openldap+sssd实现ldap账号登陆linux服务器

原创 已于 2024-08-28 16:46:50 修改 · 935 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维

于 2024-08-28 16:38:21 首次发布

参考文档:

LDAP and Transport Layer Security (TLS) | Ubuntu

https://www.cnblogs.com/yun-xx/p/17961221

踩坑:

最早用的是docker版本openLDAP,没有tls的,结果各种验证不过,看日志隐约感觉是要用tls才行。

于是开始安装openLDAP,中间看了几个编译的版本没成功,最后还是官网的安装一试成功了。

Ubuntu22安装openLDAP:

sudo apt install slapd ldap-utils

配置openLDAP:

sudo dpkg-reconfigure slapd

后续步骤按官网的来,dc=example,dc=com这些名字可以改成自己的,比如xxx。

安装好后开始继续配置TLS,安装按官网文档依葫芦画瓢一路下来

Create the /etc/ssl/ldap01.info info file containing:

organization = Example Company
cn = ldap01.example.com
tls_www_server
encryption_key
signing_key
expiration_days = 365

这里的cn=ldap01.example.com,记得改成你的(比如xxx.com),到时在改/etc/hosts的时候对应配上解析(我是走hosts,没用dns解析)

openLDAP的都配置好后,开始安装配置sssd:

apt install sssd ldap-utils

修改/etc/sssd/sssd.conf(记得权限要600)

[sssd]
config_file_version = 2
services = nss, pam
domains = alpha
[nss]
debug_level = 4
filter_groups = root
filter_users = root
[domain/alpha]
debug_level = 9
auth_provider = ldap
id_provider = ldap
chpass_provider = ldap


ldap_uri = ldaps://xxx.com
ldap_search_base = dc=xxx,dc=com
#ldap_default_bind_dn = cn=admin,dc=xxx,dc=com
ldap_default_authtok_type = password
ldap_default_authtok = 123456
override_homedir = /home/%u
override_shell = /bin/bash
access_provider = permit
sudo_provider = ldap
autofs_provider = ldap
resolver_provider = ldap

ldap_tls_reqcert = never
ldap_id_use_start_tls = true

配置好后测试成功:

本拉明
关注
OpenLDAP+SSL+SSSD 实现Linux登录集中认证
weixin_33935505的博客
07-15 2094
OpenLDAP+SSL+SSSD 实现Linux登录集中认证第一部分OpenLDAP之sldap数据库安装1、yum安装yuminstall-yopenldapopenldap-serversopenssh-ldapopenldap-clientsmigrationtools2、配置ssl域名证书,实现ldap的TLS加密通信通过域名master.ldap....
CDH集群安装OpenLDAP服务并集成sssd客户端
YQCKD的博客
02-12 600
 操作环境 操作系统:Red Hat Enterprise Linux Server release 7.4 集群环境:CDH5.16.2 1 OpenLDAP的安装与配置 配置LDAP服务器 1.1.1 安装 LDAP 及相关软件包 yum -y install openldap-clients openldap-servers migrationtools 1.1.2 修改OpenLDA...
openldap 集成 sssd
Man_In_The_Night的博客
09-27 1370
openldap 集成 sssd 实验环境: openldap 服务器,ip:10.2.7.100。sssd 服务器,操作系统 centos7,ip:10.2.7.200 sssd 服务 一个守护进程,该进程可以用来访问多种验证服务器,如LDAP,Kerberos等,并提供授权。SSSD是 介于本地用户和数据存储之间的进程,本地客户端首先连接SSSD,再由SSSD联系外部资源提供者(一台远程服务器...
CentOS7.4配置OpenLDAP Client集成AD服务及SSSD服务与SSH服务
小陌成长之路
04-14 2736
CentOS7.4配置OpenLDAP Client集成AD服务及SSSD服务与SSH服务
【转载】Linux OpenLDAP集成sssd同步用户并集成SSH登录
Mrerlou的博客
10-09 2066
sssd服务是一个守护进程,该进程可以用来访问多种验证服务器,如LDAP,Kerberos等,并提供授权。SSSD是 介于本地用户和数据存储之间的进程,本地客户端首先连接SSSD,再由SSSD联系外部资源提供者(一台远程服务器)(1)避免了本地每个客户端程序对认证服务器大量连接,所有本地程序仅联系SSSD,由SSSD连接认证服务器SSSD缓存,有效的降低了负载。(2)允许离线授权。SSSD可以缓存远程服务器的用户认证身份,这允许在远程认证服务器宕机是,继续成功授权用户访问必要的资源。
最新Centos7.9 安装Ldap+SSSD认证
XXxia1XX的博客
08-09 1592
参考视频:https://www.bilibili.com/video/BV1LK4y1T78A/?参考文献:https://www.cnblogs.com/liwanliangblog/p/10584885.html。简要概述流程: 服务端使用ldap提供服务 客户端使用sssd去认证服务器 并获得访问权限。料峭春风吹酒醒,微冷,山头斜照却相迎。回首向来萧瑟处,归去,也无风雨也无晴。莫听穿林打叶声,何妨吟啸且徐行。2.添加配置文件信息(整个信息都需要复制与稍微修改)(2) 修改管理员条目与主域。
openldap + samba为openldap添加smb属性----群晖synology
Aggy阿吉的博客
05-26 3945
openldap添加smb属性使用背景安装smb,以及smbldap提示先运行samba提前配置/etc/samba/smb.con配置smbldap.conf并运行smb运行smbldap-config,可以省略使用SSSD进行网络用户身份验证 使用背景 群晖服务器使用ldap管理用户时发现windows无法通过smb协议访问的\192.168.1.1(服务器ip)进入群晖服务器。 参考文档:*https://ubuntu.com/server/docs/samba-openldap-backend
File Server - Ubuntu, Openldap, sssd, Samba
喵喵的技术博客
01-20 2073
Ubuntu Ubuntu Version: Ubuntu 18.04 Openldap Ldap database consist of DIT, that is Directory information tree. The file type we used to record the ldap information is .ldif, that’s LDAP data interchange format. Installation & configuraion file apt inst
Linux服务器ldap启动,配置Linux使用LDAP用户认证的方法
weixin_39947812的博客
04-29 773
我这里使用的是CentOS完成的LDAP用户管理,可能与网上的大部分教程不同,不过写出来了,那么是肯定能用的了,不过会有部分文件,忘指教。这里使用的 OPENLdap 配合 CentOS7 完成的用户管理,需要配置 nssswitch 、pam 和 sssd 3个服务,需要先有一定的了解才能完成本文的配置。基础配置#1.完成yum源的配置?1.安装必要软件?OPENLdap服务部分配置#初始化过程...
openldap sssd服务认证登录
08-16 2436
环境 centos7.6 openldap2.4.44 1、安装包 yum -y install openldap-clients sssd authconfig nss-pam-ldapd 2、修改ldap.conf配置文件 cat > /etc/openldap/ <<EOF URI ldaps://192.168.100.5 BASE dc=admin,dc...
配置openldap_Centos8.2 使用 Openldap 认证登录
weixin_30700095的博客
12-12 1776
1. 配置 SSSDSSSD是系统安全服务守护进程的缩写。它提供对不同身份和身份验证提供者的访问。//安装 sssd$ dnf update$ dnf install sssd sssd-tools接下来,配置SSSD已允许通过OpenLDAP对本地系统进行身份验证。SSSD通常不附带任何默认配置文件。因此,需要手动创建和配置它。//创建 sssd 配置文件$ vim /etc/sssd/sssd...
openldap加密传输sssd
Vic的博客
07-04 1320
http://blog.father.gedow.net/2015/09/29/sssd-ldap-sudo/yum -y install openldap-clients sssdauthconfig --enablesssd --enablesssdauth --enableldap --enableldapauth --ldapserver=ldaps://master.local,ldap...
linuxsssd服务,sssd – 刷新ldap客户端配置Centos
weixin_42364392的博客
05-07 2401
最近我们更改了我们的LDAP服务器的ip地址(并添加了一些组)(在Suse Enterprise中运行),因此也应该更改我们拥有的所有服务器ldap验证配置.大多数服务器都在Centos上.我们将/etc/sssd/sssd.conf中的ldap_uri参数修改为新服务器,但是当我们登录到服务器并创建一个:id user我们获取旧服务器的用户信息,而不是新服务器的用户信息.实际上,如果我们更改s...
Linux环境下通过OpenLDAP实现用户的统一认证和管理
weixin_34029680的博客
08-04 690
测试环境:OpenLDAP Server <-------------------------------------------->OpenLDAP Clientip:192.168.4.178 ip:192.168.4.177Cent...
ldap启动sssd详细步骤
sunxunyong的博客
07-02 574
sssd][nss][pam]***,dc=comEOFid xxx。
php openldap登录,12.OpenLDAP管理工具Phpldapadmin的安装及使用
weixin_35728049的博客
03-16 977
温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。Fayson的github:https://github.com/fayson/cdhproject提示:代码块部分可以左右滑动查看噢1.文档编写目的Fayson在前面的文章中有很多关于OpenLDAP的介绍,在文章中均使用的命令行的方式对OpenLDAP进行用户和用户组的添加,添加方式复杂且容易出错。本篇文...
集成 OpenLDAP 与 Kerberos 实现统一认证 (2):基于 SSSD 同步 LDAP 账号
Laurence的技术博客
06-07 3819
本文首发于 InfoQ,写作本系列文章的背景是我们要在大数据平台/企业数据湖场景下给出中心化的用户身份认证方案。此前,我们实现过Windows AD + Kerberos的集成方案,由于Windows AD是LDAP和Kerberos的双重实现,这种天然优势使得Windows AD可以实现真正意义上的(大数据集群的)Kerberos账号与企业用户账号的统一管理。当我们想在OpenLDAP + Kerberos上实现同样的目标时,发现这一领域的知识与方案琐碎而凌乱,缺少统一连贯,脉络清晰的讲解
linux ldap客户端工具,openldap(3)linux客户端 启用ldapsssd 认证
weixin_34859739的博客
05-04 659
环境:CentOS 6.x1,首先确保ldap服务器已经启用 tls/ssl 认证,并启动ldaps://传输协议2,安装必要软件# yum -y install sssd-ldap nss-pam-ldapd openldap openldap-clients oddjob-mkhomedir sssd3,设置sssd参数authconfig \--passalgo=sha512 \--ena...
SSSD介绍
weixin_53389944的博客
07-25 577
SSSD(System Security Services Daemon,系统安全服务守护进程)是 Linux 系统中用于集中管理身份认证、授权和用户信息的服务。它主要用于连接远程身份管理服务(如 LDAP、Active Directory、FreeIPA 等),并在本地缓存用户和组信息以提高性能。SSSD 的主要配置文件是。
如何实现多台Linux服务器LDAP统一认证?
最新发布
10-11
<think>我们正在讨论如何实现多台Linux服务器LDAP统一认证。根据引用内容,LDAP(轻型目录访问协议)是一种标准的协议,用于集中管理用户认证信息。通过搭建LDAP服务器,可以在多台客户端机器上配置LDAP认证,从而实现用户的统一管理。 实现步骤概述: 1. 搭建LDAP服务器(可以是独立的服务器,也可以选择其中一台作为服务器) 2. 在LDAP服务器上创建用户和组信息 3. 在每台客户端机器上配置LDAP认证 4. 配置sudo权限(可选,使得某些LDAP用户可以在客户端机器上执行sudo命令) 详细步骤: 第一步:搭建LDAP服务器(以CentOS 7为例) 引用[2]中提到了一篇搭建LDAP统一认证服务的文章,我们可以参考其步骤。 1. 安装必要的软件包: ```bash yum install -y openldap openldap-servers openldap-clients ``` 2. 启动服务并设置开机启动: ```bash systemctl start slapd systemctl enable slapd ``` 3. 设置LDAP管理员密码: ```bash slappasswd ``` 将生成的密码记录下来,并配置到LDAP中。 4. 导入基本的LDAP模式(schema): ```bash cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG chown ldap:ldap /var/lib/ldap/DB_CONFIG ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif ``` 5. 修改LDAP的基本配置(包括域名、管理员密码等): 创建一个配置文件,比如`ldap_init.ldif`,然后使用`ldapmodify`命令应用配置。 第二步:创建用户和组信息 在LDAP服务器上,我们需要创建组织单元(OU)、组和用户。 例如,创建一个用户`testuser`,并设置密码。 第三步:配置客户端机器(每台需要统一认证的机器) 1. 安装客户端软件: ```bash yum install -y openldap-clients nss-pam-ldapd ``` 2. 运行`authconfig`或`authselect`来配置LDAP认证(CentOS7使用authconfig,CentOS8使用authselect): ```bash authconfig --enableldap --enableldapauth --ldapserver=ldap://<LDAP_SERVER_IP> --ldapbasedn="dc=example,dc=com" --enablemkhomedir --update ``` 注意:`--ldapserver`指定LDAP服务器的地址,`--ldapbasedn`指定基础域名,`--enablemkhomedir`表示在用户首次登录时自动创建家目录。 3. 启动并启用nslcd服务(用于名称服务): ```bash systemctl start nslcd systemctl enable nslcd ``` 4. 配置SSH允许公钥认证(可选,如果使用公钥登录,需要将公钥存储在LDAP中)。 第四步:配置sudo权限 1. 在LDAP服务器上创建sudo规则,并导入LDAP。 2. 在客户端机器上安装sudo-ldap包,并配置sudo使用LDAP作为源。 验证: 在任意一台客户端机器上,使用LDAP中的用户名和密码登录。 注意事项: - 确保LDAP服务器和客户端之间的网络通信畅通(端口389)。 - 如果LDAP服务器使用自签名证书,需要将证书分发到客户端(如果使用TLS)。 - 用户的家目录:如果客户端机器上没有该用户的家目录,可以使用`pam_mkhomedir`模块自动创建(在authconfig中已经通过`--enablemkhomedir`启用)。 引用[1][2][3]都提到了LDAP在统一认证中的重要性,以及具体的搭建步骤和配置方法。 这样,我们就实现了多台Linux服务器LDAP统一认证。 相关问题: 1. 如何备份和恢复LDAP数据库? 2. 如何配置LDAP over SSL/TLS以提高安全性? 3. 如何管理LDAP中的用户和组(添加、删除、修改)? 4. 如何配置LDAP客户端使用故障转移(多个LDAP服务器)? </think>### 实现多台Linux服务器LDAP统一认证的方法 基于引用内容,LDAP统一认证的核心是通过中央目录服务管理用户身份,实现服务器的登录一致性。以下是完整实施流程(以CentOS 7为例): --- ### 一、LDAP服务器搭建(主节点) #### 1. 安装核心组件 ```bash # 所有操作在LDAP服务器执行 yum install -y openldap openldap-servers openldap-clients migrationtools systemctl start slapd systemctl enable slapd ``` #### 2. 配置基础目录结构 ```bash # 生成管理员密码(保存生成的哈希) slappasswd -s {your_password} > /tmp/passwd_hash # 创建基础配置文件 ldap_init.ldif cat << EOF > ldap_init.ldif dn: olcDatabase={2}hdb,cn=config changetype: modify replace: olcSuffix olcSuffix: dc=example,dc=com replace: olcRootDN olcRootDN: cn=admin,dc=example,dc=com replace: olcRootPW olcRootPW: $(cat /tmp/passwd_hash) EOF # 应用配置 ldapmodify -Y EXTERNAL -H ldapi:/// -f ldap_init.ldif ``` #### 3. 初始化组织架构 ```bash # 创建基础组织结构 ldapadd -x -D "cn=admin,dc=example,dc=com" -W -f base.ldif # base.ldif 内容示例: dn: dc=example,dc=com objectClass: top objectClass: domain dc: example dn: ou=People,dc=example,dc=com objectClass: organizationalUnit ou: People dn: ou=Group,dc=example,dc=com objectClass: organizationalUnit ou: Group ``` --- ### 二、客户端配置(所有10台服务器) #### 1. 安装认证组件 ```bash yum install -y openldap-clients nss-pam-ldapd authselect ``` #### 2. 配置LDAP连接 ```bash # 使用authconfig工具(CentOS 7) authconfig --enableldap --enableldapauth \ --ldapserver=ldap://ldap-server-ip \ --ldapbasedn="dc=example,dc=com" \ --enablemkhomedir --update # 或用authselect(CentOS 8+) authselect select sssd with-mkhomedir --force ``` #### 3. 配置SSSD服务(推荐) ```bash # /etc/sssd/sssd.conf 关键配置 [domain/example.com] cache_credentials = True ldap_search_base = dc=example,dc=com ldap_uri = ldap://ldap-server-ip # 重启服务 systemctl restart sssd ``` --- ### 三、用户与组管理 #### 1. 创建LDAP用户(在LDAP服务器执行) ```bash # 创建用户模板 user.ldif dn: uid=dev_user,ou=People,dc=example,dc=com objectClass: inetOrgPerson uid: dev_user cn: Developer User sn: User userPassword: {SSHA}hashed_password homeDirectory: /home/dev_user ``` #### 2. 批量导入用户 ```bash ldapadd -x -D "cn=admin,dc=example,dc=com" -W -f users.ldif ``` #### 3. 配置Sudo权限 ```bash # /etc/sudoers.d/ldap_sudo 内容 %sudoers_group ALL=(ALL) ALL # 在LDAP中创建sudo规则 dn: cn=sudoers,dc=example,dc=com objectClass: sudoRole sudoHost: ALL sudoUser: %sudoers_group sudoCommand: ALL ``` --- ### 四、验证与故障排查 1. **登录测试**: ```bash ssh dev_user@client-server # 首次登录自动创建/home/dev_user ``` 2. **LDAP查询工具**: ```bash ldapsearch -x -b "dc=example,dc=com" "(uid=dev_user)" ``` 3. **日志检查**: ```bash tail -f /var/log/secure # 认证日志 journalctl -u sssd -f # SSSD服务日志 ``` --- ### 拓扑架构 ```mermaid graph TD A[LDAP服务器] -->|389/TCP| B(客户端1) A --> C(客户端2) A --> D[...客户端10] B -.->|SSSD缓存| E[本地登录] C -.->|自动同步账号| F[用户数据] ``` > **关键优势**: > - 用户信息集中管理,无需逐台创建账号[^1] > - 家目录自动创建(通过`pam_mkhomedir`) > - 支持sudo权限统一分配[^2] --- ### 常见问题解决 | 问题现象 | 解决方案 | |----------|----------| | 登录提示"Permission denied" | 检查`/etc/nsswitch.conf`中`passwd`和`group`是否包含`ldap` | | 家目录未自动创建 | 确认`authconfig`启用`--enablemkhomedir` | | LDAP查询超时 | 防火墙放行389端口:`firewall-cmd --add-service=ldap` | | 密码认证失败 | 使用`ldapwhoami -x -D 'uid=user,ou=People,dc=example,dc=com' -W`测试认证 |
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值