我安装了 Centos 7 和接下来的软件包:
[root@centos7 pam.d]# rpm -qa|grep ldap
nss-pam-ldapd-0.8.13-8.el7.x86_64
openldap-2.4.44-5.el7.x86_64
openldap-clients-2.4.44-5.el7.x86_64
我的配置:
/etc/nslcd.conf:
uid nslcd
gid ldap
uri ldap://<my_ldap_server_ip>
base dc=company,dc=org
binddn cn=proxy,ou=users,dc=company,dc=org
bindpw <bind_pw>
nss_initgroups_ignoreusers root,nslcd
nss_min_uid 10000
filter passwd (objectClass=posixAccount)
base passwd ou=users,dc=company,dc=org
base shadow ou=users,dc=company,dc=org
base group ou=groups,dc=company,dc=org
scope passwd one
scope shadow one
scope group one
map group member uniqueMember
ssl start_tls
TLS_REQCERT allow
tls_cacertdir /etc/openldap/cacerts
在 /etc/nsswitch 中:
. . .
passwd: files sss ldap
shadow: files sss ldap
group: files sss ldap
. . .
/etc/pam.d/:
[root@centos7 pam.d]# ls -lah password-auth system-auth
lrwxrwxrwx. 1 root root 16 Aug 22 18:53 password-auth -> password-auth-ac
lrwxrwxrwx. 1 root root 14 Aug 22 18:53 system-auth -> system-auth-ac
/etc/pam.d/密码验证:
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
password required pam_deny.so
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
password required pam_deny.so
在 /etc/system-auth 中:
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
password required pam_deny.so
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
password required pam_deny.so
当我执行“su - ldapuser”时,我已经输入。
但是我无法从 ssh/console 登录。
nslcd-d:
nslcd: [e2a9e3] DEBUG: connection from pid=4867 uid=0 gid=0
nslcd: [e2a9e3] <passwd="ldapuser"> DEBUG: myldap_search(base="ou=users,dc=company,dc=org", filter="(&(objectClass=posixAccount)(uid=ldapuser))")
nslcd: [e2a9e3] <passwd="ldapuser"> DEBUG: ldap_result(): cn=ldapuser,ou=users,dc=company,dc=org
nslcd: [e2a9e3] <passwd="ldapuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [45e146] DEBUG: connection from pid=4867 uid=0 gid=0
nslcd: [45e146] <passwd="ldapuser"> DEBUG: myldap_search(base="ou=users,dc=company,dc=org", filter="(&(objectClass=posixAccount)(uid=ldapuser))")
nslcd: [45e146] <passwd="ldapuser"> DEBUG: ldap_result(): cn=ldapuser,ou=users,dc=company,dc=org
nslcd: [45e146] <passwd="ldapuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [5f007c] DEBUG: connection from pid=4867 uid=0 gid=0
nslcd: [5f007c] <passwd="ldapuser"> DEBUG: myldap_search(base="ou=users,dc=company,dc=org", filter="(&(objectClass=posixAccount)(uid=ldapuser))")
nslcd: [5f007c] <passwd="ldapuser"> DEBUG: ldap_result(): cn=ldapuser,ou=users,dc=company,dc=org
nslcd: [5f007c] <passwd="ldapuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [d062c2] DEBUG: connection from pid=4867 uid=0 gid=0
nslcd: [d062c2] <passwd="ldapuser"> DEBUG: myldap_search(base="ou=users,dc=company,dc=org", filter="(&(objectClass=posixAccount)(uid=ldapuser))")
nslcd: [d062c2] <passwd="ldapuser"> DEBUG: ldap_result(): cn=ldapuser,ou=users,dc=company,dc=org
nslcd: [d062c2] <passwd="ldapuser"> DEBUG: ldap_result(): end of results (1 total)
nslcd: [200854] DEBUG: connection from pid=4867 uid=0 gid=0
nslcd: [200854] <authc="ldapuser"> DEBUG: nslcd_pam_authc("ldapuser","sshd","***")
nslcd: [200854] <authc="ldapuser"> DEBUG: myldap_search(base="ou=users,dc=company,dc=org", filter="(&(objectClass=posixAccount)(uid=ldapuser))")
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_result(): cn=ldapuser,ou=users,dc=company,dc=org
nslcd: [200854] <authc="ldapuser"> DEBUG: myldap_search(base="cn=ldapuser,ou=users,dc=company,dc=org", filter="(objectClass=*)")
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_initialize(ldap://<my_ldap_server_ip>)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_set_rebind_proc()
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_set_option(LDAP_OPT_PROTOCOL_VERSION,3)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_set_option(LDAP_OPT_DEREF,0)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_set_option(LDAP_OPT_TIMELIMIT,30)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_set_option(LDAP_OPT_TIMEOUT,30)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_set_option(LDAP_OPT_NETWORK_TIMEOUT,30)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_set_option(LDAP_OPT_REFERRALS,LDAP_OPT_ON)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_set_option(LDAP_OPT_RESTART,LDAP_OPT_ON)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_start_tls_s()
nslcd: [200854] <authc="ldapuser"> DEBUG: set_socket_timeout(30,500000)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_simple_bind_s("cn=ldapuser,ou=users,dc=company,dc=org","***") (uri="ldap://<my_ldap_server_ip>")
nslcd: [200854] <authc="ldapuser"> ldap_result() failed: No such object
nslcd: [200854] <authc="ldapuser"> cn=ldapuser,ou=users,dc=company,dc=org: lookup failed: No such object
nslcd: [200854] <authc="ldapuser"> DEBUG: set_socket_timeout(15,0)
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_unbind()
nslcd: [200854] <authc="ldapuser"> DEBUG: myldap_search(base="ou=users,dc=company,dc=org", filter="(&(objectClass=shadowAccount)(uid=ldapuser))")
nslcd: [200854] <authc="ldapuser"> DEBUG: ldap_result(): end of results (0 total)
日志控制-xlf:
Feb 20 20:37:24 centos7.localdomain sshd[4965]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.56.1 user=ldapuser
Feb 20 20:37:24 centos7.localdomain sshd[4965]: pam_ldap(sshd:auth): Authentication failure; user=ldapuser
Feb 20 20:37:26 centos7.localdomain sshd[4965]: Failed password for goncharuk from 192.168.56.1 port 56663 ssh2
更新:我忘了显示此链接:我已阅读过这些主题但它们对我没有帮助:
答案1
最终问题得以解决。
以下是一些具体步骤的简要说明。任何人都知道 LDAP 登录过程遵循以下步骤:
身份验证:
- 连接到 LDAP 服务器。
- '绑定'为'搜索用户'。
- 正在尋找需要的使用者。
- 使用步骤 3 中的相应密码进行“绑定”。
授权:
- 搜索需要的属性。
- 登录
如果步骤 3 中的登录不正确,则会生成“未找到用户”消息。
如果步骤 4 中的密码不正确,则会生成“无效凭证”消息。
确实,NSLCD 完成了所有这些步骤。
NSLCD 中的步骤 4 出于安全原因有一项改进。在找到用户后,NSLCD 尝试以“DN”为基数在用户“DN”中搜索,以确保此“DN”确实是“绑定”用户的“DN”。例如(“ldapsearch”请求):
ldapsearch -w <user_passwd> -h <ldap_server_ip> -D "cn=ldapuser,ou=users,dc=company,dc=org" -b "cn=ldapuser,ou=users,dc=company,dc=org"
nss-pam-ldapd 的作者至少在以下来源中描述了这种行为:
这意味着想要通过 NSLCD 登录的用户必须在自己的 LDAP“DN”中拥有搜索权限!
在 0.9.x 之前的 NSLCD 版本中,这种行为是不可改变的。
从 0.9.x 开始的 NSLCD 版本中,可以通过以下方式跳过在自己的“DN”中的搜索‘pam_authc_search 无’选项。
就我而言,使用“pam_authc_search NONE”确实对我有帮助,但需要构建和安装新版本的“nss-pam-ldapd”包。现在,我正在使用 Centos 7 在 VM 上测试 LDAP 登录。我至少有 5 个不同的发行版,为每个发行版构建包并不是一个好的解决方案。此外,双因素登录检查(绑定 + 搜索)确实是需要的安全工具。因此,我将我的 LDAP 服务器(OpenLDAP 2.4)ACL 更改为对自身“DN”中的用户进行全面搜索访问,现在一切正常:
/etc/openldap/slapd.conf:
. . .
access to attrs=userPassword
by self read
by anonymous auth
by * none
access to *
by self read
by dn="cn=searchuser,ou=users,dc=company,dc=org" read
by * none
. . .