文章目录
账户登录系统的流程讲解
当输入账户时,系统根据/etc/nsswitch.conf配置文件获取账户的查询顺序,
然后再根据PAM配置文件调用相关模块,对账号(/etc/passwd)及密码(/etc/shadow)进行查找并进行匹配。
当本地匹配不成功时,会通过后端验证服务器进行验证,比如openldap
分CentOS的各个大版本(5.x 6.x 7.x)
第一:让系统支持openldap
centos5:默认支持openldap,所以不需要安装额外的软件包
centos6和centos7:yum -y install openldap-clients nss-pam-ldapd
第二:配置(有三种方式)
#A:图形化配置
authconfig-tui #根据提示设置即可
#这样添加后默认openldap的客户端是不能查询openldap的条目的,下面的配置是让客户端可以查询得到条目
vi /etc/openldap/ldap.conf #centos6和centos7是这个文件,centos5是/etc/ldap.conf这个文件,加上ldap服务器的ip和域
URI ldap://192.168.1.71/
BASE dc=wsfnk,dc=local
#客户端验证,是否可以查询openldap对应目录中的信息
getent passwd latiao #查看uid为latiao的passwd信息
#客户端登录验证
#B:直接修改配置文件配置(略)
#C:命令行进行配置
authconfig -h #查看authconfig的帮助信息
--enableshadow, --useshadow #启用本地密码
--disableshadow #禁用本地密码
--enablemd5, --usemd5 #启用MD5密码
--disablemd5 #禁用md5密码
--enablenis #启用默认nis用户信息
--disablenis #关闭默认nis用户信息
--enableldap #启用默认ldap用户信息
--disableldap #关闭默认ldap用户信息
--enableldapauth #启用ldap身份验证功能
--disableldapauth #禁用ldap身份验证功能
--ldapserver=<server> #指定openldap服务器的ip地址或FQDN
--ldapbasedn=<dn> #指定openldap服务器dn名称
--enableldaptls #开启tls/sasl加密,加密传输端口636
--disableldaptls #禁用tls/sasl加密,使用明文端口389
--ldaploadcacert=<url> #指定openldap的公钥文件,当使用--enableldaptls才配置
--enablesssd #启用sssd用户功能
--disablesssd #禁用sssd用户功能
--enablesssdauth #启用sssd身份验证
--disablesssdauth #禁用sssd身份验证
--enablemkhomedir #启用用户登录自建家目录功能
--disablemkhomedir #禁用用户登录自建家目录功能
--updateall #更新所有配置
--savebackup=<name> #保持authconfig配置
--restorebackup=<name> #恢复authconfig配置
示例
authconfig --enableldap --enableldapauth --ldapserver=192.168.1.71 --ldapbasedn="dc=wsfnk,dc=local" --enablemkhomedir --update
authconfig --enableldap --enableldapauth --enablemkhomedir --enableshadow --ldapserver=192.168.1.71 --ldapbasedn="dc=wsfnk,dc=local" --update
第三:演示用命令行authconfig 备份和恢复客户端配置
#备份系统文件 #在设置使用openldap验证账户之前建议先备份系统配置文件
authconfig --savebackup=systemconfig.bak
#恢复初始配置参数 #当不再使用openldap认证服务器验证账户时,可以通过authconfig对备份的文件进行回滚
authconfig --restorebackup=systemconfig.bak #指定恢复文件进行恢复
authconfig --restorelastbackup #恢复在上一次配置更改前配置文件的备份
如果文章对你有帮助,欢迎点击上方按钮打赏作者
暂无评论