业务系统越来越多,服务器也越来越多,本文主要是给企业用户减少账号密码管理难度的。

目的:使用ldap统一管理账号密码,实现单点登录linux。

一点废话,网上找了很多文章,看得云里雾里,搞了几天算是搞明白了一点,记录一下,希望有人能用得上。

小白文,接触过一点linux的都可以尝试一下

环境准备

ldap server 本文用的群晖上的

操作系统debian 12,理论上linux都可以用

开搞前强烈建议对使用的虚拟机进行快照,不要直接在生产服务器上使用。

ldap server搭建过程:略

ldap server 信息如下:

域:my

ip:10.0.0.251

base dn: dc=my

bind dn: uid=root,cn=users,dc=my

密码: abcd1234

以下为debian 12上的操作

安装sssd ldap-utils,如果安装过别的ldap管理工具,请先卸载。所有命令均为root下运行

apt update

apt install sssd ldap-utils

测试ldap是否可用,然后输入管理员密码

ldapsearch -x -b "dc=my" -D "uid=root,cn=users,dc=my" -H ldap://10.0.0.251 -W

重点是框出来的这几项,如果没有的话,那就得重新做映射了,标准的应该都有。

测试成功,创建sssd.conf,默认没这文件nano /etc/sssd/sssd.conf 用的系统可以用vi或vim

[sssd]

services = nss, pam

domains = my                                    #域,和下面[domain/my]对应

[nss]

debug_level = 9

#filter_groups = root                           #不知道有啥用,反正我注释掉了

#filter_users = root                            #不知道有啥用,反正我注释掉了

entry_cache_timeout = 300

entry_cache_nowait_percentage = 75

[domain/my]                                     #这儿的my对应上面的域,抄作业记得改名字

debug_level = 9

auth_provider = ldap

id_provider = ldap

chpass_provider = ldap

ldap_schema = rfc2307                           #ldap版本,默认就是这个rfc2307其它还有rfc2307bis,IPA,AD

ldap_uri = ldap://10.0.0.251:389                #改了host的话也可以填my,我这儿用的ip

ldap_search_base = dc=my                        #base dn

ldap_default_bind_dn = uid=root,cn=users,dc=my  #dind dn

ldap_default_authtok_type = password            #认证方式,密码认证

ldap_default_authtok = abcd1234                 #ldap的管理员密码

override_homedir = /home/%u                     #重定向用户文件夹为/home/用户名

override_shell= /bin/bash                       #修改默认shell为/bin/bash,群晖默认是/bin/sh,不好用,所以改了

用nano编辑器的按ctrl+x输入y保存并退出,用vi或vim的按i进行编辑,按esc退出编辑模式退直接输入:wq后保存退出

修改sssd.conf的权限,并重启sssd服务

chmod 600 /etc/sssd/sssd.conf      #一般是600,如果报权限错误可以试试改成777再看看

systemctl restart sssd

查看sssd状态

systemctl status sssd

正常如下,如果之前有安装过nscd之类的,会报错。



验证用户,abc为ldap上的用户

getent passwd abc



能够查询到用户说明ldap已经连接成功了,如果查不到,那就需要排查一下

查阅日志sssd_域,我这儿是my

tail -f /var/log/sssd/sssd_my.log

或者直接用

tail -f /var/log/sssd/sssd_*.log

配置为第一次登录的用户创建home目录,选配

pam-auth-update --enable mkhomedir

解决掉各种问题后,尝试ssh登录

参考文献:

https://www.mankier.com/5/sssd-ldap-attributes

https://www.mankier.com/5/sssd-ldap

https://cn.linux-console.net/?p=13587

https://hmli.ustc.edu.cn/doc/linux/ubuntu-ldap/ubuntu-ldap.html

ldap sssd授权linux登录的更多相关文章

  1. LDAP未授权访问学习

    LDAP未授权访问学习 一.LDAP 介绍 LDAP的全称为Lightweight Directory Access Protocol(轻量级目录访问协议), 基于X.500标准, 支持 TCP/IP ...

  2. IIS 解决问题:HTTP 错误 401.1 - 未授权:登录失败

    解决问题:HTTP 错误 401.1 - 未授权:登录失败 HTTP 错误 401.1 - 未授权:登录失败 Internet 信息服务 -----------解决这个问题,折磨了两天,终于搞定了,首 ...

  3. Foxmail 登录 qq 账号时无法登录 提示我们设置了独立密码或使用授权码登录的解决方法

    Foxmail 登录 qq 账号时无法登录  提示我们设置了独立密码或使用授权码登录的解决方法 1.首先我们设置我们邮箱的类型如下图所示 2.打开网页版的qq邮箱  在设置--->账户---&g ...

  4. HTTP 401.1 - 未授权:登录失败

    1 HTTP 401.1 - 未授权:登录失败 由于用户匿名访问使用的账号(默认是IUSR_机器名)被禁用,或者没有权限访问计算机,将造成用户无法访问.    解决方案: 1 打开IIS,右键站点,选 ...

  5. Oracle12C用户创建、授权、登录

    Oracle12C用户创建.授权.登录 1.以系统用户登录 C:\Users\LEI>sqlplus sys/dwh as sysdba; SQL*Plus: Release 12.1.0.2. ...

  6. [记录] Linux登录前后提示语

    Linux登录前后提示语 /etc/issue 本地(虚拟控制台KVM等)登录前提示语,支持转义字符 /etc/issue.net 远程(telnet,ssh)登录前提示语,不支持转义字符 /etc/ ...

  7. linux登录后出现-bash-4.1$

    linux登录后有时候会出现-bash-4.1$ 造成这样的原因: 与这个用户有关环境变量没了,有关的文件被删除.也就是用户的家目录下面 .bash_profile .bashrc 被删除. 解决办法 ...

  8. linux 登录后有时候会出现-bash-4.1$

    转载自https://blog.csdn.net/jiedao_liyk/article/details/78470498 linux登录后有时候会出现-bash-4.1$ 造成这样的原因: 与这个用 ...

  9. 小D课堂-SpringBoot 2.x微信支付在线教育网站项目实战_5-4.微信授权一键登录开发之授权URL获取

    笔记 4.微信授权一键登录开发之授权URL获取     简介:获取微信开放平台扫码连url地址 1.增加结果工具类,JsonData;  增加application.properties配置      ...

  10. 小D课堂-SpringBoot 2.x微信支付在线教育网站项目实战_5-1.数据信息安全--微信授权一键登录功能介绍

    笔记 1.数据信息安全--微信授权一键登录功能介绍 简介:讲解登录方式优缺点和微信授权一键登录功能介绍         1.手机号或者邮箱注册             优点:              ...

随机推荐

  1. 安卓端出现https请求失败的一次问题排查

    背景 某天早上,正在一个会议时,突然好几个同事被叫出去了:后面才知道,是有业务同事反馈到领导那里,我们app里面某个功能异常. 具体是这样,我们安卓版本的app是禁止截屏的(应该是app里做了拦截), ...

  2. ACPM高效C++组件管理让音视频终端SDK性能更好、稳定性更高

    本专栏将分享阿里云视频云MediaBox系列技术文章,深度剖析音视频开发利器的技术架构.技术性能.开发能效和最佳实践,一起开启音视频的开发之旅.本文为MediaBox技术架构篇,重点从 ACPM介绍. ...

  3. docker制作compose

    第一步,先了解Compose是什么? Compose 项目是 Docker 官方的开源项目,负责实现对 Docker 容器集群的快速编排. Compose有两个重要的概念 1.项目 :由一组关联的应用 ...

  4. [CF1844G] Tree Weights

    题目描述 You are given a tree with $ n $ nodes labelled $ 1,2,\dots,n $ . The $ i $ -th edge connects no ...

  5. 基于winform(C#)的飞鸟小游戏

    本项目是一款基于C# (winform)版本的飞鸟小游戏,是一款益智类游戏 其效果如下图所示 如上图所示为飞鸟游戏的初始化界面: 可以看到游戏包含了四个功能: 启动 注册 登陆 排行榜 启动:是用于开 ...

  6. MySQL日期查询

    MySQL日期查询 1.今天 select * from 表名 where to_days(时间字段名) = to_days(now()); 2.昨天 SELECT * FROM 表名 WHERE T ...

  7. Selenium基本使用、过检测

    import time from selenium import webdriver from selenium.webdriver.chrome.service import Service as ...

  8. jclasslib的安装

    双击安装包打开后点击下一步,然后选择安装的路径. 默认路径,如果c盘有空间不建议更改路径,然后再次点击下一步 依然选择下一步 最后点击完成即可完成安装.现在可以使用啦 注:如果需要安装包,请点击下面链 ...

  9. vulnhub - Nagini - writeup

    信息收集 基础信息 目标只开放了22和88: root@Lockly tmp/nagini » arp-scan -I eth1 -l Interface: eth1, type: EN10MB, M ...

  10. Linux测试磁盘读写性能

    1.安装必要的工具: 确保系统上已经安装了必要的工具,hdparm和fio.使用以下命令来安装它们: sudo yum install hdparm fio -y 2.使用hdparm测试磁盘读性能: ...