OpenLDAP是轻型目录访问协议(Lightweight Directory Access Protocol,LDAP)的自由和开源的实现,在其OpenLDAP许可证下发行,并已经被包含在众多流行的Linux发行版中。
它主要包括下述4个部分:
slapd - 独立LDAP守护服务
slurpd - 独立的LDAP更新复制守护服务
实现LDAP协议的库
工具软件和示例客户端
服务器:192.168.136.248(server)
hostname: example.com
客户端:192.168.136.249 (client)
hostname: client
首先配置服务器(server):
(1) 安装LDAP相关软件
你现在准备安装软件; 这通常需要超级用户权限:
#yum list openldap* #yum install-y openldap openldap-clientsopenldap-servers
(2) 配置LDAP的域信息
#cd /etc/openldap #ls
你会看到以下几个文件
cacerts ldap.conf schema slapd.conf.bak slapd.d
编辑配置文件。
首先你改名或移动openldap的配置文件目录lapd.d,不然它不会读/etc/openldap/slapd.conf
#mv slapd.d /root/slapd.d-bak //移动到/root下 #cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf 然后,修改配置文件slapd.conf #vi slapd.conf
找到并修改如下内容:
suffix "dc=example,dc=com" //设置主机名前缀 rootdn "cn=Manager,dc=example,dc=com" //设置域 rootpw 123456 //取消左侧的注释和左侧的空格。后面的ldapadd命令要用的密码,中间用俩TAB键分割,然后保存修改并退出。
#slaptest -u -f slapd.conf //测试配置文件是否正确 configfile testing succeeded 需要特别注意的是rootpw和123456(密码)之间必须是2个tab健,否则在后面测试的时候会报错。
(3) 创建数据库文件(从模板复制产生)
#cd /var/lib/ldap
复制模板文件,不然重启的时候会报错valid(49)说是不合法的密码的错误。
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
mv /etc/openldap/slapd.d{,.bak}#chown ldap.ldap DB_CONFIG* //这里要添加*,否则后面启动服务会有警告 注意:这里ldap 用户 可以创建也可以不管(最好不要创建了) # useradd ladp -d /var/lib/ldap:/sbin/nologin
(4) 启动LDAP服务
#/etc/init.d/slapd start
或用如下命令:
#service slapd start #chkconfig slapd on //服务加入启动管理器中
此时你在/var/lib/ldap 执行ll 命令会看到一些db文件。
#ll /var/lib/ldap -rw-r--r--.1 ldap ldap 2048 Feb 26 15:53 alock -rw-------.1 ldap ldap 24576 Feb 26 15:53__db.001 -rw-------.1 ldap ldap 17637376 Feb 26 15:53__db.002 -rw-------.1 ldap ldap 335552512 Feb 26 15:53 __db.003 -rw-------.1 ldap ldap 2359296 Feb 26 15:53__db.004 -rw-------.1 ldap ldap 802816 Feb 26 15:53__db.005 -rw-------.1 ldap ldap 32768 Feb 26 15:53__db.006 -rw-r--r--.1 ldap ldap 921 Feb 26 15:51DB_CONFIG -rw-------.1 ldap ldap 8192 Feb 26 15:53dn2id.bdb -rw-------.1 ldap ldap 32768 Feb 26 15:53id2entry.bdb -rw-------.1 ldap ldap 10485760 Feb 26 15:53log.0000000001
(5) 检查搜索域
#ldapsearch -x -b"dc=example,dc=com"
-b 指定用作搜索起始点的专有名称。使用引号来指定该值
-x 用于对搜索得到的信息进行排序。#extended LDIF
#
# LDAPv3
# base<dc=chenggefeng.com> with scope subtree
#filter: (objectclass=*)
#requesting: ALL
#
# searchresult
search:2
result:32 No such object
#numResponses: 1
可能出现如下错误,原因是忘记了-x参数:
ASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Local error (-2)
additionalinfo: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information(Credentials cache file '/tmp/krb5cc_0' not found)
(6) 创建待认证的用户
#useradd ldapuser1 #echo"123456"|passwd --stdin ldapuser1 #useradd ldapuser2 #echo "123456"|passwd--stdin ldapuser2 #useradd ldapuser3 #echo "123456"|passwd--stdin ldapuser3
(7) 安装迁移工具migrationtools
#cd /usr/share/doc/openldap-servers-2.4.23/ #less README.migration(这个命令可以不操作,只是提醒读者)
As fromFedora 9, MigrationTools are shipped as separate package.
Install "migrationtools" package to get them, e.g.:帮助文档需要你安装migrationtools
#yum installmigrationtools -y
安装成功之后会在 /usr/share/migrationtools
#cd /usr/share/migrationtools #ls migrate_aliases.pl migrate_all_offline.sh migrate_hosts.pl migrate_protocols.pl migrate_all_netinfo_offline.sh migrate_all_online.sh migrate_netgroup_byhost.pl migrate_rpc.pl migrate_all_netinfo_online.shmigrate_automount.pl migrate_netgroup_byuser.pl migrate_services.pl migrate_all_nis_offline.shmigrate_base.pl migrate_netgroup.pl migrate_slapd_conf.pl migrate_all_nis_online.sh migrate_common.ph migrate_networks.pl migrate_all_nisplus_offline.sh migrate_fstab.pl migrate_passwd.pl migrate_all_nisplus_online.sh migrate_group.pl migrate_profile.pl
可以看到,有一组 Perl 脚本被安装到 /usr/share/openldap/migration/ 中执行迁移。这些 Perl 脚本的配置信息包含在 migrate_common.ph 文件的开头。对于我们来说,只需要修改命名前缀的变量来使用条目的识别名就足够了,如下所示:
#vi migrate_common.ph
修改如下一些内容:
# Default DNS domain $DEFAULT_MAIL_DOMAIN = "example.com"; //改为 server 域名 即host # Default base $DEFAULT_BASE = "dc=example,dc=com"; //改为 server 域名 即host
在进行这些修改之后,请运行脚本 migrate_base.pl,它会创建根项,并为 Hosts、Networks、Group 和 People 等创建低一级的组织单元。
(8) 创建认证账户文件
几个主要的概念:
dn:一条记录的位置
dc:一条记录所属区域
ou:一条记录所属组织
cn/uid:一条记录的名字/ID
创建基本的数据库文件:
#./migrate_base.pl > ./base.ldif 编辑修改刚才产生的文件: #vim base.ldif 删除除下面之外的所有条目:(主要是防止系统用户与后面客户端重复,如配置单机可不用删)
dn: dc=example,dc=com dc: example objectClass: top objectClass: domain dn: ou=People,dc=example,dc=com ou: People objectClass: top objectClass: organizationalUnit dn: ou=Group,dc=example,dc=com ou: Group objectClass: top objectClass: organizationalUnit
创建用户数据库文件:
#./migrate_passwd.pl /etc/passwd ./user.ldif 编辑 user.ldif #vim user.ldif 删除除下面之外的所有条目:(主要是防止系统用户与后面客户端重复,如配置单机可不用删)
dn: uid=ldapuser1,ou=People,dc=example,dc=com uid: ldapuser1 cn: ldapuser1 .......... homeDirectory:/home/ldapuser1 dn: uid=ldapuser2,ou=People,dc=example,dc=com uid: ldapuser2 cn: ldapuser2 ............ homeDirectory:/home/ldapuser2 dn: uid=ldapuser3,ou=People,dc=example,dc=com uid: ldapuser3 cn: ldapuser3 ............ homeDirectory:/home/ldapuser3
然后执行如下命令进行检测:
#ldapsearch -x -b -L "dc=example,dc=com" extendedLDIF # # LDAPv3 # base<-L> with scope subtree #filter: dc=example,dc=com # requesting:ALL # # searchresult search:2 result:34 Invalid DN syntax text:invalid DN #numResponses: 1
创建组账户文件:
#./migrate_group.pl /etc/group groups.ldif
编辑groups.ldif
#vim groups.ldif
删除除下面之外的所有条目(可以点v选择开始,移动光标选择,按x删除块):
删除除下面之外的所有条目:(主要是防止系统用户与后面客户端重复,如配置单机可不用删)
dn: cn=ldapuser1,ou=Group,dc=example,dc=com
objectClass: posixGroup
objectClass: top
cn: ldapuser1
userPassword: {crypt}x
gidNumber: 601
dn:cn=ldapuser2,ou=Group,dc=example,dc=com
.............
gidNumber: 602
dn:cn=ldapuser3,ou=Group,dc=example,dc=com
.........
gidNumber: 603
检查产生的三个文件#cd /usr/share/migrationtools #llbase.ldif groups.ldif user.ldif -rw-r--r--. 1 root root 248Feb 26 18:02 base.ldif -rw-r--r--. 1 root root 402Feb 26 18:16 groups.ldif -rw-r--r--. 1 root root 1311 Feb 26 18:10 user.ldif
执行如下命令进行测试: #service slapd start //首先重新启动服务 #ldapadd -D "cn=Manager,dc=example,dc=com" -W -x -f base.ldif
提示输入密码的时候,输入前面cd /etc/openldap/slapd.conf中配置的rootpw处配置的密码123456,如果出现错误:
ldap_bind: Invalid credentials (49)
就表示你要么给出了错误的"cn="条目,要么给出了错误的密码,要么就重新启动slapd服务
ldap_add: Already exists (68) ldapadd -D "cn=Manager,dc=bgi,dc=com" -W -x -f base.ldif –c 已经存在的情况
|
EnterLDAP Password:(输入你刚才设置的前面配置的rootpw密码),正确之后会显示:
adding new entry "dc=example,dc=com" adding new entry"ou=People,dc=example,dc=com" adding new entry"ou=Group,dc=example,dc=com" #ldapadd -D "cn=Manager,dc=example,dc=com"-W -x -f user.ldif EnterLDAP Password:(输入你刚才设置的密码),正确之后会显示: adding new entry"uid=ldapuser1,ou=People,dc=example,dc=com" adding new entry"uid=ldapuser2,ou=People,dc=example,dc=com" adding new entry"uid=ldapuser3,ou=People,dc=example,dc=com" #ldapadd -D "cn=Manager,dc=example,dc=com"-W -x -f groups.ldif EnterLDAP Password:(输入你刚才设置的密码),正确之后会显示: adding new entry"cn=ldapuser1,ou=Group,dc=example,dc=com" adding new entry"cn=ldapuser2,ou=Group,dc=example,dc=com" adding new entry"cn=ldapuser3,ou=Group,dc=example,dc=com"
此时运行: # ldapsearch -x -b "dc=example,dc=com" //(查询命令) 输出如下内容: =================================================== # ldapuser1, People, example.com dn: uid=ldapuser1,ou=People,dc=example,dc=com uid: ldapuser1 cn: ldapuser1 objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword:: e2NyeXB0fSQ2JG9IQUdDNU9UJE5udUlrSWxnZTF5dFVRWUkveWVkV2VlRmRXUS5 la2o2bmF3aHByL3BFZ2F6RFpuOGRWd0lDZjhjaTJkNThZWmF3WFFpdUIyalZPNUhtaEZJd3VzdHEx shadowLastChange: 16296 shadowMin: 0 shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 500 gidNumber: 500 homeDirectory: /home/ldapuser1 # ldapuser2, People, example.com dn: uid=ldapuser2,ou=People,dc=example,dc=com uid: ldapuser2 cn: ldapuser2 objectClass: account objectClass: posixAccount objectClass: top objectClass: shadowAccount userPassword:: e2NyeXB0fSQ2JGZVYVQ2V0Z1JHpCTVNqUi5hWS9EYThNTWwwcVpRUVB0ZkZYUXN rOS5JdzFoOWVlYWFmWkhySkFCc2lvSVFYM3ZEUC54d21MNG1WdFJFd0Q3c1BtWkRvN2VFZS40eWIx shadowLastChange: 16296 shadowMin: 0 shadowMax: 99999 shadowWarning: 7 loginShell: /bin/bash uidNumber: 501 gidNumber: 501 homeDirectory: /home/ldapuser2 ……………………………………………… # numResponses: 10 # numEntries: 9
(9) 打开服务器端防火墙的389号端口
可以用如下命令检测某个服务的端口: #cat /etc/services |grep ldap //通过该命令查看ldap服务的端口是什么 #iptables -I INPUT -ptcp --dport 389 -j ACCEPT #iptables -I INPUT -pudp --dport 389 -j ACCEPT #service iptables save #service iptables restart
用如下命令检测某个服务器上的某个端口是否打开:
#telnet 服务器IP 端口号
一旦窗口没有任何信息或者出现服务器的服务信息,则表示端口打开。使用^+]断开测试,进入telnet的命令行模式,输入quit可以退出。
(10) 用GUI界面查看LDAP用户(如果没有 phpldapadmin包,以下可以不用做)
wget http://nchc.dl.sourceforge.net/project/phpldapadmin/phpldapadmin-php5/1.2.3/phpldapadmin-1.2.2.zip
#cd /var/www/html 下载 phpldapadmin-1.2.2.tgz //(版本不要下错啊!否则可能造成无法使用) #tar zxf phpldapadmin-1.2.2.tgz #cd phpldapadmin-1.2.2 #cd ../ #mv phpldapadmin-1.2.2 myldap #cd myldap/config #cp config.php.example config.php 还有记得要装php-ldadp包和php包: #yum install php-ldap php -y #/etc/init.d/httpd restart //如果httpd服务没安装,要先安装 #ifconfig|grep cas //查看本地IP地址
[root@example ~]# ifconfig|grep cas
inet addr:192.168.136.248 Bcast:192.168.136.255 Mask:255.255.255.0
然后打开浏览器可以类似的用http://192.168.136.248/myldap访问LDAP。界面如下:
如果http服务启动,但无法显示页面,可能是防火墙的问题,执行如下命令:
#iptables -I INPUT -p tcp -m tcp --dport 80 -jACCEPT #iptables -I INPUT -p tcp -m tcp --dport 389 -jACCEPT //LDAP 端口 #service iptables save #service iptables restart
登录的时候:DN框输入:cn=Manager,dc=example,dc=com,密码框输入123456。
(11) 客户端配置(在另外一台电脑上进行,要求两台电脑网络联通!!!)
下面以RHEL6为例,介绍LDAP客户端的配置。
打开LDAP配置界面
客户端:192.168.136.249 (client)
hostname: client
如果是 centos 5.X 或者 redhat 5.X 很好配置:
配置 LDAP 客户机
用来设置客户机包括:
nss_ldap-226-6:包括两个 LDAP 访问客户机:nss_ldap 和 pam_ldap
nss_ldap 是一组 C 库扩展,它允许 LDAP 目录服务器用作一个用户和组信息的主源
pam_ldap 是一个 Linux-PAM 模块,它支持身份验证功能
LDAP 身份验证要想正确地工作,需要配置两个服务:系统命名服务和身份验证服务。
系统命名服务(NSS)需要配置为使用 LDAP 来解析诸如用户和组帐号之类的资源。例如,在运行命令
ls -l时,如果某个文件 inode 给出文件的所有者是 “user 501”,那么命名服务就需要将 “uid 501” 解析成用户名,并在ls命令输出结果中输出。通常来说,这是通过查找 /etc/passwd 文件中的所有用户帐号实现的。由于用户现在都存储在 LDAP 目录中,因此系统需要配置成同时对 passwd 文件和 LDAP 目录中的帐号进行解析。这种功能是通过 /usr/lib/libnss_ldap.so 库提供的。身份验证服务是实际向 LDAP 验证用户身份的服务。可插入身份验证模块(PAM)提供了本地 Linux 身份验证服务。下面我们将配置 PAM 先对本地的 /etc/passwd 文件检查用户帐号,然后再对 LDAP 服务器进行检查。PAM LDAP 模块可以用来将身份验证重定向到 LDAP 目录上。/lib/security/pam_ldap.so PAM 模块提供了 LDAP 身份验证功能。
身份验证本身是由 PAM 程序执行的,它从身份验证候选机制中获取用户名,将其绑定到 OpenLDAP 服务器上,检索与这个 uid 条目(用户名条目)相关的 DN;从身份验证候选机制中获取密码,然后使用这个 DN 和密码试图将其绑定到 OpenLDAP 服务器上。如果绑定成功,PAM 会报告说这个用户已经成功通过了 pam_ldap.so 提供的身份验证测试。根据 PAM 的配置不同,在用户看到命令行提示符之前可能会执行其他测试。
我们可以采用两种方法来配置LDAP客户机。一种快速而简单的方法是运行/usr/sbin/authconfig-gtk,并在两个屏幕中输入信息。另外一种方法是通过编辑客户机 LDAP配置文件/etc/ldap.conf,然后修改 /etc/nsswitch.conf、/etc/sysconfig/authconfig 和 /etc/pam.d/system-auth。
首先让我们来看一下如何运行 authconfig-gtk:
发现 Redhat 5 和CentOS 6 又不一样,以下是Redhat 5的界面:
这里 dc=example,dc=com
这里 IP: ldap://192.168.136.248/
RedHat 5测试通过:
下面讲一下redhat 6.X
[root@client ~]# vi /etc/sssd/sssd.conf [domain/default] ldap_id_use_start_tls = False cache_credentials = True ldap_search_base = dc=example,dc=com krb5_realm = EXAMPLE.COM krb5_server = kerberos.example.com enumerate=true id_provider = ldap auth_provider = ldap chpass_provider = ldap ldap_uri = ldap://192.168.136.248/ ldap_tls_cacertdir = /etc/openldap/cacerts [sssd] services = nss, pam config_file_version = 2 domains = default [nss] [pam] [sudo] [autofs] [ssh] [pac]
那就安装pam_ldap,此处略去几十个字。
97 yum install nss-pam-ldapd: 98 yum install nss-pam-ldapd 99 yum install nslcd 100 yum install pam_ldap 101 yum install nss-pam-ldapd 102 yum install glibc-common 103 yum install nss-pam-ldapd 104 service nslcd status 105 vi /etc/nslcd.conf
继续往后走,还是登陆不了,《LDAP Authentication On Red Hat Enterprise 6》指出还得启动nslcd及安装nss-pam-ldapd。The nss-pam-ldapd package allows LDAP directory servers to be used as a primary source of name service information. (Name service information typically includes users, hosts, groups, and other such data historically stored in flat files or NIS.)
好,那就再安装nss-pam-ldapd:
[root@client ~]# vi /etc/nslcd.conf
找到这几行看一下是否填对 ?
uid nslcd gid ldap # This comment prevents repeated auto-migration of settings. uri ldap://192.168.136.248/ base dc=example,dc=com
[root@OpenLDAP-Client ~]# service nslcd status nslcd (pid 2451) is running...
几番测试死活不行,遂直接改成第二张方案,即编辑客户机文件
LDAP 配置文件 /etc/openldap/ldap.conf
/etc/nsswitch.conf
/etc/sysconfig/authconfig
/etc/pam.d/system-auth
1. /etc/openldap/ldap.conf:
PAM 和 NSS 模块使用的基本配置文件是 /etc/openldap/ldap.conf。host 选项指定 LDAP 服务器,base 选项指定这个目录使用的 DN。
cat /etc/openldap/ldap.conf URI ldap://192.168.136.248/BASE dc=example,dc=com TLS_CACERTDIR /etc/openldap/cacerts
2. /etc/nsswitch.conf
要让 NSS 服务使用 OpenLDAP 服务器,需要将 “ldap” 添加到 /etc/nsswitch.conf 文件的 passwd、shadow 和 group 行中,如下所示:
passwd: files ldap shadow: files ldap group: files ldap
3. /etc/sysconfig/authconfig
用来跟踪特定身份验证机制是否已经启用的文件是 /etc/sysconfig/authconfig。我们可以希望以下条目的值都是 “yes”:
cat /etc/sysconfig/authconfig USELDAP=yes USELDAPAUTH=yes USEMD5=yes USESHADOW=yes USELOCAUTHORIZE=yes
4. /etc/pam.d/system-auth
要让 PAM 身份验证服务使用 OpenLDAP 服务器,请将 pam_ldap 行加入到 /etc/pam.d/system-auth 中,位置在对应的标准 pam_unix.so 条目之后:
session required pam_unix.sosession optional pam_ldap.so
service sssd restart
service nslcd restart
2014-08-16更新:
今天找了个RH的工程师帮我看了下,很快就找到了原因,真是各种囧啊!其实只需要把ssl start_tls在nslcd.conf中注释掉就可以:
下面是图形配置: 这里不详细介绍了 网上一大堆 #setup 然后选择第一项,或者用如下命令,将会看到配置界面: #authchonfig-tui 配置选项 具体配置项目依照右侧的图像选择即可: 左侧选择:useLDAP 右侧选择:use MD5 …;use shadow…;use LDAP …和 Local auth…四项。 然后,点击NEXT后,在新出现的窗口中根据需要填写,具体如下: 在Server框中输入LDAP服务的地址:LDAP://服务器IP 在基本DN中输入dc=example,dc=com //这里要和前面的配置一致。 如果要采用加密的认证方式(考试时候要求),则要选择上方的TLS复选框,并且要将服务器端配置好的数字签名(如上右图提示)下载到/etc/openldap/cacerts目录下。在RHCE认证考试中,会提供证书下载链接的。 配置完成后,可以通过查看ldap客户端配置文件进行检查: #vi /etc/openldap/ldap.conf 再次检查/etc/nsswitch.conf的配置是否发生变化,是否可以找到如下形式: 这表示LDAP认证已经发挥作用。 测试配置 执行如下命令测试是否可以从LDAP服务器活动账户信息: #getent passwd |grep ldapuser //ldapuserX是前面配置好的账户 如果返回类似如下信息,说明正常! 如果没有返回信息,或返回错误,请检查配置,重新进行测试。如果检查配置没有错误,可以做如下修改,重新进行测试。 将/etc/sssd/sssd.conf文件中的#enumerate=false,修改为:enumerate=true,这样修改完后,getent就会从LDAP查找账户信息。 并重新执行如下命令: #service sssd restart
尝试切换用户测试
#su - ldapuser1
显示如上信息,说明账户可以登录,但没找到用户主目录。这需要在本地配置或者通过nfs挂载路径。
(12) 实现基于NFS的LDAP用户主目录(以下在服务器端安装)
安装NFS服务器
#yum install -y nfs
配置nfs服务器
在nfs服务器上输出/home目录,注意,输出的目录上必须有用户登录的目录!
#vi /etc/exports
输入如下内容并保存: /home *(rw,sync) //根据需要,可能要修改*,限制访问的网络 查找SELinux中关于nfs的配置项目,找到关于nfs主目录的项目: #getsebool -a |grep nfs allow_ftpd_use_nfs -->off allow_nfsd_anon_write -->off git_system_use_nfs -->off httpd_use_nfs --> off nfs_export_all_ro --> on nfs_export_all_rw --> on qemu_use_nfs --> on samba_share_nfs --> off use_nfs_home_dirs--> on #上行就是允许远程挂载用户主目录的选项,如果不是on则远程用户无权限进入自己的目录。 virt_use_nfs --> off xen_use_nfs --> off 用如下的命令修改选项: #setsebool -P use_nfs_home_dirs on //-P表示重新启动依然有效 设置完后,冲洗器的nfs服务器: #service nfs restart #chkconfig nfs on 检查nfs输出: #showmount -e Export list for RHCE01: /home * 可能报错: clnt_create:RPC:Unknownhost 解决办法: #/etc/init.d/rpcsvcgssd status rpc.svrgssdis stopped #/etc/init.d/rpcsvrgssd start #chkconfig rpcsvrgssd on #service nfs restart
配置防火墙,允许远程挂载:
#iptables -I INPUT -p tcp -mtcp --dport 2049 -j ACCEPT #service iptables save //保存防火墙配置项 #service iptables restart //重新启动防火墙
可以在LDAP客户端用如下命令测试端口是否可连接:
#telnet nfs服务器IP 2049
如果出现如下内容,则表示端口可以连接,并按ctrl+]断开,并输入quit推出Telnet。
配LDAP客户端(一下在客户端进行)
确保已经安装了autofs服务
#rpm -qa|grep autofs
b) 配置autofs服务
#vi /etc/auto.master
最后加入如下行并保存:
/home auto.nfs //表示挂载到本地的位置和配置文件 #vi /etc/auto.nfs
输入如下内容并保存:
* -fstype=nfs,rw,sync 192.168.136.248:/home/&
说明,上面的*表示要挂载的某用户的目录,后面的&表示用户名。
c) 测试登录
用如下命令测试:
#su - ldapuser1
出现如下结果,即表示成功!注意,这时候,登录的ldapuser1帐号不在本地,而是在LDAP服务器上。
最后
如果一切顺利的话(目前在RH 5.0的Client测试通过),用户帐号信息可以从客户机系统中删除并从 LDAP 目录中进行获取了。当用户试图登录客户机系统时,PAM 身份验证服务就会从用户那里获取用户名,在我们的例子中是 ldapuser。PAM 会从 LDAP 服务器中检索识别名(DN)条目 dn: uid=ldapuser, ou=People, dc=vnxldap, dc=com.。PAM 然后会从用户那里获取密码。然后 PAM 试图使用这个 DN 和密码与 LDAP 服务器进行绑定。DN 和密码都以正文文本的格式发送给 LDAP 服务器。在对密码进行散列操作之后,如果服务器可以让用户登录,就会向 PAM 报告说已经成功进行了绑定。成功绑定可以完全满足 PAM 对 pam_ldap 模块汇报成功的标准,如果所有其他 PAM 标准都已经满足了,那么就允许用户登录到系统中。
当 LDAP 服务器对身份验证进行处理时,需要解决另外两个问题才能满足提供可靠安全的身份验证的目标。现在,任何客户机系统不能成功地与 LDAP 服务器进行通信都会阻止用户登录客户机系统。在下一节中我们将看到如何消除这种单点故障,这将显示客户机如何从备份服务器上访问 LDAP 目录。由于用户密码是在网络上以正文文本格式传输的,因此这并不能满足安全身份验证的需求。配置 TLS 安全性 将解决这个问题。
参考
http://www.ibm.com/developerworks/cn/linux/l-openldap/#listing18
http://blog.yibi.org/2011/01/10/ldap-authentication-on-red-hat-enterprise-6
http://blog.yibi.org/2011/06/29/ldap-authentication-red-hat-enterprise-linux-6-update
