查看原文
其他

openldap集中权限管理

木讷大叔爱运维 木讷大叔爱运维 2022-07-13

前段梳理了下自己的自动化运维体系,发现目前运维管理中的各子系统都是独立运行。在管理过程中在各子系统中需要创建不同的账号,给管理及其他使用人员带来了极大的不便,需要记录各种登录密码。因此在消化总结其他人的知识图谱后,可以使用ldap来打通各子系统的账户体系,如zabbix、jenkins、jumpserver、蓝鲸等。

ldap基本概念

1.条目

条目entry 就是目录管理的对象,他是ldap中最基本的单位,就像字典中的词条,或是数据库中的记录。通常对ldap的添加、删除、更改、检索就是以条目为基本对象的。


每一个条目都有一个唯一的标识名(distinguished name,dn),如:

dc=test,dc=cn 有3个条目,而且它本身也是一个条目:



2.属性
每个条目可以有多个属性,常见的属性名称:

属性别名描述
Common namecn
普通名字test
surnamesn第一个名字test
orgnizationo
组织test
Orgnization unitou
组织单元people

当然我们可以根据实际情况添加邮件、手机等更多属性。


安装

yum install -y openldap openldap-clients openldap-servers
# 复制一个默认配置到指定目录下,并授权,这一步一定要做,然后再启动服务,不然生产密码时会报错cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown -R ldap.ldap /var/lib/ldap/DB_CONFIG
systemctl enable slapdsystemctl start slapd


配置

1.密码设置

1.生成管理员密码[root@phab cn=config]# slappasswd -s test{SSHA}0Pgrrxa0cczUisQSCNRjiDAdW8iSwHgW
2.新增修改密码文件vim changepwd.ldifdn: olcDatabase={0}config,cn=configchangetype: modifyadd: olcRootPWolcRootPW: {SSHA}0Pgrrxa0cczUisQSCNRjiDAdW8iSwHgW
3.执行命令如下:[root@phab ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f changepwd.ldifSASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0modifying entry "olcDatabase={0}config,cn=config"
4.输出执行完命令后,会在 /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{0\}config.ldif 文件中新增olcRootPW:: e1NTSEF9eGNGRUZwRTBzb0cnRGNWVENHRRQmk0ZWIwVGErYVc=

注意:上面是一个完整的修改配置的过程,不能直接修改/etc/openldap/slapd.d/目录下的配置。


2.基础配置

(1)导入基本的schema

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/collective.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/corba.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/duaconf.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/java.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/misc.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/openldap.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/pmi.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif

(2)修改域名

vim changedomain.ldifdn: olcDatabase={1}monitor,cn=configchangetype: modifyreplace: olcAccessolcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=admin,dc=test,dc=cn" read by * none dn: olcDatabase={2}hdb,cn=configchangetype: modifyreplace: olcSuffixolcSuffix: dc=test,dc=cn dn: olcDatabase={2}hdb,cn=configchangetype: modifyreplace: olcRootDNolcRootDN: cn=admin,dc=test,dc=cn dn: olcDatabase={2}hdb,cn=configchangetype: modifyreplace: olcRootPWolcRootPW: {SSHA}xcFEFpE0smv4rtF5eD4tQBi4eb0Ta+aW dn: olcDatabase={2}hdb,cn=configchangetype: modifyadd: olcAccessolcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=test,dc=cn" write by anonymous auth by self write by * noneolcAccess: {1}to dn.base="" by * readolcAccess: {2}to * by dn="cn=admin,dc=test,dc=cn" write by * read

(3)执行命令

[root@test ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f changedomain.ldifSASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0modifying entry "olcDatabase={1}monitor,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"

3.新建组织

完成前面基础配置后,我们来新建test组织,并在其下创建一个 admin 的组织角色(该组织角色内的用户具有管理整个 LDAP 的权限)和 People 和 Group 两个组织单元:

1.配置文件[root@phab ~]# vim basedomain.ldifdn: dc=test,dc=cnobjectClass: topobjectClass: dcObjectobjectClass: organizationo: test Companydc: test
dn: cn=admin,dc=test,dc=cnobjectClass: organizationalRolecn: admin
dn: ou=People,dc=test,dc=cnobjectClass: organizationalUnitou: People
dn: ou=Group,dc=test,dc=cnobjectClass: organizationalRolecn: Group
检查是否存在此组织并创建[root@test ~]# ldapsearch -x -b "dc=test,dc=cn" -H ldap://127.0.0.1[root@test ~]# ldapadd -x -D cn=admin,dc=test,dc=cn -W -f basedomain.ldifEnter LDAP Password: adding new entry "dc=test,dc=cn"
adding new entry "cn=admin,dc=test,dc=cn"
adding new entry "ou=People,dc=test,dc=cn"
adding new entry "ou=Group,dc=test,dc=cn"

通过以上的所有步骤,我们就设置好了一个 LDAP 目录树:其中基准 dc=test,dc=cn 是该树的根节点,其下有一个管理域 cn=admin,dc=test,dc=cn 和两个组织单元 ou=People,dc=test,dc=cn 及 ou=Group,dc=test,dc=cn。



配置完成后,后面的步骤可以通过phpldapadmin在界面操作。


集成子系统

1.接入jumpserver

注意:ldap属性映射中由于映射了mail属性,因此在ldap中的用户中必须添加邮件属性,否则jumpserver在启用ldap认证中会报错。


2.接入zabbix


注意:zabbix的用户必须提前创建且和ldap中账户一致,也可通过脚本方式自动同步。


3.接入jenkins

jenkins设置完毕后,我们只需对账户进行分配相关项目即可。


总结

通过Ldap打通了运维体系中的各个子系统,实现了账号的统一管理,运维不必再每个系统单独分配账户,简化了运维的管理操作。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存