业务系统越来越多,服务器也越来越多,本文主要是给企业用户减少账号密码管理难度的。

目的:使用ldap统一管理账号密码,实现单点登录linux。

一点废话,网上找了很多文章,看得云里雾里,搞了几天算是搞明白了一点,记录一下,希望有人能用得上。

小白文,接触过一点linux的都可以尝试一下

环境准备

ldap server 本文用的群晖上的

操作系统debian 12,理论上linux都可以用

开搞前强烈建议对使用的虚拟机进行快照,不要直接在生产服务器上使用。

ldap server搭建过程:略

ldap server 信息如下:

域:my

ip:10.0.0.251

base dn: dc=my

bind dn: uid=root,cn=users,dc=my

密码: abcd1234

以下为debian 12上的操作

安装sssd ldap-utils,如果安装过别的ldap管理工具,请先卸载。所有命令均为root下运行

apt update

apt install sssd ldap-utils

测试ldap是否可用,然后输入管理员密码

ldapsearch -x -b "dc=my" -D "uid=root,cn=users,dc=my" -H ldap://10.0.0.251 -W

重点是框出来的这几项,如果没有的话,那就得重新做映射了,标准的应该都有。

测试成功,创建sssd.conf,默认没这文件nano /etc/sssd/sssd.conf 用的系统可以用vi或vim

[sssd]

services = nss, pam

domains = my                                    #域,和下面[domain/my]对应

[nss]

debug_level = 9

#filter_groups = root                           #不知道有啥用,反正我注释掉了

#filter_users = root                            #不知道有啥用,反正我注释掉了

entry_cache_timeout = 300

entry_cache_nowait_percentage = 75

[domain/my]                                     #这儿的my对应上面的域,抄作业记得改名字

debug_level = 9

auth_provider = ldap

id_provider = ldap

chpass_provider = ldap

ldap_schema = rfc2307                           #ldap版本,默认就是这个rfc2307其它还有rfc2307bis,IPA,AD

ldap_uri = ldap://10.0.0.251:389                #改了host的话也可以填my,我这儿用的ip

ldap_search_base = dc=my                        #base dn

ldap_default_bind_dn = uid=root,cn=users,dc=my  #dind dn

ldap_default_authtok_type = password            #认证方式,密码认证

ldap_default_authtok = abcd1234                 #ldap的管理员密码

override_homedir = /home/%u                     #重定向用户文件夹为/home/用户名

override_shell= /bin/bash                       #修改默认shell为/bin/bash,群晖默认是/bin/sh,不好用,所以改了

用nano编辑器的按ctrl+x输入y保存并退出,用vi或vim的按i进行编辑,按esc退出编辑模式退直接输入:wq后保存退出

修改sssd.conf的权限,并重启sssd服务

chmod 600 /etc/sssd/sssd.conf      #一般是600,如果报权限错误可以试试改成777再看看

systemctl restart sssd

查看sssd状态

systemctl status sssd

正常如下,如果之前有安装过nscd之类的,会报错。



验证用户,abc为ldap上的用户

getent passwd abc



能够查询到用户说明ldap已经连接成功了,如果查不到,那就需要排查一下

查阅日志sssd_域,我这儿是my

tail -f /var/log/sssd/sssd_my.log

或者直接用

tail -f /var/log/sssd/sssd_*.log

配置为第一次登录的用户创建home目录,选配

pam-auth-update --enable mkhomedir

解决掉各种问题后,尝试ssh登录

参考文献:

https://www.mankier.com/5/sssd-ldap-attributes

https://www.mankier.com/5/sssd-ldap

https://cn.linux-console.net/?p=13587

https://hmli.ustc.edu.cn/doc/linux/ubuntu-ldap/ubuntu-ldap.html

ldap sssd授权linux登录的更多相关文章

  1. LDAP未授权访问学习

    LDAP未授权访问学习 一.LDAP 介绍 LDAP的全称为Lightweight Directory Access Protocol(轻量级目录访问协议), 基于X.500标准, 支持 TCP/IP ...

  2. IIS 解决问题:HTTP 错误 401.1 - 未授权:登录失败

    解决问题:HTTP 错误 401.1 - 未授权:登录失败 HTTP 错误 401.1 - 未授权:登录失败 Internet 信息服务 -----------解决这个问题,折磨了两天,终于搞定了,首 ...

  3. Foxmail 登录 qq 账号时无法登录 提示我们设置了独立密码或使用授权码登录的解决方法

    Foxmail 登录 qq 账号时无法登录  提示我们设置了独立密码或使用授权码登录的解决方法 1.首先我们设置我们邮箱的类型如下图所示 2.打开网页版的qq邮箱  在设置--->账户---&g ...

  4. HTTP 401.1 - 未授权:登录失败

    1 HTTP 401.1 - 未授权:登录失败 由于用户匿名访问使用的账号(默认是IUSR_机器名)被禁用,或者没有权限访问计算机,将造成用户无法访问.    解决方案: 1 打开IIS,右键站点,选 ...

  5. Oracle12C用户创建、授权、登录

    Oracle12C用户创建.授权.登录 1.以系统用户登录 C:\Users\LEI>sqlplus sys/dwh as sysdba; SQL*Plus: Release 12.1.0.2. ...

  6. [记录] Linux登录前后提示语

    Linux登录前后提示语 /etc/issue 本地(虚拟控制台KVM等)登录前提示语,支持转义字符 /etc/issue.net 远程(telnet,ssh)登录前提示语,不支持转义字符 /etc/ ...

  7. linux登录后出现-bash-4.1$

    linux登录后有时候会出现-bash-4.1$ 造成这样的原因: 与这个用户有关环境变量没了,有关的文件被删除.也就是用户的家目录下面 .bash_profile .bashrc 被删除. 解决办法 ...

  8. linux 登录后有时候会出现-bash-4.1$

    转载自https://blog.csdn.net/jiedao_liyk/article/details/78470498 linux登录后有时候会出现-bash-4.1$ 造成这样的原因: 与这个用 ...

  9. 小D课堂-SpringBoot 2.x微信支付在线教育网站项目实战_5-4.微信授权一键登录开发之授权URL获取

    笔记 4.微信授权一键登录开发之授权URL获取     简介:获取微信开放平台扫码连url地址 1.增加结果工具类,JsonData;  增加application.properties配置      ...

  10. 小D课堂-SpringBoot 2.x微信支付在线教育网站项目实战_5-1.数据信息安全--微信授权一键登录功能介绍

    笔记 1.数据信息安全--微信授权一键登录功能介绍 简介:讲解登录方式优缺点和微信授权一键登录功能介绍         1.手机号或者邮箱注册             优点:              ...

随机推荐

  1. Langchain使用自己定义的tool

    Langchain使用自己定义的tool 快速开始 tool是agent可用于与世界交互的功能.这些工具可以是通用实用程序(例如搜索).其他链,甚至是其他代理. 目前,可以使用以下代码片段加载工具: ...

  2. windows下tomcat开机自启动

    在Windows下,可以通过以下步骤将Tomcat设置为开机自启动: 1. 打开Tomcat安装目录:通常情况下,Tomcat的安装目录位于`C:\Program Files\Apache Softw ...

  3. 路径规划算法 - 求解最短路径 - Dijkstra(迪杰斯特拉)算法

    Dijkstra(迪杰斯特拉)算法的思想是广度优先搜索(BFS) 贪心策略. 是从一个顶点到其余各顶点的最短路径算法,节点边是不各自不同的权重,但都必须是正数 如果是负数,则需要 Bellman-Fo ...

  4. [ARC105E] Keep Graph Disconnected

    题目链接 好题. 如果 \(1\) 和 \(n\) 一直联通,开始即结束. 如果 \(n\mod 4=1\),那么 \(\frac 12x(x+1)+\frac12(n-x)(n-x+1)\) 为偶数 ...

  5. 看看 Asp.net core Webapi 项目如何优雅地使用分布式缓存

    前言 缓存是提升程序性能必不可少的方法,Asp.net core 支持多级缓存配置,主要有客户端缓存.服务器端缓存,内存缓存和分布式缓存等.其中客户端缓和服务器端缓存在使用上都有比较大的限制,而内存缓 ...

  6. modeless dialog in html

    <!DOCTYPE html> <html lang="zh_CN"> <head> <meta charset="UTF-8& ...

  7. JavaFx之触发激发鼠标事件(二十三)

    JavaFx之触发激发鼠标事件(二十三) 有时候,我们不能直接触发/激发某个按钮的点击事件,因为发起方可能是子线程.使用屏幕点击又不优雅,javafx已经提供了事件的激发,即使在子线程中也能激发某个按 ...

  8. 如何使用ffmpeg转换图片格式

    ffmpeg简介与图片格式介绍 windows安装ffmpeg,从如下网站下载release版本 https://www.gyan.dev/ffmpeg/builds/ ffmpeg 6.1版本仍然不 ...

  9. WMTS地图服务每一层级分辨率

    目录 1. 概述 2. 详论 2.1. Web墨卡托 2.2. 大地经纬度 3. 参考 1. 概述 WMTS地图服务每一层级的分辨率是多少?关于这个问题以前推算过,但总是忘记了.网上查询又是一堆废话, ...

  10. 技术实践丨基于MindSpore的ResNet-50蘑菇“君”的识别应用体验

    本文分享自华为云社区<基于MindSpore的ResNet-50蘑菇"君"的识别应用体验>,原文作者:Dasming. 摘要:基于华为MindSpore框架的ResNe ...