openldap之（四）客户端部署 及如何进行配置备份和恢复

账户登录系统的流程讲解

当输入账户时，系统根据/etc/nsswitch.conf配置文件获取账户的查询顺序，
然后再根据PAM配置文件调用相关模块，对账号(/etc/passwd)及密码(/etc/shadow)进行查找并进行匹配。
当本地匹配不成功时，会通过后端验证服务器进行验证，比如openldap

分CentOS的各个大版本（5.x 6.x 7.x）

第一：让系统支持openldap

    centos5：默认支持openldap，所以不需要安装额外的软件包
    centos6和centos7：yum -y install openldap-clients nss-pam-ldapd 

第二：配置（有三种方式）

    #A：图形化配置
        authconfig-tui  #根据提示设置即可

        #这样添加后默认openldap的客户端是不能查询openldap的条目的，下面的配置是让客户端可以查询得到条目
        vi /etc/openldap/ldap.conf  #centos6和centos7是这个文件，centos5是/etc/ldap.conf这个文件，加上ldap服务器的ip和域
            URI ldap://192.168.1.71/
            BASE dc=wsfnk,dc=local

        #客户端验证，是否可以查询openldap对应目录中的信息
        getent passwd latiao        #查看uid为latiao的passwd信息

        #客户端登录验证

    #B：直接修改配置文件配置（略）

    #C：命令行进行配置
        authconfig -h       #查看authconfig的帮助信息
            --enableshadow, --useshadow #启用本地密码
            --disableshadow         #禁用本地密码
            --enablemd5, --usemd5       #启用MD5密码
            --disablemd5            #禁用md5密码
            --enablenis         #启用默认nis用户信息
            --disablenis            #关闭默认nis用户信息
            --enableldap            #启用默认ldap用户信息
            --disableldap           #关闭默认ldap用户信息
            --enableldapauth        #启用ldap身份验证功能
            --disableldapauth       #禁用ldap身份验证功能
            --ldapserver=<server>       #指定openldap服务器的ip地址或FQDN
            --ldapbasedn=<dn>       #指定openldap服务器dn名称
            --enableldaptls         #开启tls/sasl加密，加密传输端口636
            --disableldaptls        #禁用tls/sasl加密，使用明文端口389
            --ldaploadcacert=<url>      #指定openldap的公钥文件，当使用--enableldaptls才配置
            --enablesssd            #启用sssd用户功能
            --disablesssd           #禁用sssd用户功能
            --enablesssdauth        #启用sssd身份验证
            --disablesssdauth       #禁用sssd身份验证
            --enablemkhomedir       #启用用户登录自建家目录功能
            --disablemkhomedir      #禁用用户登录自建家目录功能
            --updateall         #更新所有配置
            --savebackup=<name>     #保持authconfig配置
            --restorebackup=<name>      #恢复authconfig配置
        示例
        authconfig --enableldap --enableldapauth --ldapserver=192.168.1.71 --ldapbasedn="dc=wsfnk,dc=local" --enablemkhomedir --update

        authconfig --enableldap --enableldapauth --enablemkhomedir --enableshadow --ldapserver=192.168.1.71 --ldapbasedn="dc=wsfnk,dc=local" --update

第三：演示用命令行authconfig 备份和恢复客户端配置

    #备份系统文件     #在设置使用openldap验证账户之前建议先备份系统配置文件
    authconfig --savebackup=systemconfig.bak

    #恢复初始配置参数   #当不再使用openldap认证服务器验证账户时，可以通过authconfig对备份的文件进行回滚
    authconfig --restorebackup=systemconfig.bak     #指定恢复文件进行恢复
    authconfig --restorelastbackup              #恢复在上一次配置更改前配置文件的备份