08.LDAP用户认证+TLS通信.docx

LDAP用户认证 OpenLDAP在用户认证的应用OpenLDAP经常用在用户登录认证方面，通过LDAP的数据复制功能，可让用户使用一个账户登录网络中使用LDAP服务的所有服务器。在主LDAP服务器中设置好用户账户数据，然后通过在网络中的任意客户端都可使用设置的账号进行登录操作。本节将简单介绍将用户认证迁移到LDAP的操作方法。 用户认证用到的ojbectClass在LDAP中用来保存用户认证条目的objectClass主要有以下3个，分别用来保存组、用户、密码等信息到目录的条目中。posixGroup：可设置属性cn、userPassword、gidNumber等。posixAccount：可设置属性cn、gidNumber、uid、uidNumber、homeDirectory、loginShell等。shadowAccount：可设置属性uid、shadowExpire、shadowFlag、shadowInactive、shadowLastChange、shadowMax、shadowMin、shadowWarning、userPassword等。提示：从上面列出的属性的名称可以很容易地与组、用户的相关信息联系起来举例：以下是组织结构[root@localhost ldap]# cat .ldif #组织架构,根据上图写的#需注意的是，每个冒号后面都需要空一格，而每行结束处不能留有空格字符。dn: dc=wyh,dc=comobjectclass: topobjectclass: dcobjectobjectclass: organizationdc: wyho: wyh,Inc.dn: ou=managers, dc=wyh, dc=comou: managersobjectclass: organizationalUnitdn: cn=wyh, ou=managers, dc=wyh, dc=comcn: wyhsn: wuyunhuiobjectclass: persondn: cn=test, ou=managers, dc=wyh, dc=comcn: testsn: Test Userobjectclass: person[root@localhost ldap]#ldap服务端用户迁移要使用LDAP进行用户认证，首先应该考虑的就是数据迁移的工作量。如果要操作员从/etc/passwd和/etc/group文件中逐个将信息重新录入，工作量将非常大。OpenLDAP为用户考虑到了这些迁移工作，提供了多个迁移工具的脚本程序，这些程序位于/usr/share/openldap/migration/目录中，在该目录中有很多扩展名为pl和sh的脚本文件，通过这些迁移工具，可以很方便地将系统中的用户迁移到LDAP目录数据库中。将系统中的用户信息迁移到LDAP目录数据库中。具体操作步骤如下：（1）修改/usr/share/openldap/migration/migrate_common.ph文件，在其中查找以下内容：$DEFAULT_BASE = dc=wyh,dc=com; #将其修改为目录服务器使用的根，（2）使用以下命令执行脚本migrate_base.pl，用来创建根项，并为Hosts、Networks、Group和People等创建低一级的组织单元：# ./migrate_base.pl base.ldif #执行migrate_base.pl生成base.ldif架构文件（3）由于前面已在LDAP服务器中创建了根项dc=wyh,dc=com，因此将base.ldif文件中的第1个条目删除，另外，在用户认证中只用到组和用户，也将其他无关条目删除，只保存以下内容：dn: ou=People,dc=wyh,dc=com ou: People objectClass: top objectClass: organizationalUnit dn: ou=Group,dc=wyh,dc=com ou: Group objectClass: top objectClass: organizationalUnit （4）使用以下命令将base.ldif文件中的条目导入目录数据库：# ldapadd - x -D cn=Manager,dc=wyh,dc=com -w secret -f base.ldif （5）开始迁移组信息。使用以下命令将/etc/group中的组信息保存到临时文件group.tmp中：# cat /etc/group group.tmp （6）系统组不导入LDAP目录数据库中，因此需对group.tmp文件中的信息进行编辑，只保留需要导入LDAP目录数据库的组的信