OpenLDAP主机控制策略

阅读视图

  1. 参考
  2. 环境准备
  3. openldap服务端配置
  4. openldap客户端配置
  5. 客户端测试登录
  6. 故障处理

1. 参考

本文基本转载博客openldap主机访问控制(基于hostname)

该博主另一篇文档,还没测试openldap主机访问控制(基于ip)

2. 环境准备

因为本文与其他文档属性不冲突,所以完全可以使用以前的环境做实验。

3. openldap服务端配置

  1. 导入ldapns.schema方案,(hostObject类属性)

    https://github.com/openldap/openldap/blob/master/contrib/slapd-modules/nssov/ldapns.schema

    cat > /etc/openldap/schema/ldapns.schema << _EOF_
    
# $OpenLDAP$
    
# $Id: ldapns.schema,v 1.3 2009-10-01 19:17:20 tedcheng Exp $
    
# LDAP Name Service Additional Schema
    
# http://www.iana.org/assignments/gssapi-service-names

#
    
# Not part of the distribution: this is a workaround!
    
#

attributetype ( 1.3.6.1.4.1.5322.17.2.1 NAME 'authorizedService'
    
        DESC 'IANA GSS-API authorized service name'
    
        EQUALITY caseIgnoreMatch
    
        SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{256} )

attributetype ( 1.3.6.1.4.1.5322.17.2.2 NAME 'loginStatus'
    
        DESC 'Currently logged in sessions for a user'
    
        EQUALITY caseIgnoreMatch
    
        SUBSTR caseIgnoreSubstringsMatch
    
        ORDERING caseIgnoreOrderingMatch
    
        SYNTAX OMsDirectoryString )

objectclass ( 1.3.6.1.4.1.5322.17.1.1 NAME 'authorizedServiceObject'
    
        DESC 'Auxiliary object class for adding authorizedService attribute'
    
        SUP top
    
        AUXILIARY
    
        MAY authorizedService )

objectclass ( 1.3.6.1.4.1.5322.17.1.2 NAME 'hostObject'
    
        DESC 'Auxiliary object class for adding host attribute'
    
        SUP top
    
        AUXILIARY
    
        MAY host )

objectclass ( 1.3.6.1.4.1.5322.17.1.3 NAME 'loginStatusObject'
    
        DESC 'Auxiliary object class for login status attribute'
    
        SUP top
    
        AUXILIARY
    
        MAY loginStatus )
    
_EOF_

    复制到/etc/openldap/schema/ldapns.schema

  2. 配置slapd.conf配置文件

    include         /etc/openldap/schema/ldapns.schema
    
include         /etc/openldap/schema/dyngroup.schema

modulepath /usr/lib64/openldap
    
moduleload dynlist.la

overlay dynlist
    
dynlist-attrset inetOrgPerson labeledURI
    

    rm -rf /etc/openldap/slapd.d/*
    
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
    
chown -R ldap:ldap /etc/openldap/slapd.d
    
systemctl restart slapd

  3. 验证服务端是否正常加载

  4. 定义主机列表组

    cat << _EOF_ | ldapadd -x -W -H ldapi:/// -D cn=Manager,dc=gdy,dc=com
    
dn: ou=servers,dc=gdy,dc=com
    
objectClass: organizationalUnit
    
ou: servers

dn: ou=apphost,ou=servers,dc=gdy,dc=com
    
objectClass: organizationalUnit
    
objectClass: hostObject
    
ou: apphost
    
host: test01.gdy.com

dn: ou=dbhost,ou=servers,dc=gdy,dc=com
    
objectClass: organizationalUnit
    
objectClass: hostObject
    
ou: dbhost
    
host: test02.gdy.com
    
_EOF_

  5. 定义用户

    cat << _EOF_ | ldapadd -x -W -H ldapi:/// -D cn=Manager,dc=gdy,dc=com
    
dn: uid=lisi,ou=people,dc=gdy,dc=com
    
objectClass: posixAccount
    
objectClass: shadowAccount
    
objectClass: person
    
objectClass: inetOrgPerson
    
objectClass: hostObject
    
cn: lisi
    
sn: lisi
    
uid: lisi
    
userPassword: {CRYPT}$6$AgFUbww9$Pa70MIDhUT2z3.Sg83VRnWnaDRubTHJsSxYMzbD3LQlMmXX0VeqHRHd2usrJbId.oFOeoMKi3GC60qjIHUKqK.
    
uidNumber: 10006
    
gidNumber: 10010
    
gecos: App Manager
    
homeDirectory: /home/lisi
    
loginShell: /bin/bash
    
shadowLastChange: 15000
    
shadowMin: 0
    
shadowMax: 999999
    
shadowWarning: 7
    
shadowExpire: -1
    
mobile: 13900001001
    
mail: lisi@gdy.com
    
labeledURI: ldap:///ou=apphost,ou=servers,dc=gdy,dc=com?host
    
_EOF_
    

    cat << _EOF_ | ldapadd -x -W -H ldapi:/// -D cn=Manager,dc=gdy,dc=com
    
dn: uid=zhangsan,ou=people,dc=gdy,dc=com
    
objectClass: posixAccount
    
objectClass: shadowAccount
    
objectClass: person
    
objectClass: inetOrgPerson
    
objectClass: hostObject
    
cn: zhangsan
    
sn: zhangsan
    
uid: zhangsan
    
userPassword: {CRYPT}$6$0hM3RIS/$omCj0x/ggD.zy3pNNjVo80nhiYHbUvdQaBKsawBBTQ/r/KY2PD77NHDqEPgzZ1Wz2/ZiL./pL65BuNyZ1SHC41
    
uidNumber: 10007
    
gidNumber: 10011
    
gecos: opteam
    
homeDirectory: /home/zhangsan
    
loginShell: /bin/bash
    
shadowLastChange: 15000
    
shadowMin: 0
    
shadowMax: 999999
    
shadowWarning: 7
    
shadowExpire: -1
    
mobile: 13900001002
    
mail: zhangsan@gdy.com
    
labeledURI: ldap:///ou=devhost,ou=servers,dc=gdy,dc=com?host
    
_EOF_

4. openldap客户端配置

  1. 定义FQDN解析, 已测试过如果不定义会登录不成功

    cat >> /etc/hosts << EOF
    
192.168.244.17    mldap01.gdy.com    mldap01
    
192.168.244.18    test01.gdy.com     test01

  2. pam_ldap.conf参数规划

    cat >> /etc/pam_ldap.conf  << EOF
    
pam_check_host_attr yes
    
EOF

5. 客户端测试登录

  1. 正确实例

    [root@test01 ~]# ssh lisi@127.0.0.1
    
lisi@127.0.0.1's password:
    
Last login: Fri Jun  1 16:24:12 2018 from localhost
    
[lisi@test01 ~]$ hostname
    
test01.gdy.com

  2. 失败实例

    [root@test01 ~]# ssh zhangsan@127.0.0.1
    
zhangsan@127.0.0.1's password:
    
Access denied for this host
    
Connection closed by 127.0.0.1

  3. 如果用户没有配置好登录属性,服务器基本就全部登录不了。

6. 故障处理

  1. PS1变量失效,错误如下

    [root@test01 home]# ssh lisi@127.0.0.1
    
lisi@127.0.0.1's password:
    
Permission denied, please try again.
    
lisi@127.0.0.1's password:
    
Last login: Fri Jun  1 14:10:53 2018 from localhost
    
-sh-4.1$      # 发现显示不正常

    解决方法:重新配置了一遍,发现loginShell忘记定义或者定义有问题导致loginShell属性不存在。所以会产生如上bug。

08-OpenLDAP主机控制策略的更多相关文章

  1. openldap主机访问控制(基于hostname)

    http://mayiwei.com/2013/03/21/centos6-openldap/ http://www.zytrax.com/books/ldap/ch11/dynamic.html h ...

  2. openldap主机访问控制(基于用户组)

    建立组织单元 cat << _EOF_ | ldapadd -x -W -H ldaps://master.local -D cn=manager,dc=suntv,dc=tv dn: o ...

  3. openldap主机访问控制(基于ip)

    http://blog.oddbit.com/2013/07/22/generating-a-membero/ http://gsr-linux.blogspot.jp/2011/01/howto-o ...

  4. OpenLDAP 搭建入门

    系统环境:CentOS 7 slapd版本:2.4.44 简介 OpenLDAP是一款轻量级目录访问协议,基于X.500标准的,支持TCP/IP协议,用于实现账号集中管理的开源软件,提供一整套安全的账 ...

  5. openldap系列

    openldap系列 阅读视图 系列介绍 openldap系列目录 1. 系列介绍 本系列文档大部分来自于郭大勇老师的<OpenLDAP实战指南>,少部分来自于互联网.所有文档均已经过本人 ...

  6. OpenLdap 对接内部系统(Gitlab+Wiki+Jumpserver+Openvpn)配置

    LDAP 全称轻量级目录访问协议(英文:Lightweight Directory Access Protocol),是一个运行在 TCP/IP 上的目录访问协议.目录是一个特殊的数据库,它的数据经常 ...

  7. Cloudera Hadoop 5& Hadoop高阶管理及调优课程(CDH5,Hadoop2.0,HA,安全,管理,调优)

    1.课程环境 本课程涉及的技术产品及相关版本: 技术 版本 Linux CentOS 6.5 Java 1.7 Hadoop2.0 2.6.0 Hadoop1.0 1.2.1 Zookeeper 3. ...

  8. Centos6 yum安装openldap+phpldapadmin+TLS+双主配置

    原文地址:http://54im.com/openldap/centos-6-yum-install-openldap-phpldapadmin-tls-%E5%8F%8C%E4%B8%BB%E9%8 ...

  9. SELINUX、Security Access Control Strategy && Method And Technology Research - 安全访问控制策略及其方法技术研究

    catalog . 引言 . 访问控制策略 . 访问控制方法.实现技术 . SELINUX 0. 引言 访问控制是网络安全防范和客户端安全防御的主要策略,它的主要任务是保证资源不被非法使用.保证网络/ ...

随机推荐

  1. Kaggle-tiantic数据建模与分析

    1.数据可视化 kaggle中数据解释:https://www.kaggle.com/c/titanic/data 数据形式: 读取数据,并显示数据信息 data_train = pd.read_cs ...

  2. Spring Boot + Spring Cloud 实现权限管理系统 后端篇(十二):解决跨域问题

    什么是跨域? 同源策略是浏览器的一个安全功能,不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源. 同源策略是浏览器安全的基石. 如果一个请求地址里面的协议.域名和端口号都相同,就属于同源. ...

  3. Nexus安装、使用说明 (转)

    1. 为什么使用Nexus 如果没有私服,我们所需的所有构件都需要通过maven的中央仓库和第三方的Maven仓库下载到本地,而一个团队中的所有人都重复的从maven仓库下 载构件无疑加大了仓库的负载 ...

  4. SVM笔记

    1.前言 SVM(Support Vector Machine)是一种寻求最大分类间隔的机器学习方法,广泛应用于各个领域,许多人把SVM当做首选方法,它也被称之为最优分类器,这是为什么呢?这篇文章将系 ...

  5. Redis 内存模型

    了解 Redis 的 5 种对象类型(字符串.哈希.列表.集合.有序集合)的用法和特点的基础,了解 Redis 的内存模型,对 Redis 的使用有很大帮助,例如: 估算 Redis 内存使用量.内存 ...

  6. 和我一起打造个简单搜索之IK分词以及拼音分词

    elasticsearch 官方默认的分词插件,对中文分词效果不理想,它是把中文词语分成了一个一个的汉字.所以我们引入 es 插件 es-ik.同时为了提升用户体验,引入 es-pinyin 插件.本 ...

  7. (转)MySQL触发器trigger示例详解

    一.什么是触发器 触发器是与表有关的数据库对象,在满足定义条件时触发,并执行触发器中定义的语句集合.触发器的这种特性可以协助应用在数据库端确保数据的完整性. 举个例子,比如你现在有两个表[用户表]和[ ...

  8. 常见HTTP状态码及URL编码表

    常见HTTP状态码 1xx: 信息          (用于表示临时响应并需要请求者执行操作才能继续的状态代码) 消息: 描述: 100 Continue 服务器仅接收到部分请求,但是一旦服务器并没有 ...

  9. Nginx实战-后端应用健康检查

    严格来说,nginx是没有针对负载均衡后端节点的健康检查的,但是可以通过proxy_next_upstream来间接实现,但这个还是会把请求转发给故障服务器的,然后再转发给别的服务器,这样就浪费了一次 ...

  10. 移动APP开发框架盘点

    移动APP开发框架盘点 总体概述 现在比较流行的移动APP开发框架有以下六种:网页.混合.渐进.原生.桥接.自绘.前三种体验与Web的体验相似,后三种与原生APP的体验相似.这六种框架形式,都有自己适 ...