ldap ubuntu,ubuntu deb
大家好,如果您还对ldap ubuntu不太了解,没有关系,今天就由本站为大家分享ldap ubuntu的知识,包括ubuntu deb的问题都会给大家分析到,还望可以解决大家的问题,下面我们就开始吧!
【运维笔记】Ubuntu22配置LDAP服务端
本篇笔记主要介绍Ubuntu 22配置LDAP服务端的方法,不涉及原理。
不同Linux发行版配置LDAP的方法各有不同,因此本篇笔记可能仅适用于Ubuntu,而不适用于CentOS、RedHat、Debian等其他Linux发行版。
本篇笔记不介绍LDAP原理,因为安装过程无需了解。
在维护LDAP服务的阶段,我们会学习LDAP的相关知识。
后端(服务本体)配置安装软件包期间会提示设置slapd的管理员密码。实际上后面还需用`dpkg-reconfigure`再配一遍,因为使用`apt install slapd`进入的配置流程不会让我们修改domain name,而`dpkg-reconfigure`则允许我们修改domain name。
另外,笔者很不明白,为什么slapd的包名不包含'ldap',反而很像是ldap的拼写错误。
设置域名解析,修改`/etc/hosts`,在其中添加(或覆盖):
这样做是为了确保本机能够解析`earth.fuxion.lab`到正确的ip。考虑到一般情况下通常没有预先配好DNS服务,因此用修改hosts的方法实现域名解析。
至于域名是否一定要写成`xxx.fuxion.lab`这种与ldap domain name一致的形式,笔者并不确定,目前只知道这样做可以配置成功。
配置ldap,修改`/etc/ldap/ldap.conf`,向其中添加:
重新配置slapd:
期间会依次让用户选择/输入:
我们可以依次选择/输入:
启动slapd,配置开机启动:
测试可用性,测试ldap数据库的可用性:
在这个命令中:
得到结果:
说明工作正常。
前端(管理界面)配置安装软件包(apt)通常情况下,笔者推荐用apt安装:
理论上这样做便可成功安装php LDAP admin这一LDAP前端管理软件。
但笔者实践时遇到一些问题,因此没有走完apt安装配置的流程。
安装软件包(手动)在apt安装不可用/出现问题时,可以考虑手动安装phpldapadmin。
笔者使用`sudo apt install phpldapadmin`安装时,apt支持的版本是phpldapadmin 1.2.6.3,该版本存在一个影响使用的BUG。
经上网查证,发现更高版本的phpldapadmin 1.2.6.7已在GitHub发布(github.com/leenooks/php...),并已经解决该问题,只是apt库还未及时更新。
手动安装流程如下:
以上过程在`phpLDAPadmin-1.2.6.7/INSTALL.md`中有写。
本质上phpldapadmin是依托apache2的,而apache2的默认web文件夹路径便是`/var/www/html/`,可视情况更改。
修改`/etc/phpldapadmin/config.php`,找到:
在其下方添加:
启动apache2。(如果已启动则无需重启。)
访问phpldapadmin管理界面,在浏览器中访问`192.168.1.13/ldap`即可看到。
(话说笔者明明安装的是1.2.6.7,右下角却显示1.2.6.6)
点击左侧的login:
输入刚才指定的密码,即可登入。
往后的内容,如新建用户等功能超出了本笔记的讨论范围。
配置apache2端口(可选),修改`/etc/apache2/ports.conf`:
重启apache2:
配置nginx转发(可选),修改`/etc/nginx/sites-available/default`,改为例如:
重启nginx:
然后浏览器访问`192.168.1.13`即可。
如果访问异常,可能需要等待几分钟以便nginx自行清除缓存。
基本用法,最开始我们只有`dc=fuxion,dc=lab`这一top entry。
选中`dc=fuxion,dc=lab`,点击Create a child entry,创建新的用户组(Generic: Posix Group)。创建用户前必须创建用户组。
例如我们创建`users`、`wheel`两个用户组。
选中wheel用户组,点击Create a child entry,创建新的用户(Generic: User Account)。
其中,cn(common name)可为中文,User Name不可为中文。User Name就是Linux的login name,必须是英文、数字和少量特殊字符组成的名称。
参考资料:
[1]: LDAP基础学习笔记(概念&快速安装)-知乎(zhihu.com)
[2]:可能是最详细的LDAP讲解-CSDN博客
[3]: ubuntu18.04搭建LDAP服务器
Ubuntu系统下Pure-ftpd的安装及配置教程
安装
Ubuntu/Debian提供了三个不同的 Pure-FTPd的 deb安装包,分别是 pure-ftpd、pure-ftpd-ldap和 pure- ftpd-mysql,其中 ldap和 mysql分别表示 Pure-FTPd跟 ldap和 mysql集成,另外这三个包都依赖于 pure-ftpd-common。如果我们不需要 ldap和 mysql的话,选择 pure-ftpd就可以了。
代码如下:
apt-get install pure-ftp-common pure-ftpd
配置方式
不同于其他的多数守护进程(daemon),Pure-FTPd的配置比较特别:它不读取任何的配置文件,配置选项都是通过命令行参数来实现的。例如:参数'-H'被设计为通过避免 DNS查询来加快服务器的速度。要启用该特性,我们只需要将其加到命令行中: pure-ftpd-H。备选的长参数也被支持的,下面是一个等价的命令 pure-ftpd--dontresolve
针对喜欢配置文件的用户,Pure-FTPd官方给出了一种方案:通过一个封装(wrapper)工具,将配置文件解析并将其转换成命令行参数。首先根据自己的需要编辑配置文件 pure-ftpd.conf,而后通过下面的命令启动 pure-config.pl/etc/pure-ftpd.conf。pure-config.pl是一个 perl脚本,它根据配置文件采用合适的命令行选项来调用 pure-ftpd。
在 Ubuntu/Debian中,开发人员采用了另外的一种 wrapper方式:它没有采用单一的配置文件,而是在/etc下建立一个pure-ftpd的目录,其下又有 conf、auth、db这三个目录和一个名为 pureftpd-alias-dir的文件。每一个配置选项都以一个文件的形式存在于/etc/pure-ftpd/conf目录中,而且是以选项为文件名,选项值为文件内容。例如如果想配置AnonymousOnly=yes(只允许匿名用户),则在/etc/pure-ftpd/conf中创建一个名为 AnonymousOnly的文件,里面只有一行内容:yes。
在 Ubuntu中,我们只关注最后一种配置方式。
配置选项
通过 pure-ftpd的手册页我们可以得到详细的命令行参数列表及其解释:
复制代码
代码如下:
man pure-ftpd
通过 pure-ftpd-wrapper的手册页我们可以得到可用的配置文件选项列表:
代码如下:
man pure-ftpd-wrapper
下面是前面我们介绍的第二种方式的配置文件,我们这儿可以将其作为第三种方式来理解。比如要限制所有用户在其主目录中,在/etc/pure-ftpd/conf中创建一个名为 ChrootEveryone的文件,里面加入一行内容:yes即可。
#限制所有用户在其主目录中
ChrootEveryone yes
#如果前一个指令被设置为了"no",下面组的成员(GID)就不受主目录的限制了。而其他的用户还是
#会被限制在自己的主目录里。如果你不想把任何用户限制在自己的主目录里,只要注释掉 ChrootEveryone
#和 TrustedGID就可以了。
# TrustedGID 100
#兼容ie等比较非正规化的ftp客户端
BrokenClientsCompatibility no
#服务器总共允许同时连接的最大用户数
MaxClientsNumber 50
#做为守护(doemon)进程运行(Fork in background)
Daemonize yes
#同一IP允许同时连接的用户数(Maximum number of sim clients with the same IP address)
MaxClientsPerIP 8
#如果你要记录所有的客户命令,设置这个指令为"yes"。
# This directive can be duplicated to also log server responses.
VerboseLog no
#即使客户端没有发送'-a'选项也列出隐藏文件( dot-files)。
DisplayDotFiles yes
#不允许认证用户-仅作为一个公共的匿名FTP。
AnonymousOnly no
#不允许匿名连接,仅允许认证用户使用。
NoAnonymous no
# Syslog facility(auth, authpriv, daemon, ftp, security, user, local*)
#缺省的功能( facility)是"ftp"。"none"将禁止日志。
SyslogFacility ftp
#定制用户登陆后的显示信息(Display fortune cookies)
# FortunesFile/usr/share/fortune/zippy
#在日志文件中不解析主机名。日志没那么详细的话,就使用更少的带宽。在一个访问量很大
#的站点中,设置这个指令为"yes",如果你没有一个能工作的DNS的话。
DontResolve yes
#客户端允许的最大的空闲时间(分钟,缺省15分钟)
MaxIdleTime 15
# LDAP配置文件(参考 README.LDAP)
# LDAPConfigFile/etc/pureftpd-ldap.conf
# MySQL配置文件(参考 README.MySQL)
# MySQLConfigFile/etc/pureftpd-mysql.conf
# Postgres配置文件(参考 README.PGSQL)
# PGSQLConfigFile/etc/pureftpd-pgsql.conf
# PureDB用户数据库(参考 README.Virtual-Users)
# PureDB/etc/pureftpd.pdb
# pure-authd的socket路径(参考 README.Authentication-Modules)
# ExtAuth/var/run/ftpd.sock
#如果你要启用 PAM认证方式,去掉下面行的注释。
# PAMAuthentication yes
#如果你要启用简单的 Unix系统认证方式(/etc/passwd),去掉下面行的注释。
# UnixAuthentication yes
#请注意,LDAPConfigFile, MySQLConfigFile, PAMAuthentication和
# UnixAuthentication这些指令只能被使用一次,不过,他们能被混合在一起用。例如:如果你使用了
# MySQLConfigFile和 UnixAuthentication,那么 SQL服务器将被访问。如果因为用户名未找
#到而使 SQL认证失败的话,就会在/etc/passwd和/etc/shadow中尝试另外一种认证,如果因
#为密码错误而使 SQL认证失败的话,认证就会在此结束了。认证方式由它们被给出来的顺序而被链
#接了起来。
#'ls'命令的递归限制。第一个参数给出文件显示的最大数目。第二个参数给出最大的子目录深度。
LimitRecursion 2000 8
#允许匿名用户创建新目录?
AnonymousCanCreateDirs no
#如果系统被 loaded超过下面的值,匿名用户会被禁止下载。
MaxLoad 4
#被动连接响应的端口范围。- for firewalling.
# PassivePortRange 30000 50000
#强制一个IP地址使用被动响应( PASV/EPSV/SPSV replies)。- for NAT.
# Symbolic host names are also accepted for gateways with dynamic IP
# addresses.
# ForcePassiveIP 192.168.0.1
#匿名用户的上传/下载的比率。
# AnonymousRatio 1 10
#所有用户的上传/下载的比率。
# This directive superscedes the previous one.
# UserRatio 1 10
#不接受所有者为"ftp"的文件的下载。例如:那些匿名用户上传后未被本地管理员验证的文件。
AntiWarez yes
第二个文件
#客户端登录的时候的默认编码,开启这个选项的话,windows登录时就不会显示不了中文的了
ClientCharset gbk
#服务监听的IP地址和端口。(缺省是所有IP地址和21端口)
# Bind 127.0.0.1,21
#匿名用户的最大带宽(KB/s)。
# AnonymousBandwidth 8
#所有用户的最大带宽(KB/s),包括匿名用户。
# Use AnonymousBandwidth*or* UserBandwidth, both makes no sense.
# UserBandwidth 8
#新建目录及文件的属性掩码值。文件掩码;:目录掩码;.
# 177:077 if you feel paranoid.
Umask 133:022
#认证用户允许登陆的最小组ID(UID)。
MinUID 100
#仅允许认证用户进行 FXP传输。
AllowUserFXP yes
#对匿名用户和非匿名用户允许进行匿名 FXP传输。
AllowAnonymousFXP no
#用户不能删除和写点文件(文件名以'.'开头的文件),即使用户是文件的所有者也不行。
#如果 TrustedGID指令是 enabled,文件所属组用户能够访问点文件(dot-files)。
ProhibitDotFilesWrite no
#禁止读点文件(文件名以'.'开头的文件)(.history,.ssh...)
ProhibitDotFilesRead no
#永不覆盖文件。当上传的文件,其文件名已经存在时,自动重命名,如: file.1, file.2, file.3,...
AutoRename no
#不接受匿名用户上传新文件( no=允许上传)
AnonymousCantUpload no
#仅允许来自以下IP地址的非匿名用户连接。你可以使用这个指令来打开几个公网IP来提供匿名FTP,
#而保留一个私有的防火墙保护的IP来进行远程管理。你还可以只允许一内网地址进行认证,而在另外
#一个IP上提供纯匿名的FTP服务。
#TrustedIP 10.1.1.1
#如果你要为日志每一行添加 PID去掉下面行的注释。
# LogPID yes
#使用类似于Apache的格式创建一个额外的日志文件,如:
# fw.c9x.org- jedi [13/Dec/1975]"GET/ftp/linux.tar.bz2" 200 21809338
#这个日志文件能被 www流量分析器处理。
# AltLog clf:/var/log/pureftpd.log
#使用优化过的格式为统计报告创建一个额外的日志文件。
# AltLog stats:/var/log/pureftpd.log
#使用标准的W3C格式创建一个额外的日志文件。(与大部分的商业日志分析器兼容)
# AltLog w3c:/var/log/pureftpd.log
#不接受 CHMOD命令。用户不能更改他们文件的属性。
# NoChmod yes
#允许用户恢复和上传文件,却不允许删除他们。
# KeepAllFiles yes
#用户主目录不存在的话,自动创建。
# CreateHomeDir yes
#启用虚拟的磁盘限额。第一个数字是最大的文件数。
#第二个数字是最大的总的文件大小(单位:Mb)。
#所以,1000:10就限制每一个用户只能使用 1000个文件,共10Mb。
# Quota 1000:10
#如果你的 pure-ftpd编译时加入了独立服务器( standalone)支持,你能够改变 pid文件
#的位置。缺省位置是/var/run/pure-ftpd.pid。
# PIDFile/var/run/pure-ftpd.pid
#如果你的 pure-ftpd编译时加入了 pure-uploadscript支持,这个指令将会使 pure-ftpd
#发送关于新上传的情况信息到/var/run/pure-ftpd.upload.pipe,这样 pure-uploadscript
#就能读然后调用一个脚本去处理新的上传。
# CallUploadScript yes
#这个选项对允许匿名上传的服务器是有用的。当/var/ftp在/var里时,需要保留一定磁盘空间
#来保护日志文件。当所在磁盘分区使用超过百分之 X时,将不在接受新的上传。
MaxDiskUsage 99
#如果你不想要你的用户重命名文件的话,就设置为'yes'。
# NoRename yes
#是'customer proof':工作区(workaround)反对普通的客户错误,类似于:'chmod 0 public_html'的错误。
#那是一个有效的命令,不过,将导致无知的客户所定他们自己的文件,将使你的技术支持忙于愚蠢的的问题中。
#如果你确信你所有的用户都有基本的Unix知识的话,这个特性将没什么用了。不过,如果你是一个主机提供商
#的话,启用它。
CustomerProof yes
#每一个用户的并发限制。只有在添加了--with-peruserlimits编译选项进行编译后,这个指令才起
#作用。(大部分的二进制的发布版本就是例子)
#格式是:每一个用户最大允许的进程;:最大的匿名用户进程;
#例如: 3:20意思是同一个认证用户最大可以有3个同时活动的进程。而且同时最多只能有20个匿名用户进程。
# PerUserLimits 3:20
Ubuntu中的帐户锁定
配置Ubuntu系统中的帐户锁定,您需要在/etc/pam.d/common-auth目录中添加pam_tally模块。确保您已配置了有效的LDAP中央身份验证系统,这样来自Ubuntu客户端的用户可以进行身份验证。
将以下配置添加到/etc/pam.d/common-auth文件中,以在3次无效登录尝试后禁用登录一定时间间隔:
auth required/lib/security/$ISA/pam_tally.so onerr=fail no_magic_rootaccount required/lib/security/$ISA/pam_tally.so per_user deny=5 no_magic_root reset
请注意,上述配置中涉及的“no_magic_root”选项确保在执行登录操作时不会出现错误。确保您的订购顺序正确,确保LDAP出现的失败登录与本地计算机的失败登录处理一致。
通过实施此配置,系统将为所有用户(包括通过LDAP身份验证的用户)实现账户锁定机制。在连续5次无效登录尝试后,账户将被禁用直至指定的重置时间。
完成配置后,重启系统以使更改生效。您现在可以确保账户安全,防止恶意登录尝试,同时为合法用户提供稳定的访问体验。
