##LDAP 网络用户账户##

学习目标

LDAP 客户端配置

自动挂载器元字符

1.1##使用 LDAP 服务器进行网络身份验

在本课程中,到目前为止,我们已经介绍了通过每台计算机上的本地文件(例如 /etc/passwd )管理的本地用户账户。但是 ,在多个系统上将本地用户账户协调一致非常困难

本节中 ,我们将介绍如何将计算机设置为客户端 ,以使用现有 LDAP 目录服务提供的网络用户账户。这样, LDAP 目录就成为我们组织中所有网络用户和组的中心机构

用户账户信息可以确定装户的特征和配置。身份验证方式用于确定尝试登录的人员是否应该获得对账户的使用权限。网络目录服务可以提供用户账户信息和身份验证方法

LDAP 目录服务器可以用作分布式、集中式、网络用户管理服务。目录条目按树结构排列 ,可以在其中进行搜索。基础 DN (区分名称 )是树的基础,用于搜索用户和组的目录条目

LDAP 客户端配置的主要元素

– 1. 服务器的完全限定主机名

– 2. 基础 DN ,用于搜索用户定义

– 3. 认证机构 (“ CA” )证书 ,用于签署 LDAP 服务器的 SSL 证书

1.2##安装客户端软件

authconfig-gtk

sssd

krb5-workstation

1.3##通过authconfig-gtk认证ldap用户

authconfig-gtk

1.4##检测ldap认证用户

getent passwd ldapuserx

vim /etc/sssd.conf

– enumerate = ture | false

– systemctl restart sssd

1.5##通过authconfig-tui认证ldap用户

authconfig-tui

1.6##下载证书文件

cd /etc/openldap/cacerts

wget

http://cla***oom.example.com/pub/example-ca.crt

ls /etc/openldap/cacerts

1.7##自动挂在ldap用户家目录

安装autofs

编辑autofs策略文件

– vim /etc/auto.master

/home/guests /etc/auto.ldap

– vim /etc/auto.ldap

ldapuser0 cla***oom.example.com:/home/guests/ldapuser0

2.1配置ldap服务网络

2.2##安装所需要的sssd服务，krb5-workstation服务，autofs服务

2.3vim  /mnt/auth-config.sh  ##编写脚本非交互式建立LDAP网络用户账户并建立家目录

脚本内容：

#!/bin/bash

echo "install packages..."

yum install sssd krb5-workstation autofs -y &> /dev/null       ##安装所需要的sssd服务，krb5-workstation服务，autofs服务

echo "config  authconfig..."

authconfig \            ##打开authconfig服务

--enableldap \         ##默认启用LDAP用于用户信息

--enablekrb5 \         ##默认启用kerberos认证

--disableldapauth \      ##默认禁用LDAP用于认证

--enableldaptls \          ##启用带TLS的LDAP

--ldapserver="cla***oom.example.com" \      ##默认LDAP服务器的主机名或URL

--ldapbasedn="dc=example,dc=com" \          ##默认LDAP基础DN

--ldaploadcacert=http://172.25.254.254/pub/example-ca.crt \        ##从该URL加载CA证书

--krb5realm="EXAMPLE.COM" \           ##默认kerberos域

--krb5kdc="cla***oom.example.com" \           ##默认kerberoskdc

--krb5adminserver="cla***oom.example.com" \

--update

echo "config autofs ...."         ##配置网络用户家目录

echo "/home/guests  /etc/auto.ldap" >>/etc/auto.master           ## 编辑主配置文件

echo "* 172.25.254.254:/home/guests/&" >>/etc/zuto.ldap         ##编辑子配置文件

systemctl restart autofs           ##重启autofs服务

echo " ok !!"

测试;

2.4authconfig-tui    ##手动建立LDAP网络用户账户

2.5getent passwd ldapuser1       ##检测ldap认证用户1