配置Ubuntu用戶端獲取OpenLDAP服務認證

本頁是為那些想配置 HTTP://www.aliyun.com/zixun/aggregation/13835.html">Ubuntu 用戶端以便從已有 OpenLDAP 服務得到認證的人而寫的。

安裝配置 LDAP 認證

安裝下列包：libpam-ldap libnss-ldap （參見 InstallingSoftware ）。 注意你必須啟動 universe 庫。

在安裝時，您將詢問下列問題：

所用 LDAP 伺服器位址 在這裡您也可以使用完整的功能變數名稱。 如ldap.example.co
搜索所基的標識名。 如dc=example,dc=com
所用 LDAP 版本 在這您通常可以選 3。
您的資料庫是否要求登錄 這裡您通常可以選 no。
您是否只想為自己配置可讀／可寫許可權 這裡應該回答 no
顯示的對話方塊說明它不能自動管理 nsswitch.conf。 只需選擇 OK。
您是否想讓本地根使用者成為資料庫管理員 這裡通常選 yes
再次詢問您的資料庫是否要求登錄 這裡您將選擇 no
您的根使用者登錄帳號 如：cn=manager,dc=example,dc=com
您的根使用者密碼
然後，一個對話方塊顯示不同的加密方式以指定 發送您密碼前所用的加密方式。 exop 通常是個好的選擇。

配置 nsswitch.conf

不幸的是我們在 /etc/nsswitch.conf 被配置之前還不能測試上述配置：

$ sudo vi /etc/nsswitch.conf

輸入下列命令，以便用 ldap files 代替 compat：

:%s/compat/ldap files/g

使用getent測試nsswitch.conf配置

現在您可以使用下列命令來測試組態（用使用者代替 <someldapuser> 並用您 LDAP 服務已知組代替 <someldapgroup>）：

$ getent passwd <someldapuser>
$ getent group <someldapgroup>

如果您在上述情形下得到回復，那麼您 LDAP nsswitch.conf 配置就是正確的，所有您所需做的就是去配置 PAM 了。

改變nsswitch.conf中的查找順序

您也許想交換 ldap 和 files 的順序，以便在查詢 LDAP 伺服器之前先檢查您的本地 passwd 檔：

$ sudo vi /etc/nsswitch.conf

然後按下面形式改變每行的順序：

passwd: files ldap
group:  files ldap
shadow: files ldap