业务系统越来越多,服务器也越来越多,本文主要是给企业用户减少账号密码管理难度的。

目的:使用ldap统一管理账号密码,实现单点登录linux。

一点废话,网上找了很多文章,看得云里雾里,搞了几天算是搞明白了一点,记录一下,希望有人能用得上。

小白文,接触过一点linux的都可以尝试一下

环境准备

ldap server 本文用的群晖上的

操作系统debian 12,理论上linux都可以用

开搞前强烈建议对使用的虚拟机进行快照,不要直接在生产服务器上使用。

ldap server搭建过程:略

ldap server 信息如下:

域:my

ip:10.0.0.251

base dn: dc=my

bind dn: uid=root,cn=users,dc=my

密码: abcd1234

以下为debian 12上的操作

安装sssd ldap-utils,如果安装过别的ldap管理工具,请先卸载。所有命令均为root下运行

apt update

apt install sssd ldap-utils

测试ldap是否可用,然后输入管理员密码

ldapsearch -x -b "dc=my" -D "uid=root,cn=users,dc=my" -H ldap://10.0.0.251 -W

重点是框出来的这几项,如果没有的话,那就得重新做映射了,标准的应该都有。

测试成功,创建sssd.conf,默认没这文件nano /etc/sssd/sssd.conf 用的系统可以用vi或vim

[sssd]

services = nss, pam

domains = my                                    #域,和下面[domain/my]对应

[nss]

debug_level = 9

#filter_groups = root                           #不知道有啥用,反正我注释掉了

#filter_users = root                            #不知道有啥用,反正我注释掉了

entry_cache_timeout = 300

entry_cache_nowait_percentage = 75

[domain/my]                                     #这儿的my对应上面的域,抄作业记得改名字

debug_level = 9

auth_provider = ldap

id_provider = ldap

chpass_provider = ldap

ldap_schema = rfc2307                           #ldap版本,默认就是这个rfc2307其它还有rfc2307bis,IPA,AD

ldap_uri = ldap://10.0.0.251:389                #改了host的话也可以填my,我这儿用的ip

ldap_search_base = dc=my                        #base dn

ldap_default_bind_dn = uid=root,cn=users,dc=my  #dind dn

ldap_default_authtok_type = password            #认证方式,密码认证

ldap_default_authtok = abcd1234                 #ldap的管理员密码

override_homedir = /home/%u                     #重定向用户文件夹为/home/用户名

override_shell= /bin/bash                       #修改默认shell为/bin/bash,群晖默认是/bin/sh,不好用,所以改了

用nano编辑器的按ctrl+x输入y保存并退出,用vi或vim的按i进行编辑,按esc退出编辑模式退直接输入:wq后保存退出

修改sssd.conf的权限,并重启sssd服务

chmod 600 /etc/sssd/sssd.conf      #一般是600,如果报权限错误可以试试改成777再看看

systemctl restart sssd

查看sssd状态

systemctl status sssd

正常如下,如果之前有安装过nscd之类的,会报错。



验证用户,abc为ldap上的用户

getent passwd abc



能够查询到用户说明ldap已经连接成功了,如果查不到,那就需要排查一下

查阅日志sssd_域,我这儿是my

tail -f /var/log/sssd/sssd_my.log

或者直接用

tail -f /var/log/sssd/sssd_*.log

配置为第一次登录的用户创建home目录,选配

pam-auth-update --enable mkhomedir

解决掉各种问题后,尝试ssh登录

参考文献:

https://www.mankier.com/5/sssd-ldap-attributes

https://www.mankier.com/5/sssd-ldap

https://cn.linux-console.net/?p=13587

https://hmli.ustc.edu.cn/doc/linux/ubuntu-ldap/ubuntu-ldap.html

ldap sssd授权linux登录的更多相关文章

  1. LDAP未授权访问学习

    LDAP未授权访问学习 一.LDAP 介绍 LDAP的全称为Lightweight Directory Access Protocol(轻量级目录访问协议), 基于X.500标准, 支持 TCP/IP ...

  2. IIS 解决问题:HTTP 错误 401.1 - 未授权:登录失败

    解决问题:HTTP 错误 401.1 - 未授权:登录失败 HTTP 错误 401.1 - 未授权:登录失败 Internet 信息服务 -----------解决这个问题,折磨了两天,终于搞定了,首 ...

  3. Foxmail 登录 qq 账号时无法登录 提示我们设置了独立密码或使用授权码登录的解决方法

    Foxmail 登录 qq 账号时无法登录  提示我们设置了独立密码或使用授权码登录的解决方法 1.首先我们设置我们邮箱的类型如下图所示 2.打开网页版的qq邮箱  在设置--->账户---&g ...

  4. HTTP 401.1 - 未授权:登录失败

    1 HTTP 401.1 - 未授权:登录失败 由于用户匿名访问使用的账号(默认是IUSR_机器名)被禁用,或者没有权限访问计算机,将造成用户无法访问.    解决方案: 1 打开IIS,右键站点,选 ...

  5. Oracle12C用户创建、授权、登录

    Oracle12C用户创建.授权.登录 1.以系统用户登录 C:\Users\LEI>sqlplus sys/dwh as sysdba; SQL*Plus: Release 12.1.0.2. ...

  6. [记录] Linux登录前后提示语

    Linux登录前后提示语 /etc/issue 本地(虚拟控制台KVM等)登录前提示语,支持转义字符 /etc/issue.net 远程(telnet,ssh)登录前提示语,不支持转义字符 /etc/ ...

  7. linux登录后出现-bash-4.1$

    linux登录后有时候会出现-bash-4.1$ 造成这样的原因: 与这个用户有关环境变量没了,有关的文件被删除.也就是用户的家目录下面 .bash_profile .bashrc 被删除. 解决办法 ...

  8. linux 登录后有时候会出现-bash-4.1$

    转载自https://blog.csdn.net/jiedao_liyk/article/details/78470498 linux登录后有时候会出现-bash-4.1$ 造成这样的原因: 与这个用 ...

  9. 小D课堂-SpringBoot 2.x微信支付在线教育网站项目实战_5-4.微信授权一键登录开发之授权URL获取

    笔记 4.微信授权一键登录开发之授权URL获取     简介:获取微信开放平台扫码连url地址 1.增加结果工具类,JsonData;  增加application.properties配置      ...

  10. 小D课堂-SpringBoot 2.x微信支付在线教育网站项目实战_5-1.数据信息安全--微信授权一键登录功能介绍

    笔记 1.数据信息安全--微信授权一键登录功能介绍 简介:讲解登录方式优缺点和微信授权一键登录功能介绍         1.手机号或者邮箱注册             优点:              ...

随机推荐

  1. 大数据开发要学什么java还是python?

    在大数据开发领域,Java和Python都是备受青睐的编程语言.它们分别具有各自独特的特点和优势,在大数据处理方面也有不同的应用场景. 以下是对Java和Python在大数据开发中的应用.优势以及学习 ...

  2. Postgres 和 MySQL 应该怎么选?

    PostgreSQL和MySQL是两个流行的关系型数据库管理系统(DBMS).它们都具有一些相似的功能,但也有一些区别. 在选择使用哪个DBMS时,需要考虑多个因素,包括性能.可扩展性.安全性.功能丰 ...

  3. netty整合websocket(完美教程)

    websocket的介绍: WebSocket是一种在网络通信中的协议,它是独立于HTTP协议的.该协议基于TCP/IP协议,可以提供双向通讯并保有状态.这意味着客户端和服务器可以进行实时响应,并且这 ...

  4. 吉特日化MES & 实施Windows Server 远程登录的问题

    Windows远程登录提醒:由于没有远程桌面授权服务器可以提供许可证,远程会话连接已断开.请跟服务器管理员联系. 由于没有远程桌面授权服务器可以提供许可证,远程会话连接已断开.请跟服务器管理员联系. ...

  5. idea用不了 idea.bat文件闪退

    由于idea的智能,在破解之后会留下一些问题,根据网上搜出来的解决办法. 1.C:\Users\dell\AppData\Roaming\JetBrains\IntelliJIdea2022.2 在这 ...

  6. 【低代码】低代码平台协同&敏捷场景下的并行开发解决方案探索

    低代码开发平台的出现,大大地提高的产品交付效率,但是在协同开发.敏捷迭代的场景下,也暴露出了一些问题. 例如: 多人同时对项目进行修改,相互影响甚至修改内容被互相覆盖: 同一项目下多个需求同步开发,但 ...

  7. Ubuntu 20.04 安装Odoo17

    1.升级系统 sudo apt-get update 2.更新系统 sudo apt-get upgrade 3.查看系统Python3版本 python3 -V 4.更新Python3.8到3.10 ...

  8. 文心一言 VS 讯飞星火 VS chatgpt (167)-- 算法导论13.1 7题

    七.用go语言,试描述一棵含有 n 个关键字的红黑树,使其红色内部结点个数与黑色内部结点个数的比值最大.这个比值是多少? 该比值最小的树又是怎样呢?比值是多少? 文心一言: 红黑树是一种自平衡的二叉查 ...

  9. WinRM服务应用及配置说明

    一.什么是winRM服务 1.1.winRM服务介绍 Windows远程管理(WinRM)服务是Windows Server 2003 R2以上版本中一种新式的方便远程管理的服务.通过WinRM服务, ...

  10. 未能加载文件或程序集“*****.dll”或它的某一个依赖项。找到的程序集清单定义与程序集引用不匹配。(异常来自HRESULT:0x80131040)

    问题描述: 未能加载文件或程序集"*****.dll"或它的某一个依赖项.找到的程序集清单定义与程序集引用不匹配.(异常来自HRESULT:0x80131040) 解决方法: 1. ...