RedHat Enterprise 5.1下OpenLDAP的配置及PAMNSS的配置
服务器端 192.1.0.160
客户机端 192.1.0.221
一、在服务器端配置LDAP服务:
1.下载 openldap-2.4.11.tar.gz和db-4.7.25.tar.gz
2.安装BerkeleyDB
# tar xvf db-4.7.25.tar.gz
# cd db_4.7.25
# cd build_unix/
# ../dist/configure -prefix=/usr/local/BerkeleyDB
# make
# make install
安装完成后执行
#cp /usr/local/BerkeleyDB/lib/* /usr/lib/
可避免如下错误:
checking Berkeley DB version for BDB/HDB backends... no
configure: error: BDB/HDB: BerkeleyDB version incompatible
3.安装OpenLDAP
#cd openldap-2.4.15/
#./configure --prefix=/usr/local/openldap
#make depend
#make
#make install
4.启动LDAP服务
#./slapd
5.测试LDAP服务是否正常启动
返回
dn:
namingContexts: dc=my-domain,dc=com
则说明正常启动
6.正常关闭LDAP服务
7.日志配置
日志级别是累加的:296 = 256 日志连接/操作/结果 + 32 搜索过滤器处理 + 8 连接管理:
文件slapd.config中添加:
loglevel 296
日志信息会被记录到 syslogd LOG_LOCAL4 机制中。还需要将下面的内容添加到 /etc/syslog.conf 中:
重启syslog服务
在/var/log/slapd.log中即可查看ldap的日志信息。
二、客户机端制作账号迁移脚本
IBM的《使用 OpenLDAP 集中管理用户帐号》指出RedHat Enterprise 版本会自带
openldap-server、openldap-client和一些账号移植的脚本
但是在内网160和我昨天在虚拟机上装的RedHat上却没有找到相关文件。
今天又在虚拟机上装了一个,发现默认安装并不包括这些,需要定制安装:
在光盘安装过程中有个界面让选择默认安装还是定制安装,选择“定制安装”,下一步,勾选如下软件包:
开发--开发库
openldap-devel-2.3.27
perl-ldap
perl-mozllla-ldap
服务器——网络服务器
openldap-servers-2.3.27
基本系统——系统工具
openldap-client-2.3.27
基本系统——老的软件支持
compat-db
compat-openldap
安装完成后,就可以找到移植脚本和LDAP的一些文件了。
迁移密码和 shadow 信息
Red Hat 所提供的 openldap-servers 包包含 PADL Software Pty Ltd. 公司的 MigrationTools 工具。我们将使用这些工具将数据从 Linux 系统文件(例如 /etc/group 和 /etc/password)转换成 LDAP LDIF 格式,这是数据库信息的一种文本格式的表示。这种格式是行界定、冒号分隔的属性-值对。
有一组 Perl 脚本被安装到 /usr/share/openldap/migration/ 中执行迁移。这些 Perl 脚本的配置信息包含在 migrate_common.ph 文件的开头。对于我们的目的来说,只需要修改命名前缀的变量来使用条目的识别名就足够了,如下所示:
$DEFAULT_BASE = "dc=mydomain,dc=com"
在进行这些修改之后,请运行脚本 migrate_base.pl,它会创建根项,并为 Hosts、Networks、Group 和 People 等创建低一级的组织单元:
运行 migrate_base.pl
# ./migrate_base.pl > base.ldif |
编辑 base.ldif,删除除下面之外的所有条目:
base.ldif 条目
# cat base.ldifdn: dc=mydomain,dc=comdc: ibmobjectClass: topobjectClass: domaindn: ou=People,dc=ibm,dc=comou: PeopleobjectClass: topobjectClass: organizationalUnitdn: ou=Group,dc=ibm,dc=comou: GroupobjectClass: topobjectClass: organizationalUnit |
在 LDAP 服务器上,使用 OpenLDAP 客户机工具 ldapadd 将以下条目插入到数据库中。简单身份验证必须要使用 -x
选项指定。在 slapd.conf 中定义的 rootdn
身份验证识别名是 “cn=Manager,dc=mydomain,dc=com”。对于简单身份验证来说,必须使用密码。选项 -W
强制提示输入密码。这个密码就是在 slapd.conf 文件中指定的 rootpw
参数的值。包含这些条目的 LDIF 文件是使用 -f
选项指定的:
使用 ldapadd 插入条目
# ldapadd -x -D "cn=Manager,dc=mydomain,dc=com" -W -f base.ldif |
接下来,从 /etc/group 中迁移 ldapuser 组:
迁移 ldapuser 组
# grep ldapuser /etc/group > group.in # ./migrate_group.pl group.in > group.ldif # cat group.ldifdn: cn=ldapuser,ou=Group,dc=mydomain,dc=comobjectClass: posixGroupobjectClass: topcn: ldapuseruserPassword: {crypt}xgidNumber: 500# ldapadd -x -D "cn=Manager,dc=mydomain,dc=com" -W -f group.ldif |
最后,从 /etc/passwd 和 /etc/shadow 中迁移 ldapuser 的信息:
迁移 ldapuser 信息
# grep ldapuser /etc/passwd > passwd.in # ./migrate_passwd.pl passwd.in > passwd.ldif # cat passwd.ldifdn: uid=ldapuser,ou=People,dc=mydomain,dc=comuid: ldapusercn: ldapuserobjectClass: accountobjectClass: posixAccountobjectClass: topobjectClass: shadowAccountuserPassword: {crypt$1$TeOlOcMc$cpQaa0WpLSFRC1HIHW5bt1shadowLastChange: 13048shadowMax: 99999shadowWarning: 7loginShell: /bin/bashuidNumber: 500gidNumber: 500homeDirectory: /home/ldapusergecos: ldapuser# ldapadd -x -D "cn=Manager,dc=mydomain,dc=com" -W -f passwd.ldif |
三、客户机端配置NSS&PAM
参考IBM《使用 OpenLDAP 集中管理用户帐号》
配置 LDAP 客户机
部分
方法1 图形界面配置
方法2 修改配置文件
/etc/ldap.conf、/etc/nsswitch.conf、/etc/sysconfig/authconfig 和/etc/pam.d/system-auth
我的/etc/pam.d/system-auth的配置如下:
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
一点说明:pam_mkhomedir.so 负责用户初次登陆没有home目录时为其创建home目录。没有这项配置的话,新用户登陆可能会报/home目录找不到的错误。
转载于:https://blog.51cto.com/1123793/831302
RedHat Enterprise 5.1下OpenLDAP的配置及PAMNSS的配置相关推荐
- RedHat Enterprise Linux 5下配置Apache+Mysql+Php
Phinecos(洞庭散人) 专注于开源技术的研究与应用 RedHat Enterprise Linux 5下配置Apache+Mysql+Php 第一步:系统与软件的准备 系统版本 redhat e ...
- RedHat Enterprise Linux 5下安装firefox
RedHat Enterprise Linux 5下安装firefox 今天发现linux上的firefox浏览器版本有些低. 而浏览器上自带的更新功能不起作用. 于是从官网上下了一个最新版的fire ...
- redhat enterprise linux as4下载,RedHat Enterprise Linux AS4下安装小企鹅输入法.doc
RedHat Enterprise Linux AS4下安装小企鹅输入法 RedHat Enterprise Linux AS4下安装小企鹅输入法(五笔.拼音) 下载软件 fcitx-3.0.0-1. ...
- RedHat Enterprise Linux 7下安装 Oracle 12C
说明:本安装虚拟机下操作完成的,为了保证安装成功,请下载oracle 12.1.0.2.0版. 对于12.1.0.1.0版,笔者对它多次测试后,发现安装过程有很多错误提示,如 ...
- 红帽linux安装显卡驱动,RedHat Enterprise Linux 6 安装ATI显卡驱动
说说在RedHat Enterprise Linux 6 下安装ATI显卡驱动的过程: su - /*切换到root用户*/ yum update /*查看一下yum更新*/ yum insta ...
- redhat enterprise linux 下配置本地yum源
一.在linux 6.1中本地yum源配置:首先编辑yum源配置文件我们可以再这个目录中新创建一个配置文件, #cd /etc/yum.repos.d, #vim yum.repo配置文件内容简介 ...
- redhat Enterprise 5下安装中文输入法,
redhat Enterprise 5下安装中文输入法, 这实际上次解决VMware 6.5下不能正确显示中文的第二部分吧,还是以前的老问题,VMware6.5下安装redhat Enterprise ...
- RedHat Enterprise Linux 6 配置Xmanager ,实现图形界面连接
我们经常见到的几种最为常用的windows下远程管理Linux服务器的方法,基本上都是利用SecureCRT,或者是PUTTY等客户端工具通过ssh服务来实现Windows下管理Linux服务器的,这 ...
- 在RedHat Enterprise Linux 上Oracle 9i的安装配置与调优
1 安装配置Oracle 9i数据库 本章描述内容如下所示: 1.1 安装前的准备工作 介绍在安装Oracle之前所需的准备工作. 1.2安装前的系统设置 介绍在安装Oracle之前所必须的系统设置. ...
最新文章
- SpringMVC4 返回Json数据
- lwip之数据收发流程_1
- 【Python】青少年蓝桥杯_每日一题_8.19_数字组合
- 北斗导航 | GPS原理与接收机设计——青冥剑(金码、C/A码、P码)
- Android中用GridView实现九宫格的两种方法(转)
- 诚邀参加微软.NET俱乐部10月24日Windows 7社区发布会
- java 字典 引用_java中数据字典的使用
- Unix/Linux Command Reference
- rsync通过服务同步、linux日志、screen工具
- R语言与回归分析几个假设的检验
- Python 详解K-S检验与3σ原则剔除异常值
- IP防护等级标准及规定
- android ipv6 谷歌,Ipv6使用google服务的DNS
- CGAL多面体布尔运算
- Ubuntu14.04上安装calamari
- 关于数据库的递归查询
- 开关电源:效率与VOUT的关系
- 中国汽车检测行业投资现状及发展战略规划报告2022-2028年版
- miix4 装linux,联想miix4笔记本u盘安装win7系统步骤
- 雷达系统 学习笔记(七)——相控阵雷达2
热门文章
- Java学习总结:39(反射机制)
- 计算机用英语bos,宏基电脑boss界面英文翻译,不知道的可以看看。
- windows 软件安装事件_苹果安装windows,报windows支持软件未能存储到所选驱动器
- Jquery各版本下载,附Jquery官网下载方法
- String创建方式及其区别(快速了解)
- String类常用方法(看一眼就懂)
- iOS 根据数组中的字典的value值进行排序
- 【iOS】通讯录分组方式展示数据
- Spring Boot @ConfigurationProperties使用指导
- springMvc+mybatis+spring 整合 包涵整合activiti 基于maven