㈠ linux服务器如何加域
1.配置DNS
# vi /etc/resolv.conf
nameserver 192.168.2.30
nameserver 192.168.2.32
# vi /etc/host.conf
# nslookup 192.168.2.32 DNS查找
# net time SET 192.168.2.32 时间同步,客户端以服务器时间为准
2.samba
首先确保Linux系统中安装了samba包,并用下述命令来检查samba包的基础库支持,一般的RPM安装都不会有问题。
# smbd -b | grep LDAP
HAVE_LDAP_H
HAVE_LDAP
HAVE_LDAP_DOMAIN2HOSTLIST
...
# smbd -b | grep KRB
HAVE_KRB5_H
HAVE_ADDRTYPE_IN_KRB5_ADDRESS
HAVE_KRB5
...
# smbd -b | grep ADS
WITH_ADS
WITH_ADS
# smbd -b | grep WINBIND
WITH_WINBIND
WITH_WINBIND
3.krb5配置
配置编辑/etc/krb5.conf,配置完成后,执行
# kinit [email protected]
4.Samba配置
编辑配置/etc/samba/smb.conf后,重启samba服务
# service samba restart
# net ads join -U [email protected] 加入域,这时需要输入域管理员密码
5.winbind配置
编辑/etc/nsswitch.conf,更改passwd和group为(files需视你linux系统配置NIS与否,如配置NIS,则为compat)
passwd: files winbind
group: files winbind
保存后(重)启动samba服务。(重)启动winbind。
用 wbinfo -u检索用户,wbinfo -g检索用户组来测试winbind是否正常。
1.配置DNS
# vi /etc/resolv.conf
nameserver 192.168.2.30
nameserver 192.168.2.32
# vi /etc/host.conf
# nslookup 192.168.2.32 DNS查找
# net time SET 192.168.2.32 时间同步,客户端以服务器时间为准
2.samba
首先确保Linux系统中安装了samba包,并用下述命令来检查samba包的基础库支持,一般的RPM安装都不会有问题。
# smbd -b | grep LDAP
HAVE_LDAP_H
HAVE_LDAP
HAVE_LDAP_DOMAIN2HOSTLIST
...
# smbd -b | grep KRB
HAVE_KRB5_H
HAVE_ADDRTYPE_IN_KRB5_ADDRESS
HAVE_KRB5
...
# smbd -b | grep ADS
WITH_ADS
WITH_ADS
# smbd -b | grep WINBIND
WITH_WINBIND
WITH_WINBIND
3.krb5配置
配置编辑/etc/krb5.conf,配置完成后,执行
# kinit [email protected]
4.Samba配置
编辑配置/etc/samba/smb.conf后,重启samba服务
# service samba restart
# net ads join -U [email protected] 加入域,这时需要输入域管理员密码
5.winbind配置
编辑/etc/nsswitch.conf,更改passwd和group为(files需视你linux系统配置NIS与否,如配置NIS,则为compat)
passwd: files winbind
group: files winbind
保存后(重)启动samba服务。(重)启动winbind。
用 wbinfo -u检索用户,wbinfo -g检索用户组来测试winbind是否正常。
㈡ ldap服务启动时报错
移除(或删除) /var/lib/ldap的这些文件: alock __db.001 __db.002 __db.003 __db.004 __db.005 __db.006
然后重启.就可以启动了!
㈢ linux系统如何查看是否存在有安全隐患的帐户
安全性是一个庞大和具有挑战性的主题,但每个负责服务器端工作的人都应当知道基本步骤。Cameron
概括了一些使您的用户帐户清洁和安全的方法。安全性是一大难题。它不会一成不变,而且很难知道它需要扩展到多大程度:如果您不小心的话,当您的老板真正想
要的是不让看门人看到他的年度预算时,您才会最终相信他需要理解安全性的好处。
不管在计算安全性的所有方面跟上潮流是多么的具有挑战性,毕竟有几个领域已经足够成熟,值得进行系统地学习。对于任何使用 Linux 服务器的人,我建议他学习的第一个领域是帐户管理。
注意您的用户
在第一批专门介绍 Linux 管理和编程的书籍中,许多都包括关于“用户管理”或“帐户管理”的一章。它们的意思非常明确:如何为使用您主机的人设置和维护计算帐户和组关系。
在那时,“使用”必然意味着“登录”。帐户管理的全部工作就是:使用诸如 useradd 、 chsh 等命令来配置 Linux 帐户,以便于由同部门开发人员占多数的用户群使用。/etc/passwd 及其 API 是 Linux 专家的关注重点。
那个时代早已成为过去,我对大多数服务器提出的第一个建议就是清除 /etc/passwd
的大部分内容。我的意思是:由于历史原因,大多数电子邮件服务器、Web 服务器、文件服务器等,都用 /etc/passwd
管理它们的用户访问。我认为这通常都是一个错误。在早些时候,当可能有十几个或二十几个工程师共享一台高端工作站时,这是一种明智方式。但是,当一台电子
邮件服务器可能要处理几万名用户(他们中的大多数只是把计算当成和饮水器或电话系统一样的公用设施)的邮箱时,传统的 /etc/passwd
方式就是一个错误。
依靠 /etc/passwd
当然是可能的。它经历了足够的修补和调整,足以应付令人惊讶的工作量。但不是必须如此。如果您将用户帐户移到专门的数据存储,如
LDAP(轻量级目录访问协议)甚至 RDBMS(关系数据库管理系统)数据存储,您可以在可伸缩性、安全性和维护方面受益。将 /etc/passwd
限制为只供少数真正需要登录的开发人员和管理员使用。
这一实践在安全性方面有很大好处,因为服务(电子邮件和 Web
等)用户的忙闲度与开发人员的完全不同。一旦您已设置好了一台新的服务器,它的 /etc/passwd 就不应经常更改。监控它是否被更新 —
特别是篡改 — 是一项简单的任务。但是,如果您正在运行一个较大的服务器,那么每天都会有几个新的和过期的电子邮件帐户更改。需要将这些帐户从
/etc/passwd 赋予的更大的访问权隔离开来。
构建一个替代性帐户数据存储是一个认真而严肃的建议吗?的确如此,这确实令人惊讶。为了使由无需登录的用户占多数的非常庞大的
/etc/passwds 正常工作,过去几年已经投入了大量的工作。如果您确实决定编写自己的帐户认证,并且依靠象 sendmail
这样的传统电子邮件程序,那么您很可能发现自己正在为 SMTP、POP3 和 IMAP4 服务器编写更改。
那些障碍常常使开发人员倾向于使用现成的软件。我的习惯是使用别人已编写好而我可以重用的解决方案。但是,与这些业界使用的服务器不同的一点在
于:我还是常常需要定制它们 —
例如,设置特殊消息目录、日志记录信息或使用记帐。对我来说最重要的一点是使安全性考虑事项模块化。我希望能够将开发人员和管理员帐户与最终用户服务完全
分开地加以管理。通过将后者从 /etc/passwd 清除,我可以很容易地锁定一方而不会影响另一方。
使策略自动化
和将开发人员帐户与用户服务分开几乎同样重要的是使策略自动化。为创建和删除帐户 —
既包括开发人员(/etc/passwd)的也包括最终用户(电子邮件、Web 和数据库等)的 —
建立明确而详细的过程。尽管将这些纳入可执行文件是很好的规定,但并不完全有必要。重要的是过程是可理解的和明确的。不小心的帐户创建和删除
总是会留下安全性漏洞。应当与人力资源、客户支持或其它相关部门一起检查您的过程。如果不亲身体验替代方案,那么您很难认识到这是多么关键。
当您没有为添加和除去用户帐号编写过程时,则总会出现这样的结果:假定新员工周一报到,那么他或她可能到周五仍不能访问其公司文件。或者,某人辞职,在假日聚会做了道别,可在二月份开始时仍在检索特殊用途的公司资产。
帐户自动化一个附带的好处是它鼓励更加彻底的验证。如果开发人员没有用不同特性配置帐户的方便办法,他们很可能不会执行那些预计将使配置发生变化的应用程序。
我最近亲身经历了这样的情况。我因某个紧急事件而被召来,当时实现小组实际上在“正确地”允许经理查看雇员业绩评审 —
甚至包括那些不属于他们管理的雇员!尽管听起来可笑,但这是典型的安全性问题。它甚至在分析和设计评审期间被指出过几次。虽然每次都向决策者反映了这个问
题,但由于它是巨大而混乱的问题集合的一部分,所以它每次都在没有明确决议的情况下被忽略。
只有当一位支持专家最终建立起一个一般实例的具体示例(在该示例中有几位经理,每位经理有多份雇员报告)时,错误才得到应有的注意。不要临阵磨枪;要定期对所有种类的用户帐户的配置进行彻底的测试。
保持警觉
安全性最困难的部分,至少对我们中的许多人而言,是如何避免犯错。安全性是属于“最弱环节”事件之一,一个漏洞就可以使您目前的所有投资(不管多么庞大、计划多么周详)一钱不值。要做好安全性工作,您必须对原本不会考虑的事情保持警觉。
美国政府网站常常是证明那种挑战的严重程度的最好例子。常在有关“反恐”的安全问题新闻中出现的某联邦机构维护一个网站,在那里用户密码在用于
更改用户首选项的页面上公开地显示。相当多的组织解决频繁发生的丢失密码问题的方法是:根据或多或少的公共信息
指定密码(例如,“您的密码是您出生地的头四个字母,加上您出生年份的后两位数字”)。
如何能避免这样的灾难性错误?遗憾的是,几乎没有系统的方法能“聪明地”成功实现这样的抽象目标。但是,在需要采取的有用步骤中,对 RISKS 文摘的研究和严格的工程检查是有用的步骤之一。
RISKS 是 Peter G. Neumann 自 1985 年就一直在编辑的在线时事通讯(请参阅下面的
参考资料)。在思考事情(特别是 Linux 服务器上的安全性)的出错原因方面,阅读它是个很好的习惯。Neumann
使该文摘易读而且有趣,当然偶尔会令人恐怖。
您还应该养成让其他人试验您的想法的习惯。您可能认为“软件检查”不过是找出开发人员的源代码中放错地方的标点符号的一种方法,但它实际上是非
常有趣和高效的实践。特别是,检查是对需求文档、网站和所有其它产品的同行评审进行组织的极佳方法。请进行检查。通过别人的眼睛查看您的工作。您将有可能
了解许多关于您服务器的安全或不安全性的信息。
㈣ linux里面如何查看是否安装ldap服务
先查看一下,系统有没有该命令。
1
which ldapsearch
如果没有的话安装一个
1
2
yum list "*ldap*"
yum install openldap-clients
再查看一下,是否安装好了。
1
2
rpm -ql openldap-clients
which ldapsearch
㈤ 如何在Linux下通过ldapsearch查询活动目录的内容
从Win2000开始.微软抛弃NT域而采用活动目录来管理Windows域.而活动目录就是微软基于遵守LDAP协议的目录服务.如果用扫描器扫描的话可以发现活动目录的389端口是打开的.而且微软虽然对这个协议都擅自作了些改动.但都集中在Replication等同步的部分.其他的部分是基本和其他产品兼容的.所以ldapsearch工具可以顺利的搜索AD中的记录.其实AD最大的客户就是微软自己.所以在服务器配置向导中才用DC作为正式的名称.AD这个名称反而次要.AD在配置好之后就有了健全的目录树结构.AD的用户的objectclass为User,默认的用户记录位于Users下,而Users的objectclass就是Container.这样一个AD用户的DN可能是"cn=username,cn=users,dc=domain-suffix".AD默认的安全策略不允许"空"绑定(既bind(""等DN为空的一系列绑定函数).所以必需要有合法验证的绑定才行:
ldapsearch -x -W -D "cn=username,cn=users,dc=domain-suffix" -b "basedn" -h host
或者是
ldap search -x -w cred -D "cn=username,cn=users,dc=domain-suffix" -b "basedn" -h host
其中-x对应API中的smiple_bind*().-w/-W 表示需要密码 -D "绑定的DN" -b "开始搜索的DN" -h 接主机的IP或者域名.
举例:我在学校有一台实验用的主机troy配置为"osdn.zzti.e.cn"主域控制器.假如我在我装有fedora的笔记本osiris上执行ldapsearch,命令如下:
ldapsearch -x -W -D "cn=administrator,cn=users,dc=osdn,dc=zzti,dc=e,dc=cn" -b "cn=administrator,cn=users,dc=osdn,dc=zzti,dc=e,dc=cn" -h troy.osdn.zzti.e.cn
这样就回返回用户administrator的信息:
# extended LDIF
#
# LDAPv3
# base <cn=administrator,cn=users,dc=osdn,dc=zzti,dc=e,dc=cn>; with scope sub
# filter: (objectclass=*)
# requesting: ALL
#
# Administrator, Users, osdn.zzti.e.cn
dn: CN=Administrator,CN=Users,DC=osdn,DC=zzti,DC=e,DC=cn
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Administrator
description:: =
distinguishedName: CN=Administrator,CN=Users,DC=osdn,DC=zzti,DC=e,DC=cn
instanceType: 4
whenCreated: 20040820145628.0Z
whenChanged: 20040820151744.0Z
uSNCreated: 8194
memberOf: CN=Group Policy Creator Owners,CN=Users,DC=osdn,DC=zzti,DC=e,DC=cn
memberOf: CN=Domain Admins,CN=Users,DC=osdn,DC=zzti,DC=e,DC=cn
memberOf: CN=Enterprise Admins,CN=Users,DC=osdn,DC=zzti,DC=e,DC=cn
memberOf: CN=Schema Admins,CN=Users,DC=osdn,DC=zzti,DC=e,DC=cn
memberOf: CN=Administrators,CN=Builtin,DC=osdn,DC=zzti,DC=e,DC=cn
uSNChanged: 13895
name: Administrator
objectGUID:: z44SriNF40SGBgQson8RtA==
userAccountControl: 66048
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 127375629853437500
lastLogoff: 0
lastLogon: 127375630164843750
pwdLastSet: 127374851807500000
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAfA5HVz/NVF7R0u429AEAAA==
adminCount: 1
accountExpires: 9223372036854775807
logonCount: 17
sAMAccountName: Administrator
sAMAccountType: 805306368
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=osdn,DC=zzti,DC=e,DC
=cn
isCriticalSystemObject: TRUE
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1
㈥ ldap在linux下的服务名是什么我如何将它设置为开机自动启动
如果你的linux是各个发行版本中的一个,那么就不需要在添加了,他本来就有开机启动的服务,只需要打开就好。chkconfig --list ldap 或 chkconfig --list |grep ldap 应该就可以找到该服务,设置为开机启动 chkconfig ldap on
㈦ 怎样在Linux下通过ldapsearch查询活动文件夹的内容
学这个干嘛 你没书吗 我一步一步教你吧 打开root进入到了home的文件夹1如果你要在那里建一个叫test的文件夹 输入 cd /home 回车 就到了home目录 输入 mkdir test 就可以了2如果在文件夹里添加(就是创建) 一个文件 例如a.txt输入 touch test/a.txt 回车3删除 rm -rf test/ 回车去借本书吧 学这科目 命令多了去了
㈧ linux下源码安装openldap ldapadd出现-bash: ldapadd: command not found
我认为是这样的,你要么加全路径执行
/usr/local/openldap/bin/ldapadd
要么进入到/usr/local/openldap/bin/目录里
执行 ./ldapadd
我想上面两个方法都可以,如果还不行,请追问。
㈨ 我的linux系统中怎么没有ldapsearch命令
先查看一下,系统有没有该命令。
whichldapsearch
如果没有的话安装一个
yumlist"*ldap*"
yuminstallopenldap-clients
再查看一下,是否安装好了。
rpm-qlopenldap-clients
whichldapsearch