OpenLDAP主机控制策略

阅读视图

  1. 参考
  2. 环境准备
  3. openldap服务端配置
  4. openldap客户端配置
  5. 客户端测试登录
  6. 故障处理

1. 参考

本文基本转载博客openldap主机访问控制(基于hostname)

该博主另一篇文档,还没测试openldap主机访问控制(基于ip)

2. 环境准备

因为本文与其他文档属性不冲突,所以完全可以使用以前的环境做实验。

3. openldap服务端配置

  1. 导入ldapns.schema方案,(hostObject类属性)

    https://github.com/openldap/openldap/blob/master/contrib/slapd-modules/nssov/ldapns.schema

    cat > /etc/openldap/schema/ldapns.schema << _EOF_
    
# $OpenLDAP$
    
# $Id: ldapns.schema,v 1.3 2009-10-01 19:17:20 tedcheng Exp $
    
# LDAP Name Service Additional Schema
    
# http://www.iana.org/assignments/gssapi-service-names

#
    
# Not part of the distribution: this is a workaround!
    
#

attributetype ( 1.3.6.1.4.1.5322.17.2.1 NAME 'authorizedService'
    
        DESC 'IANA GSS-API authorized service name'
    
        EQUALITY caseIgnoreMatch
    
        SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{256} )

attributetype ( 1.3.6.1.4.1.5322.17.2.2 NAME 'loginStatus'
    
        DESC 'Currently logged in sessions for a user'
    
        EQUALITY caseIgnoreMatch
    
        SUBSTR caseIgnoreSubstringsMatch
    
        ORDERING caseIgnoreOrderingMatch
    
        SYNTAX OMsDirectoryString )

objectclass ( 1.3.6.1.4.1.5322.17.1.1 NAME 'authorizedServiceObject'
    
        DESC 'Auxiliary object class for adding authorizedService attribute'
    
        SUP top
    
        AUXILIARY
    
        MAY authorizedService )

objectclass ( 1.3.6.1.4.1.5322.17.1.2 NAME 'hostObject'
    
        DESC 'Auxiliary object class for adding host attribute'
    
        SUP top
    
        AUXILIARY
    
        MAY host )

objectclass ( 1.3.6.1.4.1.5322.17.1.3 NAME 'loginStatusObject'
    
        DESC 'Auxiliary object class for login status attribute'
    
        SUP top
    
        AUXILIARY
    
        MAY loginStatus )
    
_EOF_

    复制到/etc/openldap/schema/ldapns.schema

  2. 配置slapd.conf配置文件

    include         /etc/openldap/schema/ldapns.schema
    
include         /etc/openldap/schema/dyngroup.schema

modulepath /usr/lib64/openldap
    
moduleload dynlist.la

overlay dynlist
    
dynlist-attrset inetOrgPerson labeledURI
    

    rm -rf /etc/openldap/slapd.d/*
    
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
    
chown -R ldap:ldap /etc/openldap/slapd.d
    
systemctl restart slapd

  3. 验证服务端是否正常加载

  4. 定义主机列表组

    cat << _EOF_ | ldapadd -x -W -H ldapi:/// -D cn=Manager,dc=gdy,dc=com
    
dn: ou=servers,dc=gdy,dc=com
    
objectClass: organizationalUnit
    
ou: servers

dn: ou=apphost,ou=servers,dc=gdy,dc=com
    
objectClass: organizationalUnit
    
objectClass: hostObject
    
ou: apphost
    
host: test01.gdy.com

dn: ou=dbhost,ou=servers,dc=gdy,dc=com
    
objectClass: organizationalUnit
    
objectClass: hostObject
    
ou: dbhost
    
host: test02.gdy.com
    
_EOF_

  5. 定义用户

    cat << _EOF_ | ldapadd -x -W -H ldapi:/// -D cn=Manager,dc=gdy,dc=com
    
dn: uid=lisi,ou=people,dc=gdy,dc=com
    
objectClass: posixAccount
    
objectClass: shadowAccount
    
objectClass: person
    
objectClass: inetOrgPerson
    
objectClass: hostObject
    
cn: lisi
    
sn: lisi
    
uid: lisi
    
userPassword: {CRYPT}$6$AgFUbww9$Pa70MIDhUT2z3.Sg83VRnWnaDRubTHJsSxYMzbD3LQlMmXX0VeqHRHd2usrJbId.oFOeoMKi3GC60qjIHUKqK.
    
uidNumber: 10006
    
gidNumber: 10010
    
gecos: App Manager
    
homeDirectory: /home/lisi
    
loginShell: /bin/bash
    
shadowLastChange: 15000
    
shadowMin: 0
    
shadowMax: 999999
    
shadowWarning: 7
    
shadowExpire: -1
    
mobile: 13900001001
    
mail: lisi@gdy.com
    
labeledURI: ldap:///ou=apphost,ou=servers,dc=gdy,dc=com?host
    
_EOF_
    

    cat << _EOF_ | ldapadd -x -W -H ldapi:/// -D cn=Manager,dc=gdy,dc=com
    
dn: uid=zhangsan,ou=people,dc=gdy,dc=com
    
objectClass: posixAccount
    
objectClass: shadowAccount
    
objectClass: person
    
objectClass: inetOrgPerson
    
objectClass: hostObject
    
cn: zhangsan
    
sn: zhangsan
    
uid: zhangsan
    
userPassword: {CRYPT}$6$0hM3RIS/$omCj0x/ggD.zy3pNNjVo80nhiYHbUvdQaBKsawBBTQ/r/KY2PD77NHDqEPgzZ1Wz2/ZiL./pL65BuNyZ1SHC41
    
uidNumber: 10007
    
gidNumber: 10011
    
gecos: opteam
    
homeDirectory: /home/zhangsan
    
loginShell: /bin/bash
    
shadowLastChange: 15000
    
shadowMin: 0
    
shadowMax: 999999
    
shadowWarning: 7
    
shadowExpire: -1
    
mobile: 13900001002
    
mail: zhangsan@gdy.com
    
labeledURI: ldap:///ou=devhost,ou=servers,dc=gdy,dc=com?host
    
_EOF_

4. openldap客户端配置

  1. 定义FQDN解析, 已测试过如果不定义会登录不成功

    cat >> /etc/hosts << EOF
    
192.168.244.17    mldap01.gdy.com    mldap01
    
192.168.244.18    test01.gdy.com     test01

  2. pam_ldap.conf参数规划

    cat >> /etc/pam_ldap.conf  << EOF
    
pam_check_host_attr yes
    
EOF

5. 客户端测试登录

  1. 正确实例

    [root@test01 ~]# ssh lisi@127.0.0.1
    
lisi@127.0.0.1's password:
    
Last login: Fri Jun  1 16:24:12 2018 from localhost
    
[lisi@test01 ~]$ hostname
    
test01.gdy.com

  2. 失败实例

    [root@test01 ~]# ssh zhangsan@127.0.0.1
    
zhangsan@127.0.0.1's password:
    
Access denied for this host
    
Connection closed by 127.0.0.1

  3. 如果用户没有配置好登录属性,服务器基本就全部登录不了。

6. 故障处理

  1. PS1变量失效,错误如下

    [root@test01 home]# ssh lisi@127.0.0.1
    
lisi@127.0.0.1's password:
    
Permission denied, please try again.
    
lisi@127.0.0.1's password:
    
Last login: Fri Jun  1 14:10:53 2018 from localhost
    
-sh-4.1$      # 发现显示不正常

    解决方法:重新配置了一遍,发现loginShell忘记定义或者定义有问题导致loginShell属性不存在。所以会产生如上bug。

08-OpenLDAP主机控制策略的更多相关文章

  1. openldap主机访问控制(基于hostname)

    http://mayiwei.com/2013/03/21/centos6-openldap/ http://www.zytrax.com/books/ldap/ch11/dynamic.html h ...

  2. openldap主机访问控制(基于用户组)

    建立组织单元 cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv dn: o ...

  3. openldap主机访问控制(基于ip)

    http://blog.oddbit.com/2013/07/22/generating-a-membero/ http://gsr-linux.blogspot.jp/2011/01/howto-o ...

  4. OpenLDAP 搭建入门

    系统环境:CentOS 7 slapd版本:2.4.44 简介 OpenLDAP是一款轻量级目录访问协议,基于X.500标准的,支持TCP/IP协议,用于实现账号集中管理的开源软件,提供一整套安全的账 ...

  5. openldap系列

    openldap系列 阅读视图 系列介绍 openldap系列目录 1. 系列介绍 本系列文档大部分来自于郭大勇老师的<OpenLDAP实战指南>,少部分来自于互联网.所有文档均已经过本人 ...

  6. OpenLdap 对接内部系统(Gitlab+Wiki+Jumpserver+Openvpn)配置

    LDAP 全称轻量级目录访问协议(英文:Lightweight Directory Access Protocol),是一个运行在 TCP/IP 上的目录访问协议.目录是一个特殊的数据库,它的数据经常 ...

  7. Cloudera Hadoop 5& Hadoop高阶管理及调优课程(CDH5,Hadoop2.0,HA,安全,管理,调优)

    1.课程环境 本课程涉及的技术产品及相关版本: 技术 版本 Linux CentOS 6.5 Java 1.7 Hadoop2.0 2.6.0 Hadoop1.0 1.2.1 Zookeeper 3. ...

  8. Centos6 yum安装openldap+phpldapadmin+TLS+双主配置

    原文地址:http://54im.com/openldap/centos-6-yum-install-openldap-phpldapadmin-tls-%E5%8F%8C%E4%B8%BB%E9%8 ...

  9. SELINUX、Security Access Control Strategy && Method And Technology Research - 安全访问控制策略及其方法技术研究

    catalog . 引言 . 访问控制策略 . 访问控制方法.实现技术 . SELINUX 0. 引言 访问控制是网络安全防范和客户端安全防御的主要策略,它的主要任务是保证资源不被非法使用.保证网络/ ...

随机推荐

  1. 使用pipenv隔离不同项目的依赖包

    pipenv可以为不同的路径创建python环境和依赖包,结合pyenv可以达到为不同项目使用不同python版本,不同依赖包的目的. pip install pipenv #安装pipenv 使用p ...

  2. Python函数——列表推导式、生成器与迭代器

    列表推导式 产生背景 现在有个需求,看列表[0, 1, 2, 3, 4, 5, 6, 7, 8, 9],要求你把列表里的每个值加1,你怎么实现? 第一种方法: a = [1,3,4,6,7,7,8,9 ...

  3. 自动化测试 selenium 环境搭建

    做 web 项目,测试是无法避免的.对于某些特定功能,采用单元测试就行.但如果想对网站进行整体测试,人工点击测试可行但有点累,如果能借助自动化测试工具就更好了.selenium 就是一款能满足这样要求 ...

  4. python 牛客网 你的输出为:空。请检查一下你的代码,有没有循环输入处理多个case。问题解决

    你的输出为:空.请检查一下你的代码,有没有循环输入处理多个case.点击查看如何处理多个case 核心:他这个程序测试正确与否的流程是 连续输入多组测试数据进行测试,只有每组数据都对才行 所以必须使用 ...

  5. win10 store 无法连接网络(原创)

    当你试过所有的解决攻略 都无效时,那么使用这个教程 关闭以下的蓝色框里的

  6. 解决 "Script Error" 的另类思路

    本文由小芭乐发表 前端的同学如果用 window.onerror 事件做过监控,应该知道,跨域的脚本会给出 "Script Error." 提示,拿不到具体的错误信息和堆栈信息. ...

  7. 图片人脸检测——OpenCV版(二)

    图片人脸检测 人脸检测使用到的技术是OpenCV,上一节已经介绍了OpenCV的环境安装,点击查看. 往期目录 视频人脸检测——Dlib版(六)OpenCV添加中文(五)图片人脸检测——Dlib版(四 ...

  8. 正则表达式,re模块

    一,正则表达式 正则表达式是对字符串操作的一种逻辑公式,我们一般使用正则表达式对字符串进行匹配和过滤,使用正则的优缺点,我们可以去http://tool.chinaz.com/regex/进行测试. ...

  9. 初识scss:配置与运行

    1.SCSS和Sass Sass 和 SCSS 其实是同一种东西,我们平时都称之为 Sass.他们都是用Ruby开发Css预处理器,boostrap4已经将less换成了sass. 不同之处: 文件拓 ...

  10. LintCode Binary Search

    For a given sorted array (ascending order) and a target number, find the first index of this number ...