LDAP目录服务
LDAP:轻量级目录访问协议(Lightweight Directory Access Protocol)
Ø 由服务器来集中存储并向客户端提供的消息,存储方式相似于DNS分层结构
Ø 提供的信息包括:用户名、密码、通讯录、主机名映射记录……html
典型的LDAP工做模式
Ø LDAP服务器为一组客户机集中提供可登陆的用户账号
Ø 本地用户:用户名、密码信息存储/etc/passwd、/etc/shadow
Ø 网络用户:用户名、密码信息存储在 LDAP 服务端
Ø 这些客户机都须加入同一个LDAP域web
如何加入LDAP域
加入LDAP须要的条件
1)服务端提供:
Ø LDAP服务器地址,基本DN名称
Ø 加密用的证书(若须要)
2)客户端准备:
Ø 用途:使用另外一台服务器上的帐号登陆到本机
Ø 修改用户登陆的验证方式,启用LDAP
Ø 正确配置LDAP服务器参数
Ø 软件包:sssd(与服务端沟通程序)、authconfig-gtk(图形化配置sssd程序)、
【Base DN、服务器地址、证书】数据库
配置工具:
authconfig-gtk(图形工具)
authconfig-tui(字符界面)
系统服务(C):sssd安全
ssh ldapuser0@server0.example.com
服务端Server:为其余机器提供某一种资源或功能的程序
客户端Client:使用其余机器提供的资源或功能的程序服务器
如何加入LDAP域:
第一步:装包,yum -y install sssd authconfig-gtk
第二步:配置LDAP认证,图形:authconfig-gtk
输入LDAP服务器地址(即指定用户账户数据库LDAP),基本DN名称,加密用的证书
第三步:
1)查看服务状态:systemctl status sssd
2)重启sssd服务成功:systemctl restart sssd
3)设置服务开机自启:systemctl enable sssd
第四步:验证LDAP用户登陆
#id ldapuser0
#su - ldapuser0网络
原文:https://www.cnblogs.com/shanzzs/p/7161314.html
4A系统是统一安全管理平台解决方案,指认证Authentication、帐号Account、受权Authorization、审计Audit,中文名称为统一安全管理平台解决方案。即将身份认证、受权、审计和帐号(即不能否认性及数据完整性)定义为网络安全的四大组成部分,从而确立了身份认证在整个网络安全系统中的地位与做用。ssh
4A平台的管理功能包括:集中认证管理、集中帐号管理、集中权限管理和集中审计管理,具体以下:svg
集中认证(authentication)管理:能够根据用户应用的实际须要,为用户提供不一样强度的认证方式,既能够保持原有的静态口令方式,又能够提供具备双因子认证方式的高强度认证(一次性口令、数字证书、动态口令),并且还可以集成现有其它如生物特征等新型的认证方式。不只能够实现用户认证的统一管理,而且可以为用户提供统一的认证门户,实现企业信息资源访问的单点登陆。工具
集中账号(account)管理:为用户提供统一集中的账号管理,支持管理的资源包括主流的操做系统、网络设备和应用系统;不只可以实现被管理资源账号的建立、删除及同步等账号管理生命周期所包含的基本功能,并且也能够经过平台进行账号密码策略,密码强度、生存周期的设定。ui
集中权限(authorization)管理:能够对用户的资源访问权限进行集中控制。它既能够实现对B/S、C/S应用系统资源的访问权限控制,也能够实现对数据库、主机及网络设备的操做的权限控制,资源控制类型既包括B/S的URL、C/S的功能模块,也包括数据库的数据、记录及主机、网络设备的操做命令、IP地址及端口。
集中审计(audit)管理:将用户全部的操做日志集中记录管理和分析,不只能够对用户行为进行监控,而且能够经过集中的审计数据进行数据挖掘,以便于过后的安全事故责任的认定。
主从帐号概念:主帐号即天然人使用的帐号,目前主要是网络准入控制系统的帐号。从帐号即资源设备自身帐号,主要是指天然人登陆设备或应用系统时使用的帐号。
●天然人:用户的真实姓名,在帐号管理中手工进行录入。 ●主帐号:用户进行网络准入认证时使用的的帐号,通常是一个天然人使用一个主帐号,主帐号能够进行第三方认证。 ●源IP:天然人使用的终端IP。 ●目的IP:天然人登陆资源的IP。 ●从帐号:资源上的系统帐号。 ●审计事件:经过对原始审计信息进行分析处理后获得的审计结果。 ●审计级别:自动给审计事件定级,通常分为高、中、低三个级别。 ●会话回放:为了保证审计事件的完整性,造成一个完整的证据链条,对用户全部的输入和输出进行所有展示。