ASA使用LDAP属性映射配置示例

ldap配置过程详解ldap常⽤名称解释1.环境搭建操作系统：centos6.5 x86_64关闭防⽕墙、selinux开启时间同步# crontab -e加⼊# time sync*/5 * * * * /usr/sbin/ntpdate 192.168.8.102 >/dev/null 2>&1# crontab -l*/5 * * * * /usr/sbin/ntpdate -u 192.168.8.102 >/dev/null 2>&1配置域名解析：# echo "192.168.8.43 " >> /etc/hosts解决依赖关系# yum grouplistBaseDebugging ToolsPerformance ToolsCompatibility librariesDevelopment toolsDial-up Networking SupportHardware monitoring utilities如果缺少组包，需要安装yum groupinstall -y "Compatibility libraries"2.安装openldap master# yum install -y openldap openldap-*# yum install -y nscd nss-pam-ldapd nss-* pcre pcre*# rpm -qa | grep openldap*compat-openldap-2.3.43-2.el6.x86_64openldap-2.4.40-12.el6.x86_64openldap-clients-2.4.40-12.el6.x86_64openldap-servers-sql-2.4.40-12.el6.x86_64openldap-servers-2.4.40-12.el6.x86_64openldap-devel-2.4.40-12.el6.x86_643.配置slapd.conf⽂件# cd /etc/openldap/[root@node5 openldap]# cp /usr/share/openldap-servers/slapd.conf.obsolete slapd.conf [root@node5 openldap]# cp slapd.conf slapd.conf.bak[root@node5 openldap]# slappasswd -s chinasoft|sed -e "s#{SSHA}#rootpw\t{SSHA}#g"rootpw {SSHA}D9+lqUJZVPobp0sZfXl37jE1aVvR2P9K[root@node5 openldap]# slappasswd -s chinasoft|sed -e "s#{SSHA}#rootpw\t{SSHA}#g">>/etc/openldap/slapd.conf[root@node5 openldap]# tail -1 slapd.confrootpw {SSHA}FvBRnIPqtIi0/u11O2gOfOCrRJr+xMAr# vim slapd.conf注释掉⼀下四⾏# database dbb#suffix "dc=my-domain,dc=com"#checkpoint 1024 15#rootdn "cn=Manager,dc=my-domain,dc=com"添加如下内容# add start by jack 2016/07/01database bdbsuffix "dc=chinasoft,dc=com"rootdn "cn=admin,dc=chinasoft,dc=com"对⽐修改是否成功：[plain]1. # diff slapd.conf.bak slapd.conf2. 114,117c114,1223. < database bdb4. < suffix "dc=my-domain,dc=com"5. < checkpoint 1024 156. < rootdn "cn=Manager,dc=my-domain,dc=com"7. ---8. > #database bdb9. > #suffix "dc=my-domain,dc=com"10. > #checkpoint 1024 1511. > #rootdn "cn=Manager,dc=my-domain,dc=com"12. > # add start by jack 2016/07/0113. > database dbd14. > suffix "dc=chinasoft,dc=com"15. > rootdn "cn=admin,dc=chinasoft,dc=com"16. >17. 140a14618. > rootpw {SSHA}FvBRnIPqtIi0/u11O2gOfOCrRJr+xMAr添加如下内容cat >> /etc/openldap/slapd.conf<<EOF# add start by jack 2016/07/01loglevel 296cachesize 1000checkpoint 2018 10EOF参数说明：# add start by jack 2016/07/01loglevel 296 # ⽇志级别，记录⽇志信息⽅便调试，296级别是由256(⽇志连接/操作/结果)、32（搜索过滤器处理）、8（连接管理）累加的结果cachesize 1000 # 设置ldap可以换成的记录数checkpoint 2018 10 # 可以设置把内存中的数据协会数据⽂件的操作上，上⾯设置表⽰每达到2048KB或者10分钟执⾏⼀次，checkpoint即写⼊数据⽂件的操作4.ldap授权及安全参数配置# vim /etc/openldap/slapd.conf删除如下内容：[plain]1. database config2. access to *3. by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage4. by * none5.6.7. # enable server status monitoring (cn=monitor)8. database monitor9. access to *10. by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read11. by dn.exact="cn=Manager,dc=my-domain,dc=com" read12. by * none改为：access to *by self writeby anonymous authby * read5.加⼊⽇志记录# cp /etc/rsyslog.conf /etc/rsyslog.conf.bak.$(date +%F%T)# echo '#record ldap.log by jack 2016-07-01' >> /etc/rsyslog.conf# echo 'local4.* /var/log/ldap.log'>> /etc/rsyslog.conf# tail -1 /etc/rsyslog.conflocal4.* /var/log/ldap.log# service rsyslog restart6.配置ldap数据库路径# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG[root@node5 openldap]# ll /var/lib/ldap/DB_CONFIG-rw-r--r-- 1 root root 845 Jul 1 17:29 /var/lib/ldap/DB_CONFIG[root@node5 openldap]# chown ldap:ldap /var/lib/ldap/DB_CONFIG[root@node5 openldap]# chmod 700 /var/lib/ldap/[root@node5 openldap]# ls -l /var/lib/ldap/total 4-rw-r--r-- 1 ldap ldap 845 Jul 1 17:29 DB_CONFIG验证配置是否Ok# slaptest -uconfig file testing succeeded7.启动服务：# /etc/init.d/slapd restart# lsof -i :389COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAMEslapd 50735 ldap 7u IPv4 75541 0t0 TCP *:ldap (LISTEN)slapd 50735 ldap 8u IPv6 75542 0t0 TCP *:ldap (LISTEN)[root@node5 openldap]# ps -ef |grep ldap|grep -v grepldap 50735 1 0 17:33 ? 00:00:00 /usr/sbin/slapd -h ldap:/// ldapi:/// -u ldap配置随机启动# chkconfig slapd on[root@node5 openldap]# chkconfig --list slapdslapd 0:off1:off2:on3:on4:on5:on6:off8.测试查找内容# ldapsearch -LLL -W -x -H ldap:// -D "cn=admin,dc=chinasoft,dc=com" -b "dc=chinasoft,dc=com" "(uid=*)" Enter LDAP Password:报错：ldap_bind: Invalid credentials (49)解决办法：[plain]1. # rm -rf /etc/openldap/slapd.d/*2. # slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d3. 57763ec6 bdb_monitor_db_open: monitoring disabled; configure monitor database to enable4. config file testing succeeded5. # ldapsearch -LLL -W -x -H ldap:// -D "cn=admin,dc=chinasoft,dc=com" -b "dc=chinasoft,dc=com" "(uid=*)"6. Enter LDAP Password:7. No such object (32)重启服务# service slapd restartStopping slapd: [FAILED]Checking configuration files for slapd: [FAILED]57763eee ldif_read_file: Permission denied for "/etc/openldap/slapd.d/cn=config.ldif"slaptest: bad configuration file![root@node5 openldap]# chown -R ldap.ldap /etc/openldap/slapd.d/[root@node5 openldap]# service slapd restartStopping slapd: [FAILED]Starting slapd: [ OK ]# lsof -i :389COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAMEslapd 51164 ldap 7u IPv4 77503 0t0 TCP *:ldap (LISTEN)slapd 51164 ldap 8u IPv6 77504 0t0 TCP *:ldap (LISTEN)9.为ldap master初始化数据(如果不初始化，后⾯⽆法通过web界⾯管理)增加初始的⼊⼝(entries)1) 创建LDIF⽂件编辑⼀个LDIF格式⽂件：# vim base.ldif[plain]1. dn: dc=chinasoft, dc=com2. objectClass: organization3. objectClass: dcObject4. dc: chinasoft5. o: chinasoft6.7.8. dn: ou=People, dc=chinasoft, dc=com9. objectClass: organizationalUnit10. ou: People11.12.13. dn: ou=group, dc=chinasoft, dc=com14. objectClass: organizationalUnit15. ou: group16.17.18. dn: cn=tech, ou=group, dc=chinasoft, dc=com19. objectClass: posixGroup20. description:: 5oqA5pyv6YOo21. gidNumber: 1000122. cn: tech# vim jack.ldif[plain]1. dn: uid=jack,ou=People,dc=chinasoft,dc=com2. objectClass: posixaccount3. objectClass: inetOrgPerson4. objectClass: organizationalPerson5. objectClass: person6. homeDirectory: /home/jack7. loginShell: /bin/bash8. uid: jack9. cn: jack10. userPassword:: 55G/ReqPKeOZ8SpgszwIQhaBXySNU4mw11. uidNumber: 1000512. gidNumber: 1000113. sn: jack[plain]1. # ldapadd -x -H ldap:// -D "cn=admin,dc=chinasoft,dc=com" -W -f base.ldif2. Enter LDAP Password:3. adding new entry "dc=chinasoft, dc=com"4.5.6. adding new entry "ou=People, dc=chinasoft, dc=com"7.8.9. adding new entry "ou=group, dc=chinasoft, dc=com"10.11.12. adding new entry "cn=tech, ou=group, dc=chinasoft, dc=com"2) 运⾏ldapadd# ldapadd -x -H ldap:// -D "cn=admin,dc=chinasoft,dc=com" -W -f base.ldifEnter LDAP Password:[plain]1. 报错：2. adding new entry "dc=chinasoft,dc=com"3. ldap_add: Invalid syntax (21)4. additional info: objectClass: value #0 invalid per syntax5. 原因：ldif⽂件中存在空格或者个别单词拼写错误6. 正确书写格式：7. （1空⾏）8. dn:（空格） dc=mail,dc=kaspersky,dc=com（结尾⽆空格）9. objectclass: （空格）dcObject（结尾⽆空格）10. objectclass: （空格）organization（结尾⽆空格）11. o: （空格）kaspersky（结尾⽆空格）12. dc:（空格） test（结尾⽆空格）13. （1空⾏）14. dn: （空格）cn=test,dc=mail,dc=kaspersky,dc=com（结尾⽆空格）15. objectclass: （空格）organizationalRole（结尾⽆空格）16. cn: （空格）test（结尾⽆空格）17. （结尾⽆空⾏）# ldapadd -x -H ldap:// -D "cn=admin,dc=chinasoft,dc=com" -W -f jack.ldifEnter LDAP Password:adding new entry "uid=jack,ou=People,dc=chinasoft,dc=com"3) 检查是否已经开始正常⼯作# ldapsearch -LLL -W -x -H ldap:// -D "cn=admin,dc=chinasoft,dc=com" -b "dc=chinasoft,dc=com" "(uid=*)" Enter LDAP Password:dn: uid=jack,ou=People,dc=chinasoft,dc=comobjectClass: posixAccountobjectClass: inetOrgPersonobjectClass: organizationalPersonobjectClass: personhomeDirectory: /home/jackloginShell: /bin/bashuid: jackcn: jackuserPassword:: 55G/ReqPKeOZ8SpgszwIQhaBXySNU4mwuidNumber: 10005gidNumber: 10001sn: jack10.为ldap master配置web管理接⼝安装lamp环境# yum install -y httpd php php-ldap php-gd# rpm -qa httpd php php-ldap php-gdphp-5.3.3-47.el6.x86_64httpd-2.2.15-53.el6.centos.x86_64php-gd-5.3.3-47.el6.x86_64php-ldap-5.3.3-47.el6.x86_64安装ldap-account-manager管理软件https:///lamcms/releases?page=3将ldap-account-manager-3.7.tar.gz安装包上传到/var/www/html⽬录# cd /var/www/html/[root@node5 html]# tar zxf ldap-account-manager-3.7.tar.gz[root@node5 html]# mv ldap-account-manager-3.7 ldap[root@node5 html]# cd ldap/config[root@node5 config]# cp config.cfg_sample config.cfg[root@node5 config]# cp lam.conf_sample lam.conf[root@node5 config]# sed -i 's#cn=Manager#cn=admin#g' lam.conf[root@node5 config]# sed -i 's#dc=my-domain#dc=chinasoft#g' lam.conf[plain]1. [root@node5 config]# diff lam.conf_sample lam.conf2. 13c133. < admins: cn=Manager,dc=my-domain,dc=com4. ---5. > admins: cn=admin,dc=chinasoft,dc=com6. 55c557. < types: suffix_user: ou=People,dc=my-domain,dc=com8. ---9. > types: suffix_user: ou=People,dc=chinasoft,dc=com10. 59c5911. < types: suffix_group: ou=group,dc=my-domain,dc=com12. ---13. > types: suffix_group: ou=group,dc=chinasoft,dc=com14. 63c6315. < types: suffix_host: ou=machines,dc=my-domain,dc=com16. ---17. > types: suffix_host: ou=machines,dc=chinasoft,dc=com18. 67c6719. < types: suffix_smbDomain: dc=my-domain,dc=com20. ---21. > types: suffix_smbDomain: dc=chinasoft,dc=com# chown -R apache.apache /var/www/html/ldap访问http://192.168.8.43/ldap/templates/login.php使⽤刚才配置的 admin 和密码chinasoft登陆即可添加⽤户、配置密码查看通过web界⾯添加的tom⽤户是否⽣效[plain]1. # ldapsearch -LLL -W -x -H ldap:// -D "cn=admin,dc=chinasoft,dc=com" -b "dc=chinasoft,dc=com" "(uid=lily)"2. Enter LDAP Password:3. dn: uid=lily,ou=People,dc=chinasoft,dc=com4. objectClass: posixAccount5. objectClass: inetOrgPerson6. objectClass: organizationalPerson7. objectClass: person8. homeDirectory: /home/lily9. loginShell: /bin/bash10. uid: lily11. cn: lily12. uidNumber: 1000713. gidNumber: 1000214. userPassword:: e1NTSEF9RkY1eHFNUk5JbGJHNFpCQWtBK0pwN1RmcmdIci9Mems=15. sn: lily16. givenName: lily17.。

LDAP 中的访问控制列表本节介绍Senior Level Linux Professional (LPIC-3) 301 考试的303.2 主题的内容。

此主题的权值是2。

在本节中，学习如何：∙计划LDAP 访问控制列表∙了解访问控制语法∙授予和撤消LDAP 访问权限LDAP 树中可以存储各种数据，包括电话号码、出生日期和工资表信息。

其中一些数据可能是公开的，一些数据可能只能由由特定的人访问。

根据用户的不同，同样的信息可能有不同的限制。

例如，也许只有记录的所有者和管理员可以更改电话号码，但是每个人都可以读取这些号码。

访问控制列表(ACL) 处理这些限制的配置。

计划LDA P 访问控制列表在开始编写配置之前，应该确定要实现的目标。

树的哪部分包含敏感信息？哪些属性需要保护，保护其不被谁访问？如何使用树？ACL 的组件ACL 条目提供三条信息：1.ACL 指定what条目和属性2.ACL 应用于who3.授予的access级别指定 “what” 子句时，可以选择根据对象的区分名（distinguished name ，DN ）、LDAP 风格的查询筛选器、属性列表或以上三者的组合来进行筛选。

最简单的子句允许一切内容，但也可以有很多限制。

根据 DN 筛选允许您指定精确匹配，比如ou=People,dc=ertw,dc=com 或正则表达式 （参阅 “正则表达式”）查询筛选器可以匹配特定的 objectClass 或其他属性。

属性列表中的属性名称用逗号分隔。

更复杂的匹配条件可以是 “身份是管理员的ou=People,dc=ertw,dc=com 下的所有密码条目”。

可以灵活地确定将 ACL 应用于 who 。

用户一般由绑定到树上的 DN 来识别，这称为 bindDN 。

每个 LDAP 条目可以具有一个userPassword 属性，用于对特定的用户进行身份验证。

在一些上下文中，您可以将当前登录的用户称为自己， 这有利于允许用户编辑自己的详细信息。

ldapsearch命令例子-概述说明以及解释1.引言1.1 概述概述LDAP（Lightweight Directory Access Protocol）是一种用于访问和维护分布式目录信息服务的协议。

在日常的系统管理和网络管理工作中，经常需要查询和管理LDAP目录中的信息。

而ldapsearch命令就是一个用于在LDAP目录中搜索和获取信息的命令行工具。

通过ldapsearch命令，用户可以指定搜索条件来查询LDAP目录中符合条件的信息，比如用户信息、组织结构、权限等。

ldapsearch命令的灵活性和强大功能使其成为管理LDAP目录的重要工具之一。

本文将介绍ldapsearch命令的语法和示例，并探讨其在系统管理和网络管理中的重要性和应用场景，以及展望ldapsearch命令的未来发展。

1.2 文章结构文章结构部分的内容可以包括以下内容：1. 简介：介绍本文将要讨论的主题，即ldapsearch命令的使用和示例。

2. 目录：列出文章的结构和内容，方便读者快速了解全文的组织和内容。

3. 正文：详细介绍ldapsearch命令的概念、语法和示例，让读者能够理解和掌握这个命令的用法。

4. 结论：总结本文的主要观点和结论，强调ldapsearch命令在实际应用中的重要性和价值。

5. 展望：探讨ldapsearch命令未来的发展方向和可能的应用场景，让读者对这个命令在未来的发展有更深入的了解。

1.3 目的本文的主要目的是介绍ldapsearch命令的基本用法和实际应用示例。

通过对ldapsearch命令的介绍和示例分析，读者将能够了解LDAP（轻型目录访问协议）搜索工具的使用方法，并且掌握如何利用ldapsearch 命令来查询和检索LDAP目录中的信息。

同时，本文也旨在帮助读者更好地理解ldapsearch命令的重要性和在何种情况下可以有效地应用该命令。

最终，本文还将展望ldapsearch命令在未来的发展趋势，为读者提供更深入的了解和思考。

ldap 认证参数-概述说明以及解释1.引言1.1 概述LDAP（Lightweight Directory Access Protocol，轻量级目录访问协议）认证是一种常用于网络身份验证的协议。

它是一种基于客户端-服务器模型的协议，用于访问和维护分布式目录服务。

LDAP认证提供了一种安全而高效的方式来管理和检索目录数据，并且被广泛应用于各种网络应用和服务中。

LDAP认证的基本原理是通过使用LDAP协议与目录服务器进行通信，将用户的身份验证请求传递给目录服务器。

目录服务器存储了组织中的用户信息，通过将用户提供的凭据与存储在目录服务器中的用户凭据进行比对，以确认用户的身份是否有效。

在LDAP认证中，存在一些重要的参数，这些参数对于确保认证的安全性和有效性至关重要。

本文将深入探讨这些参数，并解释它们的功能和使用方法。

本文的目的是帮助读者更好地了解LDAP认证中的各个参数，以便能够正确配置和管理LDAP认证系统。

通过深入理解这些参数，读者将能够更好地保护系统的安全，并确保用户的身份验证过程是可靠和高效的。

在接下来的章节中，我们将逐一介绍LDAP认证中涉及的各个参数，包括参数一、参数二和参数三。

每个参数都有其独特的作用和应用场景，读者将会了解到如何正确配置和使用这些参数，以满足不同的认证需求。

请继续阅读下一节内容，以了解更多关于参数一的详细信息。

1.2文章结构文章结构部分的内容可以写成如下形式：1.2 文章结构本篇文章将按照以下结构展开对LDAP认证参数的详细介绍和讨论：2.1 参数一在本节中，我们将介绍LDAP认证过程中使用到的第一个重要参数。

我们将详细阐述该参数的作用、用法和可能的取值范围，并结合示例进行说明。

2.2 参数二在本节中，我们将深入探讨LDAP认证中另一个关键参数的意义和用法。

我们将解释该参数对认证过程的影响，并提供一些最佳实践和常见问题解答。

2.3 参数三本节将介绍LDAP认证过程中的第三个参数，它在认证过程中扮演着重要角色。

第14章目录服务器目录一般用来包含描述性的、基于属性的信息，例如，通讯簿就可使用目录的形式来保存。

目录服务是一种特殊的数据库系统，专门针对数据的读取、浏览和搜索操作进行了特定的优化。

目录服务器则是提供目录服务的程序，通常使用LDAP协议提供目录服务。

LDAP（Lightweight Directory Access Protocol，轻量级目录访问协议）是实现提供目录服务的网络协议。

本章将介绍通过OpenLDAP架设目录服务器的操作过程，主要包括以下知识点：了解LDAP协议。

掌握安装OpenLDAP的方法。

掌握配置OpenLDAP的过程。

掌握向OpenLDAP中添加条目、修改条目、查询条目的方法。

掌握设置主从OpenLDAP服务器的方法。

了解OpenLDAP在用户认证中的应用。

14.1 了解LDAP协议在进行安装配置OpenLDAP之前，本节首先对LDAP协议进行简单的介绍，让读者对LDAP 的结构有一个认识。

14.1.1 LDAP协议目录是一组具有类似属性、以一定逻辑和层次组合的信息。

常见的例子是通讯簿，由以字母顺序排列的名字、地址和电话号码组成。

目录服务是一种在分布式环境中发现目标的方法。

目录具有两个主要组成部分：第一部分是数据库，数据库是分布式的，且拥有一个描述数据的规划。

第二部分则是访问和处理数据的各种协议。

目录服务其实也是一种数据库系统，只是这种数据库是一种树形结构，而不是通常使用的关系数据库。

目录服务与关系数据库之间的主要区别在于：二者都允许对存储数据进行访问，只是目录主要用于读取，其查询的效率很高，而关系数据库则是为读写而设计的。

提示：目录服务不适于进行频繁的更新，属于典型的分布式结构。

LDAP是一个目录服务协议，目前存在众多版本的LDAP，而最常见的则是V2和V3两个版本，它们分别于1995年和1997年首次发布。

14.1.2 LDAP的基本模型LDAP的基本模型是建立在"条目"（Entry）的基础上。

CiscoASA防⽕墙详细图⽂配置实例解析Cisco ASA 防⽕墙图⽂配置实例本⽂是基于ASA5540 和ASA5520 的配置截图所做的⼀篇配置⽂档，从最初始的配置开始：1、连接防⽕墙登陆与其他的Cisco 设备⼀样，⽤Console 线连接到防⽕墙，初始特权密码为空。

2、配置内部接⼝和IP 地址进⼊到接⼝配置模式，配置接⼝的IP 地址，并指定为inside。

防⽕墙的地址配置好后，进⾏测试，确认可以和防⽕墙通讯。

3、⽤dir 命令查看当前的Image ⽂件版本。

4、更新Image ⽂件。

准备好TFTP 服务器和新的Image ⽂件，开始更新。

5、更新ASDM。

6、更新完成后，再⽤dir 命令查看7、修改启动⽂件。

以便于ASA 防⽕墙能够从新的Image 启动8、存盘，重启9、⽤sh version 命令验证启动⽂件，可以发现当前的Image ⽂件就是更新后的10、设置允许⽤图形界⾯来管理ASA 防⽕墙表⽰内部接⼝的任意地址都可以通过http 的⽅式来管理防⽕墙。

11、打开浏览器，在地址栏输⼊防⽕墙内部接⼝的IP 地址选择“是”按钮。

12、出现安装ASDM 的画⾯选择“Install ASDM Launcher and Run ASDM”按钮，开始安装过程。

13、安装完成后会在程序菜单中添加⼀个程序组14、运⾏ASDM Launcher，出现登陆画⾯15、验证证书单击“是”按钮后，开始登陆过程16、登陆进去后，出现防⽕墙的配置画⾯，就可以在图形界⾯下完成ASA 防⽕墙的配置17、选择⼯具栏的“Configuration”按钮18、选择“Interface”，对防⽕墙的接⼝进⾏配置，这⾥配置g0/3接⼝选择g0/3 接⼝，并单击右边的“Edit”按钮19、配置接⼝的 IP 地址，并将该接⼝指定为 outside单击OK 后，弹出“Security Level Change”对话框，单击OK20、编辑g0/1 接⼝，并定义为DMZ 区域21、接⼝配置完成后，要单击apply 按钮，以应⽤刚才的改变，这⼀步⼀定不能忘22、设置静态路由单击Routing->Static Route->Add23、设置enable 密码24、允许ssh ⽅式登录防⽕墙25、增加⽤户定义ssh ⽤本地数据库验证26、⽤ssh 登录测试登录成功27、建⽴动态NAT 转换选择Add Dynamic NAT RuleInterface 选择inside，Source 处输⼊any单击Manage 按钮单击add，增加⼀个地址池Interface 选择Outside，选择PAT，单击Add 按钮。