ldap配置记录

记录一下最近研究ldap＋nfs的情况

ldap这个东西上次研究nis的时候就有人说那是上个世纪的老东西了，不应该继续使用。虽然意识到如此但时间不够还是使用了nis，这次乘着重做就干脆切换到ldap，可这次相当不顺利，折腾了一个星期左右，现在总算折腾好了，中间被坑了无数次，记录一下以备下次继续参考吧。

• 关防火墙，关防火墙，关防火墙

      没想到这次又被这个大坑害了一把，因为用的是redhat7.0， 所以每次安装之后都是直接service iptables off, 一看提示没有就大意了，没把防火墙作为重点怀疑对象。在redhat7.0上现在统一使用systemctl stop firewalld.service;systemctl disable firewalld.service 来统一管理了，所以就在这个大坑里爬了好几天。

•  ldapsearch绝对是用户之友，而且还有好几个ldap客户端可以下载使用，安装完成之后一定要先在client上用ldapsearch能查到东西之后再接着做其它尝试。

• 2.在配置slapd.d下面的rootpw的时候别用明码，明码很有可能会有问题，这个没有时间仔细验证了，但感觉必须用slappasswd来生成加密的密码。
• 3. 一定记得安装migrationtools，这样就可以在随便找一台机器上用useradd生成user,passwd,group等信息，然后用migrationtool去转换成ldif格式
• 4. ldapmodify/ldapadd/ldapdelete也是值得花时间去研究一下的，学习了之后用这个来进行管理还是特别方便。
• 5. 在客户端可以用ldap的用户来登录和管理需要使用nsltd来完成，这也是一个deamon进程，作用类似于sshd/su等进程会使用pam来查询和管理用户，pam里面需要安装pam_ldap.so，之后这个库会向nsltd转发类似的请求，nsltd则根据/etc/nsltd.conf配置文件的内容连接ldap server来完成验证。
• 6. 在redhat7上务必安装authconfig，这之后你的客户端配置就可以完全交给它了。简单的一条语句

authconfig —enableldap —enableldapi -就可以完成配置。

• 7. 细心再细心，这次最大的坑就是authconfig里面server的dc名字写反了，第二次的时候还改错了，所以浪费了很多时间。这个时候最好的帮手就是所有的进程都打开verbose活着debug模式了，慢慢核对，另外前面提到过的tcpdump依然是最佳帮手之一。