sssd是一款用以取代ldap和AD的软件,配置比较简单。
本文介绍如何在ldap客户端部署sssd,来启用ldap认证。
- 安装sssd
yum install sssdyum remove pam_ldap samba*
安装sssd,并卸载pam_ldap和samba相关的包
- 配置/etc/sssd/sssd.conf
[sssd]config_file_version = 2services = nss, pamdomains = LDAP[nss]filter_users = backup, bin, daemon, games, gnats, irc, landscape, libuuid, list, lp, mail, man, messagebus, news, ntp, proxy, root, smmsp, smmta, sshd, sync, sys, syslog, uucp, whoopsie, www-data, dw_adm[pam]
[domain/LDAP]id_provider = ldapauth_provider = ldapcache_credentials = TRUEdebug_level = 1ldap_uri = ldaps://ldap.vip#ldap_uri = ldaps://10.8.8.8, ldaps://10.8.8.9ldap_search_base = dc=example,dc=com#ldap_schema = rfc2307bisldap_default_bind_dn = uid=proxyagent,ou=Special_Users,dc=example,dc=comldap_default_authtok_type = passwordldap_default_authtok = gafn01n0wldap_tls_reqcert = neverldap_id_use_start_tls = trueldap_netgroup_search_base = ou=Netgroup,ou=example.com,ou=services,dc=example,dc=com?one?ldap_user_search_base = ou=People,dc=example,dc=com?sub?organizationalStatus=activeldap_group_search_base = ou=Group,dc=example,dc=com?sub?cache_credentials = trueenumerate = falseentry_cache_timeout = 5400
ldap_uri指向你的LDAP服务器,这里用的是域名,也可以是IP地址,DOMANI也可以配置多个域,一般只需要配置一个就可以了。
- 配置/etc/nsswitch.conf
配置好sssd.conf后就要配置/etc/nsswitch.conf 来告诉name service switch需要查找那些地方来给登录的用户服务了。
passwd: files sssshadow: files sssgroup: files sssnetgroup: files sss
files sss 表示先查找/etc/passwd, /etc/group等文件,没有的话再查找sss模块。
- 修改/etc/nscd.conf
最后一步, 如果开启了nscd服务,要禁用passwd和group cache的功能。
enable-cache passwd noenable-cache group noenable-cache netgroup no
- 最后开启sssd服务
/etc/init.d/sssd start
关于如何搭建LDAP服务端, 我会在其它文章中讲述,请关注我的博客。谢谢!
时间: 2024-10-10 02:56:00