一、账号登录系统流程讲解
当在客户端输入账号登录系统时,系统根据/etc/nsswitch.conf配置文件获取账号查找顺序,然后再根据PAM配置文件调用相关模块,对账号(/etc/passwd)及密码(/etc/shadow)进行查找并进行匹配。当本地匹配不成功时,会通过后端认证服务器(OpenLDAP服务器)进行验证。
二、配置文件功能介绍
下面介绍几个配置文件再后面我们会进行修改,我这里简单介绍一下。
/etc/nsswitch.conf 该文件主要用于名称转换服务,用于系统验证用户身份所读取本地文件或是远程验证服务器文件。
/etc/sysconfig/authconfig 主要用于提供身份验证之LDAP功能,该配置文件用来跟踪LDAP身份认证机制是否正确启用。
/etc/pam.d/system-auth 主要用于实现用户账户身份验证。
/etc/pam_ldap.conf 实现客户端与服务端的交互。
/etc/openldap/ldap.conf 主要用于查询OpenLDAP服务器所有条目信息。
三、三种部署方式介绍
1、图形化部署
一般通过 setup、authconfig-gui命令调用图形界面实现配置。通过图形方式将客户端加入到OpenLDAP服务端配置非常简单,只需要根据提示并正确选择菜单以及正确输入Server和Base DN对应的值即可。
当完成配置后,系统会根据你所定义的参数对涉及的配置文件进行修改,完成客户端的部署。
2、配置文档部署
当图形界面部署无法满足当前需求时,此时通过会选择修改配置文件方式实现OpenLDAP客户端的部署,例如,当对配置文件额外参数进行调整时。
3、命令行部署
一般通过anthconfig实现命令行的部署。命令行的部署是三种配置方式中最难的一种,比较难的是因为你事先需要定义相关选项及参数进行了解。
四、图形化部署OpenLDAP客户端
1、下载setup工具
1
yum install setuptool -y
2、域名解析,时间同步
3、配置文件备份
1 2
cp /etc/nsswitch.conf /etc/nsswitch.conf.bak cp /etc/pam.d/system-auth-ac /etc/pam.d/system-auth-ac.bak
4、操作步骤
直接运行setup命令。
发现我一个软件没有安装,没事,我们安装就是了。
5、查看修改的文件
目前查看一下,到底他修改了哪些文件。
1
[root@test01 ~]# vimdiff /etc/nsswitch.conf /etc/nsswitch.conf.bak
我们可以看到增加了ldap,说明用户验证首先查看本地文件,没有的话再通过ldap验证。
1
[root@test01 ~]# vimdiff /etc/pam.d/system-auth /etc/pam.d/system-auth.bak
主要添加一些pam支持ldap的认证。