35.3 使用 YaST 設定 LDAP 用戶端

YaST 中包含一個模組,可用來設定 LDAP 式的使用者管理。如果您在安裝時未啟用此功能,則可選取網路服務 > LDAP 用戶端來啟用模組。YaST 會自動啟用 LDAP 所需的任何 PAM 和 NSS 相關變更,並安裝必要檔案。

35.3.1 標準程序

具備作用於用戶端機器背景的處理程序基本知識,可協助您瞭解 YaST LDAP 用戶端模組的運作方式。如果已啟動 LDAP 以進行網路驗證或者已呼叫 YaST 模組,則表示已安裝 pam_ldapnss_ldap 套件,而且兩個對應的組態檔也已經調整。 pam_ldap 為 PAM 模組,負責登入程序和 LDAP 目錄之間的協調,也是驗證資料的來源。已安裝 pam_ldap.so 專用模組並調整 PAM 組態 (請參閱 範例 35-2)。

範例 35-2 適用於 LDAP 的 pam_unix2.conf

auth:       use_ldap 
account:    use_ldap
password:   use_ldap 
session:    none

在手動設定額外服務以使用 LDAP 時,應納入 PAM組態檔中的 PAM LDAP 模組,該組態檔與 /etc/pam.d 中的服務相對應。可在 /usr/share/doc/packages/pam_ldap/pam.d/ 中找到適用於個別服務的組態檔。將適當的檔案複製到 /etc/pam.d

透過 nsswitch 機制進行的 glibc 名稱解析適用於含有 nss_ldap 的 LDAP。安裝此套件時,已在 /etc/ 中建立一個新的調整過的 nsswitch.conf 檔案。如需 nsswitch.conf 運作的更多資訊,請參閱節 30.6.1, 組態檔案nsswitch.conf 必須包含下列幾行,以供 LDAP 進行使用者管理及驗證。請參閱範例 35-3

範例 35-3 nsswitch.conf 中的調整

passwd: compat
group: compat

passwd_compat: ldap
group_compat: ldap

這幾行會先命令 glibc 的查詢程式庫評估 /etc 中的對應檔案,然後存取 LDAP 伺服器,以它作為驗證及使用者資料的來源。可對此機制進行測試,例如使用 getent passwd 指令來讀取使用者資料庫的內容。所傳回的資料集應包含一份有關您系統上的本地使用者和 LDAP 伺服器儲存的所有使用者的調查。

如果要避免一般使用者透過 LDAP 以 sshlogin 登入伺服器,則 /etc/passwd/etc/group 檔案必須各自增加一行。也就是 /etc/passwd 加上 +::::::/sbin/nologin 行,/etc/group 加上 +::: 行。

35.3.2 設定 LDAP 用戶端

在 YaST 完成 nss_ldappam_ldap/etc/passwd/etc/group 的初始調整之後,您只需將用戶端連接到伺服器,讓 YaST 管理 LDAP 上的使用者即可。基本組態 中有說明這個基本設定。

使用 YaST LDAP 用戶端進一步設定 YaST 群組和使用者組態模組。這包括操作新使用者和群組的預設設定,以及指定給使用者或群組的屬性數目和性質。與傳統的使用者或群組管理解決方案相比,LDAP 使用者管理可讓您將更多不同屬性指定給使用者和群組。如需詳細資訊,請參閱設定 YaST 群組和使用者管理模組

基本組態

如果您選擇 LDAP 使用者管理,或是在已安裝系統的「YaST 控制中心」選取網路服務 > LDAP 用戶端,就會在安裝期間開啟基本 LDAP 用戶端組態對話方塊 (圖 35-2)。

圖 35-2 YaST: LDAP 用戶端的組態

若要對 OpenLDAP 伺服器驗證機器使用者,並透過 OpenLDAP 啟用使用者管理,請按照下列步驟進行:

  1. 按一下使用 LDAP 以使用 LDAP。如果您要使用 LDAP 進行驗證,但是不想讓其他使用者登入這個用戶端,請改為選取使用 LDAP 但停用登入

  2. 輸入要使用的 LDAP 伺服器的 IP 位址。

  3. 輸入 LDAP 基礎 DN 以選取 LDAP 伺服器上的搜尋基礎。如果要自動取得基礎 DN,請按一下取得 DN。然後,YaST 就會在以上指定的伺服器位址檢查任何 LDAP 資料庫。請從 YaST 提供的搜尋結果中選擇適當的基礎 DN。

  4. 如果需要伺服器的 TLS 或 SSL 受保護通訊,請選取 LDAP TLS/SSL

  5. 如果 LDAP 伺服器仍然使用 LDAPv2,請選取 LDAP 版本 2 以明確地使用此協定。

  6. 選取啟動自動裝載器以將遠端目錄 (例如遠端管理的 /home) 裝載至用戶端。

  7. 選取登入時建立主目錄,在使用者第一次登入時自動建立主目錄。

  8. 按一下完成以套用設定。

圖 35-3 YaST:進階組態

如果要以管理者身份修改伺服器上的資料,按一下進階組態。下列對話方塊分為兩個標籤。請參閱圖 35-3

  1. 用戶端設定標籤中,依照您的需要來調整下列設定:

    1. 如果使用者、密碼和群組的搜尋基礎與 LDAP 基礎 DN 指定的全域搜尋基礎不同,請在使用者對應密碼對應群組對應中,輸入這些不同的命名內容。

    2. 指定密碼變更協定。變更密碼時使用的標準方法是 crypt,表示會使用由 crypt 產生的密碼雜湊。如需這個選項和其他選項的詳細資料,請參閱 pam_ldap man 頁面。

    3. 指定要與群組成員屬性搭配使用的 LDAP 群組。它的預設值是 member

  2. 管理設定中,調整下列設定:

    1. 透過組態基礎 DN 來設定儲存使用者管理資料的基礎。

    2. 管理員 DN 輸入適當的值。這個 DN 必須與 /etc/openldap/slapd.conf 所指定的 rootdn 值相同,才能讓這位特定使用者操作 LDAP 伺服器中儲存的資料。輸入完整 DN (例如 cn=Administrator,dc=example,dc=com) 或啟動 附加基礎 DN 以便在您輸入 cn=Administrator 後自動加上基礎 DN。

    3. 勾選建立預設組態物件,在伺服器上建立基本組態物件,以透過 LDAP 啟用使用者管理。

    4. 如果用戶端機器會成為網路中的主目錄的檔案伺服器,請勾選此機器上的主目錄

    5. 使用密碼規則部份,選取、新增、刪除或修改使用的密碼規則設定。YaST 的密碼規則組態是 LDAP 伺服器設定的一部分。

    6. 按一下接受以離開進階組態,再按完成以套用設定。

按一下設定使用者管理設定以編輯 LDAP 伺服器上旳項目。接著會根據伺服器中儲存的 ACL 和 ACI 來授予伺服器組態模組的權限。遵循 設定 YaST 群組和使用者管理模組 中概述的程序。

設定 YaST 群組和使用者管理模組

使用 YaST LDAP 用戶端來調整 YaST 模組,以進行使用者和群組管理,並在需要時加以延伸。利用個別屬性的預設值來定義樣板,以簡化資料註冊。此處所建立的預設會以 LDAP 物件的形式儲存在 LDAP 目錄中。使用者資料註冊仍以使用者和群組管理的一般 YaST 模組來完成。所註冊的資料會在伺服器中儲存為 LDAP 物件。

圖 35-4 YaST: 模組組態

模組組態對話方塊 (圖 35-4) 允許建立新模組、選取和修改現有的模組組態,以及設計和修改這些模組的樣板。

若要建立新的組態模組,請按照下列步驟進行:

  1. 按一下新增並選取要建立的模組類型。若為使用者組態模組,請選取 suseuserconfiguration;若為群組組態,請選擇 susegroupconfiguration

  2. 選擇新樣板的名稱。接著該內容會顯示一個表格,列出所有可用於此模組的屬性和其指定值。除了所有設定的屬性之外,表格中也會列出現用綱要允許但未使用的其它屬性。

  3. 選取個別屬性,按下編輯,然後輸入新值,即可接受或調整要用於群組和使用者組態的預設值。變更模組的 cn 屬性,即可重新命名模組。按一下 刪除 可刪除目前選取的模組。

  4. 按一下接受之後,新模組就會加入選項功能表。

群組和使用者管理的 YaST 模組會將合理的標準值內嵌至樣板中。若要編輯與組態模組相關聯的樣板,請按照下列步驟進行:

  1. 模組組態對話方塊中,按一下設定樣板

  2. 根據您的需求來決定要指定給此樣板的一般屬性值,或是保留空白。LDAP 伺服器上的空白屬性會被刪除。

  3. 修改、刪除或新增新物件的預設值 (LDAP 樹中的使用者或群組組態)。

圖 35-5 YaST:物件樣板組態

將模組的 susedefaulttemplate 屬性值設定為調整過的樣板 DN,以連接樣板與其模組。

提示:使用變數來取代絕對值,即可透過其他屬性建立一個屬性的預設值。例如,建立新使用者時,會自動以 sngivenName 的屬性值建立 cn=%sn %givenName

一旦所有模組和樣板都已正確設定並可執行時,可使用 YaST 以一般方式來註冊新群組和使用者。