ldap搭建與管理伺服器
『壹』 什麼是LDAP伺服器
LDAP是基於TCP/IP協議的目錄訪問協議,是Internet上目錄服務的通用訪問協議。LDAP的出現簡化了X.500目錄的復雜度,降低了開發成本,是X.500標準的目錄訪問協議DAP的子集,同時也作為IETF的一個正式標准。LDAP的核心規范在RFC中都有定義,所有與LDAP相關的RFC都可以在LDAPman RFC網頁中找到。
從上述定義不難看出LDAP是一個目錄,那麼該目錄是如何出現,有什麼用呢?
在當今的信息世界,網路為人們提供了豐富的資源。隨著網路資源的日益豐富,迫切需要一種能有效管理資源信息並利於檢索查詢的服務技術。目錄服務技術隨之產生。
1.LDAP目錄服務可以有效地解決眾多網路服務的用戶賬戶問題。
2.LDAP目錄服務規定了統一的身份信息資料庫、身份認證機制和介面,實現了資源和信息的統一管理,保證了數據的一致性和完整性。
3.LDAP目錄服務是以樹狀的層次結構來描述數據信息的,此種模型適應了眾多行業應用的業務組織結構。
LDAP伺服器也是用來處理查詢和更新LDAP目錄的。換句話來說LDAP目錄也是一種類型的資料庫,但是不是關系型資料庫。不象被設計成每分鍾需要處理成百上千條數據變化的資料庫,例如:在電子商務中經常用到的在線交易處理(OLTP)系統,LDAP主要是優化數據讀取的性能。
LDAP最大的優勢是:可以在任何計算機平台上,用很容易獲得的而且數目不斷增加的LDAP的客戶端程序訪問LDAP目錄。而且也很容易定製應用程序為它加上LDAP的支持
『貳』 centos7 下用FREERADIUS3+ldap(windowsAD)搭建radius伺服器
1安裝軟體:
yum install freeradius freeradius-ldap freeradius-utils -y
2啟動服務
systemctl start radiusd.service
3開機自動啟動
systemctl enable radiusd.service
4修改配置文件 /etc/raddb/mods-available/ldap主要是ldap部分,其它都是默認
[root@10-57-22-55 mods-available]# cat /etc/raddb/mods-available/ldap | grep -v '#' | grep -v ^$
5在 mods-enabled/ 下執行ln 注意後面有點
6在 sites-available/ 下創建 site_ldap
[root@10-57-22-55 sites-available]# cat site_ldap
7在 sites-enabled/ 下執行ln 注意後面有點
重啟伺服器
systemctl restart radiusd.service
測試 命令如下
radtest user password localhost:1833 0 testing123
以下結果表示成功:Received Access-Accep(密碼帶特殊字元需要用『』引號引起來)
以下為密碼錯誤Received Access-Reject
『叄』 系統之家linux系統如何搭建搭建ldap伺服器怎麼辦
您好,請問您是想知道系統之家Linux系統如何搭建搭建ldap伺服器怎麼辦嗎?
『肆』 什麼叫LDAP,LDAP伺服器是什麼
LDAP的英文全稱是Lightweight Directory Access Protocol,一般都簡稱為LDAP。它是基於X.500標準的,但是簡單多了並且可以根據需要定製。與X.500不同,LDAP支持TCP/IP,這對訪問Internet是必須的。LDAP的核心規范在RFC中都有定義,所有與LDAP相關的RFC都可以在LDAPman RFC網頁中找到。怎麼使用LDAP這個術語呢?
在日常交談中,你可能會聽到有些人這么說:「我們要把那些東西存在LDAP中嗎?」,或者「從LDAP資料庫中取出那些數據!」,又或者「我們怎麼把LDAP和關系型資料庫集成在一起?」。嚴格地說,LDAP根本不是資料庫而是用來訪問存儲在信息目錄(也就是LDAP目錄)中的信息的協議。更為確切和正式的說法應該是象這樣的:「通過使用LDAP,可以在信息目錄的正確位置讀取(或存儲)數據」。但是,也沒有必要吹毛求疵,盡管表達得不夠准確,我們也都知道對方在說什麼。
『伍』 LDAP和AD域的介紹及使用
1 LDAP入門
1.1 定義
LDAP是輕量目錄訪問協議(LightweightDirectory Access Protocol)的縮寫,LDAP標准實際上是在X.500標准基礎上產生的一個簡化版本。
1.2 目錄結構
LDAP也可以說成是一種資料庫,也有client端和server端。server端是用來存放數據,client端用於操作增刪改查等操作,通常說的LDAP是指運行這個資料庫的伺服器。只不過,LDAP資料庫結構為樹結構,數據存儲在葉子節點上。
因此,在LDAP中,位置可以描述如下
因此,蘋果redApple的位置為
dn標識一條記錄,描述了數據的詳細路徑。因此,LDAP樹形資料庫如下
因此,LDAP樹形結構在存儲大量數據時,查詢效率更高,實現迅速查找,可以應用於域驗證等。
1.3 命名格式
LDAP協議中採用的命名格式常用的有如下兩種:LDAP URL 和X.500。
任何一個支持LDAP 的客戶都可以利用LDAP名通過LDAP協議訪問活動目錄,LDAP名不像普通的Internet URL名字那麼直觀,但是LDAP名往往隱藏在應用系統的內部,最終用戶很少直接使用LDAP 名。LDAP 名使用X.500 命名規 范,也稱為屬性化命名法,包括活動目錄服務所在的伺服器以及對象的屬性信息。
2 AD入門
2.1 AD定義
AD是Active Directory的縮寫,AD是LDAP的一個應用實例,而不應該是LDAP本身。比如:windows域控的用戶、許可權管理應該是微軟公司使用LDAP存儲了一些數據來解決域控這個具體問題,只是AD順便還提供了用戶介面,也可以利用ActiveDirectory當做LDAP伺服器存放一些自己的東西而已。比如LDAP是關系型資料庫,微軟自己在庫中建立了幾個表,每個表都定義好了欄位。顯然這些表和欄位都是根據微軟自己的需求定製的,而不是LDAP協議的規定。然後微軟將LDAP做了一些封裝介面,用戶可以利用這些介面寫程序操作LDAP,使得ActiveDirectory也成了一個LDAP伺服器。
2.2 作用
2.2.1 用戶服務
管理用戶的域賬號、用戶信息、企業通信錄(與電子郵箱系統集成)、用戶組管理、用戶身份認證、用戶授權管理、按需實施組管理策略等。這里不單單指某些線上的應用更多的是指真實的計算機,伺服器等。
2.2.2 計算機管理
管理伺服器及客戶端計算機賬戶、所有伺服器及客戶端計算機加入域管理並按需實施組策略。
2.2.3 資源管理
管理列印機、文件共享服務、網路資源等實施組策略。
2.2.4 應用系統的支持
對於電子郵件(Exchange)、在線及時通訊(Lync)、企業信息管理(SharePoint)、微軟CRM&ERP等業務系統提供數據認證(身份認證、數據集成、組織規則等)。這里不單是微軟產品的集成,其它的業務系統根據公用介面的方式一樣可以嵌入進來。
2.2.5 客戶端桌面管理
系統管理員可以集中的配置各種桌面配置策略,如:用戶適用域中資源許可權限制、界面功能的限制、應用程序執行特徵的限制、網路連接限制、安全配置限制等。
2.3 AD域結構常用對象
2.3.1 域(Domain)
域是AD的根,是AD的管理單位。域中包含著大量的域對象,如:組織單位(Organizational Unit),組(Group),用戶(User),計算機(Computer),聯系人(Contact),列印機,安全策略等。
可簡單理解為:公司總部。
2.3.2 組織單位(Organization Unit)
組織單位簡稱為OU是一個容器對象,可以把域中的對象組織成邏輯組,幫助網路管理員簡化管理組。組織單位可以包含下列類型的對象:用戶,計算機,工作組,列印機,安全策略,其他組織單位等。可以在組織單位基礎上部署組策略,統一管理組織單位中的域對象。
可以簡單理解為:分公司。
2.3.3 群組(Group)
群組是一批具有相同管理任務的用戶賬戶,計算機賬戶或者其他域對象的一個集合。例如公司的開發組,產品組,運維組等等。可以簡單理解為分公司的某事業部。
群組類型分為兩類:
2.3.4 用戶(User)
AD中域用戶是最小的管理單位,域用戶最容易管理又最難管理,如果賦予域用戶的許可權過大,將帶來安全隱患,如果許可權過小域用戶無法正常工作。可簡單理解成為某個工作人員。
域用戶的類型,域中常見用戶類型分為:
一個大致的AD如下所示:
總之:Active Directory =LDAP伺服器 LDAP應用(Windows域控)。ActiveDirectory先實現一個LDAP伺服器,然後自己先用這個LDAP伺服器實現了自己的一個具體應用(域控)。
3 使用LDAP操作AD域
特別注意:java操作查詢域用戶信息獲取到的數據和域管理員在電腦上操作查詢的數據可能會存在差異(同一個意思的表示欄位,兩者可能不同)。
連接ad域有兩個地址:ldap://XXXXX.com:389 和 ldap://XXXXX.com:636(SSL)。
埠389用於一般的連接,例如登錄,查詢等非密碼操作,埠636安全性較高,用戶密碼相關操作,例如修改密碼等。
域控可能有多台伺服器,之間數據同步不及時,可能會導致已經修改的數據被覆蓋掉,這個要麼域控縮短同步的時間差,要麼同時修改每一台伺服器的數據。
3.1 389登錄
3.2 636登錄驗證(需要導入證書)
3.3 查詢域用戶信息
3.4 重置用戶密碼
3.5 域賬號解鎖
總結
『陸』 如何搭建linux ldapweb管理界面
1、安裝openldap-servers軟體包
2、查看ldap模板文件的存放位置:
3、拷貝ldap模板文件到配置文件目錄並修改文件名為slapd.conf。
4、刪除/etc/openldap目錄下原有的文件,保留下這幾個文件,注意:以前學時是要刪除schema文件,直留下三個,但是我測試時如果刪除schema服務將失敗。
5、修改slapd.conf文件的許可權:
6、修改sldap.conf配置文件:如下:(主要配好紅色的就ok,沒有的都是被注釋掉的)
復制代碼
代碼如下:
include /etc/openldap/schema/corba.schema
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/aconf.schema
include /etc/openldap/schema/dyngroup.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/java.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/ppolicy.schema
include /etc/openldap/schema/collective.schema
allow bind_v2
pidfile /var/run/openldap/slapd.pid argsfile /var/run/openldap/slapd.args
database bdb suffix "dc=example,dc=com" checkpoint 1024 15 rootdn
"cn=Manager,dc=example,dc=com"
rootpw redhat
directory /var/lib/ldap
index objectClass eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index uid,memberUid eq,pres,sub
database monitor
access to * by dn.exact="cn=Manager,dc=example,dc=com" read by * none
7、重啟動ldap伺服器:
8、創建ldap用戶目錄:
9、編輯一個自動創建ldap用戶的腳本:
10 、執行此腳本添加用戶:
11、把ldap用戶,組分別導出來,到一個文件中:(例子只做了組)用戶在、/etc/passwd下
12、安裝軟體包:
13、去它的目錄下編譯ldap用戶組文件:
14、修改migrate_common.ph文件:
15、執行./migrate_base.pl文件,並導出到一個目錄下邊,進行進行修改,只留下最基本的三個配置:
16,、分別使用./migrate_passwd.pl ./migrate_group.pl編譯我們已經導出的ldap用戶和組文件: /mnt/user /mnt/group分別是從/etc/passwd /etc/group 導出的ldap用戶和組文件
/date/user.ldif /date/group.ldif 是編譯後生成的文件要以ldif結尾
17、看下/date下我們編譯好的幾個文件:
18、添加ldap用戶和組:
首先提示輸入密碼,其次添加成功。
還有個用戶,必須首先執行base.ldif文件,它是最基本的配置。
『柒』 如何配置LDAP思科呼叫管理器
access-list ldap-test permit any any ;這里建立一個acl,並將其綁定到outside口(命令略)
最簡單的靜態NAT轉換:
static (dmz,outside) 10.10.1.133 20.0.35.101 netmask 255.255.255.255? ;將dmz介面所在網路內的20.0.35.101地址轉換為10.10.1.133這樣的outside網路地址
static (outside,dmz) 20.0.35.166 10.10.1.1 netmask 255.255.255.255??? ;將outside網路的10.10.1.1地址轉換為20.0.35.166這樣的dmz網路地址
然後在linux pc 嘗試ping一下10.10.1.133地址,保證ping通。這樣,就保證外網可以正常訪問到http伺服器的地址了。
配置ldap認證伺服器:
我使用的LDAP伺服器實際是一台安裝了Windows2003的PC,在它之上安裝windows2003伺服器上的「域控制器」(Active dirctionary)服務,這個「域控制器」也叫做Active dirctionary,是windows2003伺服器的一項重要服務,主要用在windows域的控制,所以也叫做域控制器,它是基於LDAP協議的,所以,它就是一台LDAP伺服器。除了微軟的這個域控制器活動目錄之外,常見的LDAP伺服器還有SUN、novell等公司的專用LDAP伺服器軟體,以及開源的基於Linux的OpenLDAP。
具體的安裝細節就不介紹了,安裝好之後,在域控制器軟體中user分支下添加一個用戶ldaptest並設置密碼。我們之後就將使用這個用戶來做認證。
『捌』 linux ldap伺服器搭建需要和域綁定嗎
你這個問題,說的好像不怎麼清楚 如果你是說使用LDAP在LINUX搭域,然後把WINDOWS作為客戶端加入進去的話,這種做法我沒見過 但我聽過,SAMBA搭域,SAMBA搭的域,WINDOWS的可以作為客戶端加入域,但使用SAMBA搭域的話,建議高手這么多,新手的話...
『玖』 Jira中如何搭建ldap服務
JIRA與LDAP集成的工作機制是這樣的:
1. 用戶信息依舊需要在JIRA中進行管理
2. 只有密碼驗證在LDAP中完成
3. 在LDAP中不存在的用戶依舊可以通過JIRA本身的密碼驗證機制(OSUser)來進行身份校驗
4. 並非全部的LDAP用戶都具有JIRA訪問許可權
配置JIRA與LDAP集成的方法是(以JIRA 4.2.1為例):
1. 進入Admin(管理) -> System(系統) -> LDAP
2. 在LDAP Host(LDAP主機)中填入LDAP伺服器地址
3. 在BaseDN中填入LDAP的根節點名稱
4. 在Search Attribute中填入LDAP中包含JIRA登錄用戶名的屬性名稱
5. 保存LDAP的修改
6. 進入Admin(管理) -> General Configuration(通用設置)
7. 打開External Password Management(外部密碼管理)
8. 保存退出並重啟服務
除了可以利用JIRA現有的LDAP集成機制外,也可以考慮Atlassian Crowd這款獨立的單點登錄工具,Crowd和JIRA的結合非常好。JIRA的用戶可完全在Crowd中進行管理。Crowd支持LDAP,Windows Active Directory等多種目錄伺服器,應用程序上支持JIRA、Confluence、FishEye、Crucible、GoogleApp、SVN等應用。可實現一個賬戶訪問全部應用,並支持單點登錄。
『拾』 什麼是LDAP伺服器
LDAP(輕量級目錄訪問協議,Lightweight Directory Access Protocol)是實現提供被稱為目錄服務的信息服務。目錄服務是一種特殊的資料庫系統,其專門針對讀取,瀏覽和搜索操作進行了特定的優化。目錄一般用來包含描述性的,基於屬性的信息並支持精細復雜的過濾能力。目錄一般不支持通用資料庫針對大量更新操作操作需要的復雜的事務管理或回卷策略。而目錄服務的更新則一般都非常簡單。這種目錄可以存儲包括個人信息、web鏈結、jpeg圖像等各種信息。為了訪問存儲在目錄中的信息,就需要使用運行在TCP/IP 之上的訪問協議—LDAP。
LDAP目錄中的信息是是按照樹型結構組織,具體信息存儲在條目(entry)的數據結構中。條目相當於關系資料庫中表的記錄;條目是具有區別名DN (Distinguished Name)的屬性(Attribute),DN是用來引用條目的,DN相當於關系資料庫表中的關鍵字(Primary Key)。屬性由類型(Type)和一個或多個值(Values)組成,相當於關系資料庫中的欄位(Field)由欄位名和數據類型組成,只是為了方便檢索的需要,LDAP中的Type可以有多個Value,而不是關系資料庫中為降低數據的冗餘性要求實現的各個域必須是不相關的。LDAP中條目的組織一般按照地理位置和組織關系進行組織,非常的直觀。LDAP把數據存放在文件中,為提高效率可以使用基於索引的文件資料庫,而不是關系資料庫。類型的一個例子就是mail,其值將是一個電子郵件地址。
LDAP的信息是以樹型結構存儲的,在樹根一般定義國家(c=CN)或域名(dc=com),在其下則往往定義一個或多個組織 (organization)(o=Acme)或組織單元(organizational units) (ou=People)。一個組織單元可能包含諸如所有雇員、大樓內的所有列印機等信息。此外,LDAP支持對條目能夠和必須支持哪些屬性進行控制,這是有一個特殊的稱為對象類別(objectClass)的屬性來實現的。該屬性的值決定了該條目必須遵循的一些規則,其規定了該條目能夠及至少應該包含哪些屬性。例如:inetorgPerson對象類需要支持sn(surname)和cn(common name)屬性,但也可以包含可選的如郵件,電話號碼等屬性。