sssd是一款用以取代ldap和AD的软件，配置比较简单。

本文介绍如何在ldap客户端部署sssd，来启用ldap认证。

- 安装sssd

="font-size:16px;">yum install sssd

yum remove pam_ldap samba*/span>

安装sssd，并卸载pam_ldap和samba相关的包

- 配置/etc/sssd/sssd.conf

="font-size:16px;">[sssd]

config_file_version = 2

services = nss, pam

domains = LDAP

[nss]

filter_users = backup, bin, daemon, games, gnats, irc, landscape, libuuid, list, lp, mail, man, messagebus, news, ntp, proxy, root, smmsp, smmta, sshd, sync, sys, syslog, uucp, whoopsie, www-data, dw_adm

[pam]/span>

="font-size:16px;">[domain/LDAP]

id_provider = ldap

auth_provider = ldap

cache_credentials = TRUE

debug_level = 1

ldap_uri = ldaps://ldap.vip

#ldap_uri = ldaps://10.8.8.8, ldaps://10.8.8.9

ldap_search_base = dc=example,dc=com

#ldap_schema = rfc2307bis

ldap_default_bind_dn = uid=proxyagent,ou=Special_Users,dc=example,dc=com

ldap_default_authtok_type = password

ldap_default_authtok = gafn01n0w

ldap_tls_reqcert = never

ldap_id_use_start_tls = true

ldap_netgroup_search_base = ou=Netgroup,ou=example.com,ou=services,dc=example,dc=com?one?

ldap_user_search_base = ou=People,dc=example,dc=com?sub?organizationalStatus=active

ldap_group_search_base = ou=Group,dc=example,dc=com?sub?

cache_credentials = true

enumerate = false

entry_cache_timeout = 5400

ldap_uri指向你的LDAP服务器，这里用的是域名，也可以是IP地址，DOMANI也可以配置多个域，一般只需要配置一个就可以了。

- 配置/etc/nsswitch.conf

配置好sssd.conf后就要配置/etc/nsswitch.conf 来告诉name service switch需要查找那些地方来给登录的用户服务了。

="font-size:16px;">passwd:      files  sss

shadow:      files  sss

group:       files  sss

netgroup:     files  sss/span>

files sss 表示先查找/etc/passwd, /etc/group等文件，没有的话再查找sss模块。

- 修改/etc/nscd.conf

最后一步， 如果开启了nscd服务，要禁用passwd和group cache的功能。

="font-size:16px;">enable-cache            passwd          no

enable-cache            group           no

enable-cache            netgroup        no/span>

- 最后开启sssd服务

/etc/init.d/sssd start

关于如何搭建LDAP服务端， 我会在其它文章中讲述，请关注我们黑吧安全网。谢谢！