参考网址:
http://blog.csdn.net/hitabc141592/article/details/22931179
http://blog.sina.com.cn/s/blog_64aac6750101gwst.html
网络资源查找、用户访问控制、认证信息查询、网络安全、商务网的通用数据库服务和安全服务。
目录服务是一种特殊的数据库系统,并专门针对读取、浏览、搜索操作进行了特定的优化。
/etc/openldap/ldap.conf定义全局性的内容
拷贝配置文件:/usr/share/openldap-servers/slapd.conf.obsolete
cp/usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf
创建管理员密码:
slappasswd
这里我输入的123456
{SSHA}WidKJ2k3LackYaz8cbOCatTgOOKmemua
slaptest -f /etc/openldap/slapd.conf -F/etc/openldap/slapd.d
Serviceslapd restart
拷贝配置文件:/usr/share/openldap-servers/DB_CONFIG.example
cp/usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
Chmod640 /etc/openldap/slapd.conf
chown ldap:ldap slapd.conf
重启服务
创建几个用户如:user1/user2/user3
安装migrationtools.noarch软件包
编辑文件:
/usr/share/migrationtools/migrate_common.ph
# Default DNS domain
$DEFAULT_MAIL_DOMAIN= "my-domain.com";
# Default base
$DEFAULT_BASE ="dc=my-domain,dc=com";
./migrate_passwd.pl /etc/passwd > /home/user.ldif
./migrate_group.pl/etc/group >/home/group.ldif
/usr/share/migrationtools/migrate_base.pl> /home/base.ldif
编辑三个文件:
[root@victormigrationtools]# catexample.ldif
dn:dc=my-domain,dc=com
dc: my-domain
objectClass:dcObject
objectClass:organizationalUnit
ou: my-domain.com
[root@victormigrationtools]# catou_people.ldif
dn:ou=people,dc=my-domain,dc=com
ou: people
[root@victormigrationtools]# cat ou_group.ldif
dn:ou=group,dc=my-domain,dc=com
ou: group
删除/etc/openldap/slapd.d
测试并生成配置文件:
slaptest -f/etc/openldap/slapd.conf -F /etc/openldap/slapd.d
chown -R ldap:ldap/etc/openldap/slapd.d
重启
修改所属组:
/var/lib/ldap
/etc/openldap/
下面就要把这三个文件导入到LDAP,这样LDAP的数据库里就有了我们想要的用户
ldapadd -x -D"cn=Manager,dc=my-domain,dc=com" -W -f /home/base.ldif
ldapadd -x -D"cn=Manager,dc=my-domain,dc=com" -W -f /home/user.ldif
ldapadd -x -D"cn=Manager,dc=my-domain,dc=com" -W -f /home/group.ldif
重启slapd服务
测试:
Ldapsearch -x -b "dc=my-domain,dc=com"
显示以下信息:
# user1, People,my-domain.com
dn:uid=user1,ou=People,dc=my-domain,dc=com
uid: user1
cn: user1
objectClass: account
objectClass:posixAccount
objectClass: top
objectClass:shadowAccount
userPassword::e2NyeXB0fSQ2JFRDMTIxU0pUJE5ldGxwSTZQTlJhdG5NeDVSd2o3RWh0WmdhZ2J
KLmNjRjBHUGQ3UEhmWVdTOEdoYUhZbHZ0ZnZVWUF0aU5WZFhBTW9hOGJiTnkwdWNkeDRBQlRwNXUw
shadowLastChange:17216
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell:/bin/bash
uidNumber: 501
gidNumber: 502
homeDirectory:/home/user1
二、安装nfs
yum install nfs*
/home/user1 *(rw,no_root_squash)
# service rpcbindrestart
# service nfs restart
三、LDAP客户端的设置:
安装LDAP client认证需要的pam包:
yum installnss-pam-ldapd pam_ldap -y
LANG=Cauthconfig-tui这个需要安装
authconfig
安装sssd:
yum install sssd
可以查看本地系统数据库或者LDAP数据库中的信息。例如getent passwd
一、使用这个命令: system-config-authentication
用户目录集中管理:
yum groupinstall 'directory client'
官方制作LDAP的文档:
http://www.idevelopment.info/data/LDAP/LDAP_Resources/OPENLDAP_Configure_System_to_Authenticate_Using_OpenLDAP_CentOS5.shtml
centos提供了两种接口来配置客户系统认证
CentOSprovides two interfaces to configure client system authentication:
- system-config-authentication - (GUI)
- authconfig - (CLI)
二、使用:
authconfig
authconfig--enableldap --enableldapauth --ldapserver='ldap://192.168.2.6'--ldapbasedn='dc=my-domain,dc=com' --enablemkhomedir --enableshadow--enablelocauthorize --passalgo=sha256 --update
测试是否生效:
authconfig --test
getsebool -a | grepnfs_home
use_nfs_home_dirs--> on
检查 sebool如果是 on那么远程用户无法进入自己的目录
setsebool -PVuse_nfs_home_dirs 0
/home/guests/etc/auto.ldap
cp /etc/auto.misc/etc/auto.ldap
Vi /etc/auto.ldap加入下面一行:
*192.168.2.6:/home/guests/&
service autofsreload
查资料,然后自己安装,配置,弄了一天没弄出来,悲剧。。。。
![RHEL6.3下配置基于NFS的LDAP服务器[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)