㈠ linux伺服器如何加域
1.配置DNS
# vi /etc/resolv.conf
nameserver 192.168.2.30
nameserver 192.168.2.32
# vi /etc/host.conf
# nslookup 192.168.2.32 DNS查找
# net time SET 192.168.2.32 時間同步,客戶端以伺服器時間為准
2.samba
首先確保Linux系統中安裝了samba包,並用下述命令來檢查samba包的基礎庫支持,一般的RPM安裝都不會有問題。
# smbd -b | grep LDAP
HAVE_LDAP_H
HAVE_LDAP
HAVE_LDAP_DOMAIN2HOSTLIST
...
# smbd -b | grep KRB
HAVE_KRB5_H
HAVE_ADDRTYPE_IN_KRB5_ADDRESS
HAVE_KRB5
...
# smbd -b | grep ADS
WITH_ADS
WITH_ADS
# smbd -b | grep WINBIND
WITH_WINBIND
WITH_WINBIND
3.krb5配置
配置編輯/etc/krb5.conf,配置完成後,執行
# kinit [email protected]
4.Samba配置
編輯配置/etc/samba/smb.conf後,重啟samba服務
# service samba restart
# net ads join -U [email protected] 加入域,這時需要輸入域管理員密碼
5.winbind配置
編輯/etc/nsswitch.conf,更改passwd和group為(files需視你linux系統配置NIS與否,如配置NIS,則為compat)
passwd: files winbind
group: files winbind
保存後(重)啟動samba服務。(重)啟動winbind。
用 wbinfo -u檢索用戶,wbinfo -g檢索用戶組來測試winbind是否正常。
1.配置DNS
# vi /etc/resolv.conf
nameserver 192.168.2.30
nameserver 192.168.2.32
# vi /etc/host.conf
# nslookup 192.168.2.32 DNS查找
# net time SET 192.168.2.32 時間同步,客戶端以伺服器時間為准
2.samba
首先確保Linux系統中安裝了samba包,並用下述命令來檢查samba包的基礎庫支持,一般的RPM安裝都不會有問題。
# smbd -b | grep LDAP
HAVE_LDAP_H
HAVE_LDAP
HAVE_LDAP_DOMAIN2HOSTLIST
...
# smbd -b | grep KRB
HAVE_KRB5_H
HAVE_ADDRTYPE_IN_KRB5_ADDRESS
HAVE_KRB5
...
# smbd -b | grep ADS
WITH_ADS
WITH_ADS
# smbd -b | grep WINBIND
WITH_WINBIND
WITH_WINBIND
3.krb5配置
配置編輯/etc/krb5.conf,配置完成後,執行
# kinit [email protected]
4.Samba配置
編輯配置/etc/samba/smb.conf後,重啟samba服務
# service samba restart
# net ads join -U [email protected] 加入域,這時需要輸入域管理員密碼
5.winbind配置
編輯/etc/nsswitch.conf,更改passwd和group為(files需視你linux系統配置NIS與否,如配置NIS,則為compat)
passwd: files winbind
group: files winbind
保存後(重)啟動samba服務。(重)啟動winbind。
用 wbinfo -u檢索用戶,wbinfo -g檢索用戶組來測試winbind是否正常。
㈡ ldap服務啟動時報錯
移除(或刪除) /var/lib/ldap的這些文件: alock __db.001 __db.002 __db.003 __db.004 __db.005 __db.006
然後重啟.就可以啟動了!
㈢ linux系統如何查看是否存在有安全隱患的帳戶
安全性是一個龐大和具有挑戰性的主題,但每個負責伺服器端工作的人都應當知道基本步驟。Cameron
概括了一些使您的用戶帳戶清潔和安全的方法。安全性是一大難題。它不會一成不變,而且很難知道它需要擴展到多大程度:如果您不小心的話,當您的老闆真正想
要的是不讓看門人看到他的年度預算時,您才會最終相信他需要理解安全性的好處。
不管在計算安全性的所有方面跟上潮流是多麼的具有挑戰性,畢竟有幾個領域已經足夠成熟,值得進行系統地學習。對於任何使用 Linux 伺服器的人,我建議他學習的第一個領域是帳戶管理。
注意您的用戶
在第一批專門介紹 Linux 管理和編程的書籍中,許多都包括關於「用戶管理」或「帳戶管理」的一章。它們的意思非常明確:如何為使用您主機的人設置和維護計算帳戶和組關系。
在那時,「使用」必然意味著「登錄」。帳戶管理的全部工作就是:使用諸如 useradd 、 chsh 等命令來配置 Linux 帳戶,以便於由同部門開發人員佔多數的用戶群使用。/etc/passwd 及其 API 是 Linux 專家的關注重點。
那個時代早已成為過去,我對大多數伺服器提出的第一個建議就是清除 /etc/passwd
的大部分內容。我的意思是:由於歷史原因,大多數電子郵件伺服器、Web 伺服器、文件伺服器等,都用 /etc/passwd
管理它們的用戶訪問。我認為這通常都是一個錯誤。在早些時候,當可能有十幾個或二十幾個工程師共享一台高端工作站時,這是一種明智方式。但是,當一台電子
郵件伺服器可能要處理幾萬名用戶(他們中的大多數只是把計算當成和飲水器或電話系統一樣的公用設施)的郵箱時,傳統的 /etc/passwd
方式就是一個錯誤。
依靠 /etc/passwd
當然是可能的。它經歷了足夠的修補和調整,足以應付令人驚訝的工作量。但不是必須如此。如果您將用戶帳戶移到專門的數據存儲,如
LDAP(輕量級目錄訪問協議)甚至 RDBMS(關系資料庫管理系統)數據存儲,您可以在可伸縮性、安全性和維護方面受益。將 /etc/passwd
限制為只供少數真正需要登錄的開發人員和管理員使用。
這一實踐在安全性方面有很大好處,因為服務(電子郵件和 Web
等)用戶的忙閑度與開發人員的完全不同。一旦您已設置好了一台新的伺服器,它的 /etc/passwd 就不應經常更改。監控它是否被更新 —
特別是篡改 — 是一項簡單的任務。但是,如果您正在運行一個較大的伺服器,那麼每天都會有幾個新的和過期的電子郵件帳戶更改。需要將這些帳戶從
/etc/passwd 賦予的更大的訪問權隔離開來。
構建一個替代性帳戶數據存儲是一個認真而嚴肅的建議嗎?的確如此,這確實令人驚訝。為了使由無需登錄的用戶佔多數的非常龐大的
/etc/passwds 正常工作,過去幾年已經投入了大量的工作。如果您確實決定編寫自己的帳戶認證,並且依靠象 sendmail
這樣的傳統電子郵件程序,那麼您很可能發現自己正在為 SMTP、POP3 和 IMAP4 伺服器編寫更改。
那些障礙常常使開發人員傾向於使用現成的軟體。我的習慣是使用別人已編寫好而我可以重用的解決方案。但是,與這些業界使用的伺服器不同的一點在
於:我還是常常需要定製它們 —
例如,設置特殊消息目錄、日誌記錄信息或使用記帳。對我來說最重要的一點是使安全性考慮事項模塊化。我希望能夠將開發人員和管理員帳戶與最終用戶服務完全
分開地加以管理。通過將後者從 /etc/passwd 清除,我可以很容易地鎖定一方而不會影響另一方。
使策略自動化
和將開發人員帳戶與用戶服務分開幾乎同樣重要的是使策略自動化。為創建和刪除帳戶 —
既包括開發人員(/etc/passwd)的也包括最終用戶(電子郵件、Web 和資料庫等)的 —
建立明確而詳細的過程。盡管將這些納入可執行文件是很好的規定,但並不完全有必要。重要的是過程是可理解的和明確的。不小心的帳戶創建和刪除
總是會留下安全性漏洞。應當與人力資源、客戶支持或其它相關部門一起檢查您的過程。如果不親身體驗替代方案,那麼您很難認識到這是多麼關鍵。
當您沒有為添加和除去用戶帳號編寫過程時,則總會出現這樣的結果:假定新員工周一報到,那麼他或她可能到周五仍不能訪問其公司文件。或者,某人辭職,在假日聚會做了道別,可在二月份開始時仍在檢索特殊用途的公司資產。
帳戶自動化一個附帶的好處是它鼓勵更加徹底的驗證。如果開發人員沒有用不同特性配置帳戶的方便辦法,他們很可能不會執行那些預計將使配置發生變化的應用程序。
我最近親身經歷了這樣的情況。我因某個緊急事件而被召來,當時實現小組實際上在「正確地」允許經理查看雇員業績評審 —
甚至包括那些不屬於他們管理的雇員!盡管聽起來可笑,但這是典型的安全性問題。它甚至在分析和設計評審期間被指出過幾次。雖然每次都向決策者反映了這個問
題,但由於它是巨大而混亂的問題集合的一部分,所以它每次都在沒有明確決議的情況下被忽略。
只有當一位支持專家最終建立起一個一般實例的具體示例(在該示例中有幾位經理,每位經理有多份雇員報告)時,錯誤才得到應有的注意。不要臨陣磨槍;要定期對所有種類的用戶帳戶的配置進行徹底的測試。
保持警覺
安全性最困難的部分,至少對我們中的許多人而言,是如何避免犯錯。安全性是屬於「最弱環節」事件之一,一個漏洞就可以使您目前的所有投資(不管多麼龐大、計劃多麼周詳)一錢不值。要做好安全性工作,您必須對原本不會考慮的事情保持警覺。
美國政府網站常常是證明那種挑戰的嚴重程度的最好例子。常在有關「反恐」的安全問題新聞中出現的某聯邦機構維護一個網站,在那裡用戶密碼在用於
更改用戶首選項的頁面上公開地顯示。相當多的組織解決頻繁發生的丟失密碼問題的方法是:根據或多或少的公共信息
指定密碼(例如,「您的密碼是您出生地的頭四個字母,加上您出生年份的後兩位數字」)。
如何能避免這樣的災難性錯誤?遺憾的是,幾乎沒有系統的方法能「聰明地」成功實現這樣的抽象目標。但是,在需要採取的有用步驟中,對 RISKS 文摘的研究和嚴格的工程檢查是有用的步驟之一。
RISKS 是 Peter G. Neumann 自 1985 年就一直在編輯的在線時事通訊(請參閱下面的
參考資料)。在思考事情(特別是 Linux 伺服器上的安全性)的出錯原因方面,閱讀它是個很好的習慣。Neumann
使該文摘易讀而且有趣,當然偶爾會令人恐怖。
您還應該養成讓其他人試驗您的想法的習慣。您可能認為「軟體檢查」不過是找出開發人員的源代碼中放錯地方的標點符號的一種方法,但它實際上是非
常有趣和高效的實踐。特別是,檢查是對需求文檔、網站和所有其它產品的同行評審進行組織的極佳方法。請進行檢查。通過別人的眼睛查看您的工作。您將有可能
了解許多關於您伺服器的安全或不安全性的信息。
㈣ linux裡面如何查看是否安裝ldap服務
先查看一下,系統有沒有該命令。
1
which ldapsearch
如果沒有的話安裝一個
1
2
yum list "*ldap*"
yum install openldap-clients
再查看一下,是否安裝好了。
1
2
rpm -ql openldap-clients
which ldapsearch
㈤ 如何在Linux下通過ldapsearch查詢活動目錄的內容
從Win2000開始.微軟拋棄NT域而採用活動目錄來管理Windows域.而活動目錄就是微軟基於遵守LDAP協議的目錄服務.如果用掃描器掃描的話可以發現活動目錄的389埠是打開的.而且微軟雖然對這個協議都擅自作了些改動.但都集中在Replication等同步的部分.其他的部分是基本和其他產品兼容的.所以ldapsearch工具可以順利的搜索AD中的記錄.其實AD最大的客戶就是微軟自己.所以在伺服器配置向導中才用DC作為正式的名稱.AD這個名稱反而次要.AD在配置好之後就有了健全的目錄樹結構.AD的用戶的objectclass為User,默認的用戶記錄位於Users下,而Users的objectclass就是Container.這樣一個AD用戶的DN可能是"cn=username,cn=users,dc=domain-suffix".AD默認的安全策略不允許"空"綁定(既bind(""等DN為空的一系列綁定函數).所以必需要有合法驗證的綁定才行:
ldapsearch -x -W -D "cn=username,cn=users,dc=domain-suffix" -b "basedn" -h host
或者是
ldap search -x -w cred -D "cn=username,cn=users,dc=domain-suffix" -b "basedn" -h host
其中-x對應API中的smiple_bind*().-w/-W 表示需要密碼 -D "綁定的DN" -b "開始搜索的DN" -h 接主機的IP或者域名.
舉例:我在學校有一台實驗用的主機troy配置為"osdn.zzti.e.cn"主域控制器.假如我在我裝有fedora的筆記本osiris上執行ldapsearch,命令如下:
ldapsearch -x -W -D "cn=administrator,cn=users,dc=osdn,dc=zzti,dc=e,dc=cn" -b "cn=administrator,cn=users,dc=osdn,dc=zzti,dc=e,dc=cn" -h troy.osdn.zzti.e.cn
這樣就回返回用戶administrator的信息:
# extended LDIF
#
# LDAPv3
# base <cn=administrator,cn=users,dc=osdn,dc=zzti,dc=e,dc=cn>; with scope sub
# filter: (objectclass=*)
# requesting: ALL
#
# Administrator, Users, osdn.zzti.e.cn
dn: CN=Administrator,CN=Users,DC=osdn,DC=zzti,DC=e,DC=cn
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Administrator
description:: =
distinguishedName: CN=Administrator,CN=Users,DC=osdn,DC=zzti,DC=e,DC=cn
instanceType: 4
whenCreated: 20040820145628.0Z
whenChanged: 20040820151744.0Z
uSNCreated: 8194
memberOf: CN=Group Policy Creator Owners,CN=Users,DC=osdn,DC=zzti,DC=e,DC=cn
memberOf: CN=Domain Admins,CN=Users,DC=osdn,DC=zzti,DC=e,DC=cn
memberOf: CN=Enterprise Admins,CN=Users,DC=osdn,DC=zzti,DC=e,DC=cn
memberOf: CN=Schema Admins,CN=Users,DC=osdn,DC=zzti,DC=e,DC=cn
memberOf: CN=Administrators,CN=Builtin,DC=osdn,DC=zzti,DC=e,DC=cn
uSNChanged: 13895
name: Administrator
objectGUID:: z44SriNF40SGBgQson8RtA==
userAccountControl: 66048
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 127375629853437500
lastLogoff: 0
lastLogon: 127375630164843750
pwdLastSet: 127374851807500000
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAfA5HVz/NVF7R0u429AEAAA==
adminCount: 1
accountExpires: 9223372036854775807
logonCount: 17
sAMAccountName: Administrator
sAMAccountType: 805306368
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=osdn,DC=zzti,DC=e,DC
=cn
isCriticalSystemObject: TRUE
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1
㈥ ldap在linux下的服務名是什麼我如何將它設置為開機自動啟動
如果你的linux是各個發行版本中的一個,那麼就不需要在添加了,他本來就有開機啟動的服務,只需要打開就好。chkconfig --list ldap 或 chkconfig --list |grep ldap 應該就可以找到該服務,設置為開機啟動 chkconfig ldap on
㈦ 怎樣在Linux下通過ldapsearch查詢活動文件夾的內容
學這個幹嘛 你沒書嗎 我一步一步教你吧 打開root進入到了home的文件夾1如果你要在那裡建一個叫test的文件夾 輸入 cd /home 回車 就到了home目錄 輸入 mkdir test 就可以了2如果在文件夾里添加(就是創建) 一個文件 例如a.txt輸入 touch test/a.txt 回車3刪除 rm -rf test/ 回車去借本書吧 學這科目 命令多了去了
㈧ linux下源碼安裝openldap ldapadd出現-bash: ldapadd: command not found
我認為是這樣的,你要麼加全路徑執行
/usr/local/openldap/bin/ldapadd
要麼進入到/usr/local/openldap/bin/目錄里
執行 ./ldapadd
我想上面兩個方法都可以,如果還不行,請追問。
㈨ 我的linux系統中怎麼沒有ldapsearch命令
先查看一下,系統有沒有該命令。
whichldapsearch
如果沒有的話安裝一個
yumlist"*ldap*"
yuminstallopenldap-clients
再查看一下,是否安裝好了。
rpm-qlopenldap-clients
whichldapsearch