorizedService attribute'

          SUP top

          AUXILIARY

          MAY authorizedService )

objectclass ( 1.3.6.1.4.1.5322.17.1.2 NAME 'hostObject'

          DESC 'Auxiliary object class for adding host attribute'

          SUP top

          AUXILIARY

          MAY host )

objectclass ( 1.3.6.1.4.1.5322.17.1.3 NAME 'loginStatusObject'

          DESC 'Auxiliary object class for login status attribute'

          SUP top

          AUXILIARY

          MAY loginStatus )

_EOF_

/etc/openldap/slapd.conf

include     /etc/openldap/schema/ldapns.schema

modulepath /usr/lib64/openldap

moduleload dynlist.la

overlay dynlist

dynlist-attrset inetOrgPerson labeledURI


rm -rf /etc/openldap/slapd.d/*

slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d

chown -R ldap:ldap /etc/openldap/slapd.d

systemctl restart slapd

定义主机列表组

cat << _EOF_ | ldapadd -x -W -H ldaps:/// -D cn=Manager,dc=suntv,dc=tv

dn: ou=servers,dc=suntv,dc=tv

objectClass: organizationalUnit

ou: servers

dn: ou=ophost,ou=servers,dc=suntv,dc=tv

objectClass: organizationalUnit

objectClass: hostObject

ou: ophost

host: client-1-21

host: client-1-22

dn: ou=devhost,ou=servers,dc=suntv,dc=tv

objectClass: organizationalUnit

objectClass: hostObject

ou: devhost

host: client-1-31

host: client-1-32

_EOF_

定义用户组

cat << _EOF_ | ldapadd -x -W -H ldaps:/// -D cn=Manager,dc=suntv,dc=tv

dn: ou=people,dc=suntv,dc=tv

objectClass: organizationalUnit

ou: people

dn: ou=group,dc=suntv,dc=tv

objectClass: organizationalUnit

ou: group

dn: cn=opteam,ou=group,dc=suntv,dc=tv

objectClass: posixGroup

cn: opteam

gidNumber: 2001

dn: cn=devteam,ou=group,dc=suntv,dc=tv

objectClass: posixGroup

cn: devteam

gidNumber: 2002

_EOF_

定义用户

cat << _EOF_ | ldapadd -x -W -H ldaps:/// -D cn=Manager,dc=suntv,dc=tv

dn: uid=op01,ou=people,dc=suntv,dc=tv

objectClass: posixAccount

objectClass: shadowAccount

objectClass: person

objectClass: inetOrgPerson

objectClass: hostObject

cn: op01

sn: op01

uid: op01

userPassword: 123456

uidNumber: 1001

gidNumber: 2001

gecos: opteam

homeDirectory: /home/op01

loginShell: /bin/bash

shadowLastChange: 15000

shadowMin: 0

shadowMax: 999999

shadowWarning: 7

shadowExpire: -1

mobile: 13900001001

mail: op01@abc.com

labeledURI: ldap:///ou=ophost,ou=servers,dc=suntv,dc=tv?host

_EOF_


cat << _EOF_ | ldapadd -x -W -H ldaps:/// -D cn=Manager,dc=suntv,dc=tv

dn: uid=dev01,ou=people,dc=suntv,dc=tv

objectClass: posixAccount

objectClass: shadowAccount

objectClass: person

objectClass: inetOrgPerson

objectClass: hostObject

cn: dev01

sn: dev01

uid: dev01

userPassword: 123456

uidNumber: 1002

gidNumber: 2002

gecos: opteam

homeDirectory: /home/dev01

loginShell: /bin/bash

shadowLastChange: 15000

shadowMin: 0

shadowMax: 999999

shadowWarning: 7

shadowExpire: -1

mobile: 13900001002

mail: dev01@abc.com

labeledURI: ldap:///ou=devhost,ou=servers,dc=suntv,dc=tv?host

_EOF_

已经测试成功。但是nss-pam-ldap仅centos 6.x可用。

host属性需要获取登录主机hostname的fdqn,要不用dns,要不在/etc/hosts里指定。

客户端

cat pam_ldap.conf

pam_check_host_attr yes

openldap主机访问控制(基于hostname)的更多相关文章

  1. openldap主机访问控制(基于ip)

    http://blog.oddbit.com/2013/07/22/generating-a-membero/ http://gsr-linux.blogspot.jp/2011/01/howto-o ...

  2. openldap主机访问控制(基于用户组)

    建立组织单元 cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv dn: o ...

  3. 修改主机名(/etc/hostname和/etc/hosts区别)

    ubuntu永久修改主机名 1.查看主机名 在Ubuntu系统中,快速查看主机名有多种方法:其一,打开一个GNOME终端窗口,在命令提示符中可以看到主机名,主机名通常位于“@”符号后:其二,在终端窗口 ...

  4. archlinux+UEFI模式在linux主机下基于KVM-QEMU命令行虚拟机安装笔记

    ArchLinux十分精简,并且具有强大的滚动更新.最近在基于ubuntu的宿主机下通过KVM-QEMU虚拟机安装了archlinux,将过程记录下来以供参考. 1.下载启动盘 1.1.下载archl ...

  5. Redhat Linux 修改主机名(HOSTNAME)

    hostname #查看当前主机的主机名hostname NEWHOSTNAME #临时修改当前主机名 修改主机名vi /etc/sysconfig/network #通过配置文件修改主机名NETWO ...

  6. linux修改主机名(hostname)转载

    Linux修改主机名的方法 用hostname命令可以临时修改机器名,但机器重新启动之后就会恢复原来的值. #hostname   //查看机器名#hostname -i  //查看本机器名对应的ip ...

  7. [Linux] 修改主机名(hostname)

    在Linux命令行下输入hostname,查看当前主机名,如果想修改它,直接在hostname后面加上新主机名即可(注:以下操作都需要root用户执行),如: # hostname newhostna ...

  8. linux apache虚拟主机配置(基于ip,端口,域名)

    配置环境: linux版本:Centos6.4 httpd版本: [root@centos64Study init.d]# pwd/etc/init.d[root@centos64Study init ...

  9. linux hostname 命令 显示当前主机域名 /etc/hostname

    hostname显示当前主机域名, 我们可以使用 hostname 命令来修改主机名,但这种修改方式只有当前有效,等服务器重启后hostname就会失效,回到原来的hostname. [root@my ...

随机推荐

  1. linux上安装php+gd扩展

    515 cd zlib-1.2.3 516 ./configure --prefix=/usr/local/zlib2 517 make && make install 518 cd ...

  2. linux命令:tail

    1.命令介绍: tail用来显示文件的末尾部分内容,不指定文件时,作为输入内容出理. 2.命令格式: tail [选项] 文件 3.命令参数: -f 循环读取 -q 不显示处理信息 -v 显示详细的处 ...

  3. PHP Html5上传大文件

    html前台代码: <form id="upload_form" name="upload_form" action="javascript:i ...

  4. magento jQuery冲突N种方法

    在做修改模板的时候在page中加入jquery库发现原本自带的js冲突 商品无法加入购物车,很多js都没有效果 这是jQuery和magento自带prototype的冲突解决版本有很多种,说个简单点 ...

  5. 纯js轮播效果(减速效果)待改进

    HTML代码 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www. ...

  6. Pylot压力测试(linux)

    Pylot需要python2.5以上的版本,打开以后选择对应你的系统的版本,下载好之后双击安装. centOS5.5 系统版本python版本是2.4.3,所以要下载个2.5以上的. 1.下载Pyth ...

  7. 【 D3.js 入门系列 --- 2 】 如何使用数据和选择元素

    接着上一讲的内容,这次讨论如何选择元素和使用数据.    现在页面中有三行文字,代码为: <p>Hello World 1</p> <p>Hello World 2 ...

  8. null、空对象和undefined

    null:是对象,但是空引用(不指向任何对象) 空对象:是对象,但它的值是指向没有任何属性的对象的引用 undefined:未定义,所以不是对象,本身被定义为“undefined”这一特殊类型 1. ...

  9. linux C 获取当前目录的实现(转-Blossom)

    linux C 获取当前目录的实现: //获取当前目录#include <stdlib.h>#include <stdio.h>#include <string.h> ...

  10. HEX格式数据转换成十六进制字符串

    /** * Hex格式数据转换成十六进制字符串 * @param src */ public void bytesToHexString(byte[] by){ StringBuilder strin ...