1.ldap是什麼
ldap目錄服務認證,和windows活動目錄類似,就是記錄資料的一種方式
就像微網誌帳号,有一個帳号可以在任何一台裝置登陸
2.ldap用戶端所須軟體
yum sssd krb5-workstation -y
authconfig-gtk
sssd
krb5-workstation
做這個實驗,首先 執行vim /etc/yum.repos.d/rhel_dvd.repo
再執行 pingclassroom.example.com
<a href="https://s1.51cto.com/wyfs02/M01/93/65/wKioL1kK1YbDxegAAAD44AQz5Hs669.png-wh_500x0-wm_3-wmp_4-s_2368599957.png" target="_blank"></a>
<a href="https://s4.51cto.com/wyfs02/M01/93/65/wKioL1kK1YeDHaq3AAIN1uekMYI022.png-wh_500x0-wm_3-wmp_4-s_3896123608.png" target="_blank"></a>
<a href="https://s4.51cto.com/wyfs02/M02/93/65/wKioL1kK1YjQfI0uAAFEv46oNrQ222.png-wh_500x0-wm_3-wmp_4-s_1197923697.png" target="_blank"></a>
3.如何開啟ldap使用者認證
(1)通過 authconfig-gtk 認證 ldap 使用者
authconfig-gtk
<a href="https://s4.51cto.com/wyfs02/M02/93/65/wKioL1kK1JeDjcg8AAXosbkdhUw410.png-wh_500x0-wm_3-wmp_4-s_3395030724.png" target="_blank"></a>
(2)通過 authconfig-tui 認證 ldap 使用者
authconfig-tui
<a href="https://s1.51cto.com/wyfs02/M00/93/66/wKiom1kK1Jehmfu8AABdy4u03iQ291.png-wh_500x0-wm_3-wmp_4-s_3480149844.png" target="_blank"></a>
<a href="https://s1.51cto.com/wyfs02/M01/93/65/wKioL1kK1JfDyBDqAAAw722XFf0738.png-wh_500x0-wm_3-wmp_4-s_3636530393.png" target="_blank"></a>
<a href="https://s1.51cto.com/wyfs02/M00/93/65/wKioL1kK1JjS6cn7AABCPBFNglc053.png-wh_500x0-wm_3-wmp_4-s_3476264506.png" target="_blank"></a>
因為tls的證書缺失,需要到伺服器端下載下傳所需要的證書到/etc/openldap/cacerts,
用到的指令
wget http://172.25.254.254/pub/example-ca.crt
下載下傳證書檔案
cd /etc/openldap/cacerts
wget http://classroom.example.com/pub/example-ca.crt
ls /etc/openldap/cacerts
<測試>
getent passwd ldapuser1
如果使用者資訊可以正常顯示,證明用戶端認成功。
檢測 ldap 認證使用者
getent passwd ldapuserx
vim /etc/sssd.conf
– enumerate = ture | false
– systemctl restart sssd
4.自動挂載使用者家目錄
yum install autofs -y
vim /etc/autofs.master
/home/guests /etc/auto.ldap
vim /etc/auto.ldap
ldapuser1 172.25.254.254:/home/guests/ldapuser1
+++++++++++++++++++++++++++++++++++++++++++++++++++++++
* 172.25.254.254:/home/guests/&
systemctl restart autofs
自動挂在 ldap 使用者家目錄
安裝 autofs
編輯 autofs 政策檔案
– vim /etc/auto.master
/home/guests /etc/auto.ldap
– vim /etc/auto.ldap
ldapuser0 classroom.example.com:/home/guest
5 腳本
寫之前修改本地使用者名字
<a href="https://s2.51cto.com/wyfs02/M02/93/65/wKioL1kK1Ynhnf3-AAGPT6JN4jE072.png-wh_500x0-wm_3-wmp_4-s_3648291061.png" target="_blank"></a>
vim suth-config.sh
sh auth-config.sh
id ldapuser1
腳本内容太長,執行 authconfig --help | less
在文本裡下面一行輸入:/ldap查找需要的指令,複制粘貼到腳本
腳本内容無自動挂載ldap
#!/bin/bash
echo "install packages..."
yum install sssd krb5-workstation -y &> /dev/null
echo "config authconfig..."
authconfig \
--enableldap \
--enablekrb5 \
--disableldapauth \
--enableldaptls \
--ldapserver="classroom.example.com" \
--ldapbasedn="dc=example,dc=com" \
--ldaploadcacert=http://172.25.254.254/pub/example-ca.crt \
--krb5realm="EXAMPLE.COM" \
--krb5kdc="classroom.example.com" \
--krb5adminserver="classroom.example.com" \
--update
systemctl restart autofs
echo "ok!!"
文本編輯 ,有自動挂載ldap
yum install sssd krb5-workstation autofs -y &> /dev/null
echo "config autofs..."
echo "/home/guests /etc/auto.ldap" >>/etc/auto.master
echo "* 172.25.254.254:/home/guests/&"&
本文轉自 如何何如 51CTO部落格,原文連結:http://blog.51cto.com/12778805/1922059,如需轉載請自行聯系原作者