ldap配置记录
记录一下最近研究ldap+nfs的情况
ldap这个东西上次研究nis的时候就有人说那是上个世纪的老东西了,不应该继续使用。虽然意识到如此但时间不够还是使用了nis,这次乘着重做就干脆切换到ldap,可这次相当不顺利,折腾了一个星期左右,现在总算折腾好了,中间被坑了无数次,记录一下以备下次继续参考吧。
- 关防火墙,关防火墙,关防火墙
没想到这次又被这个大坑害了一把,因为用的是redhat7.0, 所以每次安装之后都是直接service iptables off, 一看提示没有就大意了,没把防火墙作为重点怀疑对象。在redhat7.0上现在统一使用systemctl stop firewalld.service;systemctl disable firewalld.service 来统一管理了,所以就在这个大坑里爬了好几天。
- ldapsearch绝对是用户之友,而且还有好几个ldap客户端可以下载使用,安装完成之后一定要先在client上用ldapsearch能查到东西之后再接着做其它尝试。
- 2.在配置slapd.d下面的rootpw的时候别用明码,明码很有可能会有问题,这个没有时间仔细验证了,但感觉必须用slappasswd来生成加密的密码。
- 3. 一定记得安装migrationtools,这样就可以在随便找一台机器上用useradd生成user,passwd,group等信息,然后用migrationtool去转换成ldif格式
- 4. ldapmodify/ldapadd/ldapdelete也是值得花时间去研究一下的,学习了之后用这个来进行管理还是特别方便。
- 5. 在客户端可以用ldap的用户来登录和管理需要使用nsltd来完成,这也是一个deamon进程,作用类似于sshd/su等进程会使用pam来查询和管理用户,pam里面需要安装pam_ldap.so,之后这个库会向nsltd转发类似的请求,nsltd则根据/etc/nsltd.conf配置文件的内容连接ldap server来完成验证。
- 6. 在redhat7上务必安装authconfig,这之后你的客户端配置就可以完全交给它了。简单的一条语句
authconfig —enableldap —enableldapi -就可以完成配置。
- 7. 细心再细心,这次最大的坑就是authconfig里面server的dc名字写反了,第二次的时候还改错了,所以浪费了很多时间。这个时候最好的帮手就是所有的进程都打开verbose活着debug模式了,慢慢核对,另外前面提到过的tcpdump依然是最佳帮手之一。