Deepin系统基于LDAP统一认证

本人近期参与团队做Deepin相关的项目时，需要如同微软AD一样对各终端进行统一认证管理，则本想着通过搜索网上相关资料和官方相关文档一步一步 *** 作很快搞定，却发现网络上Deepin的这块指导文档几乎没有。通过本人对Linux系统的理解摸索和查看Deepin dde-session-ui源码资源，经反复的测验，最终走通了整个流程。为表示支持一下国产开源系统DeepinOS，决定整理分享一下相关指南以方便大家更快的使用DeepinOS深度性的功能，并集成应用到工作环境中去。
注：文档不会对LDAP Server部署与配置 *** 作进行说明，请查找网上相关资源，这方面比较多。另外本人应用的Deepin系统环境为V20社区版本。

默认此处安装时有Console UI可以配置LDAP client，可以忽略或按流程进行连接LDAP Server端设置，如果选择忽略则进行下面第二步 *** 作。

这两个为主要的LDAP客户端认证配置文件，如果在第一步通过UI界面配置了应该会自动生成相关的配置，则不需要手动修改配置。
可以参看一下本人环境配置实例，注意"X"需要根据自己实际的LDAP服务器信息选择协议与地址等配置(这方面配置可参照debian ldap客户端安装指南)。

/etc/pamd/common-auth
/etc/pamd/common-account
/etc/pamd/common-password
/etc/pamd/common-session-noninteractive

可参考一下本人环境的相关配置

配置文件位置
/usr/share/dde-session-ui/dde-session-uiconf

1）首先检验保障LDAP SERVER正常性（这块有ldapsearch工具等）
2）开启Deepin系统SSH服务，先通过SSH来验证LDAP用户与认证是否正常
3）tail -f /var/log/authlog 测试时实时查看日志信息，如果出错可以日志反馈信息排查问题点（本人遇到几次LDAP服务器连接问题，日志上可以明显提示出来并可查看是哪个进程报错，如是libnss还是pam_ldap相关的信息等）

希望本文对各位有帮助，同时望有更多的技术爱好者用行动去支持国产化系统的发展。

简单的说来，LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。
LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址被使用，不过根据组织者的需要，它可以做得更加强大。
LDAP其实是一个电话簿，类似于我们所使用诸如NIS(Network Information Service)、DNS (Domain Name Service)等网络目录，也类似于你在花园中所看到的树木。
不少LDAP开发人员喜欢把LDAP与关系数据库相比，认为是另一种的存贮方式，然后在读性能上进行比较。实际上，这种对比的基础是错误的。LDAP和关系数据库是两种不同层次的概念，后者是存贮方式（同一层次如网格数据库，
对象数据库），前者是存贮模式和访问协议。LDAP是一个比关系数据库抽象层次更高的存贮概念，与关系数据库的查询语言SQL属同一级别。LDAP最基本
的形式是一个连接数据库的标准方式。该数据库为读查询作了优化。因此它可以很快地得到查询结果，不过在其它方面，例如更新，就慢得多。
特殊的数据库
从另一个意义上 LDAP是实现了指定的数据结构的存贮，它是一种特殊的数据库。但是LDAP和一般的数据库不同，明确这一点是很重要的。 LDAP对查询进行了优化，与写性能相比LDAP的读性能要优秀很多。
就象Sybase、Oracle、Informix或Microsoft的数据库管理系统（DBMS）是用于处理查询和更新关系型数据库那样，LDAP服务器也是用来处理查询和更新LDAP目录的。换句话来说LDAP目录也是一种类型的数据库，但不是关系型数据库。要特别注意的是，LDAP通常作为一个 hierarchical数据库使用，而不是一个关系数据库。因此，它的结构用树来表示比用表格好。正因为这样，就不能用SQL语句了。
21世纪的LDAP技术发展很快。 几乎所有计算机平台上的所有的应用程序都可以从LDAP目录中获取信息。LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等等。通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。
服务器
LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据，例如：可以把数据“推”到远程的办公室，以增加数据的安全性。复制技术是内置在LDAP服务器中的而且很容易配置。如果要在DBMS中使用相同的复制功能，数据库厂商就会要你支付额外的费用，而且也很难管理。

LDAP的英文全称是Lightweight Directory Access Protocol，一般都简称为LDAP。它是基于X500标准的， 但是简单多了并且可以根据需要定制。与X500不同，LDAP支持TCP/IP，这对访问Internet是必须的。LDAP 的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。现在LDAP技术不仅 发展得很快而且也是激动人心的。在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应 用程序从LDAP目录中获取信息。LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力 资源数据、公用密匙、联系人列表，等等。通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工 在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。

---