unit2.8 LDAP 网络用户账户
###############################unit2.8#############################
LDAP 网络用户账户
¥¥¥¥¥一,ldap是什么
ldap目录服务认证,和windows活动目录类似,就是记录数据的一种方式
¥¥¥¥¥二,ldap客户端软件
1,authconfig-gtk
2,sssd
3,krb5-workstation
软件的安装:(如图一)
yum sssd krb5-workstation -y
¥¥¥¥¥三,如何开启ldap用户认证
1,authconfig-tui
如图二,三,四
<当出现以下报错时>
如图:┌────────────────┤ Warning ├─────────────────┐
│ │
│ To connect to a LDAP server with TLS │
│ protocol enabled you need a CA certificate │
│ which signed your server's certificate. │
│ Copy the certificate in the PEM format to │
│ the '/etc/openldap/cacerts' directory. │
│ Then press OK. │
│ │
│ ┌────┐ │
│ │ Ok │ │
│ └────┘ │
│ │
│ │
是因为tls的证书缺失,需要到服务器端下载所需要的证书到/etc/openldap/cacerts
****下载证书文件
1)cd /etc/openldap/cacerts ##进入目录中
2)wget http://classroom.example.com/pub/example-ca.crt ##下载证书
3) ls /etc/openldap/cacerts
如图五:
%%%%测试(检测 ldap 认证用户)
1,id ldapuser ##查看创建的网络用户
2, getent passwd ldapuserx ##获得家目录
3, vim /etc/sssd.conf
– enumerate = ture | false
– systemctl restart sssd
如果用户信息可以正常显示,证明客户端认成功。
如图十:
¥¥¥¥¥四,自动挂载用户家目录
1,安装autofs
yum install autofs -y
如图六:
编辑autofs策略文件
vim /etc/autofs.master ##此文件指向子策略文件(/etc/auto.ldap)
/home/guests /etc/auto.ldap
如图七:
vim /etc/auto.ldap ##编写子策略文件
ldapuser1 172.25.254.254:/home/guests/ldapuser1(只针对于ldapuser1)
更改对于任意网络用户,如下:
* 172.25.254.254:/home/guests/&
systemctl restart autofs
如图八:
登录时,网络用户密码为kerberos
¥¥¥¥¥¥五,脚本实现,开启用户认证及自动挂载家目录
如图九:安装所需的软件;
开启认证,更新;
自动启动挂载家目录。
*****六,附加基本理论:
使用 LDAP 服务器进行网络身份验证:
1)通过每台计算机上的本地文件( 例如 /etc/passwd ) 管理的本地用户账户。
2)在多个系统上将本地用户账户协调一致非常困难,所以将计算机设置为客户端 , 以使用现有 LDAP 目录服务提供的网络用户账户。这样 , LDAP 目录就成为我们组织中所有网络用户和组的中心机构。
3)用户账户信息可以确定用户的特征和配置。身份验证方式用于确定尝试登录的人员是否应该获得对账户的使用权限。网络目录服务可以提供用户账户信息和身份验证方法。
4)LDAP 目录服务器可以用作分布式、集中式、网络用户管理服务。目录条目按树结构排列 , 可以在其中进行搜索。基础 DN ( 区分名称 ) 是树的基础 , 用于搜索用户和组的目录条目。
5)LDAP 客户端配置的主要元素
– 1. 服务器的完全限定主机名
– 2. 基础 DN , 用于搜索用户定义
– 3. 认证机构 (“ CA” ) 证书 , 用于签署 LDAP 服务器的 SSL 证书