3,217 瀏覽數

LDAP-用戶端

LDAP client 端設定

Linux

首先檢查是否有安裝下列套件.

  • openldap…..
  • openldap-clients…..
  • nss_ldap-……

在 RedHat 第三片光碟片中的目錄 /mnt/cdrom/ReaHat/RPMS/可以找到所需的程式

要將 LDAP Client 指向 LDAP server 的主要設定檔為 /etc/openldap/ldap.conf ,RehHat Linux 提供指令 authconfig 來設定,但 authconfig  所提供設定檔有兩處
第一: 如下圖
authconfig1
此處主要設定 /etc/openldap/ldap.conf , /etc/nsswitch.conf,修改之後 /etc/nsswitch.conf 會新增一項 ldap , 因此 client 會將身分驗證工作指向 LDAP server

[root@benjr ~]#vi /etc/nsswitch.conf
passwd:     files ldap
shadow:     files ldap
group:      files  ldap

/etc/nsswitch.conf 主要作用為查詢時決定要用哪些方式 ,如 file , nisplus , ldap ……在這加入密碼驗證身份時除了本機的檔案( /etc/passwd , /etc/shadow, /etc/group) 可查詢外還可以向  ldap server 做查詢.而 LDAP server 的 IP 設定在 /etc/openldap/ldap.conf

[root@benjr ~]#vi /etc/openldap/ldap.conf
………..略………………
HOST 10.6.101.116
BASE dc=example,dc=com

第二: 如下圖
authconfig2
此處主要設定 /etc/openldap/ldap.conf , /etc/pam.d/system-auth ,修改之後 /etc/pam.d/system.auth 會新增許多項與 ldap 有關的設定

[root@benjr ~]#vi /etc/pam.d/system.auth
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok
auth        sufficient    /lib/security/pam_ldap.so use_first_pass
auth        required      /lib/security/pam_deny.so
account     required      /lib/security/pam_unix.so
account     [default=bad success=ok user_unknown=ignore service_err=ignore syste
m_err=ignore] /lib/security/pam_ldap.so
password    required      /lib/security/pam_cracklib.so retry=3 type=
password    sufficient    /lib/security/pam_unix.so nullok use_authtok md5 shado
w
password    sufficient    /lib/security/pam_ldap.so use_authtok
password    required      /lib/security/pam_deny.so
session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so
session     optional      /lib/security/pam_ldap.so

關於 PAM 請參考 Pluggable Authentication Modules 現在 Linux Client 就可以用 LDAP 帳號登入了

Windows 端設定

Windows client 會主動找尋 AD 或 PDC 來做身分認證,所以有兩種方式來設定 windows client 用 openLDAP 來做身分認證

  1. 修改 windows client 的認證方式,可以使用 pGina 來改變它的認證方式,有興趣的可以參考 pGina 的網站
  2. 用 samba 架 PDC 這將是我採用的方式.

要讓 Windows clients 加入 samba PDC (用於 LDAP 認證) 前,請先將 samba PDC (用於 LDAP 認證) 設定完成
 Windows 2000 Client 要先加入網域中方法如下
1.在 My Computer 按右鍵選 content,再選 Network Identification/Properties 如下圖
login1
選擇要加入的網域,先前 samba server 設定的網域為 SUN,所以在 Domain 填入 SUN.如下圖 
login3
填入使用者名稱為 root ,以及 root 的密碼
login5
成功便會出現以下的訊息
login7

網友的想法

  1. 自動參照通知: LDAP | Benjr.tw

發表迴響