标签： server

安装并配置LDAP Server

apt-get update && apt-get -y install slapd ldap-utils

输入LDAP Server的管理员密码(共两次)：

 

重新配置LDAP：

dpkg-reconfigure slapd

 

Omit OpenLDAP server configuration? : no

DNS domain name: domain.com

 

NOTE：此处输入的DNS domain将会作为你的基础搜索区分名称(Base DN)。以”.”为分割符，每个”.”都是一个dc。

举个例子：你输入了domain.com，那么你的Base DN就是dc=domain,dc=com，如果输入了hello.world.com，那么你的Base DN就是dc=hello,dc=world,dc=com。

 

Organization name: domain.com

Administrator password:

NOTE：此处输入的管理员密码将会覆盖安装时输入的密码。

Database backend to use: HDB

Do you want the database to be removed when slapd is purged?: No

Move old database?: Yes

Allow LDAPv2 protocol?: No

安装并配置完毕后，会自动创建管理员账号(Bind DN)，默认为cn=admin,你的Base DN。

添加Organizational Units(下文简称OU)

此处以分别使用CLI模式添加名称分别为users与groups的OU。

 

保存以下内容到一个文件，例如usersandgroups.ldif：

 

 

NOTE：dn为此Organizational Units的区分名，简单理解成路径，只不过这个路径是从你要找的文件名开始。例如这里的dn: ou=groups,dc=domain,dc=com，则代表groups这个在dc=domain,dc=com这个Base DN的中。再举一个例子：dn: ou=second,ou=first,dc=domain,dc=com，代表second这个OU位于dc=domain,dc=com这个Base DN的first OU中。

 

使用ldapadd添加：

ldapadd -D “cn=admin,dc=domain,dc=com” -xw管理员密码 -f文件名

 

NOTE：-D后面接的是你的管理员账号。

 

看到类似提示：

adding new entry “ou=groups,dc=domain,dc=com”

 

adding new entry “ou=users,dc=domain,dc=com”

则代表添加成功。

可以使用ldapsearch查看：

ldapsearch -x -b “你的Base DN”

 

添加用户与用户组的记录

此处分别使用CLI添加类型为posixGroup的用户组与posixAccount的用户。

保存以下内容到文件，例如newuserandgroup.ldif(请自行修改dn)：

 

 

NOTE：有关dn的，前文已做解释，此处不说。cn是该记录在LDAP中的名称，gidNumber是用户组id，memberUid是用户组的名称，givenName是名字，sn是姓，gidNumber是用户要加入的用户组的id，homeDirectory是用户的家目录，loginShell是用户登录入系统时使用的Shell，uidNumber是用户的uid，uid是用户的用户名，userPassword是用户的密码。

 

同样的，使用ldapadd添加记录：

ldapadd -D “你的Base DN” -xw管理员密码 -f文件名

 

Linux使用LDAP作登录验证

安装验证使用的PAM模块，nss模块，以及nscd：

apt-get -y install libnss-ldap libpam-ldap nscd

 

LDAP server Uniform Resource Identifier: ldap://localhost/

NOTE: 一定要把ldapi:///改成ldap://，再输入LDAP Server的IP。

 

 

Distinguished name of the search base: dc=domain,dc=com

NOTE：此处输入你的Base DN。

 

 

LDAP version to use: 3

Make local root Database admin: Yes

Does the LDAP database require login?: No

LDAP account for root: cn=admin,dc=domain,dc=com

NOTE：此处输入你的Bind DN。

LDAP root account password:

 

修改/etc/nsswitch.conf文件，在passwd，group，shadow开头的三行末尾的compat前加入ldap，并以空格与compat分开：

 

修改/etc/pam.d/common-session文件，在末尾加入此行：

 

 

重启nscd：

service nscd restart

 

最后使用已在LDAP Server添加的账号记录登录此系统：

ssh newuser@localhost

 

 

 

 

Freeradius使用LDAP作验证

此处将会启用Freeradius的LDAP模块。

 

NOTE：开始下面步骤前，建议你使用http://soft.yzs.me/freeradius.sh安装FreeRadius Server

 

首先安装freeradius-ldap：

apt-get -y install freeradius-ldap

编辑/etc/freeradius/modules/ldap文件，把server等于号后面的内容改为你的LDAP Server IP，去掉identity前面的”#”，把等于号后面的内容改为你的Bind DN，去掉password前面的”#”，把等于号后面的内容改为你的LDAP Server的管理员密码，把basedn等于号后面的内容更改为你的Base DN，最后去掉password_attribute开头的”#”。

 

修改完毕后的内容应该如下(已去除被注释的行)：

 

修改/etc/freeradius/sites-available/default文件。

在

authorize {

此处内容省略

}

的”{“与”}”之间加入一行：ldap。

在

authenticate {

此处内容省略

}

的”{“与”}”之间加入下面内容：

Auth-Type LDAP {

ldap

}

 

如果使用http://soft.yzs.me/freeradius.sh安装FreeRadius Server，则修改完毕后/etc/freeradius/sites-available/default文件的内容一般如下：

 

 

重启Freeradius：

service freeradius restart

 

最后使用radtest，对已在LDAP Server添加的用户记录进行测试：

radtest newuser newuser localhost 0 testing123

 

如果返回的内容有Access-Accept，则代表验证成功：

Sending Access-Request of id 27 to 127.0.0.1 port 1812

User-Name = “newuser”

User-Password = “newuser”

NAS-IP-Address = 208.51.63.112

NAS-Port = 0

rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=27, length=20

 

教程到此完毕，感谢阅读。

由云雾互联以及微宇宙的管理员——Extreme制作。

 

QQ：865475185

Email：e@yzs.me

 

除非另有声明，本文档内容采用知识共享署名-非商业性使用-相同方式共享授权。