閱讀視圖

1. 基礎環境準備
2. 關閉sssd及安裝nslcd客戶端
3. 配置nslcd客戶端
4. 啟動nslcd進程
5. 客戶端驗證
6. ssh登錄自動創建家目錄

1. 基礎環境準備

本文承接openldap服務端安裝配置，基礎環境請參考openldap服務端安裝配置

2. 關閉sssd及安裝nslcd客戶端

1. 關閉sssd進程，由於我這最小化安裝，並沒有sssd進程

   [root@mldap01 ~]# service sssd stop && chkconfig sssd off
   sssd: unrecognized service 

2. 安裝OpenLDAP客戶端軟件包

   [root@test01 ~]# yum -y install openldap-clients nss-pam-ldapd
    
   

3. 配置nslcd客戶端

1. 修改nslcd.conf配置文件，該文件是由nss-pam-ldapd包提供

   [root@test01 ~]# vim /etc/nslcd.conf
   uri ldap://mldap01.gdy.com
   base dc=gdy,dc=com
   ssl no
   tls_cacertdir /etc/openldap/certs
   [root@test01 ~]# rpm -qf /etc/nslcd.conf 
   nss-pam-ldapd-0.7.5-32.el6.x86_64

2. 修改pam_ldap.conf配置文件，由pam_ldap包提供，pam_ldap

   [root@test01 ~]# vim /etc/pam_ldap.conf
   base dc=gdy,dc=com
   uri ldap://mldap01.gdy.com
   ssl no
   tls_cacertdir /etc/openldap/certs
   bind_policy soft
   [root@test01 ~]# rpm -qf /etc/pam_ldap.conf 
   pam_ldap-185-11.el6.x86_64
    
   

3. 修改system-auth認證文件

   

   由pam包提供（系統自帶包）

   [root@test01 ~]# rpm -qf /etc/pam.d/system-auth
   pam-1.1.1-24.el6.x86_64

4. 修改nsswitch.conf配置文件

   

5. 修改authconfig文件

   [root@test01 ~]# rpm -qf /etc/sysconfig/authconfig 
   authconfig-6.1.12-23.el6.x86_64
   [root@test01 ~]# vim /etc/sysconfig/authconfig
   USESHADOW=yes
   USELDAPAUTH=yes
   USELOCAUTHORIZE=yes
   USELDAP=yes
    
   

   選項解釋如下

   USESHADOW=yes   //啟用密碼驗證
   USELDAPAUTH=yes   //啟用OpenLDAP驗證
   USELOCAUTHORIZE=yes    //啟用本地驗證
   USELDAP=yes      //啟用LDAP認證協議

   4. 啟動nslcd進程

   [root@test01 ~]# /etc/init.d/nslcd restart
   Stopping nslcd:                                            [FAILED]
   Starting nslcd:                                            [  OK  ]
   [root@test01 ~]# chkconfig nslcd on
   [root@test01 ~]# chkconfig --list nslcd
   nslcd           0:off   1:off   2:on    3:on    4:on    5:on    6:off

   5. 客戶端驗證

6. 使用id命令或getent命令驗證

   [root@test01 ~]# getent passwd user1            
   user1:x:501:501:user1:/home/user1:/bin/bash
   [root@test01 ~]# id user1
   uid=501(user1) gid=501(user1) groups=501(user1)
   [root@test01 ~]# cat /etc/passwd | grep user1

7. 使用ssh登錄驗證

   [root@test01 ~]# ssh [email protected]
   The authenticity of host ‘127.0.0.1 (127.0.0.1)‘ can‘t be established.
   RSA key fingerprint is 1a:8a:57:12:ee:68:91:a4:bd:c5:48:f1:03:a9:5f:9c.
   Are you sure you want to continue connecting (yes/no)? yes
   Warning: Permanently added ‘127.0.0.1‘ (RSA) to the list of known hosts.
   [email protected]‘s password: 
   Could not chdir to home directory /home/user1: No such file or directory
   -bash-4.1$ 

6. ssh登錄自動創建家目錄

1. 把/etc/ssh/sshd_config中的UsePAM設置成yes

   

2. 在/etc/pam.d/sshd添加最後一行，加入這行的目的是ssh首次登錄服務器時創建home目錄

   

   此時ssh登錄就會發現會自動創建home目錄，並且權限為0700。

3. 修改/etc/pam.d/password-auth

   

   這個還是需要加上，雖然不知道什麽意思。如果不加上，openldap 密碼策略時那一塊總是通過ssh登錄不上去。

4. 重啟sshd進程。最後不要忘記重啟sshd進程。

7. su到該用戶下自動創建家目錄

修改system-auth認證文件，添加如下行。就搞定了。此時su - $user就會自動創建了。

04-openldap客戶端安裝