LDAP 网络用户账户
1. ldap是什么:ldap目录服务认证,和windows活动目录类似,就是记录数据的一种方式。
使用 LDAP 服务器进行网络身份验证:
• 本节中 , 我们将介绍如何将计算机设置为客户端 , 以使用现有 LDAP 目录服务提供的网络用户账户。这样 , LDAP 目录就成为我们组织中所有网络用户和组的中心机构。
• 用户账户信息可以确定装户的特征和配置。身份验证方式用于确定尝试登录的人员是否应该获得对账户的使用权限。网络目录服务可以提供用户账户信息和身份验证方法。
• LDAP 目录服务器可以用作分布式、集中式、网络用户管理服务。目录条目按树结构排列 , 可以在其中进行搜索。基础 DN ( 区分名称 ) 是树的基础 , 用于搜索用户和组的目录条目。
• LDAP 客户端配置的主要元素:
(1)服务器的完全限定主机名;
(2)基础 DN , 用于搜索用户定义;
(3)认证机构 (“ CA” ) 证书 , 用于签署 LDAP 服务器的 SSL 证书。
• authconfig-gtk
• sssd
• krb5-workstation
yum sssd krb5-workstation -y
• authconfig-tui
│ │
│ User Information Authentication │
│ [ ] Cache Information [ ] Use MD5 Passwords │
│ [*] Use LDAP [*] Use Shadow Passwords │
│ [ ] Use NIS [ ] Use LDAP Authentication │
│ [ ] Use IPAv2 [*] Use Kerberos │
│ [ ] Use Winbind [ ] Use Fingerprint reader │
│ [ ] Use Winbind Authentication │
│ [*] Local authorization is sufficient │
│ │
│ ┌────────┐ ┌──────┐ │
│ │ Cancel │ │ Next │ │
│ └────────┘ └──────┘ │
│ │
│ │
└─────────────────────────────────────────────────────────────────┘
┌─────────────────┤ LDAP Settings ├─────────────────┐
│ │
│ [*] Use TLS │
│ Server: ldap://classroom.example.com/___________ │
│ Base DN: dc=example,dc=com_______________________ │
│ │
│ ┌──────┐ ┌──────┐ │
│ │ Back │ │ Next │ │
│ └──────┘ └──────┘ │
│ │
│ │
└───────────────────────────────────────────────────┘
┌─────────────────┤ Kerberos Settings ├──────────────────┐
│ │
│ Realm: EXAMPLE.COM_____________________________ │
│ KDC: classroom.example.com___________________ │
│ Admin Server: classroom.example.com___________________ │
│ [ ] Use DNS to resolve hosts to realms │
│ [ ] Use DNS to locate KDCs for realms │
│ │
│ ┌──────┐ ┌────┐ │
│ │ Back │ │ Ok │ │
│ └──────┘ └────┘ │
│ │
│ │
└────────────────────────────────────────────────────────┘
<当出现以下报错时>
│ │
│ To connect to a LDAP server with TLS │
│ protocol enabled you need a CA certificate │
│ which signed your server's certificate. │
│ Copy the certificate in the PEM format to │
│ the '/etc/openldap/cacerts' directory. │
│ Then press OK. │
│ │
│ ┌────┐ │
│ │ Ok │ │
│ └────┘ │
│ │
│ │
└────────────────────────────────────────────┘
这是因为tls的证书缺失,需要到服务器端下载所需要的证书到/etc/openldap/cacerts,用到的命令wgethttp://172.25.254.254/pub/example-ca.crt。
4.检测 ldap 认证用户
• getent passwd ldapuserx
• vim /etc/sssd.conf
- enumerate = ture | false
- systemctl restart sssd
如果用户信息可以正常显示,证明客户端认成功。
5.下载证书文件
• cd /etc/openldap/cacerts
• wget
http://classroom.example.com/pub/examp
le-ca.crt
• ls /etc/openldap/cacerts
6.自动挂在 ldap 用户家目录
• 安装 autofs
yum install autofs -y
- vim /etc/auto.master
/home/guests /etc/auto.ldap
- vim /etc/auto.ldap
ldapuser0 classroom.example.com:/home/guests/ldapuser0
vim /etc/auto.ldap
ldapuser1 172.25.254.254:/home/guests/ldapuser1
+++++++++++++++++++++++++++++++++++++++++++++++++++++++
* 172.25.254.254:/home/guests/&
systemctl restart autofs
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
