您的位置: 首页  >  文章  >  LDAP网络账户

LDAP网络账户

分类: 文章 2022-10-23 20:51:59

LDAP网络账户

一、用户认证--客户端

1.更改yum源指向

[[email protected] ~]# cat/etc/yum.repos.d/rhel_dvd.repo

# Created by cloud-init on Thu, 10 Jul 201422:19:11 +0000

[rhel_dvd]

gpgcheck = 0

enabled = 1

baseurl = http://172.25.9.254/content/rhel7   #更改该行

name = Remote classroom copy of dvd

LDAP网络账户

2.yum installsssd krb5-workstation -y  #下载服务及认证软件

 sssd   #服务软件,可以访问数据库ldap--存放用户信息

3.grep 用户名 /etc/passwd   #查看用户信息.用户信息存放在/etc/passwd

LDAP网络账户

4.wgethttp://172.25.254.254/pub/example-ca.crt  #下载CA证书

5.若/etc/passwd/无用户信息,使用authconfig-tui命令来更改或设定用户信息

LDAP网络账户

选中认证方式

LDAP网络账户

Base DN: dc=example,dc=com

LDAP网络账户

注:在完成此认证时必须有CA证书,否则会有如下提示。

LDAP网络账户

6.su - 用户名 #登录用户,可以登录成功,但该用户没有家目录所以会有警告信息

LDAP网络账户

7.getent  passwd 用户名    #获取所需的主目录挂载点

LDAP网络账户

8.下载autods软件,实现直接挂载

  yuminstall autofs -y

9.vim /etc/auto.master    #编辑直接挂载命令

  如: /home/guests   /etc/auto.ldap   #直接挂载至家目录/home/guests

LDAP网络账户

  配置子策略文件

  vim/etc/auto.ldap

 *  172.25.9.254:/home/guests/&   #直接挂载

10.重启autofs服务

 systemctl restart quto.ldap

11.登录用户

 ldapuser1    #用户名

 kerberos     #密码

  可以登录成功

二、非交互式

1.更改yum源指向

[[email protected] ~]# cat/etc/yum.repos.d/rhel_dvd.repo

# Created by cloud-init on Thu, 10 Jul 201422:19:11 +0000

[rhel_dvd]

gpgcheck = 0

enabled = 1

baseurl = http://172.25.9.254/content/rhel7

name = Remote classroom copy of dvd

2.脚本方式安装ssd,krb5-workstation

[[email protected] ~]# cat /mnt/auth-config.sh

#!/bin/bash

echo "install package ..."

yum install sssd krb-workstation -y&> /dev/null

echo "config authconfig ..."

authconfig \

--enableldap \

--enablekrb5 \

--disableldapauth \

--enableldaptls \

--ldapserver="classroom.example.com"\

--ldapbasedn="dc=example,dc=com"\

--ldaploadcacert=http://172.25.254.254/pub/example-ca.crt\

--krb5realm="EXAMPLE.COM" \

--krb5kdc="classroom.example.com"\

--krb5adminserver="classroom.example.com"\

--update

echo "complete"

LDAP网络账户

[[email protected] ~]# sh /mnt/authconfig.sh #执行脚本文件

install package ...

config authconfig ...

complete

3.检测是否认证成功

[[email protected] ~]# id ldapuser1

uid=1701(ldapuser1) gid=1701(ldapuser1)groups=1701(ldapuser1)

LDAP网络账户

4.完成上述操作后,用户ldapuser1已完成认证,但是不能登录系统,因为没有家目录。

 LDAP网络账户

因此,还需要为ldapuser1用户指定家目录,在脚本中加入部分命令,内容如下

#!/bin/bash

echo "install package ..."

yum install sssd krb-workstation -y&> /dev/null

echo "config authconfig ..."

authconfig \

--enableldap \

--enablekrb5 \

--disableldapauth \

--enableldaptls \

--ldapserver="classroom.example.com"\

--ldapbasedn="dc=example,dc=com"\

--ldaploadcacert=http://172.25.254.254/pub/example-ca.crt\

--krb5realm="EXAMPLE.COM" \

--krb5kdc="classroom.example.com"\

--krb5adminserver="classroom.example.com"\

--update

echo "config autofs ..."

echo "/home/guests/etc/auto.ldap" >>/etc/auto.master

echo "*172.25.254.254:/home/guests/&" >>/etc/auto.ldap

systemctl restart autofs  #一定重启服务

echo "complete"

查看家目录命令:getentpasswd ldapuser1

LDAP网络账户

LDAP网络账户

5.执行脚本

LDAP网络账户

6.id ldapuser1

  su- ldapuser1

7.图形界面登录

用户名:ldapuser1

密码:kerberos

 

相关推荐