|
|
环境:
centos 6.7 x64 ,iptables,selinux 关闭
注:iptables, selinux关闭 附: 关闭SELinux的方法: 修改/etc/selinux/config文件中的SELINUX="" 为 disabled ,然后重启。 如果不想重启系统,使用命令setenforce 0
---------------------ldapserver部署ldapclient(服务端)---------------------------------------------
1.rpm -ivh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
2.yum install -y vim automake autoconf gcc xz ncurses-devel \patch python-devel git python-pip gcc-c++
3.cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf
4.cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
5.修改配置文件# vim /etc/openldap/slapd.conf,添加如下:
loglevel 1 ===>添加
suffix "dc=jumpserver,dc=org" ===>修改
rootdn "cn=admin,dc=jumpserver,dc=org" ===>修改
rootpw secret234 ===>修改
#说明:
loglevel:设置日志级别 suffix:其实就是BaseDN
rootdn: 超级管理员的dn
rootpw: 超级管理员的密码
6.修改系统日志配置文件,
vim /etc/rsyslog.conf
local4.* /var/log/ldap.log ===>local7.*下添加一行
7.service rsyslog restart ===>重启日志
8.service slapd start ===>启动slapd,依次执行
# rm -rf /etc/openldap/slapd.d/*
# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
# chown -R ldap:ldap /etc/openldap/slapd.d/
# service slapd restart
# netstat -tulnp | grep slapd
#说明:第一次启动生会初始化ldap数据库,在/var/lib/ldap中,如果想删除ldap数据库就删除该目录,保留DB_CONFIG配置文件新版的ldap使用的是/etc/openldap/slapd.d 下的配置文件,删除原来的配置文件,slaptest是重新生成新的配置文件
9.导入ldif数据库框架和测试用户,可以使用migrationtools导出框架,也可以用我导出好的.
base.ldif,group.ldif,passwd.ldif 将其中的dc=jumpserver,dc=org替换成你的baseDN,然后导入,密码是rootpw设置的 secret234
,导入密码为:secret234
# ldapadd -x -W -D "cn=admin,dc=jumpserver,dc=org" -f base.ldif
# ldapadd -x -W -D "cn=admin,dc=jumpserver,dc=org" -f group.ldif
# ldapadd -x -W -D "cn=admin,dc=jumpserver,dc=org" -f passwd.ldif
#说明:测试用户是testuser 密码是testuser123 ===>>注意设置备用帐号
---------------------testserver部署ldapclient(客户端)---------------------------------------------
1.yum -y install openldap openldap-clients nss-pam-ldapd pam_ldap ===>安装LDAP客户端
2.echo "session required pam_mkhomedir.so skel=/etc/skel umask=0077" >> /etc/pam.d/system-auth ==>设置自动创建目录
3.authconfig --savebackup=auth.bak ===>备份原来authconfig
4.authconfig --enableldap --enableldapauth --enablemkhomedir --enableforcelegacy --disablesssd --disablesssdauth \ --ldapserver=192.168.1.20 --ldapbasedn="dc=jumpserver,dc=org" --update ===>LDAP认证;ip自己输入
------------------------------LDAP负责sudo(服务端)---------------------------------------------------
1.cp /usr/share/doc/sudo-1.8.6p3/schema.OpenLDAP /etc/openldap/schema/sudo.schema ===>拷贝sudo schema,centos版本不一样,可能sudo的版本不是1.8.6,其他的也可以
2.修改文件导入schema# vim /etc/openldap/slapd.conf
include /etc/openldap/schema/sudo.schema
3.重新生成配置文件,重启slapd
rm -rf /etc/openldap/slapd.d/*
slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d
chown -R ldap:ldap /etc/openldap/slapd.d/*
service slapd restart
4.导入sudo.ldif到ldapserverldapadd -x -W -D "cn=admin,dc=jumpserver,dc=org" -f sudo.ldif===>#说明:将sudo.ldif中的dc=jumpserver,dc=org换作你的baseDN
5.echo -e "uri ldap://192.168.1.20\nSudoers_base ou=Sudoers,dc=jumpserver,dc=org" > /etc/sudo-ldap.conf
6.echo "Sudoers: files ldap" >> /etc/nsswitch.conf
!!!!!!!!!!!!!!!!!!!!删除测试用户
ldapdelete -x -D "cn=admin,dc=jumpserver,dc=org" -w secret234 "uid=testuser,ou=People,dc=jumpserver,dc=org"
ldapdelete -x -D "cn=admin,dc=jumpserver,dc=org" -w secret234 "cn=testuser,ou=Sudoers,dc=jumpserver,dc=org"
--------------------------部署jumpserver(服务端)---------------------------------------------------
1.安装mysql数据库,创建库,!!!====>生成环境部署注意修改mysql的密码
yum -y install mysql mysql-server mysql-devel
service mysqld start
mysql
mysql> create database jumpserver charset='utf8';
mysql> grant all on jumpserver.* to 'jumpserver'@'127.0.0.1' identified by 'mysql234';
2.cd到jumpserver
3.cd /opt/jumpserver/docs
4.rm -rf /usr/lib64/python2.6/site-packages/Crypto # 不是mini安装,默认带的版本不兼容
5.pip install -r requirements.txt
6.修改Jumpserver配置文件
cd ..
vim jumpserver.conf
ip修改为您的ip,邮箱修改为您需要的邮箱
7.建立logs目录,注意必须修改权限为777
cd /opt/jumpserver/
mkdir logs; chmod 777 logs
python manage.py syncdb ===>导入数据库
8.yum -y install nodejs npm ===>安装监控
cd websocket
npm install
9.cd /opt/jumpserver/docs
cp zzjumpserver.sh /etc/profile.d/ ====>用户登录跳板机脚本
10.进入初始化
http://ip/install
-----------------------------主从问题参考------------------------------------
http://bbs.jumpserver.org/read-111
------------------------------------------------------------------------------
到了key&和user同步注意!!!!!!
mkdir -p ~/.ssh
chmod 700 /root/.ssh/
cd ~/.ssh
ssh-keygen -t rsa
chmod 600 /root/.ssh/authorized_keys
注:如果有一台通了,一台不通,建议手动更新
例子:
cat id_rsa.pub ===>复制密钥到从
vim authorized_keys ===>从用vim打开复制进去即可通
-------------------------------------------
脚本直接覆盖jumpserver/jumpserver/juser/目录下的views.py文件即可
注:修改views.py文件里的相对应的IP,改成你自己的。
下载 http://pan.baidu.com/s/1qWqrPhy 密码:x37x
--------------------------自己的防火墙规则-------------------------
!!!!!!!!!!!!!!!!!!!!!!!!!!!!:ip修改为想要通过防火墙的ip的
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -s 192.168.1.0/24,192.168.10.0/24,192.168.4.0/24 -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -s 192.168.1.0/24,192.168.10.0/24,192.168.4.0/24 -m tcp -p tcp --dport 3000 -j ACCEPT
-A INPUT -m state --state NEW -s 192.168.1.0/24,192.168.10.0/24,192.168.4.0/24 -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -s 192.168.1.0/24,192.168.10.0/24,192.168.4.0/24 -m tcp -p tcp --dport 389 -j ACCEPT
-A INPUT -m state --state NEW -s 192.168.1.0/24,192.168.10.0/24,192.168.4.0/24 -m tcp -p tcp --dport 636 -j ACCEPT
-A INPUT -m state --state NEW -s 192.168.1.21 -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
========================客户端的设置===============================
1.防火墙关闭
2.使用官网的一键脚本client_setup.sh
sh client_setup.sh
请输入ip:192.168.1.20,192.168.1.21
3.sudo授权
sudo -V | grep 'ldap.conf' ===>在客户端查看sudo的配置
ldap.conf path: /etc/sudo-ldap.conf ===>确认为:/etc/sudo-ldap.conf
echo -e "uri ldap://192.168.1.20\nSudoers_base ou=Sudoers,dc=jumpserver,dc=org" > /etc/sudo-ldap.conf
echo -e "uri ldap://192.168.1.21\nSudoers_base ou=Sudoers,dc=jumpserver,dc=org" > /etc/sudo-ldap.conf
echo "Sudoers: files ldap" >> /etc/nsswitch.conf
注: 在web上操作的时候 添加sudo权限的时候 记得刷新+保存,有时候会不生效,多刷一次和保存 即可立即生效
===================================================================
如果登录提示这个:WARNING! The remote SSH server rejected X11 forwarding request.
只要安装一下即可:
yum install xorg-x11-xauth
|
|
QQ群⑧:
窥视卡
雷达卡
发表于 2015-12-30 18:03:16
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡