基于LinuxOPENldap实验之账户管理

 

在linux下使用轻量级目录访问协议（LDAP）构建集中的身份验证系统可以减少管理成本，增强安全性，避免数据复制的问题。本实验是演示如何配置服务器和客户机OPENldap服务的。

实验环境：VMWare虚拟机下Red Hat Linux 企业版5.4 两台

准备工作：两台虚拟机分别为服务器和客户机。在服务器端安装openldap-servers软件包，在客户端安装openldap-clients软件包。

在该文档中，为了节约时间，所有试验步骤均摘自实验代码。还请各位朋友见谅！

1、 切换到/usr/share/openldap/migration/目录下，来编辑migrate_common.ph文件，

修改71、72行如下内容：

[root@ldap ~]# cd /usr/share/openldap/migration/

[root@ldap migration]# vim migrate_common.ph

70 # Default DNS domain

71 $DEFAULT_MAIL_DOMAIN = "example.com";

72

73 # Default base

74 $DEFAULT_BASE = "dc=example,dc=com";

2、在服务器端添加linuxtro1和linuxtro2两个用户，并添加密码为redhat

[root@ldap ~]# useradd linuxtro1 && echo redhat | passwd --stdin linuxtro1

Changing password for user linuxtro1.

passwd: all authentication tokens updated successfully.

[root@ldap ~]# useradd linuxtro2 && echo redhat | passwd --stdin linuxtro2

Changing password for user linuxtro2.

passwd: all authentication tokens updated successfully.

3、在/root/下创建ldap目录，用于存放条目文件。

[root@ldap ~]# mkdir /root/ldap

[root@ldap ~]# cd /usr/share/openldap/migration/

4、迁移base.ldif 、passwd.ldif和group.ldif文件，这个步骤有顺序，必须先迁移bash.ldif文件

[root@ldap migration]# ./migrate_base.pl > /root/ldap/base.ldif

[root@ldap migration]# tail -2 /etc/passwd > /tmp/passwd

[root@ldap migration]# tail -2 /etc/group > /tmp/group

[root@ldap migration]# ./migrate_passwd.pl /tmp/passwd /root/ldap/passwd.ldif

[root@ldap migration]# ./migrate_group.pl /tmp/group /root/ldap/group.ldif

[root@ldap migration]# cd /root/ldap/

[root@ldap ldap]# ll

total 24

-rw-r--r-- 1 root root 1200 Mar 31 18:57 base.ldif

-rw-r--r-- 1 root root 270 Mar 31 18:59 group.ldif

-rw-r--r-- 1 root root 722 Mar 31 18:59 passwd.ldif

5、分别将base.ldif、passwd.ldif和group.ldif文件导入到ldap中去。

[root@ldap ldap]# ldapadd -D "cn=Manager,dc=example,dc=com" -W -x -f base.ldif

Enter LDAP Password:

adding new entry "dc=example,dc=com"

adding new entry "ou=Hosts,dc=example,dc=com"

adding new entry "ou=Rpc,dc=example,dc=com"

adding new entry "ou=Services,dc=example,dc=com"

adding new entry "nisMapName=netgroup.byuser,dc=example,dc=com"

adding new entry "ou=Mounts,dc=example,dc=com"

adding new entry "ou=Networks,dc=example,dc=com"

adding new entry "ou=People,dc=example,dc=com"

adding new entry "ou=Group,dc=example,dc=com"

adding new entry "ou=Netgroup,dc=example,dc=com"

adding new entry "ou=Protocols,dc=example,dc=com"

adding new entry "ou=Aliases,dc=example,dc=com"

adding new entry "nisMapName=netgroup.byhost,dc=example,dc=com"

[root@ldap ldap]# ldapadd -D "cn=Manager,dc=example,dc=com" -W -x -f group.ldif

Enter LDAP Password:

adding new entry "cn=linuxtro1,ou=Group,dc=example,dc=com"

adding new entry "cn=linuxtro2,ou=Group,dc=example,dc=com"

[root@ldap ldap]# ldapadd -D "cn=Manager,dc=example,dc=com" -W -x -f passwd.ldif

Enter LDAP Password:

adding new entry "uid=linuxtro1,ou=People,dc=example,dc=com"

adding new entry "uid=linuxtro2,ou=People,dc=example,dc=com"

6、切换到客户端来登录一下，首先要配置一下客户端启用LDAP。

在命令行下输入setup，会弹出图形界面，选择第一个选项。

选择“Use LDAP”和“Use LDAP Authentication”认证方式，点击“Next”，进入下一步。

在Server一栏中填入LDAP服务器的IP地址，ldap：//192.168.0.43

Base DN一栏中填入dc=example，dc=com

7、实验结果显示，可以登陆成功，但是令人遗憾的是登录后没有家目录，那么该如何来解决这个问题呢？

可以尝试查询一下linuxtro1的信息，可以正常显示。

8、回到服务器接着做如下的配置：

编辑nismap.ldif文件，添加如下内容，完成后保存退出。

[root@ldap ~]# vim nismap.ldif

dn: nisMapName=auto.master,dc=example,dc=com

objectClass: top

objectClass: nisMap

nisMapName: auto.master

dn: cn=/home,nisMapName=auto.master,dc=example,dc=com

objectClass: top

objectClass: nisObject

cn: /home

nisMapName: auto.master

nisMapEntry: ldap://192.168.0.43:nisMapName=auto.home,dc=example,dc=com

dn: nisMapName=auto.home,dc=example,dc=com

objectClass: top

objectClass: nisMap

nisMapName: auto.home

dn: cn=linuxtro1,nisMapName=auto.home,dc=example,dc=com

objectClass: top

objectClass: nisObject

cn: linuxtro1

nisMapName: auto.home

nisMapEntry: -rw,soft,intr 192.168.0.43:/home/linuxro1

dn: cn=linuxtro2,nisMapName=auto.home,dc=example,dc=com

objectClass: top

objectClass: nisObject

cn: linuxtro2

nisMapName: auto.home

nisMapEntry: -rw,soft,intr 192.168.0.43:/home/linuxtro2

9、将条目文件添加到LDAP中去。

[root@ldap ~]# ldapadd -D "cn=Manager,dc=example,dc=com" -W -x -f nismap.ldif

Enter LDAP Password:

adding new entry "nisMapName=auto.master,dc=example,dc=com"

adding new entry "cn=/home,nisMapName=auto.master,dc=example,dc=com"

adding new entry "nisMapName=auto.home,dc=example,dc=com"

adding new entry "cn=linuxtro1,nisMapName=auto.home,dc=example,dc=com"

adding new entry "cn=linuxtro2,nisMapName=auto.home,dc=example,dc=com"

10、编辑/etc/exports文件，添加如下两行，并保存退出。

[root@ldap ~]# vim /etc/exports

/home/linuxtro1 192.168.0.43/24(rw,sync)

/home/linuxtro2 192.168.0.43/24(rw,sync)

11、启动nfs服务。

[root@ldap ~]# service nfs start

Starting NFS services: [ OK ]

Starting NFS quotas: [ OK ]

Starting NFS daemon: [ OK ]

Starting NFS mountd: [ OK ]

[root@ldap ~]# chkconfig nfs on

[root@ldap ~]#

12、切换到LDAP客户端，编辑/etc/auto.master文件，添加如下一行内容。

[root@linuxtro ~]# vim /etc/auto.master

/home ldap:192.168.0.43:nisMapName=auto.home,dc=example,dc=com

重启autofs 服务。

[root@linuxtro ~]# service autofs restart

Stopping automount: [ OK ]

Starting automount: [ OK ]

13、再次切换到客户端上重新登录LDAP服务器。查看登录时是否有家目录。

好了，在客户端可也看到家目录了，来庆祝一下吧！！到此为止，基于LinuxOPENldap实验之账户管理就配置完成了。

转载于:https://blog.51cto.com/linuxtro/290502