OpenLDAP 代理 AD 做服务器验证

《OpenLDAP 代理 AD 做服务器验证》由会员分享，可在线阅读，更多相关《OpenLDAP 代理 AD 做服务器验证（20页珍藏版）》请在装配图网上搜索。

1、OpenLDAP 代理 AD 做服务器验证June 14, 2012Abstract常规的基于用户名和 passwor d/key 的登陆方式，在服务器及 用户数量快速上升时，会导致权限管理的混乱并占用管理员大量的宝 贵时间。所以运维部研究出一套基于 LDAP 代理 AD 域账号做用户验 证的方案，以方便用户权限的管理，降低权限管理复杂度，减少管理 成本。Contents1 LDAP 使用的收益与风险32 LDAP 服务器配置42.1服务端版本的选择 42.2 LDAP 主 (Master) 服务器 52.2.1 OpenLDAP 安装 52.2.2 Master slapd.conf配置文件

2、 52.2.3 /etc/sasl2/slapd.conf配置文件 72.2.4 Master /etc/saslauthd.conf 配置文件 72.2.5 Master /etc/syscong/saslauthd 配置文件 . . . .82.2.6 与内网 AD 的通信 82.3 LDAP 从 (Slave) 服务器 92.3.1 从 (slave)LDAP 服务器列表 92.3.2 Slave slapd.conf配置文件 93 Linux 客户端 置113.1 sshd 相关的配置 113.1.1 /etc/pam.d/sshd配置文件 113.1.2 /etc/ssh/sshd.

3、conf配置文件 113.2 nss_ldap 以及 pam_ldap 113.2.1 /etc/ldap.conf 配置文件 123.3 sssd 123.3.1 /etc/sssd/sssd.conf 123.4 nss_updatedb 本地缓存 134 其它应用与 LDAP 结合144.1 Subversion 与 LDAP 144.1.1 SASL 方式 144.1.2 apache mod_authnz_ldap 方式 144.2 Apache 与 LDAP 155 LDAP 的日常管理165.1 perl Net:LDAP 模块 165.2 phpLDAPadmin 165.3

4、Apache Directory Studio 171. LDAP 使用的收益与风险1. 收益(a) 账号密码统一管理，减少信息冗余(b) 权限的分配和查询简单、清晰(c) 员工离职后权限自动收回2. 风险(a) 有多个配置文件需要做修改，有可能改错和漏改 (b) 网络延时的增加(c) 网络故障可能导致 ldap 服务不可用(d) 新技术学习成本2. LDAP 服务器配置这一节主要阐述LDAP服务器端的搭建和配置2.1. 服务端版本的选择由于稳定性和知名度的原因，选择OpenLDAPi服务器。其它可供选择 的 LDAP 服务器有：Apache Directoryhttp:/directory.

5、fedoraproject.http:/directory.apache.org/389 dir ectory server org/wiki/Main_PageOpenDS1 http:/www.opcnldap.org2.2. LDAP 主 (Master) 服务器LDAP Master 服务器域名：ldap- 所有的写操作都必须在主服务器上完成, 数据实时同步至 Slave 服 务 器32.2.1. OpenLDAP 安装因系统自带的OpenLDAP版本及编译参数问题，选择编译安装OpenL- DAP 服务器编译参数：./configu re-with-cyrus-sasl-enable

6、-spasswd-enable-ldap-enable-meta-enable-rwm-enable-rewrite-enable-unique-enable-member of-enable-dynlist-enable-dyngroup-with-tls=openssl-enable-syncpr ov2.2.2. Master slapd.conf 配置文件Listing 1: Master slapd.confi ncl ud e/ usr /loca l/i ncl ud e/ usr /loca l/i ncl ude/ usr /loca l/i ncl ude/ usr /lo

7、ca l/i ncl ude/ usr /loca l/pi df il e/ usr /loca l/argsfil e/ usr /loca l/TLSCACertif i ca t eFil e/u123456789l0etc / op enl dap/ s chema/ core. s chema etc / op enl dap/ schema/ cos i ne. s chema etc / op enl dap/ s chema/i net or gp er s on. etc / op enl dap/ schema/ ni s . s chema et c/ openl da

8、p/ schema/l dapns . s chemavar / r un/slapd. pi d var / run / s l apd. args/l oca l/ et c/ openl dap/ cace r t. pemschema2 此域名必须保留， Slave 通过域名从 Master 上同步数据3 视网络及服务器负载而定11121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859TLSCertiTLSCertil og f il eloglev

9、el/ var /l16384og/ sl apd. confsa s l - ho s tsa s l - s ec pr op s127.0. 0. 1non edat abasemon it orf i ca t eFil e/usr/l oca l/ et c/ openl dap/ newce rt . pemf i ca t eKeyFil e / usr/l oca l/ etc / op enl dap/ cl ea r key. pemby anony mou s by * non edat abasebdbsuff i xdc =:example2r oo t dncn=m

10、anagerdi r ec tor y/ usr/l oca l/i nd exobj ect Cl asseqi nd exui deqi nd excneqi nd exho s teqi nd exui dNunbereqi nd exgi dNunbereqi nd exmenber Ui deqi nd exen t r yCSN, entryUUD,dc=com,dc=example2 , dc=com var/op enldap-dat aeqaccess t o dn. s ub t r ee = c n=Mbn it or by users re adr ea d ov er

11、 l ay un i qu euni qu e_ur i ld ap:/ ?ui dNumer ?s ub ?( obj ec t Cl ass =po s i xAcc oun t) uni que_ur i ld ap:/ ?ui d?sub?( obj ec t Cl ass =posi xAcc oun t)ov erlay s yn cpr ovsyncpr ov - chec kpo i nt5010s yn c pr ov - s e ss i on l og100 access t o dn. exac t = cn=manager , dc=example2 , dc=com

12、 by pee r name. i p = 127.0.0. 1 re adby pee r name. r egex=xxx . 168 . *. * r ea dby pee r name. r egex=xxx . 62. 196 . * r ea dby pee r name. r egex=xxx . 126 . 155 . * r ea dby users non eby anony mou s non e6061dn.62636465666768wr i6970717273747576access t oexac t =ui d=per l, ou =Syst em, ou=Pe

13、opl e, dc=example2 , dc=com by by by bypee r name. i p = 127.0.0. 1 re adpee r name. r egex=192 . 168 . *. * read users non eanonymous noneaccess by e by by byt o dn. sub t r ee = ou =peopl e, dc =example2 , dc=com!dn. exac t = ui d=per l, ou =Sys t em, ou =Peopl e, dc=example2 , dc=comse l fwr it e

14、 re adusersanonymous r ea daccess to* by se l f wr it e By byusers re ad a nony mou s r ea ddatabase指定一个新的数据库access 访问列表，以提高安全性.详细配置请查阅slapd.conf(5)以及在线文档http:/www.openldap.org/doc/2.2.3. /etc/sasl2/slapd.conf 配置文件Listing 2: /etc/sasl2/slapd.conf1pl23,mec h li s t:ai npwchec k_met hod : sasl aut hds

15、asl aut hd_p at h: / var / r un/ sasl aut hd / mix2.2.4.Master /etc/saslauthd.conf配置文件主要用来告知slapd如何使用sasl来进行密码验证 此处使用 saslauthd 来进行用户名和密码验证12345Listing 3: /etc/saslauthd.confl dap_ s er ver s : l dap:/ 192.168.100.52l dap_v e r s i on : 3l dap_sea r ch_b ase: ou =example2 sz, dc=example2 , dc=coml d

16、ap_f ilt er : (userPrincipal Name=%u)l dap_b i nd_dn : cn =Test User , ou=ExampleSZ, dc=example2 , dc=com l dap p ass wor d: t estt est2.2.5. Master /etc/syscong/saslauthd 配置文件Listing 4: /etc/saslauthd.confSOCKETDI R=/ var / r un/ saslauthdMECH=l dapFLAGS=-r -c -t 2592000 -s 100 -V这是 saslauthd 服务器的启

17、动参数，由 saslauthd 启动时读取以上两个配 置文件，完成与后端LDAP服务器的验证。2.2.6. 与内网AD的通信由于需要与内网的AD服务器做通信，暂时要拨vpn并添加相应路由Listing 5: pptp 拨号和添加路由/ usr / sbi n / pp t p s e t up - c r ea t e cvpn - server XXX.XXX.XXX.XXX - us er name Tes t Us er 1 - pass wor d t e s tt est - encrypt - start/sbin/route add -net 192.168.100.0/22 g

18、w 192.168.200.10678123451234由于 VPN 存在一定的不稳定性，所以会在合适的时候切换到 SSL 的连接 方式。2.3. LDAP 从 (Slave) 服务器2.3.1. 从 (slave)LDAP 服务器列表现在一共有 8 台从 (slave)LDAP 服务器： xxx.xxx.xxx.xxx 香港直接使用 ip 而放弃使用 dns 域名的原因如下： ldap服务器一般变动很小，配置不会经常修改客户端的配置已经集成到puppet内，修改配置很简单 客户端使用域，会增加一层域名解析的延时若客户端域名解析出错，会导致ldap用户连接不上服务器Slave服务器的数据通过长

19、连接，与Master进行实时同步更新2.3.2. Slave slapd.conf 配置文件Listing 6: Slave slapd.conf123456789i ncl ud e i ncl ud e i ncl ude i ncl ude i ncl udepi df il e argsfil e/ usr /l / usr /l / usr /l / usr /l / usr /loca l/ etc / openldap/ schema/ core. s chema oca l/ et c/ openl dap/ schema/ cosi ne. schema oca l/ et

20、c/ openl dap/ schema/i net or gper son. oca l/ etc / op enl dap/ s chema/ ni s . s chema oca l/ et c/ openl dap/ schema/l dapns . s chema/ usr /l oca l/ var / r un/ s l apd. pi d/ us r /l oca l/ var / run / slapd. argsschemal og f il e / var /log/slapd.confl ogl evel 16384TLSCACerti fi cat eFil e/ u

21、sr /loca l/ et c/ openl dap/ cace r t.pemTLSCer ti f i ca t e Fil e/ usr /loca l/ et c/ openl dap/ newce rt.pemTLSCer ti f i ca t eKeyFil e/ usr /loca l/ etc / op enl dap/ cl ea r key. pemsa s l - ho s t127.0. 0.1sa s l - s ec pr op snon edat abasebdbsuff i xdc =example2 , de =comr oo t dncn=manager

22、, dc=example2 , dc=comdi r ec t or y/ usr /l oca l/ var/ openldap-dat ai nd exob j ec t Cl a sseqi nd exui deqi nd excneqi nd exho s teqi nd exui dNunbereqi nd exgi dNunbereqi nd exmember Ui deqi nd exen t r yCSN, entryUUDeqsync repl ri d=005pr ovi der =1 dap:/l dap - hk1 . example . comt yp e =r e

23、fr eshAndPer si sti nt er val =00 : 00 : 05 : 00searchbase=dc =example2 , dc=combi nddn = ui d=s yn cr epl , ou=Syst em, ou =Peopl e, dc=example2 , dc=com cr edenti al s =t e s ti ng retry= 60 10 300+star ttl s =c r iti ca ltl s_cace r t = / usr /l oca l/ et c/ openl dap/ cace rt.pemtl s_r eqce r t

24、=all ow101112131415161718192021222324252627282930313233343536373839404142434445upd at er ef ld ap:/l dap- hk1 . example . com3. Linux 客户端 置客户端配置3.1. sshd 相关的配置3.1.1. /etc/pam.d/sshd 配置文件需要使用 pam_ldap.so 模块来让 sshd 支持 ldap 方式进行验证3.1.2./etc/ssh/sshd.conf配置文件Listing 7: /etc/pam.d/sshd1iaut hsuff i ci en

25、tpam_l oca l us er1.s o2aut hsuff i ci entpa m_l dap. sotr y_ f i r s t _p a ssi gno r e._unkno wn_u s er3aut hi nclud es ys t em- aut h4acc oun tr e qu i r e dpam_no l ogi n. so5acc oun tsuff i ci entpam_l oca l us er.s o6acc oun tdef ault =bad succe ss =ok use r _unkno wn =i gno r e pam_l dap. so

26、try_firs t _p ass i gno r e_aut hi nf o_un avail7acc oun ti ncludes ys t em- aut h8pass wor di ncludes ys t em- aut h9sess i onr e qu i r e dpam_nkho medi r.s o ske l =/ et c/ skel/u mask=002210sess i onop ti on alpam_keyi nit . so force r e vok e11sess i oni ncludes ys t em- aut h12sess i onr e qu

27、i r e dpam_l ogi nui d.s osshd 要允许登陆密码方式进行验证：Listing 8: /etc/ssh/sshd.confPass wordAuthenti ca ti on yes3.2. nss_ldap 以及 pam_ldap需要安装 nss_ldap 和 pam_ldap 模块# yum ins t all nss _l dap3.2.1. /etc/ldap.conf 配置文件123456789101112131415Listing 9: /etc/ldap.confho s t xxx.xxx.xxx.xx xxx.xxx.xx.xxbase dc=exa

28、mple2 , dc=coml dap_v e r s i on 3port 389scope s ubti meli mit 30bi nd_ ti meli mit 30bi nd_po li cy so f ti dl e_ti meli mit 3600pam_check_ho st_att r yesss l st ar t _tl stl s_checkpeer notl s_cace r t f il e /etc/ cace r t. pemnss _conn ec t _po li cy oneshotnss i nit gr oup s i gno reusers r oo

29、 t3.3. sssd集成离线登陆功能3.3.1./etc/sssd/sssd.conf# yum ins t all sss d sss d- cli entListing 10: /etc/sssd/sssd.conf12103456789101112sss ddebug_ level =c on f i g_ f il e _v e r s i on = 2 s er vi ce s = nss , pa m do ma i ns = example2 . comnss debug_ l evel = 10f ilt er _gr oup s = r ootf ilt e r _u s

30、e r s = r oo tpamdebug_ level = 10pam_verbosit y = 3domai n/ example2 . comdo ma i n_ t yp e = ld aps er ver = 192 .168 . 100 .128i d_p r ovi der = ld api d_server = 192 . 168 . 100 . 128aut h_p r ovi der = l dapaut h_s er ver = 192.168.100.128acce ss _p r ov i der =l dap ldap_acce ss _or der =host

31、l dap_schema = rf c2307l dap_uri = ld ap:/ 192 . 168 . 100 . 128 : 389l dap_s ea r ch_b as e = dc =example2 , dc=com enumer at e = tr uecac he_cr edenti al s = truel dap_tl s _r eqce r t = neverl dap tl s cace r t = /etc / cace r t. pem3.4. nss_updatedb 本地缓存将远程 ldap 服务器上的数据定时拉取到本地文件中保存，大大提高响 应速度1314

32、15161718192021222324252627282930311# / usr /l oca l/ nss _upd at edb/ sbi n/ nss _upd at edb l dap1pl2312345678912344. 其它应用与 LDAP 结合有很多应用可以与 LDAP 结合起来，实现用户账号的统一管理，减少冗 余4.1. Subversion 与 LDAPSubversion可以通过几种方式实现与LDAP的验证4.1.1. SASL 方式使用 SASL 协议来与 LDAP 后端验证Listing 11: /etc/sasl2/svn.conf,_mc h_ li s t;

33、,ai npwchec k_met hod : saslauthds as l aut hd_p at h: /var/run/saslauthd/ mix主要用来告知subversion 如何使用sasl来进行密码验证此处使用 saslauthd 来进行用户名和密码验证Listing 12; /var/svndata/ Treasur e/conf/svnserve.confH1gener alan on - acce ss = non eau t h- acce ss = wr it eaut hz-db = au t hzr ea l m = example2 . c omsasluse

34、- s asl = tr uenin-encrypti on = 0max-encrypti on = 128此处是让svn直接通过SASL方式与LDAP服务器进行验证。4.1.2. apache mod_authnz_ldap 方式通过将SVN的访问方式切换到http方式，借助apache 的mod_authnz_ldap 模块来实现与LDAP后端验证Listing 13; /usr/local/apache222/conf/httpd.conf 1generalLoadMbdu l e dav_s vn_ modu l emodules/ mod_d av_s vn. soLoadMbdu

35、 l e aut hz_s vn_ modu l emodul es/ mod_ aut hz_s vn. so1011DAV sv nSVPat h / var / s vnd at a/ Tr ea sur eAut hTyp e basicAut hName Please lo gi n using Your AD Acc oun t Aut hBas i cPr ovi der ld apAut hLD/PBi nd DNCN=LdapSync, OU=Spec Users, OU=Publi cOU, OU=ExampleSZ, DC=example2 , DC二com12Aut h

36、LDABi ndPass word Your Pass wdAut hLD/PURL13l dap:/ dc02. example2 . com 389 / ou=example2 sz, dc=example2 , dc=com?s AMAccoun t Na141516Aut hzSVNAcce ss Fil e / var/ s vnd ata /Trea sure / conf / acce ssRequire vali d-user4.2. Apache 与 LDAPApache 关文档有多个模块可以实现通过LDAP验证用户，详细配置请查找相mod_authz_ldapmod_aut

37、hnz_ldapmod_ldap5. LDAP 的日常管理5.1. perl Net:LDAP 模块使用 Perl 的 Net:LDAP 模块，编写日常管理脚本脚本放在 xxx.xxx.xx.xx /home/xxxxxx/practical/scripts 目录添加一个 LDAP 用户：# perl add_ldap_user.pl - u test us er -l user -g www-u 用户的 rtx 用户名 （请一定分大小写）-l用户的所属层级（如PUKE,默认可添加至user层级）-g 用户所属的 group可疏复运行，已经存在的会错第信息为 LDAP 用户添加主机访问权限：#

38、 per l1xx . example .coma dd_ho st_for_user.pl-u t es t us er -hhk-r s - xxx - xxx - xx -u 用户名-h 主机名可疏复运行，已经存在的会错第信息查询 LDAP 用户的相关信息：# per l show_user_info.pl - u te s t ues r att ribute5.2. phpLDAP adminweb 形式图形化显示，同时集成管理功能 1链接地址：http:/xxx .xxx.xxx.xxx:18090/ldapadmin默认已经添加了 SA的权限，使用域账号登陆。见图片Figure

39、1Q uid=FrankDong uid=Hardie 訂 uid=JackZhu A uidJameLuo uid=JasonHu uid=KatyLong ”uid=RebortsHu uid=StoneZou 卜.uid=wfhu 创建漸条目 田电 ou=SGMJ (5) 由屯 ou=SocialGame 田 ou=Special (1) 由. ou=System (3) 审电 ou=test (5)uid=JasonHu朋务器： 识别名(DN) : iiid=Jason H u,ou=SA,ou=Peoplerdc=boyaardc=com 样板：置认的刷新雜 Switch Templ

40、ate 鞘复制和移动该条目 固更名*创建一个子条目K显示内部属性导出矗刪除该条目2同另一个条目进行比较 血増加新的属性后点击保存”9提示：9提示：想要刪除一个属性，请将文本宇段清空，滋 要查看一个厲性的格式，请点击属性的名称由屯 ou=USER (6)cn必需的创逮新粲目*创逼新粲目|jasonHu皿值）gidNumber必奉的40001sa 0homeDi rectory必需的|/home/JasonHuhostFQiS 值)loginShelll/bin/bashobjectclass必需的 account黠构化） IposixAccoiintFigure 1: phpLD APadmin

41、5.3. Apache Directory Studio强大的客户端LDAP管理工具，见图片Figure 2idfluuri 11 ihi iirjfiiiriFigure 2: Apache Directory Studio3 LB* PJffwr 411 F| m(3 *0B 區 a err N nmkdsc m*aarfa.E ip1 uM:Eui4wiita-uReferences1 phpLDAPadmin wiki/index.php/Main_Page2 Apache Directory Studio Apache.org http:/directory. apache.org/studio/