OpenLDAP是(Lightweight Directory Access Protocol,LDAP)的自由和的实现,在其OpenLDAP许可证下发行,并已经被包含在众多流行的Linux发行版中。
它主要包括下述4个部分:
slapd - 独立守护服务
slurpd - 独立的LDAP更新复制守护服务
实现协议的库
工具软件和示例
服务器:192.168.136.248(server)
hostname: example.com
客户端:192.168.136.249 (client)
hostname: client
首先配置服务器(server):
(1) 安装LDAP相关软件
你现在准备安装软件; 这通常需要超级用户权限:
#yum list openldap*#yum install-y openldap openldap-clientsopenldap-servers
(2) 配置LDAP的域信息
#cd /etc/openldap#ls
你会看到以下几个文件
cacerts ldap.conf schema slapd.conf.bak slapd.d
编辑配置文件。
首先你改名或移动openldap的配置文件目录lapd.d,不然它不会读/etc/openldap/slapd.conf
#mv slapd.d /root/slapd.d-bak //移动到/root下#cp /usr/share/openldap-servers/slapd.conf.obsolete /etc/openldap/slapd.conf 然后,修改配置文件slapd.conf#vi slapd.conf
找到并修改如下内容:
suffix "dc=example,dc=com" //设置主机名前缀rootdn "cn=Manager,dc=example,dc=com" //设置域rootpw 123456 //取消左侧的注释和左侧的空格。后面的ldapadd命令要用的密码,中间用俩TAB键分割,然后保存修改并退出。
#slaptest -u -f slapd.conf //测试配置文件是否正确configfile testing succeeded需要特别注意的是rootpw和123456(密码)之间必须是2个tab健,否则在后面测试的时候会报错。
(3) 创建数据库文件(从模板复制产生)
#cd /var/lib/ldap
复制模板文件,不然重启的时候会报错valid(49)说是不合法的密码的错误。
cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIGmv /etc/openldap/slapd.d{,.bak} #chown ldap.ldap DB_CONFIG* //这里要添加*,否则后面启动服务会有警告注意:这里ldap 用户 可以创建也可以不管(最好不要创建了)# useradd ladp -d /var/lib/ldap:/sbin/nologin
(4) 启动LDAP服务
#/etc/init.d/slapd start
或用如下命令:
#service slapd start#chkconfig slapd on //服务加入启动管理器中
此时你在/var/lib/ldap 执行ll 命令会看到一些db文件。
#ll /var/lib/ldap-rw-r--r--.1 ldap ldap 2048 Feb 26 15:53 alock-rw-------.1 ldap ldap 24576 Feb 26 15:53__db.001-rw-------.1 ldap ldap 17637376 Feb 26 15:53__db.002-rw-------.1 ldap ldap 335552512 Feb 26 15:53 __db.003-rw-------.1 ldap ldap 2359296 Feb 26 15:53__db.004-rw-------.1 ldap ldap 802816 Feb 26 15:53__db.005-rw-------.1 ldap ldap 32768 Feb 26 15:53__db.006-rw-r--r--.1 ldap ldap 921 Feb 26 15:51DB_CONFIG-rw-------.1 ldap ldap 8192 Feb 26 15:53dn2id.bdb-rw-------.1 ldap ldap 32768 Feb 26 15:53id2entry.bdb-rw-------.1 ldap ldap 10485760 Feb 26 15:53log.0000000001
(5) 检查搜索域
#ldapsearch -x -b"dc=example,dc=com"
-b 指定用作搜索起始点的专有名称。使用引号来指定该值
-x 用于对搜索得到的信息进行排序。#extended LDIF
#
# LDAPv3
# base<dc=chenggefeng.com> with scope subtree
#filter: (objectclass=*)
#requesting: ALL
#
# searchresult
search:2
result:32 No such object
#numResponses: 1
可能出现如下错误,原因是忘记了-x参数:
ASL/GSSAPI authentication started
ldap_sasl_interactive_bind_s: Local error (-2)
additionalinfo: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information(Credentials cache file '/tmp/krb5cc_0' not found)
(6) 创建待认证的用户
#useradd ldapuser1#echo"123456"|passwd --stdin ldapuser1#useradd ldapuser2#echo "123456"|passwd--stdin ldapuser2#useradd ldapuser3#echo "123456"|passwd--stdin ldapuser3
(7) 安装迁移工具migrationtools
#cd /usr/share/doc/openldap-servers-2.4.23/#less README.migration(这个命令可以不操作,只是提醒读者)
As fromFedora 9, MigrationTools are shipped as separate package.
Install "migrationtools" package to get them, e.g.:帮助文档需要你安装migrationtools
#yum installmigrationtools -y
安装成功之后会在 /usr/share/migrationtools
#cd /usr/share/migrationtools#lsmigrate_aliases.pl migrate_all_offline.sh migrate_hosts.pl migrate_protocols.plmigrate_all_netinfo_offline.sh migrate_all_online.sh migrate_netgroup_byhost.pl migrate_rpc.plmigrate_all_netinfo_online.shmigrate_automount.pl migrate_netgroup_byuser.pl migrate_services.plmigrate_all_nis_offline.shmigrate_base.pl migrate_netgroup.pl migrate_slapd_conf.plmigrate_all_nis_online.sh migrate_common.ph migrate_networks.plmigrate_all_nisplus_offline.sh migrate_fstab.pl migrate_passwd.plmigrate_all_nisplus_online.sh migrate_group.pl migrate_profile.pl
可以看到,有一组 Perl 脚本被安装到 /usr/share/openldap/migration/ 中执行迁移。这些 Perl 脚本的配置信息包含在 migrate_common.ph 文件的开头。对于我们来说,只需要修改命名前缀的变量来使用条目的识别名就足够了,如下所示:
#vi migrate_common.ph
修改如下一些内容:
# Default DNS domain$DEFAULT_MAIL_DOMAIN = "example.com"; //改为 server 域名 即host# Default base $DEFAULT_BASE = "dc=example,dc=com"; //改为 server 域名 即host
在进行这些修改之后,请运行脚本 migrate_base.pl,它会创建根项,并为 Hosts、Networks、Group 和 People 等创建低一级的组织单元。
(8) 创建认证账户文件
几个主要的概念:
dn:一条记录的位置
dc:一条记录所属区域
ou:一条记录所属组织
cn/uid:一条记录的名字/ID
创建基本的数据库文件:
#./migrate_base.pl > ./base.ldif编辑修改刚才产生的文件:#vim base.ldif删除除下面之外的所有条目:(主要是防止系统用户与后面客户端重复,如配置单机可不用删)
dn: dc=example,dc=com dc: example objectClass: top objectClass: domain dn: ou=People,dc=example,dc=com ou: People objectClass: top objectClass: organizationalUnit dn: ou=Group,dc=example,dc=com ou: Group objectClass: top objectClass: organizationalUnit
创建用户数据库文件:
#./migrate_passwd.pl /etc/passwd ./user.ldif编辑 user.ldif#vim user.ldif删除除下面之外的所有条目:(主要是防止系统用户与后面客户端重复,如配置单机可不用删)
dn: uid=ldapuser1,ou=People,dc=example,dc=comuid: ldapuser1cn: ldapuser1..........homeDirectory:/home/ldapuser1 dn: uid=ldapuser2,ou=People,dc=example,dc=comuid: ldapuser2cn: ldapuser2............homeDirectory:/home/ldapuser2 dn: uid=ldapuser3,ou=People,dc=example,dc=comuid: ldapuser3cn: ldapuser3............homeDirectory:/home/ldapuser3
然后执行如下命令进行检测:
#ldapsearch -x -b -L "dc=example,dc=com"extendedLDIF## LDAPv3# base<-L> with scope subtree#filter: dc=example,dc=com# requesting:ALL# # searchresultsearch:2result:34 Invalid DN syntaxtext:invalid DN #numResponses: 1
创建组账户文件:
#./migrate_group.pl /etc/group groups.ldif编辑groups.ldif#vim groups.ldif删除除下面之外的所有条目(可以点v选择开始,移动光标选择,按x删除块):删除除下面之外的所有条目:(主要是防止系统用户与后面客户端重复,如配置单机可不用删)dn: cn=ldapuser1,ou=Group,dc=example,dc=comobjectClass: posixGroupobjectClass: topcn: ldapuser1userPassword: {crypt}xgidNumber: 601 dn:cn=ldapuser2,ou=Group,dc=example,dc=com .............gidNumber: 602 dn:cn=ldapuser3,ou=Group,dc=example,dc=com .........gidNumber: 603检查产生的三个文件
#cd /usr/share/migrationtools#llbase.ldif groups.ldif user.ldif-rw-r--r--. 1 root root 248Feb 26 18:02 base.ldif-rw-r--r--. 1 root root 402Feb 26 18:16 groups.ldif-rw-r--r--. 1 root root 1311 Feb 26 18:10 user.ldif
执行如下命令进行测试:#service slapd start //首先重新启动服务#ldapadd -D "cn=Manager,dc=example,dc=com" -W -x -f base.ldif
提示输入密码的时候,输入前面cd /etc/openldap/slapd.conf中配置的rootpw处配置的密码123456,如果出现错误:
ldap_bind: Invalid credentials (49)
就表示你要么给出了错误的"cn="条目,要么给出了错误的密码,要么就重新启动slapd服务
ldap_add: Already exists (68) ldapadd -D "cn=Manager,dc=bgi,dc=com" -W -x -f base.ldif –c 已经存在的情况
|
EnterLDAP Password:(输入你刚才设置的前面配置的rootpw密码),正确之后会显示:
adding new entry "dc=example,dc=com"adding new entry"ou=People,dc=example,dc=com"adding new entry"ou=Group,dc=example,dc=com"#ldapadd -D "cn=Manager,dc=example,dc=com"-W -x -f user.ldifEnterLDAP Password:(输入你刚才设置的密码),正确之后会显示:adding new entry"uid=ldapuser1,ou=People,dc=example,dc=com"adding new entry"uid=ldapuser2,ou=People,dc=example,dc=com"adding new entry"uid=ldapuser3,ou=People,dc=example,dc=com"#ldapadd -D "cn=Manager,dc=example,dc=com"-W -x -f groups.ldifEnterLDAP Password:(输入你刚才设置的密码),正确之后会显示:adding new entry"cn=ldapuser1,ou=Group,dc=example,dc=com"adding new entry"cn=ldapuser2,ou=Group,dc=example,dc=com"adding new entry"cn=ldapuser3,ou=Group,dc=example,dc=com"
此时运行:# ldapsearch -x -b "dc=example,dc=com" //(查询命令)输出如下内容:===================================================# ldapuser1, People, example.comdn: uid=ldapuser1,ou=People,dc=example,dc=comuid: ldapuser1cn: ldapuser1objectClass: accountobjectClass: posixAccountobjectClass: topobjectClass: shadowAccountuserPassword:: e2NyeXB0fSQ2JG9IQUdDNU9UJE5udUlrSWxnZTF5dFVRWUkveWVkV2VlRmRXUS5 la2o2bmF3aHByL3BFZ2F6RFpuOGRWd0lDZjhjaTJkNThZWmF3WFFpdUIyalZPNUhtaEZJd3VzdHExshadowLastChange: 16296shadowMin: 0shadowMax: 99999shadowWarning: 7loginShell: /bin/bashuidNumber: 500gidNumber: 500homeDirectory: /home/ldapuser1# ldapuser2, People, example.comdn: uid=ldapuser2,ou=People,dc=example,dc=comuid: ldapuser2cn: ldapuser2objectClass: accountobjectClass: posixAccountobjectClass: topobjectClass: shadowAccountuserPassword:: e2NyeXB0fSQ2JGZVYVQ2V0Z1JHpCTVNqUi5hWS9EYThNTWwwcVpRUVB0ZkZYUXN rOS5JdzFoOWVlYWFmWkhySkFCc2lvSVFYM3ZEUC54d21MNG1WdFJFd0Q3c1BtWkRvN2VFZS40eWIxshadowLastChange: 16296shadowMin: 0shadowMax: 99999shadowWarning: 7loginShell: /bin/bashuidNumber: 501gidNumber: 501homeDirectory: /home/ldapuser2 ………………………………………………# numResponses: 10# numEntries: 9
(9) 打开服务器端防火墙的389号端口
可以用如下命令检测某个服务的端口:#cat /etc/services |grep ldap //通过该命令查看ldap服务的端口是什么 #iptables -I INPUT -ptcp --dport 389 -j ACCEPT#iptables -I INPUT -pudp --dport 389 -j ACCEPT#service iptables save#service iptables restart
用如下命令检测某个服务器上的某个端口是否打开:
#telnet 服务器IP 端口号
一旦窗口没有任何信息或者出现服务器的服务信息,则表示端口打开。使用^+]断开测试,进入telnet的命令行模式,输入quit可以退出。
(10) 用GUI界面查看LDAP用户(如果没有 phpldapadmin包,以下可以不用做)
wget http://nchc.dl.sourceforge.net/project/phpldapadmin/phpldapadmin-php5/1.2.3/phpldapadmin-1.2.2.zip
#cd /var/www/html 下载 phpldapadmin-1.2.2.tgz //(版本不要下错啊!否则可能造成无法使用) #tar zxf phpldapadmin-1.2.2.tgz #cd phpldapadmin-1.2.2 #cd ../ #mv phpldapadmin-1.2.2 myldap #cd myldap/config#cp config.php.example config.php还有记得要装php-ldadp包和php包:#yum install php-ldap php -y #/etc/init.d/httpd restart //如果httpd服务没安装,要先安装#ifconfig|grep cas //查看本地IP地址
[root@example ~]# ifconfig|grep cas
inet addr:192.168.136.248 Bcast:192.168.136.255 Mask:255.255.255.0
然后打开浏览器可以类似的用http://192.168.136.248/myldap访问LDAP。界面如下:
如果http服务启动,但无法显示页面,可能是防火墙的问题,执行如下命令:
#iptables -I INPUT -p tcp -m tcp --dport 80 -jACCEPT#iptables -I INPUT -p tcp -m tcp --dport 389 -jACCEPT //LDAP 端口#service iptables save#service iptables restart
登录的时候:DN框输入:cn=Manager,dc=example,dc=com,密码框输入123456。
(11) 客户端配置(在另外一台电脑上进行,要求两台电脑网络联通!!!)
下面以RHEL6为例,介绍LDAP客户端的配置。
打开LDAP配置界面
客户端:192.168.136.249 (client)
hostname: client
如果是 centos 5.X 或者 redhat 5.X 很好配置:
配置 LDAP 客户机
用来设置客户机包括:
nss_ldap-226-6:包括两个 LDAP 访问客户机:nss_ldap 和 pam_ldap
nss_ldap 是一组 C 库扩展,它允许 LDAP 目录服务器用作一个用户和组信息的主源
pam_ldap 是一个 Linux-PAM 模块,它支持身份验证功能
LDAP 身份验证要想正确地工作,需要配置两个服务:系统命名服务和身份验证服务。
系统命名服务(NSS)需要配置为使用 LDAP 来解析诸如用户和组帐号之类的资源。例如,在运行命令
ls -l时,如果某个文件 inode 给出文件的所有者是 “user 501”,那么命名服务就需要将 “uid 501” 解析成用户名,并在ls命令输出结果中输出。通常来说,这是通过查找 /etc/passwd 文件中的所有用户帐号实现的。由于用户现在都存储在 LDAP 目录中,因此系统需要配置成同时对 passwd 文件和 LDAP 目录中的帐号进行解析。这种功能是通过 /usr/lib/libnss_ldap.so 库提供的。身份验证服务是实际向 LDAP 验证用户身份的服务。可插入身份验证模块(PAM)提供了本地 Linux 身份验证服务。下面我们将配置 PAM 先对本地的 /etc/passwd 文件检查用户帐号,然后再对 LDAP 服务器进行检查。PAM LDAP 模块可以用来将身份验证重定向到 LDAP 目录上。/lib/security/pam_ldap.so PAM 模块提供了 LDAP 身份验证功能。
身份验证本身是由 PAM 程序执行的,它从身份验证候选机制中获取用户名,将其绑定到 OpenLDAP 服务器上,检索与这个 uid 条目(用户名条目)相关的 DN;从身份验证候选机制中获取密码,然后使用这个 DN 和密码试图将其绑定到 OpenLDAP 服务器上。如果绑定成功,PAM 会报告说这个用户已经成功通过了 pam_ldap.so 提供的身份验证测试。根据 PAM 的配置不同,在用户看到命令行提示符之前可能会执行其他测试。
我们可以采用两种方法来配置LDAP客户机。一种快速而简单的方法是运行/usr/sbin/authconfig-gtk,并在两个屏幕中输入信息。另外一种方法是通过编辑客户机 LDAP配置文件/etc/ldap.conf,然后修改 /etc/nsswitch.conf、/etc/sysconfig/authconfig 和 /etc/pam.d/system-auth。
首先让我们来看一下如何运行 authconfig-gtk:
发现 Redhat 5 和CentOS 6 又不一样,以下是Redhat 5的界面:
这里 dc=example,dc=com
这里 IP: ldap://192.168.136.248/
5测试通过:
下面讲一下redhat 6.X
[root@client ~]# vi /etc/sssd/sssd.conf [domain/default]ldap_id_use_start_tls = Falsecache_credentials = Trueldap_search_base = dc=example,dc=comkrb5_realm = EXAMPLE.COMkrb5_server = kerberos.example.comenumerate=trueid_provider = ldapauth_provider = ldapchpass_provider = ldapldap_uri = ldap://192.168.136.248/ldap_tls_cacertdir = /etc/openldap/cacerts[sssd]services = nss, pamconfig_file_version = 2domains = default[nss][pam][sudo][autofs][ssh][pac]
那就安装pam_ldap,此处略去几十个字。
97 yum install nss-pam-ldapd: 98 yum install nss-pam-ldapd 99 yum install nslcd 100 yum install pam_ldap 101 yum install nss-pam-ldapd 102 yum install glibc-common 103 yum install nss-pam-ldapd 104 service nslcd status 105 vi /etc/nslcd.conf
继续往后走,还是登陆不了,《》指出还得启动nslcd及安装nss-pam-ldapd。The nss-pam-ldapd package allows LDAP directory servers to be used as a primary source of name service information. (Name service information typically includes users, hosts, groups, and other such data historically stored in flat files or NIS.)
好,那就再安装nss-pam-ldapd:
[root@client ~]# vi /etc/nslcd.conf
找到这几行看一下是否填对 ?
uid nslcdgid ldap# This comment prevents repeated auto-migration of settings.uri ldap://192.168.136.248/base dc=example,dc=com
[root@OpenLDAP-Client ~]# service nslcd statusnslcd (pid 2451) is running...
几番测试死活不行,遂直接改成第二张方案,即编辑客户机文件
LDAP 配置文件 /etc/openldap/ldap.conf
/etc/nsswitch.conf
/etc/sysconfig/authconfig
/etc/pam.d/system-auth
1. /etc/openldap/ldap.conf:
PAM 和 NSS 模块使用的基本配置文件是 /etc/openldap/ldap.conf。host 选项指定 LDAP 服务器,base 选项指定这个目录使用的 DN。
cat /etc/openldap/ldap.confURI ldap://192.168.136.248/BASE dc=example,dc=com TLS_CACERTDIR /etc/openldap/cacerts
2. /etc/nsswitch.conf
要让 NSS 服务使用 OpenLDAP 服务器,需要将 “ldap” 添加到 /etc/nsswitch.conf 文件的 passwd、shadow 和 group 行中,如下所示:
passwd: files ldapshadow: files ldapgroup: files ldap
3. /etc/sysconfig/authconfig
用来跟踪特定身份验证机制是否已经启用的文件是 /etc/sysconfig/authconfig。我们可以希望以下条目的值都是 “yes”:
cat /etc/sysconfig/authconfigUSELDAP=yesUSELDAPAUTH=yesUSEMD5=yesUSESHADOW=yesUSELOCAUTHORIZE=yes
4. /etc/pam.d/system-auth
要让 PAM 身份验证服务使用 OpenLDAP 服务器,请将 pam_ldap 行加入到 /etc/pam.d/system-auth 中,位置在对应的标准 pam_unix.so 条目之后:
session required pam_unix.sosession optional pam_ldap.so
service sssd restart
service nslcd restart
2014-08-16更新:
今天找了个RH的工程师帮我看了下,很快就找到了原因,真是各种囧啊!其实只需要把ssl start_tls在nslcd.conf中注释掉就可以:
下面是图形配置: 这里不详细介绍了 网上一大堆#setup然后选择第一项,或者用如下命令,将会看到配置界面:#authchonfig-tui配置选项具体配置项目依照右侧的图像选择即可:左侧选择:useLDAP右侧选择:use MD5 …;use shadow…;use LDAP …和 Local auth…四项。 然后,点击NEXT后,在新出现的窗口中根据需要填写,具体如下:在Server框中输入LDAP服务的地址:LDAP://服务器IP在基本DN中输入dc=example,dc=com //这里要和前面的配置一致。如果要采用加密的认证方式(考试时候要求),则要选择上方的TLS复选框,并且要将服务器端配置好的数字签名(如上右图提示)下载到/etc/openldap/cacerts目录下。在RHCE认证考试中,会提供证书下载链接的。配置完成后,可以通过查看ldap客户端配置文件进行检查:#vi /etc/openldap/ldap.conf再次检查/etc/nsswitch.conf的配置是否发生变化,是否可以找到如下形式:这表示LDAP认证已经发挥作用。测试配置执行如下命令测试是否可以从LDAP服务器活动账户信息:#getent passwd |grep ldapuser //ldapuserX是前面配置好的账户如果返回类似如下信息,说明正常!如果没有返回信息,或返回错误,请检查配置,重新进行测试。如果检查配置没有错误,可以做如下修改,重新进行测试。将/etc/sssd/sssd.conf文件中的#enumerate=false,修改为:enumerate=true,这样修改完后,getent就会从LDAP查找账户信息。并重新执行如下命令:#service sssd restart
尝试切换用户测试
#su - ldapuser1
显示如上信息,说明账户可以登录,但没找到用户主目录。这需要在本地配置或者通过nfs挂载路径。
(12) 实现基于NFS的LDAP用户主目录(以下在服务器端安装)
安装NFS服务器
#yum install -y nfs
配置nfs服务器
在nfs服务器上输出/home目录,注意,输出的目录上必须有用户登录的目录!
#vi /etc/exports
输入如下内容并保存:/home *(rw,sync) //根据需要,可能要修改*,限制访问的网络查找SELinux中关于nfs的配置项目,找到关于nfs主目录的项目:#getsebool -a |grep nfsallow_ftpd_use_nfs -->offallow_nfsd_anon_write -->offgit_system_use_nfs -->offhttpd_use_nfs --> offnfs_export_all_ro --> onnfs_export_all_rw --> onqemu_use_nfs --> onsamba_share_nfs --> offuse_nfs_home_dirs--> on #上行就是允许远程挂载用户主目录的选项,如果不是on则远程用户无权限进入自己的目录。virt_use_nfs --> offxen_use_nfs --> off用如下的命令修改选项:#setsebool -P use_nfs_home_dirs on //-P表示重新启动依然有效设置完后,冲洗器的nfs服务器:#service nfs restart#chkconfig nfs on检查nfs输出:#showmount -eExport list for RHCE01:/home *可能报错:clnt_create:RPC:Unknownhost解决办法:#/etc/init.d/rpcsvcgssd statusrpc.svrgssdis stopped#/etc/init.d/rpcsvrgssd start#chkconfig rpcsvrgssd on#service nfs restart
配置防火墙,允许远程挂载:
#iptables -I INPUT -p tcp -mtcp --dport 2049 -j ACCEPT #service iptables save //保存防火墙配置项#service iptables restart //重新启动防火墙
可以在LDAP客户端用如下命令测试端口是否可连接:
#telnet nfs服务器IP 2049
如果出现如下内容,则表示端口可以连接,并按ctrl+]断开,并输入quit推出Telnet。
配LDAP客户端(一下在客户端进行)
确保已经安装了autofs服务
#rpm -qa|grep autofs
b) 配置autofs服务
#vi /etc/auto.master
最后加入如下行并保存:
/home auto.nfs //表示挂载到本地的位置和配置文件#vi /etc/auto.nfs
输入如下内容并保存:
* -fstype=nfs,rw,sync 192.168.136.248:/home/&
说明,上面的*表示要挂载的某用户的目录,后面的&表示用户名。
c) 测试登录
用如下命令测试:
#su - ldapuser1
出现如下结果,即表示成功!注意,这时候,登录的ldapuser1帐号不在本地,而是在LDAP服务器上。
最后
如果一切顺利的话(目前在RH 5.0的Client测试通过),用户帐号信息可以从客户机系统中删除并从 LDAP 目录中进行获取了。当用户试图登录客户机系统时,PAM 身份验证服务就会从用户那里获取用户名,在我们的例子中是 ldapuser。PAM 会从 LDAP 服务器中检索识别名(DN)条目 dn: uid=ldapuser, ou=People, dc=vnxldap, dc=com.。PAM 然后会从用户那里获取密码。然后 PAM 试图使用这个 DN 和密码与 LDAP 服务器进行绑定。DN 和密码都以正文文本的格式发送给 LDAP 服务器。在对密码进行散列操作之后,如果服务器可以让用户登录,就会向 PAM 报告说已经成功进行了绑定。成功绑定可以完全满足 PAM 对 pam_ldap 模块汇报成功的标准,如果所有其他 PAM 标准都已经满足了,那么就允许用户登录到系统中。
当 LDAP 服务器对身份验证进行处理时,需要解决另外两个问题才能满足提供可靠安全的身份验证的目标。现在,任何客户机系统不能成功地与 LDAP 服务器进行通信都会阻止用户登录客户机系统。在下一节中我们将看到如何消除这种单点故障,这将显示客户机如何从备份服务器上访问 LDAP 目录。由于用户密码是在网络上以正文文本格式传输的,因此这并不能满足安全身份验证的需求。 将解决这个问题。
参考