|
活動(dòng)目錄(AD)負(fù)責(zé)是微軟重要的認(rèn)證和管理解決方案���。它提供了用戶、計(jì)算機(jī)�����、打印機(jī)和應(yīng)用程序數(shù)據(jù)的集中管理�,也提供了對(duì)這些對(duì)象的認(rèn)證(如果可能的話)。
AD是基于LDAP————輕量目錄訪問(wèn)協(xié)議(the Lightweight Directory Access Protocol)�����。LDAP存將對(duì)象儲(chǔ)存在樹(shù)形結(jié)構(gòu)中,就像如今的文件系統(tǒng)一樣�����。在LDAP中���,每個(gè)最終的節(jié)點(diǎn)(node)都是一個(gè)屬性為組織單元(Organizational Unit)的容器節(jié)點(diǎn)(container node)里的對(duì)象����。
使用PAM(the Pluggable Authentication Module)���,linux能使用LDAP來(lái)驗(yàn)證用戶�����。AD也基于LDAP的��,因此它也能正常工作���。將AD于Linux環(huán)境整合,即使你使用不同的操作系統(tǒng),你也能輕而易舉統(tǒng)一整個(gè)網(wǎng)絡(luò)環(huán)境���。
對(duì)于如何配置一臺(tái)Windows的域控制器不在本文討論的范圍內(nèi)��,對(duì)此我不再贅述���。在本例中我們假設(shè)已經(jīng)成功配置了一臺(tái)基于Windows 2003 R2的域控制器,接下來(lái)直接介紹如何配置Linux客戶端到AD里進(jìn)行用戶驗(yàn)證�。本例中將使用到的是Windows 2003 R2和Debian Linux。
首先我們需要準(zhǔn)備Windows下支持UNIX的工具�����。你需要安裝“Identity Management for UNIX”組件����。你可以打開(kāi)“控制面板”的“添加刪除程序”中的“添加刪除Windows組建”,雙擊“活動(dòng)目錄服務(wù)”(Active Directory Services)�。如下圖:
安裝完UNIX組件�����,你就能給你Windows的域用戶配置UNIX屬性了����。打開(kāi)用戶的屬性對(duì)話框����,就能看到新增的UNIX屬性標(biāo)簽���。你不用擔(dān)心用戶的UID會(huì)重復(fù)����,Windows會(huì)自動(dòng)加大每個(gè)新用戶的UID�����。參考下圖:
500)this.width=500;" border="0">
下一步就要為那些需要在AD中進(jìn)行驗(yàn)證的用戶創(chuàng)建相關(guān)的UNIX屬性了了����。這句我翻譯不好:“I called this user scout and placed him in the Users container”。
接下來(lái)可以配置Linux服務(wù)器上的LDAP工具了�����。用下面的命令來(lái)安裝相關(guān)的軟件包:
$ apt-get install ldap-utils openssl libpam-ldap
ldap-utils提供了一些基本的LDAP命令行工具(例如ldap-search)��。openssl提供了對(duì)SSL/TLS的支持��,連接AD就能更加安全。最后libpam-ldap提供了用于通過(guò)LADP驗(yàn)證用戶信息的PAM模塊���。
下一步���,在/etc/ldap/ldap.conf里設(shè)定基本的LDAP信息:
要測(cè)試于AD的連接,我們可以做個(gè)簡(jiǎn)單的查詢:
# ldapsearch -x -W -D "cn=scout,cn=Users,dc=hemingway,dc=com" -LLL "(sAMAccountName=scout)"
輸出結(jié)果應(yīng)該就是用戶scout在LDAP數(shù)據(jù)庫(kù)中的信息��。
只要上面輸出正確���,就說(shuō)明工作正常����,我們可以加入libnss部分��,Debian系統(tǒng)中需要編輯的文件是/etc/libnss-ldap.conf���。于其他例子相反��,有不需要在文件中添加任何語(yǔ)句�����。實(shí)際上該文件中只需要下面10行語(yǔ)句即可:
host mike.hemingway.com
base dc=hemingway,dc=com
ldap_version 3
binddn cn=scout,cn=Users,dc=hemingway,dc=com
bindpw password
scope sub
timelimit 30
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_attribute homeDirectory unixHomeDirectory
下面,再來(lái)編輯/etc/nsswitch.conf文件。該文件告訴Linux服務(wù)器從哪里去查詢用戶名并解析用戶的UID����。我是這么設(shè)定的:
passwd: ldap files
group: ldap files
shadow: ldap files
這樣設(shè)定是讓Linux服務(wù)器先從LDAP中查詢數(shù)據(jù),如果發(fā)現(xiàn)查詢的用戶和組不存在�����,則從系統(tǒng)默認(rèn)的文件中查詢(例如:/etc/passwd文件)����。你可以用下面命令來(lái)確認(rèn)一下:
# getent passwd
前面的一部分應(yīng)該就是你配置了的基于AD驗(yàn)證的的UNIX用戶的屬性。
注意:Debian安裝時(shí)設(shè)定了/etc/nsswitch.conf文件的權(quán)限是只有root可讀�,如果要成功解析所有用戶的UID信息你需要修改他的權(quán)限為 644:
# chmod 644 /etc/nsswitch.conf
最后一步就是設(shè)定用PAM來(lái)認(rèn)證用戶。把下面這行加到文件/etc/pam.d/common-auth和/etc/pam.d/common-password中:
auth sufficient pam_ldap.so use_first_pass
把下面這行加到文件/etc/pam.d/common-session里:
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
如果用戶的home目錄不存在�����,pam_mkhomedir.so模塊會(huì)自動(dòng)為用戶創(chuàng)建他的home目錄��。
就這樣了���!你能測(cè)試用AD來(lái)作驗(yàn)證并使用ssh來(lái)登錄Linux服務(wù)器了:
|
