请点击安装服务器。
一、账户登录系统流程说明
当客户端输入账号登录系统时,系统根据配置文件/etc/nsswitch.conf获取账号搜索序列,然后根据PAM配置文件调用相关模块搜索匹配账号(/etc/passwd)和密码(/etc/shadow)。当本地匹配不成功时,将由后端认证服务器(OpenLDAP服务器)进行验证。
二。配置文件功能介绍
这里有几个配置文件,稍后会进行修改。我在这里简单介绍一下。
1。图形部署
一般通过setup和authconfig-gui命令调用图形界面来实现配置。以图形方式将客户机添加到OpenLDAP服务器配置非常简单。您只需要根据提示正确选择菜单,并正确输入相应的server和BaseDN值即可。
配置完成后,系统会根据您定义的参数修改配置文件,完成客户端的部署。
2。配置文档部署
当图形界面部署不能满足当前需求时,可以通过修改配置文件来实现OpenLDAP客户端的部署,比如调整配置文件的附加参数。
3。命令行部署
一般情况下,命令行的部署是通过anthconfig实现的。命令行的部署是三种配置方式中最难的,因为需要提前定义相关选项和参数,所以难度更大。
四。OpenLDAP客户端的图形化部署
1。下载安装工具
yum install setuptool -y2。域名解析和时间同步
3。配置文件的备份
cp /etc/nsswitch.conf /etc/nsswitch.conf.bak cp /etc/pam.d/system-auth-ac /etc/pam.d/system-auth-ac.bak4。 *** 作步骤
直接运行setup命令。
我发现我没有安装一个软件。没事的。我们就装吧。
5。检查修改后的文件
目前查一下他修改了哪些文件。
[root@test01 ~]# vimdiff /etc/nsswitch.conf /etc/nsswitch.conf.bak我们可以看到已经添加了ldap,这意味着用户应该首先检查本地文件进行身份验证,如果没有则通过ldap身份验证。
[root@test01 ~]# vimdiff /etc/pam.d/system-auth /etc/pam.d/system-auth.bak主要是加一些pam支持ldap认证。
[root@test01 ~]# tail -5 /etc/nslcd.conf [root@test01 ~]# tail -5 /etc/pam_ldap.conf
六。OpenLDAP客户端验证
1。配置/etc/openldap/ldap.conf
默认情况下,不允许客户端查询OpenLDAP条目信息。如果客户端需要查询条目,需要添加OpenLDAP服务器的URI和基本条目。该命令如下所示:
[root@test01 ~]# ldapsearch -x -LLL ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1) [root@test01 ~]# cat >> /etc/openldap/ldap.conf << EOF URI ldap://192.168.2.10/ BASE dc=wzlinux,dc=com EOF [root@test01 ~]# ldapsearch -x -LLL|wc -l 452。客户端身份验证
我已经在上一篇博文中介绍了用户信息的添加。这一次,让我们验证添加的test1用户。如果不成功,请检查上面提到的配置文件。
# 查询在我们的客户端机器上面是否有test1用户,查询是没有的 [root@test01 ~]# cat /etc/passwd |grep test1 # 直接查看test1的ID,可以查询到,说明他通过了OpenLDAP进行的验证 [root@test01 ~]# id test1 uid=24422(test1) gid=0(root) groups=0(root),10673(DBA) # 以下信息都说明通过的OpenLDAP [root@test01 ~]# getent passwd test1 test1:x:24422:0:test1:/home/test1:/bin/bash [root@test01 ~]# getent shadow test1 test1:{SHA}tESsBmE/yNY3lb6a0L6vVQEZNqw=:12011:0:99999:0:99999:99999:03。客户端登录验证
此时,OpenLDAP用户用于验证客户端是否正常登录。从截图中我们可以看到他已经登录成功,但是发现他没有自己的主目录,可以通过创建用户的主目录来解决。
一般可以通过配置服务器端和客户端来解决,一种是autofs+nfs,另一种是修改/etc/pam.d/system-auth并添加pam模块(pam_mkhomedir.so)来创建OpenLDAP用户的主目录。这里我们选择添加PAM模块进行演示,这也是推荐的方法。
[root@test01 ~]# cat >> /etc/pam.d/sshd << EOF session required pam_mkhomedir.so skel=/etc/skel/ umask=0022 EOF客户端再次登录认证。
七。使用配置文件部署OpenLDAP客户端
nslcd进程由nss-pam-ldapd软件包提供,根据nslcd.conf的配置信息与后端的认证服务器进行交互..例如,用户、主机名服务信息、组织、其他数据历史存储、NIS等。
1。安装OpenLDAP客户端包
yum install openldap-clients nss-pam-ldapd2。修改/etc/nslcd.conf配置文件
修改文件末尾的以下内容。
uri ldap://192.168.2.10/ base dc=wzlinux,dc=com ssl no tls_cacertdir /etc/openldap/cacerts3。修改pam_ldap.conf配置文件
在文件末尾添加以下内容,注意删除base和host有效的那一行。
4。修改system-auth认证文件
在文件中添加以下内容。具体位置请看上图。
5。修改nsswitch.conf配置文件
在passwd、shadow和group之后的文件后添加ldap。
6。修改/etc/sysconfig/authconfig身份验证文件
USESHADOW=yes #启用密码验证 USELDAPAUTH=yes #启用OpenLDAP验证 USELOCAUTHORIZE=yes #启用本地验证 USELDAP=yes #启用LDAP认证协议7。加载nslce进程
service nslcd restart上面我简单跳过的,可以参考一些图形化安装修改的文件内容进行修改。相对来说,图形化安装更方便,但是在批量安装的情况下,使用命令行部署还是比较简单的。
八。在命令行上部署OpenLDAP客户端
1。authconfig命令介绍
通过authconfig-hh查看其帮助信息。
2。安装客户端软件包
yum install openldap-clients nss-pam-ldapd -y3。命令行部署
运行该命令,可以根据帮助文档进行自定义。
authconfig --enablemkhomedir \ --disableldaptls \ --enablemd5 \ --enableldap \ --enableldapauth \ --ldapserver=ldap://192.168.2.10 \ --ldapbasedn="dc=wzlinux,dc=com" \ --enableshadow \ --update您可以看到正常登录并创建一个主目录。之前,我们在/etc/pam.d/sshd中添加了创建者目录的认证。在我们用命令部署它之后,我看到它被添加到/etc/pam.d/system-auth中。之前我手动修改配置文件也不行,图形化安装也不行。你可以试试看是否OK,如下图:
4。用户密码设置
默认情况下,用户不能修改密码,因为我的服务器有修改密码的权限,所以这里的用户可以单独修改密码。添加的服务器代码如下。具体 *** 作请参考我的服务器部署文档。
密码修改演示如下。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)