openldap+sssd实现ldap账号登陆linux服务器

原创 已于 2024-08-28 16:46:50 修改 · 848 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维

于 2024-08-28 16:38:21 首次发布

参考文档:

LDAP and Transport Layer Security (TLS) | Ubuntu

https://www.cnblogs.com/yun-xx/p/17961221

踩坑:

最早用的是docker版本openLDAP,没有tls的,结果各种验证不过,看日志隐约感觉是要用tls才行。

于是开始安装openLDAP,中间看了几个编译的版本没成功,最后还是官网的安装一试成功了。

Ubuntu22安装openLDAP:

sudo apt install slapd ldap-utils

配置openLDAP:

sudo dpkg-reconfigure slapd

后续步骤按官网的来,dc=example,dc=com这些名字可以改成自己的,比如xxx。

安装好后开始继续配置TLS,安装按官网文档依葫芦画瓢一路下来

Create the /etc/ssl/ldap01.info info file containing:

organization = Example Company
cn = ldap01.example.com
tls_www_server
encryption_key
signing_key
expiration_days = 365

这里的cn=ldap01.example.com,记得改成你的(比如xxx.com),到时在改/etc/hosts的时候对应配上解析(我是走hosts,没用dns解析)

openLDAP的都配置好后,开始安装配置sssd:

apt install sssd ldap-utils

修改/etc/sssd/sssd.conf(记得权限要600)

[sssd]
config_file_version = 2
services = nss, pam
domains = alpha
[nss]
debug_level = 4
filter_groups = root
filter_users = root
[domain/alpha]
debug_level = 9
auth_provider = ldap
id_provider = ldap
chpass_provider = ldap


ldap_uri = ldaps://xxx.com
ldap_search_base = dc=xxx,dc=com
#ldap_default_bind_dn = cn=admin,dc=xxx,dc=com
ldap_default_authtok_type = password
ldap_default_authtok = 123456
override_homedir = /home/%u
override_shell = /bin/bash
access_provider = permit
sudo_provider = ldap
autofs_provider = ldap
resolver_provider = ldap

ldap_tls_reqcert = never
ldap_id_use_start_tls = true

配置好后测试成功:

本拉明
关注
CDH集群安装OpenLDAP服务并集成sssd客户端
YQCKD的博客
02-12 579
 操作环境 操作系统:Red Hat Enterprise Linux Server release 7.4 集群环境:CDH5.16.2 1 OpenLDAP的安装与配置 配置LDAP服务器 1.1.1 安装 LDAP 及相关软件包 yum -y install openldap-clients openldap-servers migrationtools 1.1.2 修改OpenLDA...
配置openldap_Centos8.2 使用 Openldap 认证登录
weixin_30700095的博客
12-12 1680
1. 配置 SSSDSSSD是系统安全服务守护进程的缩写。它提供对不同身份和身份验证提供者的访问。//安装 sssd$ dnf update$ dnf install sssd sssd-tools接下来,配置SSSD已允许通过OpenLDAP对本地系统进行身份验证。SSSD通常不附带任何默认配置文件。因此,需要手动创建和配置它。//创建 sssd 配置文件$ vim /etc/sssd/sssd...
openldap 集成 sssd
Man_In_The_Night的博客
09-27 1315
openldap 集成 sssd 实验环境: openldap 服务器,ip:10.2.7.100。sssd 服务器,操作系统 centos7,ip:10.2.7.200 sssd 服务 一个守护进程,该进程可以用来访问多种验证服务器,如LDAP,Kerberos等,并提供授权。SSSD是 介于本地用户和数据存储之间的进程,本地客户端首先连接SSSD,再由SSSD联系外部资源提供者(一台远程服务器...
SSSSSD
shunnianlv的博客
04-30 1128
LDAP就是一个轻量级的目录访问协议,它的作用可以参考如下: 需用使用SSSD : System Security Services Dameon(SSSD) 1.SSSD简介 一个守护进程,该进程可以用来访问多种验证服务器,如LDAP,Kerberos等,并提供授权。SSSD是 介于本地用户和数据存储之间的进程,本地客户端首先连接SSSD,再由SSSD联系外部资源提供者(一台远程服务器) (1)...
【转载】Linux OpenLDAP集成sssd同步用户并集成SSH登录
Mrerlou的博客
10-09 1892
sssd服务是一个守护进程,该进程可以用来访问多种验证服务器,如LDAP,Kerberos等,并提供授权。SSSD是 介于本地用户和数据存储之间的进程,本地客户端首先连接SSSD,再由SSSD联系外部资源提供者(一台远程服务器)(1)避免了本地每个客户端程序对认证服务器大量连接,所有本地程序仅联系SSSD,由SSSD连接认证服务器SSSD缓存,有效的降低了负载。(2)允许离线授权。SSSD可以缓存远程服务器的用户认证身份,这允许在远程认证服务器宕机是,继续成功授权用户访问必要的资源。
最新Centos7.9 安装Ldap+SSSD认证
XXxia1XX的博客
08-09 1455
参考视频:https://www.bilibili.com/video/BV1LK4y1T78A/?参考文献:https://www.cnblogs.com/liwanliangblog/p/10584885.html。简要概述流程: 服务端使用ldap提供服务 客户端使用sssd去认证服务器 并获得访问权限。料峭春风吹酒醒,微冷,山头斜照却相迎。回首向来萧瑟处,归去,也无风雨也无晴。莫听穿林打叶声,何妨吟啸且徐行。2.添加配置文件信息(整个信息都需要复制与稍微修改)(2) 修改管理员条目与主域。
openldap加密传输sssd
Vic的博客
07-04 1297
http://blog.father.gedow.net/2015/09/29/sssd-ldap-sudo/yum -y install openldap-clients sssdauthconfig --enablesssd --enablesssdauth --enableldap --enableldapauth --ldapserver=ldaps://master.local,ldap...
OpenLDAP+SSL+SSSD 实现Linux登录集中认证
weixin_33935505的博客
07-15 2045
OpenLDAP+SSL+SSSD 实现Linux登录集中认证第一部分OpenLDAP之sldap数据库安装1、yum安装yuminstall-yopenldapopenldap-serversopenssh-ldapopenldap-clientsmigrationtools2、配置ssl域名证书,实现ldap的TLS加密通信通过域名master.ldap....
File Server - Ubuntu, Openldap, sssd, Samba
喵喵的技术博客
01-20 2016
Ubuntu Ubuntu Version: Ubuntu 18.04 Openldap Ldap database consist of DIT, that is Directory information tree. The file type we used to record the ldap information is .ldif, that’s LDAP data interchange format. Installation & configuraion file apt inst
Linux服务器ldap启动,配置Linux使用LDAP用户认证的方法
weixin_39947812的博客
04-29 750
我这里使用的是CentOS完成的LDAP用户管理,可能与网上的大部分教程不同,不过写出来了,那么是肯定能用的了,不过会有部分文件,忘指教。这里使用的 OPENLdap 配合 CentOS7 完成的用户管理,需要配置 nssswitch 、pam 和 sssd 3个服务,需要先有一定的了解才能完成本文的配置。基础配置#1.完成yum源的配置?1.安装必要软件?OPENLdap服务部分配置#初始化过程...
CentOS 6.8 LDAP Server + phpldapadmin + ldap client服务器的配置
Nian_Ctrl的博客
12-23 1277
环境介绍LDAP Server端:hostname:pnode11 IPaddr:192.168.56.220LDAP Client端:hostname:pnode12 IPaddr: 192.168.56.221安装LDAP相关的软件包1、首先配置本地yum源,请参考我的nis服务搭建过程。 2、在server、client端分别安装以下软件包yum install openldap* rpm
openldap sssd服务认证登录
08-16 2369
环境 centos7.6 openldap2.4.44 1、安装包 yum -y install openldap-clients sssd authconfig nss-pam-ldapd 2、修改ldap.conf配置文件 cat > /etc/openldap/ <<EOF URI ldaps://192.168.100.5 BASE dc=admin,dc...
linuxsssd服务,sssd – 刷新ldap客户端配置Centos
weixin_42364392的博客
05-07 2332
最近我们更改了我们的LDAP服务器的ip地址(并添加了一些组)(在Suse Enterprise中运行),因此也应该更改我们拥有的所有服务器ldap验证配置.大多数服务器都在Centos上.我们将/etc/sssd/sssd.conf中的ldap_uri参数修改为新服务器,但是当我们登录到服务器并创建一个:id user我们获取旧服务器的用户信息,而不是新服务器的用户信息.实际上,如果我们更改s...
Linux环境下通过OpenLDAP实现用户的统一认证和管理
weixin_34029680的博客
08-04 672
测试环境:OpenLDAP Server <-------------------------------------------->OpenLDAP Clientip:192.168.4.178 ip:192.168.4.177Cent...
ldap启动sssd详细步骤
sunxunyong的博客
07-02 504
sssd][nss][pam]***,dc=comEOFid xxx。
php openldap登录,12.OpenLDAP管理工具Phpldapadmin的安装及使用
weixin_35728049的博客
03-16 951
温馨提示:如果使用电脑查看图片不清晰,可以使用手机打开文章单击文中的图片放大查看高清原图。Fayson的github:https://github.com/fayson/cdhproject提示:代码块部分可以左右滑动查看噢1.文档编写目的Fayson在前面的文章中有很多关于OpenLDAP的介绍,在文章中均使用的命令行的方式对OpenLDAP进行用户和用户组的添加,添加方式复杂且容易出错。本篇文...
集成 OpenLDAP 与 Kerberos 实现统一认证 (2):基于 SSSD 同步 LDAP 账号
Laurence的技术博客
06-07 3610
本文首发于 InfoQ,写作本系列文章的背景是我们要在大数据平台/企业数据湖场景下给出中心化的用户身份认证方案。此前,我们实现过Windows AD + Kerberos的集成方案,由于Windows AD是LDAP和Kerberos的双重实现,这种天然优势使得Windows AD可以实现真正意义上的(大数据集群的)Kerberos账号与企业用户账号的统一管理。当我们想在OpenLDAP + Kerberos上实现同样的目标时,发现这一领域的知识与方案琐碎而凌乱,缺少统一连贯,脉络清晰的讲解
linux ldap客户端工具,openldap(3)linux客户端 启用ldapsssd 认证
weixin_34859739的博客
05-04 626
环境:CentOS 6.x1,首先确保ldap服务器已经启用 tls/ssl 认证,并启动ldaps://传输协议2,安装必要软件# yum -y install sssd-ldap nss-pam-ldapd openldap openldap-clients oddjob-mkhomedir sssd3,设置sssd参数authconfig \--passalgo=sha512 \--ena...
Spring Boot集成OpenLdap 进行权限验证
wuguangrong888的博客
10-20 1415
Spring Boot集成OpenLdap 进行权限验证
linux LDAP SSSD
最新发布
01-31
### 配置和故障排除:Linux LDAPSSSD集成 #### 一、概述 在现代企业级Linux部署中,通过LDAP(轻量目录访问协议)实现集中化身份验证管理是一种常见做法。为了提高效率并简化配置过程,通常会结合使用System Security Services Daemon (SSSD)[^1]。 #### 二、安装必要的软件包 对于基于Red Hat的企业版Linux发行版本而言,需要先确保已安装sssd-client以及openldap-y ``` #### 三、基础设置 编辑`/etc/sssd/sssd.conf`文件来定义域和服务参数。下面是一个简单的例子: ```ini [sssd] domains = example.com config_file_version = 2 services = nss, pam [domain/example.com] id_provider = ldap auth_provider = ldap chpass_provider = ldap access_provider = simple ldap_uri = ldaps://ldap.example.com/ ldap_search_base = dc=example,dc=com ldap_tls_reqcert = never ``` 请注意,在实际应用中应当启用TLS加密通信,并严格校验证书有效性而不是简单地将其设为never。 #### 四、PAM模块调整 为了让系统能够利用SSSD来进行用户认证,则需修改相应的Pluggable Authentication Modules(PAM)策略文件。一般情况下只需更新/etc/pam.d/system-auth-ac即可满足需求: ```bash auth sufficient pam_sss.so use_first_pass account [default=bad success=ok user_unknown=ignore] pam_sss.so password sufficient pam_sss.so use_authtok session required pam_mkhomedir.so skel=/etc/skel umask=0077 session optional pam_sss.so ``` 以上更改使得新创建的家目录自动由pam_mkhomedir.so负责处理;同时允许首次登录时自动生成所需的个人空间结构。 #### 五、NSSwitch配置优化 最后一步是要确认名称服务切换(NSSwitch)数据库正确指向了SSSD作为数据源之一。这可以通过编辑/etc/nsswitch.conf完成: ```plaintext passwd: files sss shadow: files sss group: files sss sudoers: files sss ``` 上述设定表明除了传统的本地账户外,还应该查询来自远端LDAP服务器的信息记录。 #### 六、测试连接性和功能正常性 一旦完成了所有前期准备工作之后,建议立即尝试执行如下命令以检验整个流程是否顺畅无误: ```bash getent passwd testuser@example.com su -l testuser@example.com ``` 如果一切顺利的话,那么就说明已经成功实现Linux平台下针对LDAP用户的无缝接入支持。 #### 故障排查技巧 当遇到无法预期的行为或错误提示时,可以考虑采取以下几个措施帮助定位问题所在: - 查看日志消息:查看/var/log/messages或者journalctl输出寻找任何可能存在的警告或异常情况; - 启用调试模式:临时增加debug_level选项至全局部分以便收集更详细的运行状态报告; - 使用工具辅助诊断:借助ldapsearch这类专用客户端程序直接向目标服务器发起请求从而快速判断网络连通状况及权限分配合理性等问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值