ldap认证_ldap服务器怎么登录_ldap认证和802.1x区别(2)

系统加入ldap认证：

vi/etc/nsswitch.conf
passwd:filesldap
shadow:filesldap
group:filesldap

打开ldap服务日志：

syslog中加入ldap日志文件

vi/etc/syslog.conf
#saveOpenLDAPlog
local4.*/var/log/ldap.log

客户端修改 /etc/ldap.conf

hostserver1
#Thedistinguishednameofthesearchbase.
baseou=ldap,ou=auth,dc=dianping,dc=com

Openldapadmin配置

Tarzxvfopenldapadmin-1.2.3.tar.gz
Cdopenldapadmin-1.2.3
mvphpldapadmin-1.2.3/var//localhost/htdocs/phpldapadmin–r
cd/var//localhost/htdocs/phpldapadmin
cpconfig/config.php.exampleconfig/config.php
修改config.php文件

登录phpldapadmin，设置的登录密码(hehehehhe,qunying.liu)登录

Kerberos:

Kerberos认证协议

Kerberos是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。

使用Kerberos时，一个客户端需要经过三个步骤来获取服务:

认证：客户端向认证服务器发送一条报文，并获取一个含时间戳的Ticket-Granting Ticket（TGT）。

授权：客户端使用TGT向Ticket-Granting Server（TGS）请求一个服务Ticket。

服务请求：客户端向服务器出示服务Ticket，以证实自己的合法性。该服务器提供客户端所需服务，在Hadoop应用中，服务器可以是namenode或jobtracker。

为此，Kerberos需要The Key Distribution Centers（KDC）来进行认证。KDC只有一个Master，可以带多个slaves机器。slaves机器仅进行普通验证。Mater上做的修改需要自动同步到slaves。

另外，KDC需要一个admin，来进行日常的管理操作。这个admin可以通过远程或者本地方式登录。

搭建Kerberos

1.安装：通过yum安装即可，组成KDC。

yuminstall-ykrb5-serverkrb5-libkrb5-workstation

2.配置：Kerberos的配置文件只有两个。ldap认证在server1中创建以下两个文件,并同步/etc/krb5.conf到所有机器。

/var/kerberos/krb5kdc/kdc.conf:包括KDC的配置信息。默认放在 /usr/local/var/krb5kdc。或者通过覆盖KRB5_KDC_PROFILE环境变量修改配置文件位置。

配置示例：
[kdcdefaults]
kdc_ports=88
kdc_tcp_ports=88
[realms]
Qunying.liu={
master_key_type=aes128-cts
acl_file=/var/kerberos/krb5kdc/kadm5.acl
dict_file=/usr/share/dict/words
admin_keytab=/var/kerberos/krb5kdc/kadm5.keytab
max_renewable_life=7d
supported_enctypes=aes128-cts:normaldes3-hmac-sha1:normalarcfour-hmac:normaldes-hmac-sha1:normaldes-cbc-md5:normaldes-cbc-crc:normal
}
说明：
QUNYING.LIU:是设定的realms。名字随意。Kerberos可以支持多个realms，会增加复杂度。大小写敏感，一般为了识别使用全部大写。这个realms跟机器的host没有大关系。
max_renewable_life=7d涉及到是否能进行ticket的renwe必须配置。
master_key_type:和supported_enctypes默认使用aes256-cts。由于，JA使用aes256-cts验证方式需要安装额外的jar包。推荐不使用。
acl_file:标注了admin的用户权限，需要用户自己创建。文件格式是
Kerberos_principalpermissions[target_principal][restrictions]
支持通配符等。最简单的写法是
*/admin@QUNYING.LIU*
代表名称匹配*/admin@QUNYING.LIU都认为是admin，权限是*。代表全部权限。
admin_keytab:KDC进行校验的keytab。后文会提及如何创建。
supported_enctypes:支持的校验方式。注意把aes256-cts去掉。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-24622-2.html