≡菜单

如何为389 Directory Server安装配置LDAP客户端

389 Directory Server是超级快速的开源企业LDAP Server。

在本教程中,我们’ll解释如何在Li上安装和配置LDAP客户端nux which will talk to your 389 directory server.

安装EPEL

在您的客户端计算机上,确保您具有EPEL存储库设置,因为我们’将从EPEL下载与ldap相关的软件包。

首先,从fedora项目网站下载最新的EPEL软件包:

# wget http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-10.noarch.rpm

接下来,在客户端计算机上安装EPEL rpm。

# rpm -ivh epel-release-7-10.noarch.rpm

验证/ etc / hosts

确保您的主机文件设置正确。

在此示例中,以下是当前的/ etc / hosts文件设置。在此示例中,我们在部署时安装了389目录服务器

# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.101.10  deploy.thegeekstuff.com deploy

如果您是389目录服务器的新手,请参考我们之前的教程,其中详细介绍了 如何在Linux上安装LDAP 389目录服务器.

安装LDAP客户端库

对于LDAP客户端库,我们需要安装以下软件包:

  • Openldap–它包含LDAP支持库
  • openldap-devel.x86_64–它包含LDAP开发库和头文件
  • nss-pam-ldapd–这是使用目录服务器的nsswitch模块

使用yum安装上述软件包,如下所示:

# yum install nss-pam-ldapd.x86_64 openldap.x86_64 openldap-devel.x86_64

除了安装上述三个软件包外,yum还会安装以下从属软件包:

  • 赛勒斯·萨斯尔
  • 赛勒斯·萨斯尔·德维尔
  • 光盘

配置LDAP客户端身份验证资源

要配置LDAP客户端身份验证资源,我们可以使用以下任何一种工具:

  • 认证配置–用于配置身份验证资源的命令行工具
  • 身份验证配置–基于GUI的工具,用于配置身份验证资源

要启动GUI版本,请执行以下命令:

# authconfig-tui

这将显示以下用户界面:

使用箭头键并选择“使用LDAP验证”复选框,如下所示。要选择一个复选框,请按空格键。

在下一个屏幕中,相应地设置您的LDAP服务器和基本DN。这些值应与您安装的389目录服务器相对应。请参阅我们的389目录服务器安装教程,以获取更多详细信息。

为LDAP客户端启动与名称服务相关的服务

首先,确保nslcd Naming Services LDAP客户端守护程序已启动并正在运行。如果还没有启动,请相应地启动它。

# systemctl start nslcd

# systemctl status nslcd
? nslcd.service - Naming services LDAP client daemon.
   Loaded: loaded (/usr/lib/systemd/system/nslcd.service; enabled; vendor preset: disabled)
   Active: active (running) since Sun 2017-10-08 15:15:58 UTC; 7min ago
  Process: 2624 ExecStart=/usr/sbin/nslcd (code=exited, status=0/SUCCESS)
 Main PID: 2625 (nslcd)
   CGroup: /system.slice/nslcd.service
           +-2625 /usr/sbin/nslcd

Oct 08 15:15:58 192.168.101.10 systemd[1]: Starting Naming services LDAP client daemon....
Oct 08 15:15:58 192.168.101.10 systemd[1]: PID file /var/run/nslcd/nslcd.pid not readable (yet?) after start.
Oct 08 15:15:58 192.168.101.10 nslcd[2625]: version 0.8.13 starting
Oct 08 15:15:58 192.168.101.10 nslcd[2625]: accepting connections
Oct 08 15:15:58 192.168.101.10 systemd[1]: Started Naming services LDAP client daemon..
..
..

接下来,使用systemctl命令如下所示启动nscd名称服务缓存守护程序。

# systemctl start  光盘 

# systemctl status  光盘 
?  光盘 .service -  名称  Service Cache Daemon
   Loaded: loaded (/usr/lib/systemd/system/nscd.service; disabled; vendor preset: disabled)
   Active: active (running) since Sun 2017-10-08 15:27:23 UTC; 3s ago
  Process: 2693 ExecStart=/usr/sbin/nscd $NSCD_OPTIONS (code=exited, status=0/SUCCESS)
 Main PID: 2694 (nscd)
   CGroup: /system.slice/nscd.service
           +-2694 /usr/sbin/nscd

Oct 08 15:27:23 192.168.101.10  光盘 [2694]: 2694 monitoring file `/etc/hosts` (4)
Oct 08 15:27:23 192.168.101.10  光盘 [2694]: 2694 monitoring directory `/etc` (2)
Oct 08 15:27:23 192.168.101.10  光盘 [2694]: 2694 monitoring file `/etc/resolv.conf` (5)
Oct 08 15:27:23 192.168.101.10  光盘 [2694]: 2694 monitoring directory `/etc` (2)
Oct 08 15:27:23 192.168.101.10  光盘 [2694]: 2694 monitoring file `/etc/services` (6)
Oct 08 15:27:23 192.168.101.10  光盘 [2694]: 2694 monitoring directory `/etc` (2)
Oct 08 15:27:23 192.168.101.10  光盘 [2694]: 2694 disabled inotify-based monitoring for file `/etc/netgroup': No such file or directory
Oct 08 15:27:23 192.168.101.10  光盘 [2694]: 2694 stat failed for file `/etc/netgroup'; will try again later: No such file or directory
Oct 08 15:27:23 192.168.101.10  光盘 [2694]: 2694 Access Vector Cache (AVC) started
Oct 08 15:27:23 192.168.101.10 systemd[1]: Started  名称  Service Cache Daemon.
..
..

设置SSSD和PAM LDAP配置

执行以下命令来设置SSSD身份验证配置,如下所示。这还将确保您获得相应的LDAP客户端用户主目录。

# 认证配置--enableldapauth --enablemkhomedir \
  --enablesysnetauth --enablelocauthorize \
  --ldapserver=ldap://deploy.jnpkwjx.com \
  --ldapbasedn="dc=thegeekstuff,dc=com" --update

请注意,当满足以下两个条件时,SSSD服务将启用并启动:
/etc/sssd/sssd.conf文件存在,或者至少已经使用隐式SSSD支持对其进行了配置
启用S​​SSD身份验证,这意味着PAM配置中将引用pam_sss.so模块
为用户身份启用了SSSD,这意味着nsswitch.conf文件引用了sss

执行以下命令来设置PAM配置,如下所示。

# 认证配置--enableldap --enableldapauth \
  --enablemkhomedir --enablesysnetauth \
  --enablelocauthorize \
  --ldapserver="deploy.thegeekstuff.com" \
  --ldapbasedn="dc=deploy,dc=thegeekstuff,dc=com" \
  --update

以下是在更改过程中会受到影响的一些文件:

  • /etc/nscd.conf
  • /etc/nslcd.conf
  • /etc/openldap/ldap.conf
  • /etc/pam.d/system-auth
  • /etc/pam.d/password-auth-ac
  • /etc/nsswitch.conf

The following optiosn are used in the above 认证配置command:

  • –enableldapauth将通过/etc/pam.d/system-auth配置身份验证功能
  • –enableldap选项将在/etc/nsswitch.conf中配置用户信息服务。
  • –enablesysnetauth选项将允许对具有uid的系统帐户进行​​身份验证< 500.
  • –enablelocauthorize选项将允许绕过检查网络身份验证服务以获取授权
  • –更新选项将确保根据指定的命令行选项修改所有配置文件

如果您喜欢这篇文章,您可能还会喜欢..

  1. 50个Linux Sysadmin教程
  2. 50个最常用的Linux命令(包括示例)
  3. 排名前25位的最佳Linux性能监视和调试工具
  4. 妈妈,我找到了! – 15个实用的Linux Find命令示例
  5. Linux 101 Hacks第二版电子书 Linux 101黑客手册

Bash 101 Hacks书 Sed和Awk 101黑客手册  Nagios Core 3书  Vim 101黑客手册

{ 1 评论 … 加一 }

发表评论