实现主机的ldap登录
作者 佚名技术
来源 Linux系统
浏览
发布时间 2012-04-13
| 最近部门弄了一台主机,当成部门的内服ftp服务器,放点电影啊、软件啊啥的,机子是公司linux大牛配的,实现了部门员工的ldap帐户登录,觉得挺有意思.今天在网上查了下资料,学习了一下. 1、PAM学习. 刚开始看到有人说跟PAM有关,就学习了一下PAM有关的知识. PAM是一个可插入模块,最初是SUN公司在solaris开发的,后来各种平台都实现了PAM的功能.PAM实现的是认证功能,它提供了一些动态链接库和一套统一的API,可以为系统不同的服务提供更灵活的认证方式. 在linux中,PAM的概念是:对于任何需要验证的程序,它只要知道PAM中有一个相应的模块替他完成认证功能就行了.这样我们可以随时为一个服务添加、删除或修改一个模块而不影响到其他服务的PAM模块. 这就是传说中的“高内聚,低耦合”. 2、实现系统的LDAP登录. 利用PAM对LDAP服务器进行检查来验证用户,这个功能是由/lib/security/pam_ldap.so 模块实现的. 要启动LDAP身份验证机制,  修改/etc/sysconfig/authconfig文件,将“USELDAPAUTH=no”改为“USELDAPAUTH=yes”USEWINBINDAUTH=no USEKERBEROS=no USESYSNETAUTH=no USEPAMACCESS=no USEMKHOMEDIR=no FORCESMARTCARD=no USESMBAUTH=no USESMARTCARD=no USELDAPAUTH=yes USEDB=no USEWINBIND=no USESHADOW=yes PASSWDALGORITHM=md5 USELOCAUTHORIZE=no USEPASSWDQC=no USELDAP=yes USEHESIOD=no USECRACKLIB=yes USENIS=no 然后修改LDAP配置文件“/etc/ldap.conf”,指定LDAP服务器等参数.base ou=x,dc=ey,dc=com timelimit 120 bind_timelimit 120 idle_timelimit 3600 nss_initgroups_ignoreusers root,ldap,named,avahi,haldaemon,dbus,radvd,tomcat,radiusd,news,mailman,nscd,gdm uri ldaps: 拥有帝国一切,皆有可能。欢迎访问phome.net//master.xy.com ssl on tls_cacertdir /etc/openldap/cacerts pam_password clear 要让PAM身份验证服务使用LDAP服务器,必修修改/etc/pam.d/system-auth文件,使其包含pam_ldap.so模块.auth required pam_env.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth sufficient pam_ldap.so use_first_pass auth required pam_deny.so account required pam_unix.so broken_shadow account sufficient pam_succeed_if.so uid < 500 quiet account [default=bad success=ok user_unknown=ignore] pam_ldap.so account required pam_permit.so password requisite pam_cracklib.so try_first_pass retry=3 type= password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok password sufficient pam_ldap.so use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so session optional pam_ldap.so 这样,通过配置/etc/pam.d目录下相应的与服务同名的文件,便可以实现vsftpd、ssh的ldap帐户登录.例如下面是/etc/pam.d/sshd的内容#%PAM-1.0 auth include system-auth account required pam_nologin.so account include system-auth password include system-auth session optional pam_keyinit.so force revoke 拥有帝国一切,皆有可能。欢迎访问phome.net session include system-auth session required pam_loginuid.so ~ 拥有帝国一切,皆有可能。欢迎访问phome.net |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
上一篇: bash shell笔记7 创建函数下一篇: linux系统无法正常启动
关于实现主机的ldap登录的所有评论
