2-8. LDAP 網絡用戶賬戶

##LDAP 網絡用戶賬戶##

學習目標

LDAP 客戶端配置

自動掛載器元字符

1.1##使用 LDAP 服務器進行網絡身份驗

在本課程中,到目前為止,我們已經介紹了通過每臺計算機上的本地文件(例如 /etc/passwd )管理的本地用戶賬戶。但是 ,在多個系統上將本地用戶賬戶協調一致非常困難

本節中 ,我們將介紹如何將計算機設置為客戶端 ,以使用現有 LDAP 目錄服務提供的網絡用戶賬戶。這樣, LDAP 目錄就成為我們組織中所有網絡用戶和組的中心機構

用戶賬戶信息可以確定裝戶的特征和配置。身份驗證方式用于確定嘗試登錄的人員是否應該獲得對賬戶的使用權限。網絡目錄服務可以提供用戶賬戶信息和身份驗證方法

LDAP 目錄服務器可以用作分布式、集中式、網絡用戶管理服務。目錄條目按樹結構排列 ,可以在其中進行搜索。基礎 DN (區分名稱 )是樹的基礎,用于搜索用戶和組的目錄條目

LDAP 客戶端配置的主要元素

– 1. 服務器的完全限定主機名

– 2. 基礎 DN ,用于搜索用戶定義

– 3. 認證機構 (“ CA” )證書 ,用于簽署 LDAP 服務器的 SSL 證書

1.2##安裝客戶端軟件

authconfig-gtk

sssd

krb5-workstation

1.3##通過authconfig-gtk認證ldap用戶

authconfig-gtk

1.4##檢測ldap認證用戶

getent passwd ldapuserx

vim /etc/sssd.conf

– enumerate = ture | false

– systemctl restart sssd

1.5##通過authconfig-tui認證ldap用戶

authconfig-tui

1.6##下載證書文件

cd /etc/openldap/cacerts

wget

http://cla***oom.example.com/pub/example-ca.crt

ls /etc/openldap/cacerts

1.7##自動掛在ldap用戶家目錄

安裝autofs

編輯autofs策略文件

– vim /etc/auto.master

/home/guests /etc/auto.ldap

– vim /etc/auto.ldap

ldapuser0 cla***oom.example.com:/home/guests/ldapuser0

2.1配置ldap服務網絡

2.2##安裝所需要的sssd服務，krb5-workstation服務，autofs服務

2.3vim  /mnt/auth-config.sh  ##編寫腳本非交互式建立LDAP網絡用戶賬戶并建立家目錄

腳本內容：

#!/bin/bash

echo "install packages..."

yum install sssd krb5-workstation autofs -y &> /dev/null       ##安裝所需要的sssd服務，krb5-workstation服務，autofs服務

echo "config  authconfig..."

authconfig \            ##打開authconfig服務

--enableldap \         ##默認啟用LDAP用于用戶信息

--enablekrb5 \         ##默認啟用kerberos認證

--disableldapauth \      ##默認禁用LDAP用于認證

--enableldaptls \          ##啟用帶TLS的LDAP

--ldapserver="cla***oom.example.com" \      ##默認LDAP服務器的主機名或URL

--ldapbasedn="dc=example,dc=com" \          ##默認LDAP基礎DN

--ldaploadcacert=http://172.25.254.254/pub/example-ca.crt \        ##從該URL加載CA證書

--krb5realm="EXAMPLE.COM" \           ##默認kerberos域

--krb5kdc="cla***oom.example.com" \           ##默認kerberoskdc

--krb5adminserver="cla***oom.example.com" \

--update

echo "config autofs ...."         ##配置網絡用戶家目錄

echo "/home/guests  /etc/auto.ldap" >>/etc/auto.master           ## 編輯主配置文件

echo "* 172.25.254.254:/home/guests/&" >>/etc/zuto.ldap         ##編輯子配置文件

systemctl restart autofs           ##重啟autofs服務

echo " ok !!"

測試;

2.4authconfig-tui    ##手動建立LDAP網絡用戶賬戶

2.5getent passwd ldapuser1       ##檢測ldap認證用戶1