RHEL7-openldap安装配置二（客户端安装配置）

LDAP用户登录流程:

当在客户端输入账号登录系统时，系统根据/etc/nsswitch.conf配置文件获取账号查找顺序，然后再根据PAM配置文件调用相关模块，对账号(/etc/passwd)及密码(/etc/shadow)进行查找并进行匹配。当本地匹配不成功时，会通过后端认证服务器(OpenLDAP服务器)进行验证。

主要的几个配置文件说明：

• /etc/nsswitch.conf 该文件主要用于名称转换服务，用于系统验证用户身份所读取本地文件或是远程验证服务器文件。

• /etc/sysconfig/authconfig 主要用于提供身份验证之LDAP功能，该配置文件用来跟踪LDAP身份认证机制是否正确启用。

• /etc/pam.d/system-auth 主要用于实现用户账户身份验证。

• /etc/pam_ldap.conf 实现客户端与服务端的交互。（rhel7没有该配置文件）

• /etc/openldap/ldap.conf 主要用于查询OpenLDAP服务器所有条目信息。

安装客户端软件包

yum install -y openldap-clients nss-pam-ldapd

配置Openldapclient

将LDAP服务器端主机名和IP地址的解析记录写入到/etc/hosts文件，因为我们没有配置DNS方式来解析主机或，所以就简单地写入到hosts文件里。

#echo "192.168.100.200 server0.ultrapower.com" >> /etc/hosts

3种配置图LDAP客户端的方式
1、图形界面配置方式
[root@desktop0 ~]# authconfig-gtk ---默认没有安装该工具，yum install authcongif-gtk 安装之后才能使用。

或者[root@desktop0 ~]# system-config-authentication

L

LDAP server:填写主机名或IP都可以。开头的’ldap://‘可以省略不写。

密钥获取通过http方式，因为我们在服务器端已经安装配置了httpd服务，并且已经把公钥文件cert.pem放到网站默认目录下了。

另外两种配置方式则使用scp方式拷贝密钥文件。

2、字符界面配置方式

[root@desktop0 ~]#authconfig-tui 

或者直接输入setup命令，选择Authentication configuration。之后的界面界面同上。

对比修改前后的配置文件：

1、/etc/nsswitch.conf 配置文件

 

2、/etc/pam.d/system-auth-ac配置文件

3、/etc/nslcd.conf 

uri ldap://server0.ultrapower.com/
base dc=ultrapower,dc=com
ssl start_tls
tls_cacertdir /etc/openldap/cacerts

3、命令行配置方式

As the authconfig-tui is deprecated, to configure the LDAP client side, there are two available options: nslcd and sssd.
In this tutorial, the nslcd option will be used, see the authconfig tutorial for the sssd option.

nslcd方式：

# authconfig --enableforcelegacy --update
# authconfig --enableldap --enableldapauth --ldapserver="server0.ultrapower.com" --ldapbasedn="dc=ultrapower,dc=com" --update
# scp 方式获取密钥
# authconfig --enableldaptls --update

也可以加上这个参数–enablemkhomedir ，ldap用户在登录系统时自动创建家目录。但是我们要使用nfs服务器上的共享目录，所以这里不需要该参数。

Note1: According to your requirements, you can need to specify the –enablemkhomedir option after the installation of the oddjob-mkhomedir package. The option creates a local user home directory at the first connection if none exists.
Note2: Type # authconfig –help | grep ldap to remember the necessary options.

[root@desktop2 ~]# authconfig --help | grep ldap
    --enableldap            enable LDAP for user information by default
    --disableldap           disable LDAP for user information by default
    --enableldapauth        enable LDAP for authentication by default
    --disableldapauth       disable LDAP for authentication by default
  --ldapserver=<server>
    --ldapbasedn=<dn>       default LDAP base DN
  --enableldaptls, --enableldapstarttls
  --disableldaptls, --disableldapstarttls
  --ldaploadcacert=<URL>
[root@desktop2 ~]# 

ssd方式：

# yum install -y sssd
# authconfig --enableldap --enableldapauth --ldapserver="server0.ultrapower.com" --ldapbasedn="dc=ultrapower,dc=com" --update
# scp root@192.168.100.200:/etc/openldap/certs/cert.pem /etc/openldap/cacerts/
# authconfig --enableldaptls --update

最后，我们要获取服务器端公钥文件并测试

把服务器端的密钥文件放到客户机/etc/openldap/cacerts目录下

[root@desktop1 ~]# scp root@192.168.100.200:/etc/openldap/certs/cert.pem /etc/openldap/cacerts/

测试：

[root@desktop1 ~]# ping server0.ultrapower.com  --必须能够ping通服务器主机名
PING server0.ultrapower.com (192.168.100.200) 56(84) bytes of data.
64 bytes from server0.ultrapower.com (192.168.100.200): icmp_seq=1 ttl=64 time=0.417 ms
^C
--- server0.ultrapower.com ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.417/0.417/0.417/0.000 ms
[root@desktop1 ~]# id testldapuser1
uid=1001(testldapuser1) gid=1001(testldapuser1) groups=1001(testldapuser1)
[root@desktop1 ~]# id testldapuser3
uid=1003(testldapuser3) gid=1003(testldapuser3) groups=1003(testldapuser3)
[root@desktop1 ~]# 

切换到ldap用户时提示没有用户目录：

[root@desktop1 ~]# su - testldapuser1
su: warning: cannot change directory to /home/guests/testldapuser1: No such file or directory
-bash-4.2$

如果我们勾选下图选项，则切换到LDAP用户时，会自动创建用户的家目录：

[root@desktop1 ~]# id testldapuser8
uid=1008(testldapuser8) gid=1008(testldapuser8) groups=1008(testldapuser8)
[root@desktop1 ~]# ls /home/
rusky
[root@desktop1 ~]# su - testldapuser8
Creating home directory for testldapuser8.
[testldapuser8@desktop1 ~]$ pwd
/home/guests/testldapuser8

　[testldapuser8@desktop1 ~]$ touch testfile8
  [testldapuser8@desktop1 ~]$ ls
  testfile8

但是会出现一个这样的问题，如果用户在不同的客户机上都创建自己的家目录，无法做到在不同的客户机下共享家目录。比如上面的testldpauser8用户在desktop1上登录时，创建了一个testfile8文件，下一次从desktop2上登录时是看不到这个文件的，因为该文件是保存在客户机本地。所以下一篇文章中，我们将使用NFS服务为每个用户都创建自己自己的共享目录，用户从不同的客户机上登录时，都挂载使用NFS服务器上的共享目录，这样就能保证用户家目录下的文件一致了。

参考文档：

https://www.certdepot.net/ldap-client-configuration-authconfig/

http://www.linuxidc.com/Linux/2016-08/134228.htm