LDAP

 

参考网址：

http://blog.csdn.net/hitabc141592/article/details/22931179

http://blog.sina.com.cn/s/blog_64aac6750101gwst.html

网络资源查找、用户访问控制、认证信息查询、网络安全、商务网的通用数据库服务和安全服务。

 

目录服务是一种特殊的数据库系统，并专门针对读取、浏览、搜索操作进行了特定的优化。

/etc/openldap/ldap.conf定义全局性的内容

 

拷贝配置文件：/usr/share/openldap-servers/slapd.conf.obsolete

cp/usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf

创建管理员密码：

 slappasswd

这里我输入的123456

 

{SSHA}WidKJ2k3LackYaz8cbOCatTgOOKmemua

 

slaptest  -f /etc/openldap/slapd.conf -F/etc/openldap/slapd.d

Serviceslapd restart

 

 

拷贝配置文件：/usr/share/openldap-servers/DB_CONFIG.example

cp/usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

 

 

Chmod640  /etc/openldap/slapd.conf

 chown ldap:ldap slapd.conf

 

重启服务

创建几个用户如：user1/user2/user3

 

安装migrationtools.noarch软件包

 

 

编辑文件：

/usr/share/migrationtools/migrate_common.ph

 

# Default DNS domain

$DEFAULT_MAIL_DOMAIN= "my-domain.com";

 

# Default base

$DEFAULT_BASE ="dc=my-domain,dc=com";

 

 

./migrate_passwd.pl  /etc/passwd > /home/user.ldif

./migrate_group.pl/etc/group >/home/group.ldif

/usr/share/migrationtools/migrate_base.pl> /home/base.ldif

编辑三个文件：

[root@victormigrationtools]# catexample.ldif

dn:dc=my-domain,dc=com

dc: my-domain

objectClass:dcObject

objectClass:organizationalUnit

ou: my-domain.com

 

[root@victormigrationtools]# catou_people.ldif

dn:ou=people,dc=my-domain,dc=com

objectClass:organizationalUnit

ou: people

[root@victormigrationtools]# cat  ou_group.ldif

dn:ou=group,dc=my-domain,dc=com

objectClass:organizationalUnit

ou: group

 

删除/etc/openldap/slapd.d

测试并生成配置文件：

slaptest  -f/etc/openldap/slapd.conf -F /etc/openldap/slapd.d

chown -R ldap:ldap/etc/openldap/slapd.d

 

重启

 

 

 

 

 

修改所属组：

/var/lib/ldap

/etc/openldap/

 

 

 

 

下面就要把这三个文件导入到LDAP，这样LDAP的数据库里就有了我们想要的用户

 

 ldapadd -x -D"cn=Manager,dc=my-domain,dc=com" -W -f /home/base.ldif

 

ldapadd -x -D"cn=Manager,dc=my-domain,dc=com" -W -f /home/user.ldif

ldapadd -x -D"cn=Manager,dc=my-domain,dc=com" -W -f /home/group.ldif

 

 

重启slapd服务

测试：

Ldapsearch  -x -b "dc=my-domain,dc=com"

 

显示以下信息：

# user1, People,my-domain.com

dn:uid=user1,ou=People,dc=my-domain,dc=com

uid: user1

cn: user1

objectClass: account

objectClass:posixAccount

objectClass: top

objectClass:shadowAccount

userPassword::e2NyeXB0fSQ2JFRDMTIxU0pUJE5ldGxwSTZQTlJhdG5NeDVSd2o3RWh0WmdhZ2J

 KLmNjRjBHUGQ3UEhmWVdTOEdoYUhZbHZ0ZnZVWUF0aU5WZFhBTW9hOGJiTnkwdWNkeDRBQlRwNXUw

shadowLastChange:17216

shadowMin: 0

shadowMax: 99999

shadowWarning: 7

loginShell:/bin/bash

uidNumber: 501

gidNumber: 502

homeDirectory:/home/user1

 

 

二、安装nfs

 

 

 yum install nfs*

/home/user1        *(rw,no_root_squash)

 

# service rpcbindrestart

# service nfs restart

 

三、LDAP客户端的设置：

 

安装LDAP client认证需要的pam包：

 

yum installnss-pam-ldapd pam_ldap -y 

 

LANG=Cauthconfig-tui这个需要安装

authconfig

 

 

 

安装sssd：

 yum install sssd

 

 

可以查看本地系统数据库或者LDAP数据库中的信息。例如getent passwd

 

一、使用这个命令： system-config-authentication

用户目录集中管理：

yum groupinstall 'directory client'

 

官方制作LDAP的文档：

http://www.idevelopment.info/data/LDAP/LDAP_Resources/OPENLDAP_Configure_System_to_Authenticate_Using_OpenLDAP_CentOS5.shtml

 

centos提供了两种接口来配置客户系统认证

CentOSprovides two interfaces to configure client system authentication:

• system-config-authentication -     (GUI)

• authconfig - (CLI)

 

 二、使用：

authconfig

 

authconfig--enableldap --enableldapauth --ldapserver='ldap://192.168.2.6'--ldapbasedn='dc=my-domain,dc=com' --enablemkhomedir --enableshadow--enablelocauthorize --passalgo=sha256 --update

 

 

测试是否生效：

authconfig --test

 

 

 

 

getsebool -a | grepnfs_home

use_nfs_home_dirs--> on

检查 sebool如果是 on那么远程用户无法进入自己的目录

 

setsebool -PVuse_nfs_home_dirs  0

 

 

/home/guests/etc/auto.ldap

cp /etc/auto.misc/etc/auto.ldap

 

Vi /etc/auto.ldap加入下面一行：

*192.168.2.6:/home/guests/&

 

service autofsreload

 

 

 

 

 查资料，然后自己安装，配置，弄了一天没弄出来，悲剧。。。。

 

 

 

本文转自chenzudao51CTO博客，原文链接：http://blog.51cto.com/victor2016/1901870 ，如需转载请自行联系原作者