背景:出于安全登录考虑,有些客户需要使用堡垒机的静态口令 LDAP组合认证,本文将说明下如何使用LDAP认证。
一、首先确保已经配置好了LDAP服务
1、添加LDAP用户,例如,我们在顶级域为dn: dc=example,dc=com的组织单元为dn: ou=people,dc=example,dc=com,添加了两个用户,test01和test02(已经有LDAP用户的可略过此步骤)
代码语言:txt复制添加用户信息
# vim ldapuser.ldif
---------------------------------------------------------------
# create ldap user
# replace to your own domain name for "dc=example,dc=com" section
dn: uid=test01,ou=people,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: test01
cn: SZ CHINA
sn: SZ
userPassword: {SSHA}y6zUEjGzcEeLk1UZ3mid3 u5l6QNPOIA
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/test01
dn: cn=Secretary,ou=group,dc=example,dc=com
objectClass: posixGroup
cn: Secretary
gidNumber: 1000
memberUid: test01
#######################################################
dn: uid=test02,ou=people,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: test02
cn: BJ CHINA
sn: BJ
userPassword: {SSHA}eXISvr3gimxc1PLzzHWvspkQjClfAv9G
loginShell: /bin/bash
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/users/test02
dn: cn=Secretary,ou=group,dc=example,dc=com
objectClass: posixGroup
cn: Secretary
gidNumber: 1001
memberUid: test02
注:userPassword字段表示LDAP用户密码,其通过slappasswd命令设置的加密之后的密码,该密码会在域用户登录堡垒机时使用,因此密码要妥善保管
代码语言:txt复制添加用户
# ldapadd -x -D cn=admin,dc=example,dc=com -W -f ldapuser.ldif
2、通过以下命令查询LDAP用户
以下这里的根域dn: dc=example,dc=com
代码语言:txt复制# ldapsearch -x -b "dc=example,dc=com" -H ldap://127.0.0.1
......
# test01, people, example.com
dn: uid=test01,ou=people,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid:: dGVzdDAxIA==
cn:: U1ogQ0hJTkEg
sn: CHINA
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/test01
# Secretary, group, example.com
dn: cn=Secretary,ou=group,dc=example,dc=com
objectClass: posixGroup
cn: Secretary
gidNumber: 1000
memberUid:: dGVzdDAxIA==
# test02, people, example.com
dn: uid=test02,ou=people,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid:: dGVzdDAyIA==
cn:: U1ogQ0hJTkEg
sn: CHINA
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/users/test02
......
二、使用管理员用户admin进行堡垒机web页面,"系统管理"->"全局认证方式",使用静态口令 AD域组合认证
三、域服务器信息配置
根据dn相关的配置:dn: uid=test01,ou=people,dc=example,dc=com和dn: uid=test02,ou=people,dc=example,dc=com
填下如下信息
四、点击用户管理,添加test01和test02两个用户
五、使用test01和test02用户进行登录,将slappasswd设置的密码输入,即可完成登录