6.openldap客户端安装

作者:yaoyao

1.账号登录系统流程讲解

1. 当在客户端输入账号登录系统时、系统根据/etc/nsswitch.conf配置文件获取账号查找顺序，然后在根据pam配置文件调用相关模块，对账号/etc/passwd及密码/etc/shadow进行查找并进行匹配，当本地匹配不成功时、会通过后端认证服务器进行验证

2.系统版本及配置文件

1. /etc/nsswitch.conf 用于验证用户身份所读取本地文件或是远程验证服务器的文件
2. /etc/sysconfig/authconfig 跟着ldap身份验证机制是否正确启动
3. /etc/pam.d/system-auth 实现用户帐号身份验证
4. /etc/pam_ldap.conf
   与openldap服务器进行交互，获取用户条目信息
5. /etc/openldap/ldap.conf 用于查询openldap服务器所有条目信息

1.安装客户端

#yum install openldap-clients nss-pam-ldapd -y

2.修改/etc/nslcd.conf

vim /etc/nslcd.conf
修改相关内容如下
uri ldap://127.0.0.1/
base dc=liuyao,dc=com
ssl no
tls_cacertdir /etc/openldap/cacerts                                                                 

3.修改/etc/pam_ldap.conf

vim /etc/pam_ldap.conf
修改相关内容如下 
    host 127.0.0.1
    uri ldap://127.0.0.1/
    ssl no
    tls_cacertdir /etc/openldap/cacerts
    bind_policy soft

4.修改/etc/pam.d/system-auth文件

#vim /etc/pam.d/system-auth

修改相关内容如下
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so
#重点内容
auth        sufficient    pam_ldap.so use_first_pass
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so
#重点内容
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass   use_authtok
password    required      pam_deny.so
#重点内容
password    sufficient    pam_ldap.so use_authtok
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
#重点内容
session     optional      pam_ldap.so
#重点内容
session     optional      pam__mkhomedir.so skel=/etc/skel umask=077

5.修改/etc/nsswitch.conf文件

#vim /etc/nsswitch.conf
修改相关内容如下
passwd:     files ldap
shadow:     files ldap
group:      files ldap

6.修改/etc/sysconfig/authconfig

#vim /etc/sysconfig/authconfig
修改相关内容如下
IPADOMAINJOINED=no
USEMKHOMEDIR=no
USEPAMACCESS=no
CACHECREDENTIALS=yes
USESSSDAUTH=no
USESHADOW=yes
USEWINBIND=no
USEDB=no
FORCELEGACY=no
USEFPRINTD=no
FORCESMARTCARD=no
PASSWDALGORITHM=sha512
#重点内容
USELDAPAUTH=yes
USEPASSWDQC=no
IPAV2NONTP=no
#重点内容
USELOCAUTHORIZE=yes
USECRACKLIB=yes
USEIPAV2=no
USEWINBINDAUTH=no
USESMARTCARD=no
#重点内容
USELDAP=yes
USENIS=no
USEKERBEROS=no
USESYSNETAUTH=no
USESSSD=no
USEHESIOD=no

7.修改/etc/openldap/ldap.conf

vim /etc/openldap/ldap.conf
TLS_CACERTDIR   /etc/openldap/certs

8.修改/etc/pam.d/sshd

#vim /etc/pam.d/sshd 
session    required     pam_mkhomedir.so

9.启动相关服务器

#/etc/init.d/nslcd restart

10.验证

getent passwd liuyao
#如果有返回代表配置成功