使用OpenLDAP集中管理用户帐号

《使用OpenLDAP集中管理用户帐号》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、使用轻量级目录访问协议（LDAP）构建集中的身份验证系统可以减少管理成本，增强安全性，避免数据复制的问题，并提高数据的一致性。随着Linux®的不断成熟，己经出现了很多工具用來简化用户帐号信息到LDAP目录的迁移。还开发了一些工具用來在客户机和目录服务器Z间启用加密通信配置，并通过复制提供容错性。本文将向您展示如何配置服务器和客户机在RedHatLinux上使用OpenLDAP。简介Linux发行版中提供的OpenLDAP软件按照一个客户机/服务器模型实现了轻屋级目录访问协议（LDAP）。LDAP

2、的设计H的是提供一种有效的方法来查找和管理信息。OpenLDAP软件和包提供了创建冃录信息树（一个主要进行读操作的数据库）的工具。本文向您展示如何存储用户的帐号信息，并修改身份验证服务來使用LDAP获取所需要的信息。内部细节并不重要，因为这些丁•具可以将数据库的内容以文木格式（LDAP数据交换格式，LDIF）呈现在您的而前。LDAP信息被组织成属性和值的组合，称为条H（entry）.条目可能会具有必须的属性或可选属性。一个条目的属性必须要遵循/etc/openldap/schema/模式文件中定义

3、的规则。规则包含在条目的objectclass属性中。看一下下面的关系，我们可以看出posixAccountobjectclass中包含了密码文件条H的信息（posixAccountuserPassword是文件条H的base64编码）。图1.LDAP目录条目和Linux密码文件之间的关系posixAccountpasswordfileentiyattributesIdapiisei:$1$T«OIOcMc：500:500:Idapuser:/homeldapuser:/binba?licn:ui

4、d：'ui

5、yingauserinanadministrativedomain，EQUALITYintegerMatchSYNTAX1.3.6.1.4.1.1466.115.121.1.27SINGLE-VALUE)所冇的属性类型都已经定义了，它们被收集到posixAccountobjectclass中。例如：objectclass(1.3.6.1.1.1.2.0NAME'posixAccount'SUPtopAUXILIARYDESC?AbstractionofanaccountwithPOSTXattri

6、butes'MUST(cn$uid$uidNumbcr$gidNumbcr$homeDircctory)MAY(userPassword$loginShell$gecos$description))ldapuser条U具冇一•个识别名属性dm它用作用八名，并与userPasswoni-・起用來在LDAP目录中记录信息，或与LDAP目录绑定在一起使用。LDAP为作为容器使用的特殊条H提供了将这些条H组织成树结构的功能。在这个例子屮，我们将使用一个容器People保存用户帐号信息，使用另外一个容器Gr

7、oups保存组帐号信息。所生成的目录信息树如图2所示。图2.用户帐号信息使用的目录信息树Base:de二IBM,de二cornOu-Groups1uid^ldapuseruid=usef2Ou=People1Agid-ldapusergid=u$er2让我们來看一下如何配置OpenLDAP服务器，如何将信息从系统文件迁移到LDAP目录中，如何配置OpenLDAP客户机通过LDAP对用户进行身份验证。在使用一个集中的身份验证数据库时，应该通过使川复制技术采用第二个LDAP服务器提供高可用性，这样在主

8、服务器岀现问题时，就可以使川第二个LDAP服务器响应客户机的请求。山于诸如密码之类的身份验证数据会通过网络进行传输，因此希與使用TSL协议建立加密通信连接。我们的OpenLDAP服务器和客户机都是虚拟机，上面运行的是RedHatEnterpriseLinuxASrelease4(NahantUpdate1)。在我们的例了中使用了表1所列出的系统。如果想模仿这些例了，请使用适合您自己的设置。表1.系统网络信息角色OpenLDAP主服务器OpenLDAP从服务器OpenLDAP客八机主