Linux使用pam_ldap實現windows ad認證

標籤：windows   linux   security   去哪裡   

配置linux通過ad認證的方法有很多，如samba使用的winbind方式。這裡我使用的是pam_ldap方式，網上有很多這樣相關的文章，都是按官網上一步步做，先配nsswitch.conf，再配ldap.conf。配置nsswitch.conf的作用是告訴系統去哪裡擷取到使用者的pw資訊(如getpwnam，getpwuid等函數調用時用)，有時候，我們通常希望將帳號配置在系統的/etc/passwd,只需要使用ad作一個認證，沒有必要按官網的步驟一步步來。

首行下載pam_ldap

wget http://www.padl.com/download/pam_ldap.tgz

解壓編譯安裝：

tar -xzvf pam_ldap.tgz

cd pam_ldap

./configure --prefix=/usr --sysconfdir=/etc

mv /usr/lib/security/pam_ldap.so /lib64/security/

修改/etc/ldap.conf如下

650) this.width=650;" src="http://s3.51cto.com/wyfs02/M01/53/81/wKiom1Rpbdyi5j2aAAC7ugEr10U339.jpg" title="151324_1nqR_727579.png" alt="wKiom1Rpbdyi5j2aAAC7ugEr10U339.jpg" />

接觸過AD的朋友，我想一眼就能看懂，如果需要調試可以開啟debug和logdir，這樣就可以知道報錯資訊。

修改/etc/pam.d/system-auth添加紅框部分如下：

650) this.width=650;" src="http://s3.51cto.com/wyfs02/M02/53/7F/wKioL1RpblvQ-iYGAACiULhs1_4002.jpg" title="151633_fOrs_727579.png" alt="wKioL1RpblvQ-iYGAACiULhs1_4002.jpg" />

在ad中建立一個使用者，同時在linux系統建相同使用者名稱的帳號，不用設密碼，嘗試一下可以用ad密碼登陸了。

----------------------------以下是另一個網友的配置方案---------------------------------------------

Linux通過LDAP方式，使用windows AD帳戶登入linux shell，這個想法很cool吧。

之前配置過一次，但過了太久忘記了，因此，今天把配置方法記錄下來。

先說一下環境：

域控伺服器：1.1.1.1 網域名稱 123.cc dns就是域控。

linux是CentOS 5.4，使用pam認證方式認證ldap。

在windows 上將網域設定好，唯一注意的是，要安裝dns服務。網域設定好之後，使用靜態ip，並在windows網卡配置dns的地方，填上自己的ip，即1.1.1.1，同時，在域中建立一個使用者，www.linuxidc.com使用者名稱就用user吧，密碼因為windows複雜性密碼的要求，使用123qweASD。

linux的配置更加簡單，請看設定檔：

# cat /etc/ldap.conf
host 1.1.1.1          //域控的IP
base dc=123,dc=cc
uri ldap://1.1.1.1/    //ldap伺服器的uri，一般僅需更改其中的IP
binddn cn=user,cn=Users, dc=123,dc=cc   //dc需要按照網域名稱的每個位元組輸入。 cn是使用者及使用者組。
bindpw 123qweASD    //認證使用者的密碼。
scope sub
debug 1
logdir /var/log
pam_login_attribute     sAMAccountName
pam_filter              objectclass=User
pam_password            ad
#pam_member_attribute    uniquemember
pam_groupdn             OU=Groups,DC=123,DC=CC?sub  //ou是組，dc同上。

# cat /etc/security/group.conf | grep -v "#"
* ; * ; * ; Al0000-2400 ; floppy, audio, cdrom, video, usb, plugdev, burning, users    //此檔案不需要修改。

好了，配置完成了。登入的時候，使用域中的帳號密碼登入即可。

本文出自 “諶大集團” 部落格，請務必保留此出處http://52czy.blog.51cto.com/3704825/1577341

Linux使用pam_ldap實現windows ad認證