机票便宜 网站建设,房山 网站建设,成都网站建设公司高新,大型企业网站建设制作写在前面
因之前集群为centos6#xff0c;已经很久没升级了#xff0c;所以这次配置统一用户认证也是伴随系统升级到centos9时一起做的配套升级。新版的openldap配置大致与老版本比较相似#xff0c;但有些地方配置还是有变化#xff0c;另外#xff0c;铺天盖地的帮助文…写在前面
因之前集群为centos6已经很久没升级了所以这次配置统一用户认证也是伴随系统升级到centos9时一起做的配套升级。新版的openldap配置大致与老版本比较相似但有些地方配置还是有变化另外铺天盖地的帮助文档有相当一部分是直接搬砖过来的所以参考时容易出错这里将自己实践的内容一一共享让大家更方便更实用。
另外openldap的配置一般都采用ldif文件配置后使用命令导入如果有人写的是要直接修改config目录下的文件的话赶紧绕道吧那不是推荐的写法会把你的配置搞乱的。
高可用多主服务安装配置tsl安全链接
准备服务节点这里用三主模式
host1 192.168.1.11 id1
host2 192.168.1.12 id2
host3 192.168.1.13 id3
节点ip和节点名大家自己配置吧这里不啰嗦了。
当然安装统一认证主要是为了用户统一方便维护管理还有一个就是需要集群用户认证的高可用防止单个节点宕机引起认证服务无法使用。
高可用方式有多种大家任选一种就行 选择任意两个管理主机做主主服务节点直接部署
1、openldap在两个主机上一般2个就行了我这里用了3个现在服务器稳定性还行一般大家不用纠结
2、将openldap部署在虚拟机上云主机或者hyper-v或者kvm virtio都行这个的好处就是服务节点down机后只需要将虚拟机移到可用节点上就完成了虚拟机部署和恢复速度都比较快。
3、将openldap部署在docker容器中当然其他容器也行这个更方便了只需要备份好镜像需要的时候直接在新节点上导入就可以开始运行平时开销还比虚拟机小恢复速度更快。
4、部署在远程云主机系统中这个要涉及远程和云主机安全配置会稍微麻烦一点
安装基础包
主服务节点安装就行但为了方便建议所有主节点和计算节点都直接批量安装后面不用麻烦了。
###查看已有ldap安装包如果没有的话请打开crb源和epel源这里不细说了。
yum list | grep openldapopenldap.x86_64 2.6.2-2.el9 baseos
openldap-clients.x86_64 2.6.2-2.el9 baseos
openldap-compat.x86_64 2.6.2-2.el9 baseos
openldap-servers.x86_64 2.6.2-2.el9 epel
collectd-openldap.x86_64 5.12.0-24.el9 epel
openldap.i686 2.6.3-1.el9 baseos
openldap.x86_64 2.6.3-1.el9 baseos
openldap-clients.x86_64 2.6.3-1.el9 baseos
openldap-compat.i686 2.6.3-1.el9 baseos
openldap-compat.x86_64 2.6.3-1.el9 baseos
openldap-devel.i686 2.6.3-1.el9 appstream
openldap-devel.x86_64 2.6.3-1.el9 appstream ##这里神奇的就是2.6.3版本默认没有servers所以大家要安装2.63的server的话就需要自己再找安装源了所以建议大家几个安装包直接用2.6.2的版本这样后面要用到ldap库的地方就没啥问题了。###安装必须的软件包因服务端也同时用ldap的统一认证所以建议一起连clients都装上同时装才能自动选择相同版本否则会优先选择最高版本到时候server的包就不好装了除非直接指定与server包相同的2.6.2版本。
yum install openldap openldap-clients openldap-servers openldap-devel openldap-compat -y###安装完成后检查是否齐全
rpm -qa | grep openldapopenldap-servers-2.6.2-2.el9.x86_64
openldap-clients-2.6.2-2.el9.x86_64
openldap-2.6.2-2.el9.x86_64
openldap-compat-2.6.2-2.el9.x86_64
多主服务配置所有servers)
###进入配置目录
cd /etc/openldap###建议再建立两个文件夹certs和configsopenldap下除conf文件以外其他所有者均为ldap系统不带ldap用户的请自己创建系统用户所有节点ldap用户建议设置相同uid和gid。
mkdir certs configs###进入certs目录生成key一般使用penssl来生成自己使用现成的也没问题有这两个文件就行名字自己取后面指定正确路径就行
###这里放入/etc/openldap/certs
ldapserver.crt
ldapserver.key###先进入configs目录将配置文件写入可以写好一个应用一个配置时对应配置项第一次可以使用ldapadd命令添加第二次修改时采用ldapmodify形式修改,具体命令大家可以参考后面配置使用。
cd /etc/openldap/configs####初始化根目录设定根域
vim base.ldif
dn: dcjingdong,dccom
o: ldap
objectclass: dcObject
objectclass: organization###应用配置
ldapadd -Y EXTERNAL -H ldapi:/// -f base.ldif ###一般情况下slapd.d目录下应该有配置的文件夹和配置保存数据库了没有或者不确定的话可以删除配置目录/etc/openldap/slapd.d/下的所有文件和文件夹后重新生成这里的slapd.ldif自己按后面规则编写。
slapadd -n 0 -F slapd.d -l slapd.ldif###配置应用命令一般是ldapadd和ldapmodify这两个
###openlap配置入口有三种第一种直接本地api操作后面都是接ip地址或域名建议使用ldaps端口636而ldap的是默认端口389端口配置可根据自己需求修改如自定义端口后期使用的时候都要加上端口才能访问成功
# ldapi:///
# ldap:///
# ldaps:/// ############配置系统服务入口多个ip时指定想要开放的ip就行,按格式添加就行了 当然还可以开放ldaps://
vim /etc/sysconfig/slapd
SLAPD_URLSldapi:/// ldap://192.168.1.11
##########################################################################具体大家看系统服务和系统端口开启情况就知道了。
systemctl daemon-reload
systemctl enable slapd --now
systemctl status slapd 下面继续基础配置
###先管理基础配置
###应用配置采用ldapadd命令初期配置建议使用本地ldapi接口后面配置应用命令与此相同具体参数大家自己多搜一下熟悉就行如果只是一般管理的话这里的使用命令应该是足够了。一般配置文件会指定dn所以-D这个参数可以不指定。
ldapadd -Y EXTERNAL -D cnconfig -H ldapi:/// -f syncprov.ldif#另外两种应用格式需要ip和端口号默认的389可以不写但自定义端口一定要写。-W启用后会要输入密码所以需要先设定好根域密码密码修改方式见下方-D表示操作设置那个域一般会在ldif文件中指定可以省略。
ldapadd -x -D cnconfig -H ldap://192.168.1.11 -W -f syncprov.ldif
ldapadd -x -D cnconfig -H ldaps://192.168.1.11:636 -W -f syncprov.ldif ###导入一些基础配置大家根据实际需求选吧不一定要全部导入
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/collective.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/corba.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/duaconf.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/java.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/misc.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/openldap.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/pmi.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif######################################################################################
###这里大家一定要注意看一下很多配置文件这里写的是2}hdb实际上2.6.2的配置都在mdb下大家注意了。 大家可以看一下路径下面的内容就清楚了。自定义参数时ldif文件前指定对应数据库的dn如dn: olcDatabase{0}config,cnconfig就是指修改下面olcDatabase{0}config.ldif数据库中的配置dn:olcDatabase{1}monitor.ldif,就是指修改下面olcDatabase{1}monitor.ldif数据库中的配置每次修改完后可以cat查看修改后的配置情况但不要直接编辑下面目录中的ldif文件否则会出现配置文件校验错误。
ls /etc/openldap/slapd.d/cn\config/
cnmodule{0}.ldif cnschema.ldif olcDatabase{-1}frontend.ldif olcDatabase{2}mdb/
cnschema/ olcDatabase{0}config.ldif olcDatabase{1}monitor.ldif olcDatabase{2}mdb.ldif
##大家看看这里都是{2}mdb后面基于这个路径配置的文件会保存在olcDatabase{2}mdb这个目录下大家配置完反复看一下这些配置目录里的文件
######################################################################################
#生成密码字符串这里使用的是ssha方式加密 -s后面的密码就是自己想设定的明文密码可以采用交互方式输入这样明文密码不会显示在history中提高安全性。
slappasswd -s sdlfkjeioo3LK
{SSHA}cGUAOenh1/et0kezbZiJsdY/o7ehSGJ
###记住这个字符串后面需要写入配置文件来更新密码###编辑修改根域管理密码配置修改的是olcRootPW采用modify添加方式
###当然也可以放在下方管理权限配置里面一同修改。
vim chrootpw.ldif
dn: olcDatabase{0}config,cnconfig
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}GDdMN3vBiNHs4fEcDaey6nCdILiY3GYd
###应用修改
ldapmodify -Y EXTERNAL -H ldapi:/// -f chrootpw.ldif########################################################
###基础配置之后大家可以查看变化/etc/openldap/slapd.d/cnconfig/olcDatabase{0}config.ldif大家要看到文件头的提示# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
所以千万别手动去修改容易出错
###下面是配置截图仅供参考
###olc开头的都是可以设定的参数想设置哪个参数或者添加什么参数按ldif配置文件的格式编写即可自定义配置建议统一放置在 /etc/openldap/configs下面防止与系统配置文件弄混###配置管理权限可以单独配置角色并配置对应的读写权限dn要写清楚这里面的dn.base和后面dn里面对应的Mangementjindongcom都可以根据自己喜好或实际修改但要注意这个设定后后面使用时也要按这个来使用且设定密码或修改对应权限时这个dn都要写全且不能出错。
###下方的olcRootPW和前面的步骤里提到的是一样的表示根域管理的密码
###olcSuffix表示自己的域可以理解为组织或单位的名称如 jd.com biosafe.org按照这个修改为dcjd,dccom或 dcbiosafe,dcorg
###olcRootDN就是表示olcSuffix下的一个管理角色Management 根据自己喜好设定即可但后面dc要和前面suffix相同。
###olcAccess就是配置权限了{0}、{1}、{2}这几个表示的是不同数据库后面by跟着表示对应角色给予什么权限。
vim admin_config.ldif
dn: olcDatabase{1}monitor,cnconfig
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.basegidNumber0uidNumber0,cnpeercred,cnexternal, cnauth read by dn.basecnManagement,dcjindong,dccom read by * nonedn: olcDatabase{2}mdb,cnconfig
changetype: modify
replace: olcSuffix
olcSuffix: dcjindong,dccomdn: olcDatabase{2}mdb,cnconfig
changetype: modify
replace: olcRootDN
olcRootDN: cnManagement,dcjindong,dccomdn: olcDatabase{2}mdb,cnconfig
changetype: modify
replace: olcRootPW
olcRootPW: {SSHA}9FYhkbjcu5/JTjveRmEeE/EgHp6zDVWJdn: olcDatabase{2}mdb,cnconfig
changetype: modify
replace: olcAccess
olcAccess: {0}to attrsuserPassword,shadowLastChange by dncnManagement,dcjindong,dccom write by anonymous auth by self write by * none
olcAccess: {1}to dn.base by * read
olcAccess: {2}to * by dncnManagement,dcjindong,dccom write by * read###应用管理权限配置
ldapadd -Y EXTERNAL -H ldapi:/// -f admin_config.ldif###编辑配置tls
vim add_tls.ldif
dn: cnconfig
changetype: modify
replace: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/openldap/certs/ldapserver.crtdn: cnconfig
changetype: modify
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/certs/ldapserver.keydn: cnconfig
changetype: modify
replace: olcTLSCertificateFile
olcTLSCertificateFile: /etc/openldap/certs/ldapserver.crt
###应用配置
ldapadd -Y EXTERNAL -H ldapi:/// -f add_tls.ldif配置主主同步
###配置数据库同步
vim syncprov.ldif
dn: olcOverlaysyncprov,olcDatabase{2}mdb,cnconfig
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpSessionLog: 100###应用配置
ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov.ldif###配置开启数据同步模块大家看一下目录下的文件就了解了如果是手动安装在指定目录下这个lib位置可能要修改成对应目录总之是要找到路径/usr/lib64/openldap/下的syncprov.la这个文件
vim syncprov_mod.ldif
dn: cnmodule,cnconfig
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: syncprov.la###应用配置
ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov_mod.ldif ###配置日志级别
vim log_config.ldif
dn: cnconfig
changetype: modify
add: olcLogLevel
olcLogLevel: stats
#stats为打印日志的级别可根据不同的级别设置不同的值###应用配置这里使用modify模式
ldapmodify -Y EXTERNAL -H ldapi:/// -f log_config.ldif#####openldap日志级别看不懂的自己翻译去吧不难
Level Keyword Description
-1 any enable all debugging
0 no debugging
1 (0x1 trace) trace function calls
2 (0x2 packets) debug packet handling
4 (0x4 args) heavy trace debugging
8 (0x8 conns) connection management
16 (0x10 BER) print out packets sent and received
32 (0x20 filter) search filter processing
64 (0x40 config) configuration processing
128 (0x80 ACL) access control list processing
256 (0x100 stats) stats log connections/operations/results
512 (0x200 stats2) stats log entries sent
1024 (0x400 shell) print communication with shell backends
2048 (0x800 parse) print entry parsing debugging
16384 (0x4000 sync) syncrepl consumer processing
32768 (0x8000 none) only messages that get logged whatever log level is set
######
##可以选择配置rsyslog
# 修改/etc/rsyslog.conf配置文件
cat /etc/rsyslog.conf EOF
local4.* /var/log/slapd/slapd.log
EOF
###然后重启rsyslog应用
mkdir -p /var/log/slapd
chown ldap:ldap /var/log/slapd/
systemctl restart rsyslog
systemctl restart slapd
# 重启看到日志
ls /var/log/slapd/
# /var/log/slapd/slapd.log目录下就可以看到slapd产生的日志了。##配置禁止匿名用户访问一般为了安全都需要设置这里配置的是不允许匿名用户通过ip访问查看数据内容不允许web服务前端匿名用户登陆主要指ldapphpadmin的网络管理后面会详细说明配置。
vim disable_anon.ldif
dn: cnconfig
changetype: modify
add: olcDisallows
olcDisallows: bind_anondn: cnconfig
changetype: modify
add: olcRequires
olcRequires: authcdn: olcDatabase{-1}frontend,cnconfig
changetype: modify
add: olcRequires
olcRequires: authc###应用配置
ldapadd -Y EXTERNAL -H ldapi:/// -f disable_anon.ldif####################################################################################
####再提醒一下的就是所有采用命令生成的配置文件ldif都标明了不要手动修改所以大家不要直接修改这里的ldif文件否则后面会提示错误或者在使用命令修改后这个文件的配置就会对应修改而且每个都有时间戳破坏了系统就会显示检测到配置错误。
cat /etc/openldap/slapd.d/cnconfig.ldif
# AUTO-GENERATED FILE - DO NOT EDIT!! Use ldapmodify.
# CRC32 21c2b603
dn: cnconfig
objectClass: olcGlobal
cn: config
structuralObjectClass: olcGlobal
entryUUID: 2527141e-d799-103d-8820-417a1b6d07b1
creatorsName: cnconfig
createTimestamp: 20230825134340Z
olcDisallows: bind_anon
olcRequires: authc
olcLogLevel: stats
olcTLSCACertificateFile: /etc/openldap/certs/ldapserver.crt
olcTLSCertificateKeyFile: /etc/openldap/certs/ldapserver.key
olcTLSCertificateFile: /etc/openldap/certs/ldapserver.crt
olcServerID:: MSA
entryCSN: 20231115075749.487914Z#000000#002#000000
modifiersName: gidNumber0uidNumber0,cnpeercred,cnexternal,cnauth
modifyTimestamp: 20231115075749Z
#######################################################################################前面配置所有服务主机都配置相同的根域管理和密码当然也可以不同但下面对应的bindn和credentials就得做相应修改。###配置主机id及同步主机策略等
#olcServerID按顺序第几个主机就写对应数字作为对应编号按自己喜好修改
#下面配置同步主机
# olcSyncRepl 后面配置另外其他主机的信息一般配置一个就行这里三个节点所以配置了2个。其他两台主机注意修改,这里第一个主机所以需要同步的是2和3主机如果是第二个主机这里改成1和3号。
# olcMirrorMode表示主主同步与主从模式区别。###########################host1####################################
vim configrep.ldif
### Update Server ID with LDAP URL ###
dn: cnconfig
changetype: modify
replace: olcServerID
olcServerID: 1 ### Adding details for replication ###
dn: olcDatabase{2}mdb,cnconfig
changetype: modify
replace: olcSyncRepl
olcSyncRepl:rid002providerldap://192.168.1.12binddncnManagement,dcjingdong,dccombindmethodsimplecredentials这里的密码与前面一致可以明文建议使用前面的加密字符串searchbasedcjingdong,dccomtyperefreshAndPersistretry5 5 300 5timeout1
olcSyncRepl:rid003providerldap://192.168.1.13binddncnManagement,dcjingdong,dccombindmethodsimplecredentials这里的密码与前面一致可以明文建议使用前面的加密字符串searchbasedcjingdong,dccomtyperefreshAndPersistretry5 5 300 5timeout1
-
replace: olcMirrorMode
olcMirrorMode: TRUE
############################################################################################################host2#####################################
vim configrep.ldif
### Update Server ID with LDAP URL ###
dn: cnconfig
changetype: modify
replace: olcServerID
olcServerID: 1 ### Adding details for replication ###
dn: olcDatabase{2}mdb,cnconfig
changetype: modify
replace: olcSyncRepl
olcSyncRepl:rid001providerldap://192.168.1.11binddncnManagement,dcjingdong,dccombindmethodsimplecredentials这里的密码与前面一致可以明文建议使用前面的加密字符串searchbasedcjingdong,dccomtyperefreshAndPersistretry5 5 300 5timeout1
olcSyncRepl:rid003providerldap://192.168.1.13binddncnManagement,dcjingdong,dccombindmethodsimplecredentials这里的密码与前面一致可以明文建议使用前面的加密字符串searchbasedcjingdong,dccomtyperefreshAndPersistretry5 5 300 5timeout1
-
replace: olcMirrorMode
olcMirrorMode: TRUE
##################################################################################应用配置
ldapadd -Y EXTERNAL -H ldapi:/// -f configrep.ldif前面所有服务节点配置完成后最好是按顺序重新启动一下slapd服务并确认所有服务状态和数据库同步无错误信息
###所有slapd节点基本就是下面三个命令确认一下就行
systemctl restart slapd
systemctl status slapd
journal -xe | grep lapd高可用配置keepalivedhaproxy
怎么配置keepalived和haproxy大家搜索吧本人后面会补充上
这里仅修改haproxy 关于 openldap高可用配置选段
##修改/etc/haproxy/haproxy.cfghaproxy版本 2.8.1
##添加下面内容
listen openldap_clusterbind 192.168.1.251:10389mode tcpoption tcplogbalance roundrobinserver host1 192.168.1.11:389 check weight 5server host2 192.168.1.12:389 check weight 5server host3 192.168.1.13:389 check weight 5复制haproxy配置到所有haproxy节点下重新启动 haproxy服务后面所有认证服务都可以使用ldap://192.168.1.251:10389这个地址。
添加用户组和用户
####批量导入导出原来系统已有的账号和用户组需要使用migrationtools高版本的centos需要单独找安装源了。
###这里人员账户信息是按照migrationtools导出系统账户的格式大家添加用户或者批量导入账户的都可以采用这种方式对应修改即可有多少个人就添加多少个模块信息。
###这里的呃userPassword可以直接明文但不建议用户密码还是建议使用slappasswd生成后写入下面文件吧但得注意明文密码单独记录
###这里还可以添加其他email之类的账户参数大家搜索一下就知道了。
###建议大家直接指定gid和uid系统默认创建用户会从uid500开始个人一般喜好将小于1000的id留给系统账户方便安全管理。##分别编辑group和user配置文件
############################################################
vim add_group.ldif
dn: cnliuqiangdong,ouGroup,dcjingdong,dccom
objectClass: posixGroup
objectClass: top
cn: liuqiangdong
gidNumber: 1601dn: cnzhangtianze,ouGroup,dcjingdong,dccom
objectClass: posixGroup
objectClass: top
cn: zhangtianze
gidNumber: 1602
#######################################################################################################################
vim add_user.ldif
dn: uidliuqiangdong,ouPeople,dcjingdong,dccom
uid: liuqiangdong
cn: liuqiangdong
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {SSHA}22idPfpP0R2THBaxqpr14bawdKJKpeTC
shadowLastChange: 19333
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1601
gidNumber: 1601
homeDirectory: /home/liuqiangdongdn: uidzhangtianze,ouPeople,dcjingdong,dccom
uid: zhangtianze
cn: zhangtianze
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {SSHA}22idPfpP0R2THBaxqpr14bawdKJKpeTC
shadowLastChange: 19333
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 1602
gidNumber: 1602
homeDirectory: /home/zhangtianze
#################################################################添加用户用户信息重复时会报错修改成新的不重复信息或者使用ldapmodify命令修改。
ldapadd -x -D cnManagement,dcjingdong,dccom -H ldapi:/// -W -f new_group.ldif
ldapadd -x -D cnManagement,dcjingdong,dccom -H ldapi:/// -W -f add_user.ldif
#
#添加用户后最好确认已经建立好用户对应的文件夹也可以配置自动建立用户文件夹但系统未能自动建立时还需要手动建立。
配置phpldapadmin选配
这个是web管理界面可以选择安装没有安装的话直接使用ldapsearch命令按指定域查询信息即可。
这里已经不影响ldap的认证服务运行了后面补充web界面配置和操作。
客户端配置
需要统一认证的server物理机也建议一起配置
先配置slapd.conf 的
###客户端主要安装clients配置建议都按前面server形式安全全吧 只要不启用slapd服务即可。
###安装完后先配置slapd.conf
###主要修改或添加下面几行其他的可以注释掉
vim /etc/openldap/slapd.conf
DEREF never
SASL_NOCANON on
TLS_REQCERT never
TLS_CACERT /etc/openldap/certs/ldapserver.crt
URI ldap://192.168.1.11,ldap://192.168.1.12,ldap://192.168.1.13
BASE dcliuqiangdong,dccom
# 配置了haproxy高可用的可以直接使用前面的URI ldap://192.168.1.251:10389
# 当然如果为安全考虑可以只使用 ldaps://的链接对应的haproxy部分和这里的地址都需要做相应调整在配置sssd及sshd
###安装sssd
yum install sssd -y###生成certs证书这里直接使用前面ldapserver的
ls /etc/sssd/pki
ldapserver.crt ldapserver.key###配置sssd
vim sssd.conf
[sssd]
services nss, pam, ssh, autofs
config_file_version 2
domains ldap[nss]
fd_limit 65535
filter_groups root,bin,daemon,sys,adm,tty,disk,lp,mem,kmem,wheel,mail,uucp,man,games,gopher,video,dip,ftp,lock,audio,nobody,users,dbus,utmp,utempter,floppy,vcsa,stapusr,stapsys,stapdev,abrt,cdrom,tape,dialout,haldaemon,ntp,cgred,saslauth,postdrop,postfix,sshd,oprofile,tcpdump,screen,slocate,www,tomcat,apache,nginx,zabbix,rpc,rpcuser,nfsnobody
filter_users root,bin,daemon,adm,lp,sync,shutdown,halt,mail,uucp,operator,games,gopher,ftp,nobody,dbus,vcsa,abrt,haldaemon,ntp,saslauth,postfix,sshd,oprofile,tcpdump,www,tomcat,apache,nginx,zabbix,rpc,rpcuser,nfsnobody,ldap
homedir_substring /home[domain/ldap]
autofs_provider ldap
id_provider ldap
auth_provider ldap
chpass_provider ldapdefault_shell /bin/bash
ldap_id_use_start_tls True
ldap_tls_cacertdir /etc/sssd/pki
cache_credentials True
ldap_tls_reqcert never###这里可以使用ldaps的安全链接和高可用链接如果配置了的话
ldap_uri ldap://192.168.1.11,ldap://192.168.1.12,ldap://192.168.1.13
ldap_search_base dcjingdong,dccom
ldap_user_search_base ouPeople,dcjingdong,dccom
ldap_group_search_base ouGroup,dcjingdong,dccom###重启sssd服务###修改sshd_config配置
vim /etc/ssh/sshd_config
PermitEmptyPasswords no
PasswordAuthentication yes
UsePAM yes#修改后重新启动sshd服务##退出系统再进入服务器验证登陆
id liuqiangdong
