SUSE Linux Enterprise Desktop 文档部分 IV. 服务 / 第 34 章配置 eDirectory 鉴定
	第 33 章使用 NIS		34.2. 用 iManager 为 eDirectory 鉴定启用用户

配置 eDirectory 鉴定配置 eDirectory 鉴定

34.1. 设置工作站使用 eDirectory 鉴定
34.2. 用 iManager 为 eDirectory 鉴定启用用户
34.3. 关闭 LUM 和 eDirectory 鉴定

可以用 Novell® Linux User Management (LUM) 配置网络上的 SUSE® Linux Enterprise Desktop 工作站，这样用户就可以用他们的 Novell eDirectory™ 用户名和密码而不是他们本地的 Linux 工作站用户名和密码登录到它们。用 LUM 和 eDirectory 管理用户登录信息，就不必在每台 SUSE Linux Enterprise Desktop 工作站上的 /etc/passwd 和 /etc/shadow 文件中创建本地用户了。它还可以通过将用户帐户合并到管理的中心，简化用户帐户管理。

您可以用 eDirectory 工具和技术来管理对网络上的 Linux 资源的访问。通过鉴定后，用户就有了 eDirectory 中指定的权限和特权。这些是和通常保存在本地帐户或重定向到其他鉴定方法（例如 NIS）相同的权限和特权。eDirectory 中保存的用户帐户信息使用户能够访问您网络上的文件和打印机资源。

用户可以用 login、ftp、ssh、su、rsh、rlogin、xdm (KDE) 和 gdm (GNOME) 之类的访问方式登录到 SUSE Linux Enterprise Desktop 工作站。他们只需要输入 eDirectory 用户名和密码。他们无需记住完整环境，LUM 会搜索 eDirectory 中的正确用户。

本节将指引您完成设置 SUSE Linux Enterprise Desktop 工作站使用 eDirectory 鉴定所需的步骤，包括为 edirectory 鉴定配置 SUSE Linux Enterprise Desktop 工作站以及在 eDirectory 服务器上启用用户。关于 LUM 以及配置您的 eDirectory 8.6.x、8.7.x 或 8.8.x 服务器使用 LUM 的详细信息，请参见 Novell Linux User Management Technology Guide。

设置工作站使用 eDirectory 鉴定设置工作站使用 eDirectory 鉴定

在用户使用他们的 eDirectory 用户名和密码登录之前，SUSE Linux Enterprise Desktop 工作站必须配置有 Linux User Management 组件。您可以在安装期间设置 eDirectory 鉴定，也可以在安装之后随时用 YaST 设置它。

要在安装 SUSE Linux Enterprise Desktop 期间安装并配置 LUM，请在用户鉴定方法窗口中选择 eDirectory LDAP 作为鉴定方法，然后完成以下步骤 2到步骤 10的步骤。如果尚未安装，会提示您安装 yast2-linux-user-mgmt 软件包。

图 34.1. 用户鉴定方法

要在已在运行的工作站上安装和配置 LUM：

启动 YaST，并选择安全和用户+Linux 用户管理。
如果在 YaST 中看不到 Linux 用户管理项，请先选择软件+软件管理，然后安装 yast2-linux-user-mgnt 包。
在 Linux 用户管理 LDAP 服务器配置窗口中，指定 eDirectory 是在计算机本身（本地系统）上运行还是在网络上的其他计算机（远程系统）上运行。
如果 eDirectory 在远程系统上运行，请指定远程系统的 IP 地址。

或者，请提供 eDirectory admin 名称，环境和 Admin 密码。

Admin 名称和环境必须以 LDAP 语法输入，在这种语法中用逗号而不是用句点（例如：cn=admin,o=novell）。

重要

	重要
如果您没有在 eDirectory 树下创建对象的权限，请将这些字段留空。请联系 eDirectory 管理员，向其提供客户机的主机名，并要求其用您的主机名创建一个 LUM 工作站对象。询问从哪里可以获取 LDAP 服务器的 CA 证书副本，并将此证书放置在 `/var/nam` 目录中。 CA 证书的名称与 `/etc/nam.conf` 文件中 “preferred-server” 项的名称匹配，且扩展名为 `.der`。您可以输入 namconfig get preferred-server 获取名称。例如，如果 namconfig get preferred-server 返回 `server.xyz.com`，则您的证书文件名称是 `.server.xyz.com.der`。

如果您没有在 eDirectory 树下创建对象的权限，请将这些字段留空。请联系 eDirectory 管理员，向其提供客户机的主机名，并要求其用您的主机名创建一个 LUM 工作站对象。询问从哪里可以获取 LDAP 服务器的 CA 证书副本，并将此证书放置在 /var/nam 目录中。

CA 证书的名称与 /etc/nam.conf 文件中 “preferred-server” 项的名称匹配，且扩展名为 .der。您可以输入 namconfig get preferred-server 获取名称。例如，如果 namconfig get preferred-server 返回 server.xyz.com，则您的证书文件名称是 .server.xyz.com.der。

单击下一步，然后指定 Linux/UNIX 配置对象的位置。
Linux/UNIX Config 对象保存一个网络上 Linux/UNIX 工作站对象的位置（环境）列表。它还控制创建用户和组对象时用于指派为用户 ID (UID) 和组 ID (GID) 的编号范围。配置 LUM 时将在 eDirectory 服务器上创建这个对象，它通常位于 eDirectory 树的上级树枝上（例如：o=novell）。对于该环境，请联系您的 eDirectory 管理员。
有关更多信息，请参见 Novell Linux User Management Technology Guide 中的 Understanding eDirectory Objects and Linux。
（可选）指定 LUM 工作站对象的位置。
LUM 工作站对象代表用户登录的实际计算机。如果您具有在 eDirectory 树下创建对象（即您可以指定步骤 4中的 eDirectory Admin 名称、环境和密码）的权限，则该对象将作为工作站配置的一部分自动创建，并且通常位于 eDirectory 树下的组织 (O) 或组织单元 (OU) 容器中。您也可以通过单击 iManager 中的 Linux User Management+ 创建 Linux 工作站对象来创建一个 LUM 工作站对象。
如果禁用了 LDAP 服务器的匿名绑定，请指定一个在 LDAP 树上有权限的代理用户名，环境和代理用户密码。
单击下一步继续。
请选择用 eDirectory 进行鉴定的登录访问方式。
单击完成。
安装并配置 LUM 技术会设置 SUSE Linux Enterprise Desktop 工作站根据保存在 eDirectory 上的用户帐户信息来验证登录请求。用户必须用 iManager 创建 eDirectory 用户帐户，并为 LUM 扩展，同时他们的用户对象必须与他们将要登录的工作站相关联，这样用户才能登录。有关更多信息，请参见第 34.2 节 “用 iManager 为 eDirectory 鉴定启用用户”。