LDAP 网络用户账户
LDAP 客户端配置的主要元素
1. 服务器的完全限定主机名
2. 基础 DN ,用于搜索用户定义
3. 认证机构(“ CA” )证书,用于签署 LDAP 服务器的 SSL 证书
在开始之前,您因该确保已安装 directory-client yum 软件包,其中包括软件包 sssd 、 authconfig- gtk 和 oddjob-mkhomedir 。
system-config-authentication 将自动启动 sssd 服务,该服务将查找并缓存客户端的 LDAP 用户信 息和身份验证凭据。如果 LDAP 服务器不可用,但是 sssd 正常运行,则系统或许能够通过 sssd 缓存对网络用户进行身份验证并获取相关信息。
使用 getent passwd username 验证正在使用的账户信息。无论用户是在 /etc/passwd 中定义的本地用户,还是由 LDAP 服务托管的网络用户,都可以执行此操作。如果本地用户与网络用户之间有任何重复,此命令将始终显示系统实际正使用的定义。默认情况下,本地用户定义覆盖网络用户定义。
注意: getent passwd 在默认情况下仅显示本地账户。如果您要显示所有可用账户(包括 LDAP 账户
),则修改 /etc/sssd/sssd.conf 文件在 [domain/default] 部分添加如下行 :
enumerate = True
重启 sssd 服务 :
# service sssd restart
# getent passwd
.....
ldapuser1:*:1701:1701:LDAP Test User 1:/home/guests/ldapuser1:/bin/bash
ldapuser2:*:1702:1702:LDAP Test User 2:/home/guests/ldapuser2:/bin/bash
ldapuser3:*:1703:1703:LDAP Test User 3:/home/guests/ldapuser3:/bin/bash
网络挂载主目录
1. 使用 showmount -e nfsserver.domain 获取导出的路径,该路径与主机名组合即为共享名。
[root@demo ~]# showmount -e instructor.example.com
Export list for instructor.example.com:
/home/guests 192.168.0.0/255.255.255.0
/var/nfs
192.168.0.0/255.255.255.0
/kickstart 192.168.0.0/255.255.255.0
/var/ftp/pub 192.168.0.0/255.255.255.0
2. 使用 getent passwd username 获取所需主目录挂载点。
[root@demo ~]# getent passwd ldapuser1
ldapuser1:*:1701:1701:LDAP Test User 1:/home/guests/ldapuser1:/bin/bash
3. 对于主目录,我们很可能想要使用 rw 作为挂在选项。在 autofs 中配置间接映射与以下内容类似:
# vim /etc/auto.master
/home/guests /etc/auto.guests
# vim /etc/auto.guests
ldapuser1 -rw instructor.example.com:/home/guests/ldapuser1
ldapuser1 -rw instructor.example.com:/home/guests/ldapuser1
每次创建新 LDAP 用户, /etc/auto.guests 都需要更新,以包含新添加的用户。但请注意行的“模式”。我们想要支持使用任意用户名登录,因此可以将第一列替换为“星号( * )”,它是一个通配符,与登录进程可能尝试 cd 到的任意子目录都匹配。然后,我们使用元字符“连号( & )”替换共享中的用户名,但保留由通配符匹配的映射名:
# vim /etc/auto.master
/home/guests /etc/auto.guests
# vim /etc/auto.guests
* -rw instructor.example.com:/home/guests/&
意思是:ldapuser n 都可以登录,若该为
ldapuser1 -rw instructor.example.com:/home/guests/ldapuser1,则只能用ldapuser1登录
# service autofs reload
此时,ctrl+alt+F2,切换模式,用ldapuser1登录,密码为password,
# cd /home/guests/ldapuser1,若能进入则说明成功