如何全面配置Linux系统以实现新手级全局LDAP身份认证并强化通信加密措施?
- 内容介绍
- 文章标签
- 相关推荐
本文共计762个文字,预计阅读时间需要4分钟。
新手上路+Linux+全局+LDAP+身份认证,核心是让系统看见用户、验证密码、登录成功、使用安心。加密加固不是可选项,而是必需项——明确要求LDAP(端口389)在生产环境与裸奔相同。整个过程分四步走:
一、安装客户端工具与认证中间件
不装对包,后续全白忙。关键不是“装 OpenLDAP”,而是装它和系统的桥梁:
- CentOS/RHEL 系统执行:yum install -y openldap-clients nss-pam-ldapd
- Debian/Ubuntu 系统执行:apt-get install -y ldap-utils libnss-ldapd libpam-ldapd
- 确认两个命令可用:ldapsearch(测试连通)、getent passwd(查用户)
二、配置 NSS + nslcd 实现“看见用户”
NSS 决定系统从哪找用户;nslcd 是背后跑的查询代理。二者配合才能把 LDAP 用户变成系统可识别的账号:
- 编辑 /etc/nslcd.conf,填入服务地址与搜索范围:
uri ldap://192.168.10.5/
base dc=example,dc=com
binddn cn=admin,dc=example,dc=com
bindpw your_admin_password - 修改 /etc/nsswitch.conf,确保三行含 ldap(顺序重要):
passwd: files ldap
group: files ldap
shadow: files ldap - 启动服务:systemctl start nslcd && systemctl enable nslcd
- 验证是否“看见”:getent passwd testuser ——有输出即 NSS 层通了
三、配置 PAM 实现“验得密码、登得进去”
PAM 控制登录全流程。只配 auth 不够,account 和 session 缺一不可,否则会出现“能输密码但登不上”或“登上了没家目录”:
- 在 /etc/pam.d/system-auth 中添加(位置很关键,放在 pam_unix.so 前):
auth [success=done default=ignore] pam_ldap.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
session optional pam_mkhomedir.so umask=0022 skel=/etc/skel - 若需 sudo 权限,还需在 /etc/sudoers 中加:
%ldapgroup ALL=(ALL) NOPASSWD: ALL(前提是 LDAP 中该组已存在) - 测试登录:ssh testuser@localhost ——首次登录应自动创建家目录
四、强制 LDAPS 或 StartTLS 加固通信
不加密的 LDAP 认证等于把用户名密码贴在快递单上寄出。必须启用 TLS:
- 首选方案:使用 LDAPS(端口 636),在 /etc/nslcd.conf 中改写 uri:
uri ldaps://192.168.10.5/
tls_cacertfile /etc/openldap/certs/ca.crt - 次选方案:StartTLS(仍走 389 端口),追加两行:
ssl start_tls
tls_reqcert demand - 证书文件需提前部署,并设权限:chmod 600 /etc/openldap/certs/ca.crt
- 验证加密连接:ldapsearch -H ldaps://192.168.10.5 -x -b "dc=example,dc=com" "(uid=testuser)"
本文共计762个文字,预计阅读时间需要4分钟。
新手上路+Linux+全局+LDAP+身份认证,核心是让系统看见用户、验证密码、登录成功、使用安心。加密加固不是可选项,而是必需项——明确要求LDAP(端口389)在生产环境与裸奔相同。整个过程分四步走:
一、安装客户端工具与认证中间件
不装对包,后续全白忙。关键不是“装 OpenLDAP”,而是装它和系统的桥梁:
- CentOS/RHEL 系统执行:yum install -y openldap-clients nss-pam-ldapd
- Debian/Ubuntu 系统执行:apt-get install -y ldap-utils libnss-ldapd libpam-ldapd
- 确认两个命令可用:ldapsearch(测试连通)、getent passwd(查用户)
二、配置 NSS + nslcd 实现“看见用户”
NSS 决定系统从哪找用户;nslcd 是背后跑的查询代理。二者配合才能把 LDAP 用户变成系统可识别的账号:
- 编辑 /etc/nslcd.conf,填入服务地址与搜索范围:
uri ldap://192.168.10.5/
base dc=example,dc=com
binddn cn=admin,dc=example,dc=com
bindpw your_admin_password - 修改 /etc/nsswitch.conf,确保三行含 ldap(顺序重要):
passwd: files ldap
group: files ldap
shadow: files ldap - 启动服务:systemctl start nslcd && systemctl enable nslcd
- 验证是否“看见”:getent passwd testuser ——有输出即 NSS 层通了
三、配置 PAM 实现“验得密码、登得进去”
PAM 控制登录全流程。只配 auth 不够,account 和 session 缺一不可,否则会出现“能输密码但登不上”或“登上了没家目录”:
- 在 /etc/pam.d/system-auth 中添加(位置很关键,放在 pam_unix.so 前):
auth [success=done default=ignore] pam_ldap.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
session optional pam_mkhomedir.so umask=0022 skel=/etc/skel - 若需 sudo 权限,还需在 /etc/sudoers 中加:
%ldapgroup ALL=(ALL) NOPASSWD: ALL(前提是 LDAP 中该组已存在) - 测试登录:ssh testuser@localhost ——首次登录应自动创建家目录
四、强制 LDAPS 或 StartTLS 加固通信
不加密的 LDAP 认证等于把用户名密码贴在快递单上寄出。必须启用 TLS:
- 首选方案:使用 LDAPS(端口 636),在 /etc/nslcd.conf 中改写 uri:
uri ldaps://192.168.10.5/
tls_cacertfile /etc/openldap/certs/ca.crt - 次选方案:StartTLS(仍走 389 端口),追加两行:
ssl start_tls
tls_reqcert demand - 证书文件需提前部署,并设权限:chmod 600 /etc/openldap/certs/ca.crt
- 验证加密连接:ldapsearch -H ldaps://192.168.10.5 -x -b "dc=example,dc=com" "(uid=testuser)"