8.5 LDAP网络用户

 

LDAP 网络用户账户


 

LDAP 客户端配置的主要元素

1. 服务器的完全限定主机名

2. 基础 DN ,用于搜索用户定义

3. 认证机构(“ CA” )证书,用于签署 LDAP 服务器的 SSL 证书


 

在开始之前,您因该确保已安装 directory-client yum 软件包,其中包括软件包 sssd 、 authconfig- gtk 和 oddjob-mkhomedir 。


 

system-config-authentication 将自动启动 sssd 服务,该服务将查找并缓存客户端的 LDAP 用户信 息和身份验证凭据。如果 LDAP 服务器不可用,但是 sssd 正常运行,则系统或许能够通过 sssd 缓存对网络用户进行身份验证并获取相关信息。

使用 getent passwd username 验证正在使用的账户信息。无论用户是在 /etc/passwd 中定义的本地用户,还是由 LDAP 服务托管的网络用户,都可以执行此操作。如果本地用户与网络用户之间有任何重复,此命令将始终显示系统实际正使用的定义。默认情况下,本地用户定义覆盖网络用户定义。


 

注意: getent passwd 在默认情况下仅显示本地账户。如果您要显示所有可用账户(包括 LDAP 账户

),则修改 /etc/sssd/sssd.conf 文件在 [domain/default] 部分添加如下行 :

enumerate = True

重启 sssd 服务 :

# service sssd restart

# getent passwd

.....

ldapuser1:*:1701:1701:LDAP Test User 1:/home/guests/ldapuser1:/bin/bash

ldapuser2:*:1702:1702:LDAP Test User 2:/home/guests/ldapuser2:/bin/bash

ldapuser3:*:1703:1703:LDAP Test User 3:/home/guests/ldapuser3:/bin/bash


 


 


 

网络挂载主目录

1. 使用 showmount -e nfsserver.domain 获取导出的路径,该路径与主机名组合即为共享名。

[root@demo ~]# showmount -e instructor.example.com

Export list for instructor.example.com:

/home/guests 192.168.0.0/255.255.255.0

/var/nfs

192.168.0.0/255.255.255.0

/kickstart 192.168.0.0/255.255.255.0

/var/ftp/pub 192.168.0.0/255.255.255.0

2. 使用 getent passwd username 获取所需主目录挂载点。

[root@demo ~]# getent passwd ldapuser1

ldapuser1:*:1701:1701:LDAP Test User 1:/home/guests/ldapuser1:/bin/bash

3. 对于主目录,我们很可能想要使用 rw 作为挂在选项。在 autofs 中配置间接映射与以下内容类似:

# vim /etc/auto.master

/home/guests /etc/auto.guests

# vim /etc/auto.guests

ldapuser1 -rw instructor.example.com:/home/guests/ldapuser1

ldapuser1 -rw instructor.example.com:/home/guests/ldapuser1

每次创建新 LDAP 用户, /etc/auto.guests 都需要更新,以包含新添加的用户。但请注意行的“模式”。我们想要支持使用任意用户名登录,因此可以将第一列替换为“星号( * )”,它是一个通配符,与登录进程可能尝试 cd 到的任意子目录都匹配。然后,我们使用元字符“连号( & )”替换共享中的用户名,但保留由通配符匹配的映射名:

# vim /etc/auto.master

/home/guests /etc/auto.guests

# vim /etc/auto.guests

* -rw instructor.example.com:/home/guests/&

意思是:ldapuser n 都可以登录,若该为

ldapuser1 -rw instructor.example.com:/home/guests/ldapuser1,则只能用ldapuser1登录

# service autofs reload

此时,ctrl+alt+F2,切换模式,用ldapuser1登录,密码为password,

# cd /home/guests/ldapuser1,若能进入则说明成功


 


 

你可能感兴趣的:(职场,LDAP,LDAP,休闲,客户端配置)