六、OpenLDAP客户端验证
1、配置/etc/openldap/ldap.conf
默认客户端不允许查询OpenLDAP条目信息,如果需要让客户端查询条目,需要添加OpenLDAP服务端的URI以及BASE条目,命令如下:
2、客户端验证
用户的信息添加我已经在上篇博文里面介绍过了,这次我们验证一下添加的这个test1用户。如果没有获取成功,请查看以上提到的配置文件。
3、客户端登录验证
此时使用OpenLDAP用户验证是否正常登录客户端。从截图我们可以看到已经登录成功了,但是发现他没有自己的主目录,此时通过创建用户家目录即可解决。
一般可以通过配置服务端和客户端两种方式解决,一种是 autofs+nfs,另一种是修改/etc/pam.d/system-auth添加pam模块(pam_mkhomedir.so)实现OpenLDAP用户家目录的创建,我们这里选择添加pam模块进行演示,这也是比较推荐的方法。
客户端再次登录验证。
七、配置文件部署OpenLDAP客户端
nslcd进程由nss-pam-ldapd 软件包提供,并根据nslcd.conf配置信息,与后端的认证服务器进行交互。例如,用户、主机名称服务信息、组织、其他数据历史存储、NIS等。
1、安装OpenLDAP客户端软件包
2、修改/etc/nslcd.conf 配置文件
修改文件最后面如下内容。
3、修改pam_ldap.conf 配置文件
在文件最后面添加如下内容,注意删除里面的base和host有效的那一行。
4、修改system-auth 认证文件
在文件内添加如下内容,��体位置请查看上面的图片。
5、修改nsswitch.conf 配置文件
在passwd、shadow、group后面的files 后面添加ldap。
6、修改/etc/sysconfig/authconfig 认证文件
7、加载nslce进程
以上我简单略过的大家可以参照图形化安装修改的一些文件内容来修改,相对来说图形化安装比较方便,但是如果遇到大批量安装,使用命令行部署还是比较简便的。
八、命令行部署OpenLDAP客户端
1、authconfig命令介绍
通过authconfig -h 查看其帮助信息。
2、安装客户端软件包
3、命令行部署
运行一下命令,可以根据帮助文档进行个性化定制。
可以看到正常登录,创建家目录。之前我们是在/etc/pam.d/sshd里面添加的创建家目录认证,我们使用命令部署之后,我看它加在了/etc/pam.d/system-auth里面,之前我手动修改配置文件的时候不行,图形化安装也不行,大家可以试试看看是否OK,具体如下:
4、用户密码设置
默认情况下用户是不可以修改密码的,因为我服务端开通了修改密码的权限,所以我这里用户可以个性化修改自己的密码,添加的服务端代码如下,具体操作请查看我的服务端部署文档。
密码修改演示如下。
OpenLDAP 的详细介绍:请点这里
OpenLDAP 的下载地址:请点这里