http://mayiwei.com/2013/03/21/centos6-openldap/

http://www.zytrax.com/books/ldap/ch11/dynamic.html

https://www.linux.com/blog/centralized-authentication-openldap

https://live.paloaltonetworks.com/twzvq79624/attachments/twzvq79624/learning_tkb/304/1/How_to_Work_with_UserID_and_OpenLDAP_Dynamic_Groups.pdf

http://serverfault.com/questions/643650/ssh-access-to-hosts-groups-based-on-user-groups-using-ldap

https://www.jqlinux.com/archives/600

http://blog.oddbit.com/2013/07/22/generating-a-membero/

文档

man slapo-dynlist

导入ldapns.schema方案,(hostObject类属性)

https://github.com/openldap/openldap/blob/master/contrib/slapd-modules/nssov/ldapns.schema

cat > /etc/openldap/schema/ldapns.schema << _EOF_

# $OpenLDAP$

# $Id: ldapns.schema,v 1.3 2009-10-01 19:17:20 tedcheng Exp $

# LDAP Name Service Additional Schema

# http://www.iana.org/assignments/gssapi-service-names

#

# Not part of the distribution: this is a workaround!

#

attributetype ( 1.3.6.1.4.1.5322.17.2.1 NAME 'authorizedService'

          DESC 'IANA GSS-API authorized service name'

          EQUALITY caseIgnoreMatch

          SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{256} )

attributetype ( 1.3.6.1.4.1.5322.17.2.2 NAME 'loginStatus'

          DESC 'Currently logged in sessions for a user'

          EQUALITY caseIgnoreMatch

          SUBSTR caseIgnoreSubstringsMatch

          ORDERING caseIgnoreOrderingMatch

          SYNTAX OMsDirectoryString )

objectclass ( 1.3.6.1.4.1.5322.17.1.1 NAME 'authorizedServiceObject'

          DESC 'Auxiliary object class for adding authorizedService attribute'

          SUP top

          AUXILIARY

          MAY authorizedService )

objectclass ( 1.3.6.1.4.1.5322.17.1.2 NAME 'hostObject'

          DESC 'Auxiliary object class for adding host attribute'

          SUP top

          AUXILIARY

          MAY host )

objectclass ( 1.3.6.1.4.1.5322.17.1.3 NAME 'loginStatusObject'

          DESC 'Auxiliary object class for login status attribute'

          SUP top

          AUXILIARY

          MAY loginStatus )

_EOF_

/etc/openldap/slapd.conf

include     /etc/openldap/schema/ldapns.schema

modulepath /usr/lib64/openldap

moduleload dynlist.la

overlay dynlist

dynlist-attrset inetOrgPerson labeledURI


rm -rf /etc/openldap/slapd.d/*

slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d

chown -R ldap:ldap /etc/openldap/slapd.d

systemctl restart slapd

定义主机列表组

cat << _EOF_ | ldapadd -x -W -H ldaps:/// -D cn=Manager,dc=suntv,dc=tv

dn: ou=servers,dc=suntv,dc=tv

objectClass: organizationalUnit

ou: servers

dn: ou=ophost,ou=servers,dc=suntv,dc=tv

objectClass: organizationalUnit

objectClass: hostObject

ou: ophost

host: client-1-21

host: client-1-22

dn: ou=devhost,ou=servers,dc=suntv,dc=tv

objectClass: organizationalUnit

objectClass: hostObject

ou: devhost

host: client-1-31

host: client-1-32

_EOF_

定义用户组

cat << _EOF_ | ldapadd -x -W -H ldaps:/// -D cn=Manager,dc=suntv,dc=tv

dn: ou=people,dc=suntv,dc=tv

objectClass: organizationalUnit

ou: people

dn: ou=group,dc=suntv,dc=tv

objectClass: organizationalUnit

ou: group

dn: cn=opteam,ou=group,dc=suntv,dc=tv

objectClass: posixGroup

cn: opteam

gidNumber: 2001

dn: cn=devteam,ou=group,dc=suntv,dc=tv

objectClass: posixGroup

cn: devteam

gidNumber: 2002

_EOF_

定义用户

cat << _EOF_ | ldapadd -x -W -H ldaps:/// -D cn=Manager,dc=suntv,dc=tv

dn: uid=op01,ou=people,dc=suntv,dc=tv

objectClass: posixAccount

objectClass: shadowAccount

objectClass: person

objectClass: inetOrgPerson

objectClass: hostObject

cn: op01

sn: op01

uid: op01

userPassword: 123456

uidNumber: 1001

gidNumber: 2001

gecos: opteam

homeDirectory: /home/op01

loginShell: /bin/bash

shadowLastChange: 15000

shadowMin: 0

shadowMax: 999999

shadowWarning: 7

shadowExpire: -1

mobile: 13900001001

mail: op01@abc.com

labeledURI: ldap:///ou=ophost,ou=servers,dc=suntv,dc=tv?host

_EOF_


cat << _EOF_ | ldapadd -x -W -H ldaps:/// -D cn=Manager,dc=suntv,dc=tv

dn: uid=dev01,ou=people,dc=suntv,dc=tv

objectClass: posixAccount

objectClass: shadowAccount

objectClass: person

objectClass: inetOrgPerson

objectClass: hostObject

cn: dev01

sn: dev01

uid: dev01

userPassword: 123456

uidNumber: 1002

gidNumber: 2002

gecos: opteam

homeDirectory: /home/dev01

loginShell: /bin/bash

shadowLastChange: 15000

shadowMin: 0

shadowMax: 999999

shadowWarning: 7

shadowExpire: -1

mobile: 13900001002

mail: dev01@abc.com

labeledURI: ldap:///ou=devhost,ou=servers,dc=suntv,dc=tv?host

_EOF_

已经测试成功。但是nss-pam-ldap仅centos 6.x可用。

host属性需要获取登录主机hostname的fdqn,要不用dns,要不在/etc/hosts里指定。

客户端

cat pam_ldap.conf

pam_check_host_attr yes

openldap主机访问控制(基于hostname)的更多相关文章

  1. openldap主机访问控制(基于ip)

    http://blog.oddbit.com/2013/07/22/generating-a-membero/ http://gsr-linux.blogspot.jp/2011/01/howto-o ...

  2. openldap主机访问控制(基于用户组)

    建立组织单元 cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv dn: o ...

  3. 修改主机名(/etc/hostname和/etc/hosts区别)

    ubuntu永久修改主机名 1.查看主机名 在Ubuntu系统中,快速查看主机名有多种方法:其一,打开一个GNOME终端窗口,在命令提示符中可以看到主机名,主机名通常位于“@”符号后:其二,在终端窗口 ...

  4. archlinux+UEFI模式在linux主机下基于KVM-QEMU命令行虚拟机安装笔记

    ArchLinux十分精简,并且具有强大的滚动更新.最近在基于ubuntu的宿主机下通过KVM-QEMU虚拟机安装了archlinux,将过程记录下来以供参考. 1.下载启动盘 1.1.下载archl ...

  5. Redhat Linux 修改主机名(HOSTNAME)

    hostname #查看当前主机的主机名hostname NEWHOSTNAME #临时修改当前主机名 修改主机名vi /etc/sysconfig/network #通过配置文件修改主机名NETWO ...

  6. linux修改主机名(hostname)转载

    Linux修改主机名的方法 用hostname命令可以临时修改机器名,但机器重新启动之后就会恢复原来的值. #hostname   //查看机器名#hostname -i  //查看本机器名对应的ip ...

  7. [Linux] 修改主机名(hostname)

    在Linux命令行下输入hostname,查看当前主机名,如果想修改它,直接在hostname后面加上新主机名即可(注:以下操作都需要root用户执行),如: # hostname newhostna ...

  8. linux apache虚拟主机配置(基于ip,端口,域名)

    配置环境: linux版本:Centos6.4 httpd版本: [root@centos64Study init.d]# pwd/etc/init.d[root@centos64Study init ...

  9. linux hostname 命令 显示当前主机域名 /etc/hostname

    hostname显示当前主机域名, 我们可以使用 hostname 命令来修改主机名,但这种修改方式只有当前有效,等服务器重启后hostname就会失效,回到原来的hostname. [root@my ...

随机推荐

  1. 应用容器Application container

    应用容器是最基本的组件,用于布局的容器. 属性 样式 事件 默认白边各24像素,默认为浏览器大小可以设置整体背景 边距等. 根应用文件就是第一个加载的文件.

  2. tinymce 编辑器 上传图片

    tinymce编辑器进行本地图片上传 首先下载tinymce.js之后 在form中添加一个<textarea>元素 给其一个id和name 然后就可以初始化编辑器了 tinymce.in ...

  3. SVG 2D入门13 - svg对决canvas

    到目前为止,SVG与Canvas的主要特性均已经总结完毕了.它们都是HTML5中支持的2D图形展示技术,而且均支持向量图形.现在,我们就来比对一下这两种技术,分析一下它们的长处和适用场景.首先分析一下 ...

  4. javascript笔记6-DOM

    DOM(文档对象模型)是针对HTML和XML文档的一个API.DOM描绘了一个层次化的节点树,允许程序员添加.修改页面的一部分. 节点层次:DOM可以将任何HTML或XML文档描绘成一个由多层次节点构 ...

  5. c++语法随身记

    1.memset是计算机中C/C++语言函数.将s所指向的某一块内存中的前n个 字节的内容全部设置为ch指定的ASCII值, 第一个值为指定的内存地址,块的大小由第三个参数指定,这个函数通常为新申请的 ...

  6. SCC(强连通分量)

    1.定义: 在有向图G中,如果两个顶点间至少存在一条路径,称两个顶点强连通(SC---strongly connected). 有向图中的极大强连通子图,成为强连通分量(SCC---strongly ...

  7. 福州月赛2057 DFS

    题意:告诉你族谱,然后Q条查询s和t的关系,妈妈输出M,爸爸输出F: 题目地址:http://acm.hust.edu.cn/vjudge/contest/view.action?cid=78233# ...

  8. PHP Html5上传大文件

    html前台代码: <form id="upload_form" name="upload_form" action="javascript:i ...

  9. ajax 中$.each(json,function(index,item){ }); 中的2个参数表示什么意思?

    $.each(json,function(index,item)里面的index代表当前循环到第几个索引,item表示遍历后的当前对象,比如json数据为:[{"name":&qu ...

  10. RobotFramwork + Appium+ Andriod 环境搭建

    RF+Appium+Android环境搭建教程 - 1.RF安装 一.适用操作系统 Win7 旗舰版Sp1 32位操作系统 RF环境搭建,请参考文档<RobotFramwork安装指南> ...