openldap集中权限管理
前段梳理了下自己的自动化运维体系,发现目前运维管理中的各子系统都是独立运行。在管理过程中在各子系统中需要创建不同的账号,给管理及其他使用人员带来了极大的不便,需要记录各种登录密码。因此在消化总结其他人的知识图谱后,可以使用ldap来打通各子系统的账户体系,如zabbix、jenkins、jumpserver、蓝鲸等。
ldap基本概念
1.条目
条目entry 就是目录管理的对象,他是ldap中最基本的单位,就像字典中的词条,或是数据库中的记录。通常对ldap的添加、删除、更改、检索就是以条目为基本对象的。
每一个条目都有一个唯一的标识名(distinguished name,dn),如:
dc=test,dc=cn 有3个条目,而且它本身也是一个条目:
2.属性
每个条目可以有多个属性,常见的属性名称:
| 属性 | 别名 | 描述 | 值 |
| Common name | cn | 普通名字 | test |
| surname | sn | 第一个名字 | test |
| orgnization | o | 组织 | test |
| Orgnization unit | ou | 组织单元 | people |
当然我们可以根据实际情况添加邮件、手机等更多属性。
安装
yum install -y openldap openldap-clients openldap-servers
# 复制一个默认配置到指定目录下,并授权,这一步一定要做,然后再启动服务,不然生产密码时会报错cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown -R ldap.ldap /var/lib/ldap/DB_CONFIG
systemctl enable slapdsystemctl start slapd
配置
1.密码设置
1.生成管理员密码[root@phab cn=config]# slappasswd -s test{SSHA}0Pgrrxa0cczUisQSCNRjiDAdW8iSwHgW
2.新增修改密码文件vim changepwd.ldifdn: olcDatabase={0}config,cn=configchangetype: modifyadd: olcRootPWolcRootPW: {SSHA}0Pgrrxa0cczUisQSCNRjiDAdW8iSwHgW
3.执行命令如下:[root@phab ~]# ldapadd -Y EXTERNAL -H ldapi:/// -f changepwd.ldifSASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0modifying entry "olcDatabase={0}config,cn=config"
4.输出执行完命令后,会在 /etc/openldap/slapd.d/cn\=config/olcDatabase\=\{0\}config.ldif 文件中新增olcRootPW:: e1NTSEF9eGNGRUZwRTBzb0cnRGNWVENHRRQmk0ZWIwVGErYVc=
注意:上面是一个完整的修改配置的过程,不能直接修改/etc/openldap/slapd.d/目录下的配置。
2.基础配置
(1)导入基本的schema
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/collective.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/corba.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/duaconf.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/dyngroup.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/java.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/misc.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/openldap.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/pmi.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/ppolicy.ldif(2)修改域名
vim changedomain.ldifdn: olcDatabase={1}monitor,cn=configchangetype: modifyreplace: olcAccessolcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read by dn.base="cn=admin,dc=test,dc=cn" read by * none dn: olcDatabase={2}hdb,cn=configchangetype: modifyreplace: olcSuffixolcSuffix: dc=test,dc=cn dn: olcDatabase={2}hdb,cn=configchangetype: modifyreplace: olcRootDNolcRootDN: cn=admin,dc=test,dc=cn dn: olcDatabase={2}hdb,cn=configchangetype: modifyreplace: olcRootPWolcRootPW: {SSHA}xcFEFpE0smv4rtF5eD4tQBi4eb0Ta+aW dn: olcDatabase={2}hdb,cn=configchangetype: modifyadd: olcAccessolcAccess: {0}to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=test,dc=cn" write by anonymous auth by self write by * noneolcAccess: {1}to dn.base="" by * readolcAccess: {2}to * by dn="cn=admin,dc=test,dc=cn" write by * read(3)执行命令
[root@test ~]# ldapmodify -Y EXTERNAL -H ldapi:/// -f changedomain.ldifSASL/EXTERNAL authentication startedSASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=authSASL SSF: 0modifying entry "olcDatabase={1}monitor,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"
modifying entry "olcDatabase={2}hdb,cn=config"3.新建组织
完成前面基础配置后,我们来新建test组织,并在其下创建一个 admin 的组织角色(该组织角色内的用户具有管理整个 LDAP 的权限)和 People 和 Group 两个组织单元:
1.配置文件[root@phab ~]# vim basedomain.ldifdn: dc=test,dc=cnobjectClass: topobjectClass: dcObjectobjectClass: organizationo: test Companydc: test
dn: cn=admin,dc=test,dc=cnobjectClass: organizationalRolecn: admin
dn: ou=People,dc=test,dc=cnobjectClass: organizationalUnitou: People
dn: ou=Group,dc=test,dc=cnobjectClass: organizationalRolecn: Group
检查是否存在此组织并创建[root@test ~]# ldapsearch -x -b "dc=test,dc=cn" -H ldap://127.0.0.1[root@test ~]# ldapadd -x -D cn=admin,dc=test,dc=cn -W -f basedomain.ldifEnter LDAP Password: adding new entry "dc=test,dc=cn"
adding new entry "cn=admin,dc=test,dc=cn"
adding new entry "ou=People,dc=test,dc=cn"
adding new entry "ou=Group,dc=test,dc=cn"
通过以上的所有步骤,我们就设置好了一个 LDAP 目录树:其中基准 dc=test,dc=cn 是该树的根节点,其下有一个管理域 cn=admin,dc=test,dc=cn 和两个组织单元 ou=People,dc=test,dc=cn 及 ou=Group,dc=test,dc=cn。
配置完成后,后面的步骤可以通过phpldapadmin在界面操作。
集成子系统
1.接入jumpserver
注意:ldap属性映射中由于映射了mail属性,因此在ldap中的用户中必须添加邮件属性,否则jumpserver在启用ldap认证中会报错。
2.接入zabbix
注意:zabbix的用户必须提前创建且和ldap中账户一致,也可通过脚本方式自动同步。
3.接入jenkins
jenkins设置完毕后,我们只需对账户进行分配相关项目即可。
总结
通过Ldap打通了运维体系中的各个子系统,实现了账号的统一管理,运维不必再每个系统单独分配账户,简化了运维的管理操作。