下载文档原格式
麒麟开源堡垒机AD及L D AP集成说明
麒麟堡垒机支持使用外接的AD、LDAP进行认证,并且支持从A D、LDAP中导入帐号到堡垒机中,设置步骤如下:
1.在系统配置-参数配置-认证配置中点击“添加条目”按钮
2.在弹出的菜单中添加新的条目,如果是AD,需要在下拉中选择AD
LDAP截图:
AD截图:
3.如果需要手工导入帐号,点击后面的添加LDAP/AD帐号按钮,输入管理员帐号后进行导入,也可以自己用E XCEL方式或在W E B上手添加帐号,注:在进行认证前,堡垒机上必须存在有这个帐号才能进行AD/LDAP认证
4.编辑相应的帐号,在认证方式部分,勾上AD或L DAP认证,优先登录试,可以选择刚才设置的AD或LDAP认证
5.登录时,左侧选中相应的登录试,输入AD/LDAP密码即可以进行登录
注:目前AD/LDAP只支持WEB方式,不支持透明登录试,因此,如果非要用户登录,可以做如下设置:
1.在启用AD/LDAP登录时,将认证(使用本地密码认证)勾除,让用户在WE B登录时必须用LDAP/AD进行认证
2.勾上WEBPORTAL,如果勾上WE BPORT AL,用户在进行透明登录时,必须要WEB在线,即用户必须使用WEB通过AD/LDAP登录后才能用透明登录。
LDAP服务器配置1.实验拓扑图2.实验准备wulijiSetenforce 是Linux的selinux防火墙配置命令执行setenforce 0 表示关闭linux防火墙。
Iptables -F 清空防火墙规则。
service NetworkManager stop关闭NetworkManager功能。
chkconfig NetworkManager off禁止它开机启动。
service network restart 重启网络服务3.虚拟机(客户端)设置3.1建立虚拟机与物理机之间的桥接模式(虚拟机必须是关机状态)进行桥接模式的设置,点击Edit菜单选项,选择Connection Details,选择eth0网卡,点击+号,进入Configure network interface选项卡,Interface type选择Bridge(桥接)模式,点击Forward进行下一步配置3.2Start mode(启动模式)选择onboot(开机启动),activate now(现在激活)点勾,choose interface to Bridge,选择eth0网卡,点击Finish3.3打开VM虚拟机rhel6选择硬件设置,点击NIC选项设置网卡,Source device 选择 host device eth0(bridge“br0”),device model (刚才建立的桥接模式的网卡)选择 hypervisor default (默认程序管理模式)3.4点击power键开启虚拟机输入指令setenforce 0Iptables -Fservice NetworkManager stopchkconfig NetworkManager offping 192.168.1.xxx 测试是否能连通服务器4服务器设置4.1配置NFS服务器在服务器上配置exports文件,Vim /etc/exports,共享挂载目录,并授权挂载IP客户端地址为192.168.1.0/24,rw参数为读写权限,sync保持同步, no_root_squash防止ROOT降级为普通用户。
LDAP+Confluence前⾔在前⾯的⽂章中,我们学习过ldap服务在Ubuntu环境中的搭建以及管理,实际上,我们搭建任何服务的⽬的永远都是⽤使⽤它,在后⾯的篇幅⾥,我们就⼀起来康康怎么去使⽤这个ldap,今天我们先看ldap与confluence的集成⽅法。
配置这⾥我们通过截图的⽅式展⽰在confluence内部,如何去配置,进⽽整合我们的ldap服务;多图警告初期准备管理员账号⾸先我们需要使⽤管理员账号登录⼀般配置进⼊⼀般配置界⾯⽤户⽬录在左侧栏中,在“⽤户&安全”⼤块中,找到⽤户⽬录并进去添加⽬录添加⽬录这⾥,我们要选红框中的,不要选内部LDAP认证,不要问我为什么~~正式配置这⾥就是你新增的ldap服务器的各种配置了,有很多都是⾛默认配置,所以我这⾥就把⼀些需要我们⾃定义的配置列出来~~这⾥的配置,也是分为⼏⼤块,⼤致分为:1.服务器配置2.LDAP模式3.LDAP权限4.⾼级配置5.⽤户模式配置6.组模式配置7.成员模式配置下⾯我们就分别看看这些部分,如果都是⽤默认配置的话,就略过了~~服务器配置这⾥没啥特别需要说的,⾃⼰定义叭~LDAP模式这⾥我们仅仅定义了⼀个基本DN,没有定义⽤户和组DN,这样会导致⼀个问题,confluence在搜索过程中,会从ldap的根路径下去开始搜索,这样会更全⾯,同时,如果你的ldap 数据过⼤的话,这样会导致搜索时间变长等类似的问题,⼤家可以根据⾃⼰的实际使⽤情况来决定需不需要添加⽤户和组的DN。
LDAP权限我们需要把⽤户相关信息集中在ldap服务中去管理,因此不⽀持在confluence中去修改,这⾥我们选只读~~⾼级配置这⾥都是默认配置⽤户模式配置也都是默认配置,这⾥⼤致说明下,该栏的配置,是调整confluence搜索到ldap库⾥的⽤户时,搜索哪个类,并且如何在本地展⽰,展⽰什么等等...注意这⾥选择的⽤户密码加密⽅式,⼀定要和在ldap管理后台那⾥设置密码时使⽤的加密⽅式⼀致!否则是没法顺利认证的,⽐较好理解。
截图图ubuntu9.04 上网ADSL拔号设置UFW防火墙启用sudo poff dsl-provider 关闭拨号指在红X的图标上点右键,再点弹出框的“Edit Connections.."设置DSL,点图中的Add Edit填写ADSL拔号用户名及密码,然后点“Apply”确定点右键调出此框,勾上“Enable Networking”指在红X的图标上点左键,选择“DSL Connection”拔号上网连上网后,为了安全,启用UFW防火墙.打开终端,复制下面命令sudo ufw enablesudo ufw default deny如果你需要开放某些服务,再使用sudo ufw allow开启补充:有线网卡查看设置显示有eth0,说明已识别网卡MAC地址有显示,网卡可用。
勾上自动连接对所有用户可用补充网络连接,菜单中选项都是灰色的是network manager配置与pppoeconf冲突了。
在设置上网时同时使用了终端命令pppoeconf和在network manager编辑的DSL项填写ADSL账号信息。
问题解决sudo gedit /etc/NetworkManager/nm-system-settings.conf将该文件的行:managed=false改为managed=true虽然利用路由器连接到Internet非常普遍,但是经常也使用ADSL(也称作…DSL‟)调制解调器通过PPPOE来连接到Internet。
当然,你需要向Internet服务提供商(ISP)申请Internet连接业务,申请后你就可以连接并使用Internet。
然后在你的ADSL调制解调器上的"DSL"信号灯会显示你连接Internet的线路处于同步状态。
你需要ISP提供给你的用户名和密码来使用你的DSL帐号,同时,需要一条合适的网线来连接以太网卡和PPPoE调制解调器。
[编辑] 在命令行下配置PPPoE我们使用终端来配置调制解调器。
安装 Ubuntu 环境1.搭建虚拟机环境,装入 ubuntu-12.04-server-amd64.iso 2.安装 Ubuntu Server 12.04 3.设置用户名 xxxxxxx 和密码 xxxxxxx1 4.设置外网访问 Proxy,http://161.92.64.41:8080 /etc/apt/apt.conf 5.选中 OPENSSH、LAMP、SAMBA、TOMCAT 服务以便将来使用 安装 LAMP 中提示 Mysql 密码设置为 xxxxxxx1 6. IP 设置 /etc/network/interfaces 7. DNS 设置 /etc/resolv.conf 8. Hosename 设置 /etc/hostname安装 OPENLDAP 和 phpLDAPadmin1. 安装 OPENLDAP https:///12.04/serverguide/openldap-server.htmlsudo apt-get install slapdldap-utils2. 配置 OpenLDAPsudodpkg-reconfigureslapd People Yyyy2012 3. 安装 phpLDAPadmin /wiki/index.php/Main_Pagesudo apt-get install phpLDAPadmin4. 配置 config.php /community/InstallingphpLDAPadmin 一定要配置否则搞不定,需要配置 OpenLDAP 相关的内容安装 SubVersion1. 安装 SubVersion /packages.html#ubuntusudo apt-get install subversion sudo apt-get install libapache2-svn2. 配置 SVN https:///12.04/serverguide/subversion.htmlsvnadmin create /path/to/repos/project svn import /path/to/import/directory file:///path/to/repos/project 实际操作参考 /blog/7403473. 设置 WebDAV 期间碰到了问题,用了网络上搜索的 N 种方法都没有办法解决问题,问题可能是 “Unknown DAV provider: svn”,最终抱着试试看的心态把/etc/apache2/mods-available 里 面的 authz_svn.loaddav_svn.loaddav_svn.conf 的东西直接 copy 到/etc/apache2/modsenabled 才搞定能否访问 http://localhost/svn/zlex 4. 设置 SSL 下的 WebDAVsudo a2enmod ssl sudo a2ensite default-ssl sudo service apache2 restart5. 设置 LDAP 验证 按照 3 里面的成功经验将/etc/apache2/mods-available 里面的 authnz_ldap.loadldap.load 直 接 copy 到/etc/apache2/mods-enabled;同时 dav_svn.conf 里面重新配置如下图注:老大说原来那个 COPY 的事情可以通过 a2enmod 和 a2ensite 命令来 LINK,郁闷了半天 的事情原来可以这么方便的解决 6. 配置 SVN 的访问权限设置 /en/1.7/svn-book.html#svn.serverconfig.pathbasedauthz 还是需要通过文件来配置的,用户名和 LDAP 中的 UID 一致来认证 [aliases] [groups] [repos-name:path]安装 Mantis1. Ubuntu 下安装 mantissudo apt-get install mantis安装到最后的时候提示转到浏览器安装,设置安装时的认证用户 admin 及密码 Yyyy2012 2. 浏览器下正式安装 mantis 安装 mysql 的账号 root 密码 xxxxxxx1 设置安装 db 为 mantis 用户名 mantis 密码 mantis Mantis 系统初始化管理员账号为 administrator 密码 xxxxxxx1 及其邮件地址为 root@localhost 3. 设置 LDAP 账户验证 /docs/master1.2.x/en/administration_guide.html#ADMIN.CONFIG.AUTH.LDAP注:配置完毕 LDAP 之后对于 administrator 的账户将会屏蔽,所以需要在 LDAP 中的 admin 追加 UID 为 administrator 的信息,同时前面初始化账号将失效。
LDAP服务器现在市场上有很多LDAP服务器,大多数都可以在linux上运行。
本文将介绍openLDAP 的使用。
我为什么选择openLDAP? 为什么你应该选择openLDAP?* openLDAP是开放源码的openLDAP的官方网站是。
你可以下载其源代码包自己编译,或者看看你的linux发行版是否已经包含了该软件包。
如果已经包含了就可以安装预先编译好的版本从而少花费些力气。
我已经成功地在SuSE6.x 和RedHat6.x上测试过openLDAP。
构建LDAP目录下面我们将介绍设置一个LDAP服务器的步骤。
步骤:* 下载并安装openLDAP* 配置LDAP server* 配置本地环境指向LDAP 安装* 初始化LDAP 数据库* 查询LDAP* 添加/修改LDAP 条目下载并安装openLDAP正如前面所提到的,可以从下载源代码包并根据它的相关文档进行安装,或者安装预先编译好的包(包的安装或如何编译应用程序已经超出了本文讨论的范畴)。
配置LDAP服务器在我们的例子中,我将为构建LDAP服务器。
你可以用你喜欢的编辑器编辑slapd.conf和f配置文件来更改名称等参数以适应你的具体需求。
在我的服务器上配置文件在/etc/openldap目录下,你的配置文件可能在/usr/local/etc/openldap或者别的地方,这要根据你的linux发行版本或者编译openldap的具体情况而定。
######### /etc/openldap/slapd.conf #################################### 下面的部分是我的suse 6.4 linux 发行版本预先定义的# 我们设置的部分在本文的第二和第三部分include /etc/openldap/slapd.at.confinclude /etc/openldap/slapd.oc.confschemacheck offpidfile /var/run/slapd.pidargsfile /var/run/slapd.args######################################################################## ldbm database definitions######################################################################## 定义使用的数据库类型。
ldap常用命令-回复LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)是一种用于访问分布式目录服务的开放标准协议。
它是基于TCP/IP协议栈的一种服务,通常是通过389端口进行通信。
LDAP协议旨在提供对目录服务的读写操作,可以用于搜索、添加、修改和删除目录中的条目。
为了更好地理解LDAP和它的常用命令,本文将一步一步回答以下问题:一、什么是LDAP?LDAP是一种用于访问分布式目录服务的协议,它提供了一种规范的方式来操作目录中的数据。
目录通常用来存储和检索组织结构的信息,比如用户、部门、组等。
LDAP提供了一种层次结构的数据存储方式,其中包含许多条目(entry),每个条目都有一个唯一的标识符(Distinguished Name,简称DN)来定位它在目录中的位置。
二、LDAP常用命令有哪些?1. ldapsearch:用于搜索目录中的条目,并返回符合指定条件的结果。
可以通过指定搜索过滤器(Filter)和搜索基准(Base DN)来进行搜索操作。
例如,查询所有用户的命令如下:ldapsearch -x -b "dc=example,dc=com""(objectClass=inetOrgPerson)"2. ldapadd:用于向目录中添加新的条目。
需要提供要添加的条目的信息,包括DN、对象类(ObjectClass)和属性(Attribute)。
例如,添加一个用户的命令如下:ldapadd -x -D "cn=admin,dc=example,dc=com" -W -f user.ldif3. ldapmodify:用于修改目录中已有条目的属性值。
需要提供要修改的条目的DN和相应的修改操作(如添加、删除和替换)。
例如,修改用户的命令如下:ldapmodify -x -D "cn=admin,dc=example,dc=com" -W -f user.mod4. ldappasswd:用于修改用户的密码。
Ubuntu下搭建Apache+SVN+LDAP服务最近跟LDAP干上了,几乎全部的系统都要跟LDAP整合。
一开头技术热烈高涨,接着就是被LDAP的种种详情熬煎。
最终,有那么一天,几乎全部的基于LDAP服务的应用所有整合完毕。
这一刻,我也体味到了企业中用法LDAP,对于帐号管理是多么的便利。
不自然地,居然想要把接触到的系统所有整合LDAP。
着魔了!赶在脑子还算苏醒的阶段,抓紧收拾Apache+SVN+LDAP系统!对于开发服务器,假如惟独bersion,虽然也可以通过svn://host/svn方式拜访svn;但是,这样的拜访方式,终归不便利,尤其是外网拜访,于是,我们整合Apache中的WebDAV,使之可以通过http://host/svn方式拜访svn;可是,假如挺直通过外网拜访svn,于是,我们结合SSL,以https://host/svn方式拜访svn;固然,假如有无数人要用法svn,svn帐号管理就成为一个棘手事!如何解决?帐号分配,密码更迭等等,这些事情都很棘手。
LDAP,正巧解决这个问题!在搭建Apache+SVN+LDAP服务前,先用法ldapSearch 检测下LDAP服务衔接: ldapsearch -h -p 389 -x -b "cn=users,dc=zlex,dc=org" -D "snowolf@"-w 11111111 简要描述: -h 主机地址 -p 端口号(默认389) -x 容易授权 -b BaseDN -D BindDN 这里就是邦定的用户帐号了 -w 显式输入密码 -W 隐式输入密码这是基于绑定用户帐号方式拜访LDAP服务,假如可以匿名拜访LDAP,这事情就更容易了,也就更担心全了!假如衔接胜利,可以获得一堆该账户下的全部LDAP信息。
假如不胜利,只能向LDAP服务提供者询问了! PS:这一个月,我被LDAP服务搞死了,公司负责LDAP服务维护的同事也不懂如何配置相关应用中的LDAP衔接。
LDAP系列(⼀)完整的LDAP+phpLDAPadmin安装部署流程LDAP 安装部署以及基础使⽤因⼯作需求需要使⽤ldap管理⽤户权限,在踩了⼀系列坑之后,总结了⼀些流畅的⽂档,希望可以帮到和曾经的我⼀样迷茫的⼈。
基础环境:Ubuntu 18.04⼀、安装root@cky:~# apt install slapd ldap-utils -yAdministrator password: 123456Confirm password: 123456安装包版本root@cky:~/ldap# dpkg -l slapd ldap-utilsDesired=Unknown/Install/Remove/Purge/Hold| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)||/ Name Version Architecture Description+++-===============================================-============================-============================-===================================================================== ii ldap-utils 2.4.45+dfsg-1ubuntu1.10 amd64 OpenLDAP utilitiesii slapd 2.4.45+dfsg-1ubuntu1.10 amd64 OpenLDAP server (slapd)⼆、配置配置组织名称,输⼊/验证在安装期间创建的管理员密码。
Ldap 图解
你可以免费:
拷贝、分发、呈现和表演当前作品 制作派生作品
是必须基于以下条款:
署名。
你必须明确标明作者的名字。
.
非商业用途。
你不可将当前作品用于商业目的。
保持一致。
如果你基于当前作品更改、变换或构造新作品,你应当按 照与当前协议完全相同的协议分发最终作品。
对于任何二次使用或分发,你必须让其他人明确当前作品的授权条 款 在得到作者的明确允许下,这里的某些条款可以放弃
选择使用 openldap 或 mysql 来存储虚拟域和虚拟用户。
这里是选择 openldap
设置 LDAP suffix
设置 LDAP 管理员 cn=manager,dc=example,dc=com 密码
设置 mysql 密码,iredmail 需要使用 mysql 来存储 webmail 的设置
添加第一个 domain
设置 domain 管理员 postmaster 密码
设置 domain 第一个用户 www 的密码
是否启用 SPF 和 DKIM
选择组件
选择 webmail 的默认语言
设置 root 的 alias
决定是否开始安装
安装完成后,设置 ssh 和 iptable
************************************************************************* * iRedMail-0.5.1 installation and configuration complete. ************************************************************************* < Question > Would you like to use iptables rules shipped within iRedMail now? < Question > File: /etc/default/iptables, with SSHD port: 22. [Y|n] < INFO > Copy iptables sample rules: /etc/default/iptables. < Question > Restart iptables now (with SSHD port 22)? [y|N] < INFO > Skip restart iptable rules. < Question > Would you like to start postfix now? [y|N] ********************************************************************
* Congratulations, mail server setup complete. Please refer to tip * file for more information: * * * * And it's sent to your mail account www@,www@. * * If you want to remove and re-install iRedMail, here are steps: * * * * * * * * Please reboot your system to enable mail services or start them * manually without reboot: * * # for i in sysklogd apache2 postfix mysql slapd postfix-policyd dovecot amavis clamav-daemon clamav-freshclam cron iptables; do /etc/init.d/${i} restart; done * ******************************************************************** - Run script to remove main components installed by iRedMail: # cd tools/ # bash clear_iredmail.sh - Remove iRedMail installation process status: # rm -f /root/iRedMail-0.5.1/.iRedMail.installation.status - Install iRedMail like you did before. - /root/iRedMail-0.5.1/iRedMail.tips
你可以重新启动机器或者重启邮件相关的服务
# for i in sysklogd apache2 postfix mysql slapd postfix-policyd dovecot amavis clamav-daemon clamav-freshclam cron iptables; do /etc/init.d/${i} restart; done
。
