SUSE LINUX 文件
章 45. LDAP — 一種目錄服務 / 45.5. YaST LDAP 用戶端
前一頁45.4. LDAP 目錄中的資料處理45.6. 在 YaST 中設定 LDAP 使用者和群組下一頁

45.5. YaST LDAP 用戶端

YaST 包含一個模組,可用來設定 LDAP 式的使用者管理。如果您在安裝時未啟用此功能,則可選取網路服務+LDAP 用戶端來啟用模組。YaST 會自動啟用 LDAP 所需的任何 PAM 和 NSS 相關變更 (如下述),並安裝必要檔案。

45.5.1. 標準程序

具備作用於用戶端機器背景的處理程序基本知識,可協助您瞭解 YaST LDAP 用戶端模組的運作方式。如果已啟動 LDAP 以進行網路驗證或者已呼叫 YaST 模組,則表示已安裝 pam_ldapnss_ldap 套件,而且兩個對應的組態檔也已經調整。 pam_ldap 為 PAM 模組,負責登入程序和 LDAP 目錄之間的協調,也是驗證資料的來源。已安裝 pam_ldap.so 專用模組並調整 PAM 組態 (請參閱 範例 45.11, "適用於 LDAP 的 pam_unix2.conf")。

範例 45.11. 適用於 LDAP 的 pam_unix2.conf

auth:       use_ldap 
account:    use_ldap
password:   use_ldap 
session:    none

在手動設定額外服務以使用 LDAP 時,應納入 PAM組態檔中的 PAM LDAP 模組,該組態檔與 /etc/pam.d 中的服務相對應。可在 /usr/share/doc/packages/pam_ldap/pam.d/ 中找到適用於個別服務的組態檔。將適當的檔案複製到 /etc/pam.d

透過 nsswitch 機制進行的 glibc 名稱解析適用於含有 nss_ldap 的 LDAP。安裝此套件時,已在 /etc/ 中建立一個新的調整過的 nsswitch.conf 檔案。更多有關 nsswitch.conf 的作業可在 節 38.5.1, "組態檔" 中找到。nsswitch.conf 必須包含下列幾行,以供 LDAP 進行使用者管理及驗證。請參閱 範例 45.12, "nsswitch.conf中的調整"

範例 45.12. nsswitch.conf中的調整

passwd: compat
group: compat

passwd_compat: ldap
group_compat: ldap

這幾行會先命令 glibc 的查詢程式庫評估 /etc 中的對應檔案,然後存取 LDAP 伺服器,以它作為驗證及使用者資料的來源。可對此機制進行測試,例如使用 getent passwd 指令來讀取使用者資料庫的內容。所傳回的資料集應包含一份有關您系統上的本地使用者和 LDAP 伺服器儲存的所有使用者的調查。

如果要避免一般使用者透過 LDAP 以 sshlogin 登入伺服器,則 /etc/passwd/etc/group 檔案必須各自增加一行。該行的內容為 +::::::/sbin/nologin in /etc/passwd and +:::in /etc/group

45.5.2. LDAP 用戶端的組態

起始調整 nss_ldap 之後,YaST 就會開始處理 pam_ldap/etc/passwd/etc/group;您只需將用戶端連接到伺服器,讓 YaST 透過 LDAP 進行使用者管理。節 45.5.2.1, "基本組態" 中有說明這個基本設定。

使用 YaST LDAP 用戶端進一步設定 YaST 群組和使用者組態模組。這包括操作新使用者和群組的預設設定,以及指定給使用者或群組的屬性數目和性質。與傳統的使用者或群組管理解決方案相比,LDAP 使用者管理可讓您將更多不同屬性指定給使用者和群組。這會在 節 45.5.2.2, "設定 YaST 群組和使用者管理模組" 中說明。

45.5.2.1. 基本組態

如果您選擇 LDAP 使用者管理,或是在已安裝系統的「YaST 控制中心」選取網路服務+LDAP 用戶端,就會在安裝期間開啟基本 LDAP 用戶端組態對話方塊 (圖形 45.2, "YaST:LDAP 用戶端的組態")。

圖形 45.2. YaST:LDAP 用戶端的組態

YaST:LDAP 用戶端的組態

若要對 OpenLDAP 伺服器驗證機器使用者,並透過 OpenLDAP 啟用使用者管理,請按照下列步驟進行:

  1. 按一下使用 LDAP 以使用 LDAP。如果您要使用 LDAP 進行驗證,但是不想讓其他使用者登入這個用戶端,請改為選取使用 LDAP 但停用登入

  2. 輸入要使用的 LDAP 伺服器的 IP 位址。

  3. 輸入 LDAP 基礎 DN 以選取 LDAP 伺服器上的搜尋基礎。

  4. 如果需要伺服器的 TLS 或 SSL 受保護通訊,請選取 LDAP TLS/SSL

  5. 如果 LDAP 伺服器仍然使用 LDAPv2,請選取 LDAP 版本 2 以明確地使用此協定。

  6. 選取啟動自動裝載器以將遠端目錄 (例如遠端管理的 /home) 裝載至用戶端。

  7. 按一下完成以套用設定。

圖形 45.3. YaST:進階組態

YaST:進階組態

如果要以管理者身份修改伺服器上的資料,按一下 進階組態。下列對話方塊分為兩個標籤。請參閱 圖形 45.3, "YaST:進階組態"

  1. 用戶端設定標籤中,依照您的需要來調整下列設定:

    1. 如果使用者、密碼和群組的搜尋基礎與 LDAP 基礎 DN 指定的全域搜尋基礎不同,請在使用者對應密碼對應群組對應中,輸入這些不同的命名內容。

    2. 指定密碼變更協定。變更密碼時使用的標準方法是 crypt,表示會使用由 crypt 產生的密碼雜湊。如需這個選項和其他選項的詳細資料,請參閱 pam_ldap man 頁面。

    3. 指定要與群組成員屬性搭配使用的 LDAP 群組。它的預設值是 member

  2. 管理設定中,調整下列設定:

    1. 透過組態基礎 DN 來設定儲存使用者管理資料的基礎。

    2. 管理員 DN 輸入適當的值。這個 DN 必須與 /etc/openldap/slapd.conf 所指定的 rootdn 值相同,才能讓這位特定使用者操作 LDAP 伺服器中儲存的資料。

    3. 勾選建立預設組態物件,在伺服器上建立基本組態物件,以透過 LDAP 啟用使用者管理。

    4. 如果用戶端機器會成為網路中的主目錄的檔案伺服器,請勾選此機器上的主目錄

    5. 按一下接受以離開進階組態,再按完成以套用設定。

按一下設定使用者管理設定以編輯 LDAP 伺服器上旳項目。接著會根據伺服器中儲存的 ACL 和 ACI 來授予伺服器組態模組的權限。遵循 節 45.5.2.2, "設定 YaST 群組和使用者管理模組" 中概述的程序。

45.5.2.2. 設定 YaST 群組和使用者管理模組

使用 YaST LDAP 用戶端來調整 YaST 模組,以進行使用者和群組管理,並在需要時加以延伸。利用個別屬性的預設值來定義樣板,以簡化資料註冊。此處所建立的預設會以 LDAP 物件的形式儲存在 LDAP 目錄中。使用者資料註冊仍以使用者和群組管理的一般 YaST 模組來完成。所註冊的資料會在伺服器中儲存為 LDAP 物件。

圖形 45.4. YaST:模組組態

YaST:模組組態

模組組態對話方塊 (圖形 45.4, "YaST:模組組態") 允許建立新模組、選取和修改現有的模組組態,以及設計和修改這些模組的樣板。

若要建立新的組態模組,請按照下列步驟進行:

  1. 按一下新增並選取要建立的模組類型。若為使用者組態模組,請選取 suseuserconfiguration;若為群組組態,請選擇 susegroupconfiguration

  2. 選擇新樣板的名稱。

    接著該內容會顯示一個表格,列出所有可用於此模組的屬性和其指定值。除了所有設定的屬性之外,表格中也會列出現用綱要允許但未使用的其它屬性。

  3. 選取個別屬性,按下編輯,然後輸入新值,即可接受或調整要用於群組和使用者組態的預設值。變更模組的 cn 屬性,即可重新命名模組。按一下 刪除 可刪除目前選取的模組。

  4. 按一下確定之後,新模組就會加入選項功能表。

群組和使用者管理的 YaST 模組會將合理的標準值內嵌至樣板中。若要編輯與組態模組相關聯的樣板,請按照下列步驟進行:

  1. 模組組態對話方塊中,按一下設定樣板

  2. 根據您的需求來決定要指定給此樣板的一般屬性值,或是保留空白。LDAP 伺服器上的空白屬性會被刪除。

  3. 修改、刪除或新增新物件的預設值 (LDAP 樹中的使用者或群組組態)。

圖形 45.5. YaST:物件樣板組態

YaST:物件樣板組態

將模組的 susedefaulttemplate 屬性值設定為調整過的樣板 DN,以連接樣板與其模組。

[Tip]提示

使用變數樣式來取代絕對值,即可透過其它屬性建立一個屬性的預設值。例如,建立新使用者時,會自動以 sngivenName 的屬性值建立 cn=%sn %givenName

一旦所有模組和樣板都已正確設定並可執行時,即可使用 YaST 以一般方式來註冊新群組和使用者。

前一頁45.4. LDAP 目錄中的資料處理內容45.6. 在 YaST 中設定 LDAP 使用者和群組下一頁