LDAP客戶端加入LDAP域配置
一、配置檔案功能介紹
下面介紹幾個配置檔案再後面我們會進行修改,我這裡簡單介紹一下。
-
/etc/nsswitch.conf 該檔案主要用於名稱轉換服務,用於系統驗證使用者身份所讀取本地檔案或是遠端驗證伺服器檔案。
-
/etc/sysconfig/authconfig 主要用於提供身份驗證之LDAP功能,該配置檔案用來跟蹤LDAP身份認證機制是否正確啟用。
-
/etc/pam.d/system-auth 主要用於實現使用者賬戶身份驗證。
-
/etc/pam_ldap.conf 實現客戶端與服務端的互動。
-
/etc/openldap/ldap.conf 主要用於查詢OpenLDAP伺服器所有條目資訊。
二、三種配置方式介紹
1、圖形化部署 一般通過 setup、authconfig-gui命令呼叫圖形介面實現配置。通過圖形方式將客戶端加入到OpenLDAP服務端配置非常簡單,只需要根據提示並正確選擇選單以及正確輸入Server和Base DN對應的值即可。 當完成配置後,系統會根據你所定義的引數對涉及的配置檔案進行修改,完成客戶端的部署。
2、配置文件部署 當圖形介面部署無法滿足當前需求時,此時通過會選擇修改配置檔案方式實現OpenLDAP客戶端的部署,例如,當對配置檔案額外引數進行調整時。
3、命令列部署 一般通過anthconfig實現命令列的部署。命令列的部署是三種配置方式中最難的一種,比較難的是因為你事先需要定義相關選項及引數進行了解。
三、圖形化部署
選擇USELDAP然後在下一個不選擇TLS,輸入伺服器IP和基準DN,確定就完成了加入域
四、配置文件部署
nslcd程序由nss-pam-ldapd 軟體包提供,並根據nslcd.conf配置資訊,與後端的認證伺服器進行互動。例如,使用者、主機名稱服務資訊、組織、其他資料歷史儲存、NIS等。最後能否正常啟動 nslcd程序是關鍵 1、修改/etc/nslcd.conf 配置檔案
修改檔案最後面如下內容。
- uri ldap://192.168.2.10/
- base dc=wzlinux,dc=com
- ssl no
- tls_cacertdir /etc/openldap/cacerts
2、修改ldap.conf 配置檔案
在檔案最後面新增如下內容,注意刪除裡面的base和host有效的那一行。
- uri ldap://192.168.2.10/
- base dc=wzlinux,dc=com
- ssl no
- tls_cacertdir /etc/openldap/cacerts
4、修改system-auth 認證檔案
在檔案內新增如下內容。
- auth sufficient pam_ldap.so use_first_pass account
- [default=bad success=ok user_unknown=ignore] pam_ldap.so password
- sufficient pam_ldap.so use_authtok session optional
- pam_ldap.so
5、修改nsswitch.conf 配置檔案
- 在passwd、shadow、group後面的files 後面新增ldap。
6、修改/etc/sysconfig/authconfig 認證檔案
- USELDAP=yes #啟用LDAP認證協議(很重要)
- USESHADOW=yes #啟用密碼驗證(這個可以不管)
- USELDAPAUTH=yes #啟用OpenLDAP驗證(這個可以不管)
- USELOCAUTHORIZE=yes #啟用本地驗證(這個可以不管)
7、載入nslce程序
-
service nslcd restart
以上我簡單略過的大家可以參照圖形化安裝修改的一些檔案內容來修改,相對來說圖形化安裝比較方便,但是如果遇到大批量安裝,使用命令列部署還是比較簡便的。
五、命令列部署
沒實現成功,待續