OpenLDAP构建统一认证之项目实战

背景 问题 登录服务器的账号分散在所有的机器上,这样就带来两个问题: 维护成本高,需要专门在playbook里定义用户权限 没有明确的权限划分 不便于和其他系统(如Google Apps)对接 需求 数据集中管理 根据用户组控制用户的登陆权限 控制用户的sudo权限,只有operation有sudo的权限 自动创建家目录 Web管理界面 原则 尽可能少的涉及组件,减少维护成本 尽可能的不入侵系统配置,便于恢复 配置 服务端 OpenLDAP安装配置...

comments

Keepalived安装配置

简介 Keepalived是Linux的高可用软件,其主要是高可用协议的VRRP的开元实现,此外它还提供了方便管理LVS的接口。 安装 wget http://www.keepalived.org/software/keepalived-1.2.7.tar.gz && tar xzf keepalived-1.2.7.tar.gz && cd keepalived-1.2.7 && ./configure --prefix=/usr/local/keepalived-1.2.7 &&...

comments

God进程管理

功能 优点 配置即ruby代码,灵活 可管理后台进程 可动态加载配置 可根据进程消耗资源重启进程 丰富的通知功能,如邮件,campfire等 支持poll和event两种检测模式 缺点 配置复杂,需要ruby背景 文档太少 配置 poll模式: RAILS_ROOT = "/Users/tom/dev/gravatar2" %w{8200 8201 8202}.each do |port| God.watch do |w| w.name =...

comments

Supervisor进程管理

功能 优点 配置简单 管理精准 进程组管理 RPC扩展 API支持 FastCGI进程管理 事件支持(如定时任务) 缺点 被管理进程必须前台运行 退出后会使被监管的进程也退出 配置 [unix_http_server] file=/var/run/supervisor.sock chmod=0700 [supervisord] logfile=/var/log/supervisor/supervisord.log pidfile=/var/run/supervisord.pid...

comments

Monit进程管理

功能 优点 性能高,占用内存少 邮件通知 HTTP界面 检测系统性能参数 检测文件属性 检测服务状态 检测文件系统 检测远程主机 缺点 没有API 准确性 配置复杂 配置 set daemon 60 # check services at 1-minute intervals set logfile /var/log/monit.log set pidfile /var/run/monit.pid set idfile /var/.monit.id set statefile...

comments

OpenLDAP构建统一认证之管理工具

自带工具 注意: 如果服务器的ssl证书是自签名的,那么在客户端的ldap.conf文件加入一行TLS_REQCERT never,否则认证会不通过。 安装 ubuntu执行: apt-get install -y ldap-utils centos执行: yum install -y openldap-clients 使用 ldapsearch ldapsearch,搜索目录树,示例如下: ldapsearch -v -x -H ldaps://example.com -D...

comments

OpenLDAP构建统一认证之安装配置

安装OpenLDAP ubuntu 确保本机有符合FQDN的主机名,因为安装程序会根据主机名提取域来作为baseDN apt-get install slapd 安装过程中会提示设置管理员密码 centos yum install slapd 配置OpenLDAP slapd.conf和cn=config 配置slapd服务有两种方式: slapd.conf是传统方式,修改配置文件然后重启服务,centos默认采用这种方式。 cn=config是新的配置方式,称之为on-line...

comments

OpenLDAP构建统一认证之基础概念

目录服务与关系数据库 目录数据库系统和关系数据库系统都是用来保存数据的,但是他们有两个主要的不同点: 数据结构,目录服务只有树形结构,不像关系数据库有复杂的数据结构。 查询速度与写入速度,目录服务适合查询,不适合写入。 基本概念 在浏览LDAP相关文档时经常会遇见一些概念,下面是常见概念的简单解释: DIT,目录信息树,近似相当于一个表 Entry,条目,也叫记录项...

comments

Bind搭建DNS服务系统

简介 Bind是目前应用最广泛的DNS服务器软件,其主要包括服务器实现,解析器库实现和测试三个部分。 说明 本文仅讨论如何把Bind配置成一台DNS域名服务器,关于DNS协议的说明,请参考DNS协议详解 安装 centos yum install bind bind-libs bind-utils bind-chroot 其中bind-chroot用于让bind运行于chroot模式下。 ubuntu apt-get install bind9 dnsutils 配置 概述...

comments

Hadoop集群搭建

简介 目前我对hadoop的认识主要是如下两点: 类似raid模式的存储系统,基于软件的容灾; 分布式计算,这个是其牛逼之处。 安装配置 新建用户并配置免密码登录 所有设备上都需要hadoop帐号。 useradd hadoop passwd hadoop 配置ssh无密码登陆 以hadoop用户执行如下命令: su - hadoop cd mkdir .ssh ssh-keygen –t rsa cd ~/.ssh cp id_rsa.pub authorized_keys scp...

comments

rsync文件同步服务

简介 rsync是一个文件同步工具,简单来说,它的功能就是在两个位置(可能是本地的两个目录或者本地目录和远程目录)之间拷贝文件;但是相比cp或者scp等命令,rsync优势在于其强大的增量拷贝(高效)和过滤条件(灵活)上。 功能特点 支持特殊文件,文件常见属性的拷贝 可以借助常见的ssh,rsh等来传输 强大的过滤机制 通过著名的delta-transfer算法来实现高效传输 基于服务的匿名和认证传输 客户端使用 运行模式 本地模式 rsync [OPTION...] SRC......

comments

VPN-基于pptp配置及问题

先说下应用场景:学校里是用硬件集中认证的的方式来控制学生公寓上网的,如果不通过认证仅能通过IP访问校园网的资源。原先的应对方案是在机房(无需通过认证即可访问外网)用squid假设proxy服务器,既然是代理限制也很明显,有些不支持代理的应用就不能用了,比如一些游戏和网络电视等。自接触VPN以来感受其强大特性,宿舍通过拨VPN到机房网络,既然已经属于机房的网络了访问外网也就不是问题了。 实施步骤: 1)目前优先选取的是pptp...

comments

非常经典的iptables配置脚本

花了一下午和一晚上通过http://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html这篇文档深入学习了iptables这一有力的包过滤系统,文档最后作者提供了一个脚本来配置iptables,我觉得这个脚本的结构设计的相当棒,这里转载过来并附上自己的理解共以后参考。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25...

comments

VPN-基于pptp的简单配置

上学期用squid实现了宿舍不用客户端代理上网,但是如果不是全局代理好多软件不支持代理就有很多限制。这学期对vpn有了一点了解,发现这才是解决客户端的终极方法。它类似宽带拨号上网,没有任何限制,并且用户管理方便。但是在一个下午的激情努力下,我终于被教程中的概念搞晕了。因为要抓紧学习NP的内容,确实没有很大精力搞这个,所以请周丰杰帮忙,这里表示感谢。这里先把配置记录下,至于这其中的原理和详细过程,我想留待以后研究吧。 pptp的运行原理 实验拓扑图 安装软件包...

comments

cups打印服务器

机房里有一台老师淘汰下来的打印机,虽然旧了些但是打印质量没什么问题。近日有一想法,建立共享打印机,也就是机房内所有主机(windows和linux)都能通过这台打印机打印。现有的条件是一台奔四主机做服务器(debian5.0系统),一台USB接口打印机,windows客户机。 什么是CUPS?...

comments

网络监控cacti初探

什么是cacti? cacti是一个套基于lamp的网络流量监控软件,也可以监控服务器状态等方面。它是由php编写的完全基于web管理,而且可以安装插件来扩展其功能和监控对象的范围,有做好的模板可供使用简化了配置。 cacti有哪些组成部分?...

comments

lnmp 基础配置

注:本文知识搭建了基本环境,仅供测试用,具体详细的安装配置见参考链接。 简介 lnmp是linux+nginx+mysql+{php | python}的缩写,是堪比lamp的另一种web服务器平台。nginx相比apache的优点有:小巧,速度快,占用内存小。据介绍nginx和apache的工作方式的类比如下:你要去大学宿舍找个同学,nginx阿姨那里有个名单她只告诉你你同学在那个房间,而apache阿姨要带着你去找你那个同学,效率高低显而易见。 安装...

comments

centos5.5-server 安装配置笔记

上学起用机房的机器搭了一台服务器,底层系统是rhel5.4,提供各种服务,其中包括ssh,nat,lamp,ftp,proxy等。由于是边学习边试验有很多不恰当的地方,系统也装了很多用不到的软件。一方面打算把系统管理的更有条理,另一方面更重要的是好好复习一下以前学的知识,这次打算用centos5.5最小化安装,然后配置各种服务,也记录一下这个过程希望于人于己都能有所帮助。 机器配置: 机房配置: 处理器:Intel Pentium 4, 2377 MHz (18 x 132)...

comments

iptables 防火墙及nat

什么是iptables? iptables是用来配置linux内核自带的包过滤系统的命令行工具,它主要是面向系统管理员。 什么是规则,链,表? 规则(rule):包过滤条件及处理方式,这是过滤系统的基本单位。比如规则可以指定源地址,目的地址,源端口,目的端口等,如果匹配规则就按照相关处理方式处理数据包。 链(chain):链是数据包的传播路径,是规则的集合,包括一条或者多条规则。数据包到达某条链时,iptables依次按规则处理数据包。...

comments