LDAP-账号管理系统

LDAP-账号管理系统

  • LDAP-账号管理系统
    • 添加用户
    • 导入ldap数据库
    • 生成基本框架:
    • 生成用户和组的数据文件:
    • 配置客户端 ldap-client
    • 在ldap-server配置NFS,共享ldap用户的家目录
    • 应用场景
      • 应用1:ssh
      • 应用2:vsftpd
      • 应用3:samba
    • ldap的维护:
      • 增加用户:
      • 删除用户:
  • 问题参考:

LDAP-账号管理系统

在centos7环境,搭建ldap-server:

## 1. 部署ldap-S
[root@ldapS ~]# yum install -y openldap openldap-servers openldap-clients openldap-devel migrationtools 

首先 生成加密密码:
[root@ldapS ~]# slappasswd 
New password: 
Re-enter new password: 
{SSHA}nuH+UiLFv78g87XL3zybnwK/WjeTWU/n

将dc=do-main 改为 dc=sgy(自定义名)
[root@ldapS /etc/openldap/slapd.d/cn=config]# vim olcDatabase\=\{1\}monitor.ldif 
  7  al,cn=auth" read by dn.base="cn=Manager,dc=sgy,dc=com" read by * none
	##增加管理员信息,自定义第一个dc= 

将dc=do-main 改为 dc=sgy(自定义名)
[root@ldapS /etc/openldap/slapd.d/cn=config]# vim olcDatabase\=\{2\}hdb.ldif
  8 olcSuffix: dc=sgy,dc=com
	##基准DN
  9 olcRootDN: cn=Manager,dc=sgy,dc=com
	##管理员用户的DN
 19 olcRootPW:{SSHA}nuH+UiLFv78g87XL3zybnwK/WjeTWU/n	# 添加这行,设置之前生成的密码
	##管理员用户的密码

准备数据库初始文件:
[root@ldapS /var/lib/ldap]# cp /usr/share/openldap-servers/DB_CONFIG.example .
[root@ldapS /var/lib/ldap]# mv DB_CONFIG.example DB_CONFIG
给当前目录设置权限 . 
[root@ldapS /var/lib/ldap]# chown -R ldap:ldap .	<---这有个点

[root@ldapS ~]# systemctl start slapd
[root@ldapS ~]# systemctl enable slapd

[root@ldapS ~]# netstat -antpl | grep slapd
tcp        0      0 0.0.0.0:389   0.0.0.0:*   LISTEN      1133/slapd
tcp6       0      0 :::389        :::*        LISTEN      1133/slapd

将配置加入数据库的schemas(模式)中:
[root@ldapS ~]# lftp 172.16.0.99
lftp 172.16.0.99:~> cd scripts/     
lftp 172.16.0.99:/scripts> get add_config-to_ldif.sh 

[root@ldapS ~]# chmod +x add_config-to_ldif.sh 
[root@ldapS ~]# ./add_config-to_ldif.sh
	没有报错就可以。

添加用户

写个脚本,添加10个用户:
[root@ldapS ~]# vim useradd.sh
#!/bin/bash
# 添加10个用户

if [ ! -d /ldaphome ]
    then
    mkdir /ldaphome
fi
echo -e "username\tpassword" > /root/userfile
for i in `seq 1 10`
do
    id ldap${i} &> /dev/null
    if [ $? -ne 0 ]
        then
        useradd ldap${i} -d /ldaphome/ldap${i}
        pass=$(tr -dc a-zA-Z0-9_# < /dev/urandom | head -c 6 | xargs)
        echo $pass | passwd --stdin ldap$i &> /dev/null
        echo -e "ldap${i}\t${pass}" >> /root/userfile
    fi
done

[root@ldapS ~]# cat userfile 
username	password
ldap1	#2cutH
ldap2	nhdVZj
ldap3	VwDhB_
ldap4	vqnyTj
ldap5	J_lYiM
ldap6	lZSBap
ldap7	WgC6#G
ldap8	IObNFD
ldap9	_mVFFV
ldap10	IGveyi

[root@ldapS ~]# tail /etc/passwd
[root@ldapS ~]# tail /etc/shadow

导入ldap数据库

将这10个用户的信息,导入到ldap数据库里:
[root@ldapS ~]# cd /var/lib/ldap/
[root@ldapS /var/lib/ldap]# ls
	== /var/lib/mysql

[root@ldapS ~]# tail /etc/passwd > /tmp/passwd
[root@ldapS ~]# tail /etc/shadow > /tmp/shadow
[root@ldapS ~]# tail /etc/group  > /tmp/group

编辑配置文件:
[root@ldapS ~]# cd /usr/share/migrationtools/
[root@ldapS /usr/share/migrationtools]# ls

migrate_common.ph文件主要是用于生成ldif文件使用
[root@ldapS /usr/share/migrationtools]# vim migrate_common.ph
 61     $NAMINGCONTEXT{'group'}             = "ou=Groups";
 71 $DEFAULT_MAIL_DOMAIN = "sgy.com";
 74 $DEFAULT_BASE = "dc=sgy,dc=com";
 90 $EXTENDED_SCHEMA = 1;

[root@ldapS /usr/share/migrationtools]# vim migrate_passwd.pl
188     open(SHADOW, "/tmp/shadow") || return;

生成基本框架:

[root@ldapS /usr/share/migrationtools]# ./migrate_base.pl > /tmp/base.ldif

编辑配置文件,只保留sgy(自定义的dc),People,Groups,其它都删除。
[root@ldapS /usr/share/migrationtools]# vim /tmp/base.ldif
dn: dc=sgy,dc=com
dc: sgy
objectClass: top
objectClass: domain
objectClass: domainRelatedObject
associatedDomain: sgy.com

dn: ou=People,dc=sgy,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit
objectClass: domainRelatedObject
associatedDomain: sgy.com

dn: ou=Groups,dc=sgy,dc=com
ou: Groups
objectClass: top
objectClass: organizationalUnit
objectClass: domainRelatedObject
associatedDomain: sgy.com

生成用户和组的数据文件:

[root@ldapS /usr/share/migrationtools]# ./migrate_passwd.pl /tmp/passwd > /tmp/user.ldif
[root@ldapS /usr/share/migrationtools]# ./migrate_group.pl  /tmp/group  > /tmp/group.ldif
	== xxx.sql

将这3个ldif文件,导入数据库:
[root@ldapS ~]# ldapadd -x -W -D "cn=Manager,dc=sgy,dc=com" -f /tmp/base.ldif 
Enter LDAP Password: 
adding new entry "dc=sgy,dc=com"
adding new entry "ou=People,dc=sgy,dc=com"
adding new entry "ou=Groups,dc=sgy,dc=com"
	-x	进行认证
	-W  输入密码
	-D	绑定服务器的基准DN
	-f	使用的ldif文件
	cn=Manager,dc=sgy,dc=com	ldap的管理员用户
	输入的密码:生成的加密密码

[root@ldapS ~]# ldapadd -x -W -D "cn=Manager,dc=sgy,dc=com" -f /tmp/user.ldif
[root@ldapS ~]# ldapadd -x -W -D "cn=Manager,dc=sgy,dc=com" -f /tmp/group.ldif

查看用户的信息:
[root@ldapS ~]# ldapsearch -xWD "cn=Manager,dc=sgy,dc=com" -b "uid=ldap1,ou=People,dc=sgy,dc=com" -LLL
Enter LDAP Password:

配置客户端 ldap-client

ldap-client
[root@node1 ~]# yum install -y nss-pam-ldapd pam_krb5 setuptool

[root@node1 ~]# setup

LDAP-账号管理系统_第1张图片LDAP-账号管理系统_第2张图片
配置完成后,开启xshell,用ldap用户访问ldap-client

[c:\~]$ ssh [email protected]
-bash-4.2$ 
-bash-4.2$ su - 		没有家目录
Password: 
[root@node1 ~]# 

在ldap-server配置NFS,共享ldap用户的家目录

在ldap-server配置NFS,共享ldap用户的家目录:
[root@ldapS ~]# yum install -y nfs-utils

[root@ldapS ~]# vim /etc/exports
/ldaphome   172.16.0.0/16(rw,sync)

[root@ldapS ~]# systemctl start nfs
[root@ldapS ~]# systemctl enable nfs

在ldap-client,配置autofs,自动挂载nfs的共享:
[root@node1 ~]# yum install -y nfs-utils autofs

[root@node1 ~]# showmount -e 172.16.0.60
Export list for 172.16.0.60:
/ldaphome 172.16.0.0/16

[root@node1 ~]# mkdir /ldaphome
[root@node1 ~]# cp /etc/auto.misc /etc/auto.ldap	<--auto.misc文件是autofs生成的

[root@node1 ~]# vim /etc/auto.master
/ldaphome   /etc/auto.ldap

[root@node1 ~]# vim /etc/auto.ldap
*   -rw,soft,intr   172.16.0.60:/ldaphome/&		# 对应共享服务端的地址和目录
	* 所有的挂载点
	-rw	nfs的挂载选项
	& nfs-server端的共享目录

[root@node1 ~]# systemctl start autofs
[root@node1 ~]# systemctl enable autofs

[c:\~]$ ssh [email protected]
[ldap1@node1 ~]$ 

[ldap1@node1 ~]$ cp /etc/passwd .
[ldap1@node1 ~]$ ls
passwd

[root@ldapS ~]# cd /ldaphome/ldap1
[root@ldapS /ldaphome/ldap1]# ls
passwd

应用场景

在ldap-client上,可以直接使用ldap-server的用户:

应用1:ssh

应用2:vsftpd

[root@node1 ~]# yum install -y vsftpd
[root@node1 ~]# systemctl start vsftpd

[root@centos7-bj ~]# ftp 172.16.0.61
Connected to 172.16.0.61 (172.16.0.61).
220 (vsFTPd 3.0.2)
Name (172.16.0.61:root): ldap1
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.

应用3:samba

[root@node1 ~]# yum install -y samba

[root@node1 ~]# vim /etc/samba/smb.conf
[share]
    comment = test ldap
    path = /samba
    writable = yes
    create mask = 0664
    directory mask = 0775

[root@node1 ~]# mkdir /samba
[root@node1 ~]# chmod 1757 /samba/

[root@node1 ~]# smbpasswd -a ldap1
New SMB password:
Retype new SMB password:
Added user ldap1.
[root@node1 ~]# smbpasswd -a ldap2
New SMB password:
Retype new SMB password:
Added user ldap2.

[root@node1 ~]# systemctl start smb

==========================================

ldap的维护:

增加用户:

[root@ldapS ~]# ./useradd.sh 
	增加10个用户

保存新的用户名,组,密码,重新命名
[root@ldapS ~]# tail /etc/passwd > /tmp/newpasswd
[root@ldapS ~]# tail /etc/group  > /tmp/newgroup
[root@ldapS ~]# tail /etc/shadow >> /tmp/shadow 
	##shadow是 >>

导入新的数据
[root@ldapS /usr/share/migrationtools]# ./migrate_passwd.pl /tmp/newpasswd > /tmp/user1.ldif
[root@ldapS /usr/share/migrationtools]# ./migrate_group.pl /tmp/newgroup   > /tmp/group1.ldif

[root@ldapS ~]# ldapadd -xWD "cn=Manager,dc=sgy,dc=com" -f /tmp/user1.ldif 
[root@ldapS ~]# ldapadd -xWD "cn=Manager,dc=sgy,dc=com" -f /tmp/group1.ldif 

[root@node1 ~]# su - ldap11
[ldap11@node1 ~]$

删除用户:

[root@ldapS ~]# ldapdelete -xWD "cn=Manager,dc=sgy,dc=com" "uid=ldap1,ou=People,dc=sgy,dc=com"
Enter LDAP Password:

[root@node1 ~]# su - ldap1
su: user ldap1 does not exist

问题参考:

使用ldap用户登录ldap-client时,xshell提示访问密码被拒绝:
检查是否成功设置ldap密码,查看ldap用户时,是否可以查看到加密密码.

如果重新设置密码后,依旧无法登录,提示密码访问被拒绝
检查密码是否成功设置并成功导入数据库,如果没有这些问题,那么,重启client系统

如果 /ldaphome 下的家目录已经生成,但是命令行显示不对
检查对应用户的家目录权限是否是对应用户
ll /ldaphome/ldap1 # 正常情况 所属者和所属组应为该用户
检查autofs是否成功挂载,重新启动autofs

你可能感兴趣的:(Linux服务,Linux)