FreeBSD Ldap Client 端設定

作者: 不小心被逼到會日期: 2007-12-05 17:44

字體大小: 小中大

1. 安裝套件
必須裝 openldapclient, nss_ldap, pam_ldap 這三種套件

nss_ldap :
功能: 尋找到帳號資訊
設定檔: /usr/local/etc/nss_ldap.conf

備註：直接使用 ports 安裝 nss_ldap 即會自動安裝相對應的 openldap-client 版本
若是先安裝 openldap-client 再安裝 nss_ldap 的話
可能造成 openldap-client 與 nss_ldap 版本不符合而無法安裝 nss_ldap

pam_ldap:
功能: 讓系統辨識帳號
設定檔: /usr/local/etc/openldap/ldap.conf

pam_mkhomedir
功能: 如名稱,非常方便的附屬套件,可自由選擇安裝與否

2.調整設定
設定套件以及變更設定值使用ldap認證

/etc/nsswitch.conf :
功能: 讓系統依照順序尋找
設定:
group_compat: ldap nis
passwd_compat: ldap nis

/usr/local/etc/openldap/ldap.conf
功能: pam_ldap 設定檔
設定:
host [serverIP]
base [dc=your,dc=dnname]
bind_policy soft
pam_filter objectclass=posixaccount
pam_login_attribute uid

/usr/local/etc/nss_ldap.conf
功能: nss_ldap 設定檔
設定:
直接ln -s 共用 ldap.conf 即可

/etc/passwd
功能: 密碼認證檔
設定:
vipw加入
+:*::::::::

/etc/group
功能: 群組檔
設定:
vi /etc/group
加入
+:*::

/etc/pam.d/sshd
功能: pam 模組中 sshd 設定
設定:

CODE:

 #
 # $FreeBSD: src/etc/pam.d/sshd,v 1.15 2003/04/30 21:57:54 markm Exp $
 #
 # PAM configuration for the "sshd" service
 #
 # auth
 
 auth required pam_nologin.so no_warn
 auth sufficient pam_opie.so no_warn no_fake_prompts
 auth requisite pam_opieaccess.so no_warn allow_local
 #auth sufficient pam_krb5.so no_warn try_first_pass
 #auth sufficient pam_ssh.so no_warn try_first_pass
 auth sufficient /usr/local/lib/pam_ldap.so no_warn try_first_pass
 auth required pam_unix.so no_warn try_first_pass
 
 
 # account
 
 #account required pam_krb5.so
 account required pam_login_access.so
 account required pam_unix.so
 
 # session
 
 session optional pam_ssh.so
 session required pam_permit.so
 session required /usr/local/lib/pam_mkhomedir.so
 # password #password sufficient pam_krb5.so no_warn try_first_pass password required pam_unix.so no_warn try_first_pass

[Copy to clipboard]

重點在這一行

auth sufficient /usr/local/lib/pam_ldap.so no_warn try_first_pass

auth 中 pam_ldap 務必在 pam_unix 前載入

其他服務也比照設定.

3.驗證

ldapsearch -x

若有搜尋到資訊即ok.