序言

简略介绍:在LDAP和FTP相关技术的基础上,提出一套基于LDAP和FTP技术的统一身分认证方案和帐号管理系统方案,解决FTP系统的统一认证、访问控制和B/S模式下FTP帐号管理等问题。

LDAP(LightweightDirectoryAccessProtocol)是一种基于X.500标准的跨平台的轻量级目录访问合同。它运行在TCP/IP合同上,对Internet有着良好的支持性,采用树形的层次结构来储存数据,具有数据读取速率快,管理便捷等特性。LDAP多用于建立统一身分认证系统,集中管理应用信息系统的帐号,实现统一用户管理、身份认证、访问控制等功能;可解决多应用系统用户的统一管理、统一认证和统一授权;有助于降低数据冗余,增强数据安全和易于用户操作。

OpenLDAP:OpenLDAP是一款开源的LDAP目录服务产品,可以运行于Linux,Uinx等操作系统。其设计目的是提供一种高效、安全的方式来查询和管理数据。通过使用SASL美国linux主机,SSL来支持硬度认证和提供完整性与安全保护,通过使用丰富的功能强悍的存取控制手段来控制对权限的操作。

认证机制与流程

VSFTP与LDAP集中认证,主要通过LDAP使用vsftpd.schema定义VSFTP的各项属性ldap管理linux用户,并将FTP帐号信息存入LDAP数据库中,当用户向FTP服务器恳求认证时,FTP服务器将认证工作交由LDAP服务器处理。

1.FTP用户恳求联接并发送帐号认证信息。

2.FTP服务器按照pure-ftpd.conf中配置将用户账号信息转发到LDAP服务器验证。

3.LDAP服务器验证帐号密码。

4.LDAP服务器返回验证信息和帐号信息(FTPStatus等属性)。

5.FTP服务器按照LDAP返回信息对用户授权(是否容许联接)。

6.FTP服务器向用户返回授权结果。

1.初始化打算

系统:centos765位

配置yum源

wget //mirrors.aliyun.com/repo/Centos-7.repo
    cp Centos-7.repo /etc/yum.repos.d/
    cd /etc/yum.repos.d/
    mv CentOS-Base.repo CentOS-Base.repo.bak
    mv Centos-7.repo CentOS-Base.repo
    yum clean all
    yum makecache

关掉selinux和防火墙

sed -i ‘/SELINUX/s/enforcing/disabled/’ /etc/selinux/config && setenforce 0&& systemctl disable firewalld.service && systemctl stop firewalld.service && shutdown -r now

2.安装openldap

使用如下安装

yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools pam_ldap

查看版本

管理用户被删掉了怎么恢复_ldap管理linux用户_管理用户主要包括什么

[root@centos-linux1810 ~]# slapd -VV
@(#) $OpenLDAP: slapd 2.4.44 (Oct 30 2018 23:14:27) $
        mockbuild@x86-01.bsys.centos.org:/builddir/build/BUILD/openldap-2.4.44/openldap-2.4.44/servers/slapd

3.配置openldap3.1设置OpenLDAP的管理员密码

slappasswd -s 123456

保存输出后的数组,等会会在配置文件中会使用到。

3.2更改olcDatabase={2}hdb.ldif文件

vim/etc/openldap/slapd.d/cn=config/olcDatabase={2}hdb.ldif

更改如下两行内容ldap管理linux用户,并降低一行

olcSuffix: dc=myldap,dc=com
olcRootDN: cn=Manager,dc=myldap,dc=com
olcRootPW: {SSHA}SWksXFfh42io+UQqEgWXvc/OQzvjeEcJ

注意:其中cn=Manager中的Manager表示OpenLDAP管理员的用户名,而olcRootPW表示OpenLDAP管理员的密码

3.3更改olcDatabase={1}monitor.ldif文件

vim/etc/openldap/slapd.d/cn=config/olcDatabase={1}monitor.ldif

更改如下内容

olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=extern
 al,cn=auth" read by dn.base="cn=Manager,dc=myldap,dc=com" read by * none

注意:该更改中的dn.base是更改OpenLDAP的管理员的相关信息的

验证OpenLDAP的基本配置,使用如下:

slaptest -u

通过上述,我们可以很显著的看出OpenLDAP的基本配置是没有问题。

启动OpenLDAP服务,使用如下命令:

systemctl enable slapd
systemctl start slapd
systemctl status slapd

OpenLDAP默认窃听的端口是389,下边我们来看下是不是389端口,如下:

netstat -tpln | grep 389

3.4.配置OpenLDAP数据库

OpenLDAP默认使用的数据库是BerkeleyDB,如今来开始配置OpenLDAP数据库,使用如下命令:

cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown ldap:ldap -R /var/lib/ldap
chmod 700 -R /var/lib/ldap

注意:/var/lib/ldap/就是BerkeleyDB数据库默认储存的路径。

3.5.导出基本Schema

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif

3.6.更改migrate_common.ph文件

vim/usr/share/migrationtools/migrate_common.ph

$DEFAULT_MAIL_DOMAIN = "myldap.com";
$DEFAULT_BASE = "dc=myldap,dc=com";
$EXTENDED_SCHEMA = 1;

到此OpenLDAP的配置就早已全部完毕,下边我们来开始添加用户到OpenLDAP中。

4.添加用户及用户组

默认情况下OpenLDAP是没有普通用户的,并且有一个管理员用户。管理用户就是上面我们刚才配置的root。

如今我们把系统中的用户,添加到OpenLDAP中。为了进行分辨,我们如今新加两个用户ldapuser1和ldapuser2,和两个用户组ldapgroup1和ldapgroup2,如下:

添加用户组,使用如下命令:

groupadd ldapgroup1
groupadd ldapgroup2

添加用户并设置密码,使用如下命令

useradd -g ldapgroup1 ldapuser1
useradd -g ldapgroup2 ldapuser2
echo ‘123456’ | passwd –-stdin ldapuser1
echo ‘123456’ | passwd –-stdin ldapuser2

把刚才添加的用户和用户组提取下来,这包括该用户的密码和其他相关属性,如下

ldap管理linux用户_管理用户被删掉了怎么恢复_管理用户主要包括什么

grep “:10[0-9][0-9]” /etc/passwd > /root/users
grep “:10[0-9][0-9]” /etc/group > /root/groups

按照上述生成的用户和用户组属性,使用migrate_passwd.pl文件生成要添加用户和用户组的ldif,如下:

/usr/share/migrationtools/migrate_passwd.pl /root/users > /root/users.ldif
/usr/share/migrationtools/migrate_group.pl /root/groups > /root/groups.ldif
cat users.ldif
cat groups.ldif

注意:后续假如要新加用户到OpenLDAP中的话,我们可以直接更改users.ldif文件即可。

5.导出用户及用户组到OpenLDAP数据库

配置openldap基础的数据库,如下:catbase.ldif

dn: dc=myldap,dc=com
dc: myldap
objectClass: top
objectClass: domain
dn: cn=Manager,dc=myldap,dc=com
cn: Manager
objectClass: organizationalRole
description: Directory Manager
dn: ou=People,dc=myldap,dc=com
ou: People
objectClass: top
objectClass: organizationalUnit
dn: ou=Group,dc=myldap,dc=com
ou: Group
objectClass: top
objectClass: organizationalUnit

导出基础数据库RED HAT LINUX 9.0,使用如下命令:

ldapadd -x -w "123456" -D "cn=Manager,dc=myldap,dc=com" -f /root/base.ldif

导出用户到数据库,使用如下命令:

ldapadd -x -w "123456" -D "cn=Manager,dc=myldap,dc=com" -f /root/users.ldif

导出用户组到数据库,使用如下命令

ldapadd -x -w "123456" -D "cn=Manager,dc=myldap,dc=com" -f /root/groups.ldif

6.把OpenLDAP用户加入到用户组

虽然我们早已把用户和用户组信息,导出到OpenLDAP数据库中了。但实际上目前OpenLDAP用户和用户组之间是没有任何关联的。

假如我们要把OpenLDAP数据库中的用户和用户组关联上去的话,我们还须要做另外单独的配置。

如今我们要把ldapuser1用户加入到ldapgroup1用户组,须要新建添加用户到用户组的ldif文件,如下:

catusers_to_groups.ldif

dn: cn=ldapgroup1,ou=Group,dc=myldap,dc=com
changetype: modify
add: memberuid
memberuid: ldapuser1

ldapadd -x -w "123456" -D "cn=Manager,dc=myldap,dc=com" -f /root/users_to_groups.ldif

查询添加的OpenLDAP用户组信息,如下:

ldapsearch -LLL -x -D 'cn=Manager,dc=myldap,dc=com' -w "123456" -b 'dc=myldap,dc=com' 'cn=ldapgroup1'

7.开启OpenLDAP日志访问功能

默认情况下OpenLDAP是没有启用日志记录功能的,而且在实际使用过程中,我们为了定位问题须要使用到OpenLDAP日志。

新建日志配置ldif文件,如下:

catloglevel.ldif

dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: stats

导出到OpenLDAP中,并重启OpenLDAP服务,如下:

管理用户主要包括什么_ldap管理linux用户_管理用户被删掉了怎么恢复

ldapmodify -Y EXTERNAL -H ldapi:/// -f /root/loglevel.ldif
systemctl restart slapd

更改rsyslog配置文件,并重启rsyslog服务,如下:

vim/etc/rsyslog.conf

local4.* /var/log/slapd.log
systemctl restart rsyslog

8.安装和配置LDAP管理工具PHPldapadmin

首先安装apache和php

yum -y install httpd php php-ldap php-gd php-mbstring php-pear php-bcmath php-xml

下载安装包phpldapadmin-1.2.3.tgz

tar zxvf phpldapadmin-1.2.3.tgz
cp -r phpldapadmin-1.2.3 /var/www/html/
cd /var/www/html/
mv phpldapadmin-1.2.3 phpldapadmin
cd phpldapadmin/config/
cp config.php.example config.php

vimconfig.php

$servers = new Datastore();
$servers->newServer('ldap_pla');
$servers->setValue('server','name','My LDAP Server');
$servers->setValue('server','host','10.211.55.37');
$servers->setValue('server','port',389);
$servers->setValue('server','base',array('dc=myldap,dc=com'));
$servers->setValue('login','auth_type','session');
$servers->setValue('login','bind_id','cn=Manager,dc=myldap,dc=com');
$servers->setValue('login','bind_pass','123456');
$servers->setValue('server','tls',false);

本文原创地址://gulass.cn/jylhfjsdtysf.html编辑:刘遄,审核员:暂无