使用OpenLDAP集中管理用户帐号

    使用轻量级目录访问协议（LDAP）构建集中的身份验证系统可以减少管理成本，增强安全性，避免数据复制的问题，并提高数据的一致性。随着 Linux？ 的不断成熟，已经出现了很多工具用来简化用户帐号信息到 LDAP 目录的迁移。还开发了一些工具用来在客户机和目录服务器之间启用加密通信配置，并通过复制提供容错性。本文将向您展示如何配置服务器和客户机在 Red Hat Linux 上使用 OpenLDAP.

    Linux 发行版中提供的 OpenLDAP 软件按照一个客户机/服务器模型实现了轻量级目录访问协议（LDAP）。LDAP 的设计目的是提供一种有效的方法来查找和管理信息。OpenLDAP 软件和包提供了创建目录信息树（一个主要进行读操作的数据库）的工具。本文向您展示如何存储用户的帐号信息，并修改身份验证服务来使用 LDAP 获取所需要的信息。内部细节并不重要，因为这些工具可以将数据库的内容以文本格式（LDAP 数据交换格式，LDIF）呈现在您的面前。

    LDAP 信息被组织成属性和值的组合，称为 条目（entry）。条目可能会具有必须的属性或可选属性。一个条目的属性必须要遵循 /etc/openldap/schema/ 模式文件中定义的规则。规则包含在条目的 objectclass 属性中。看一下下面的关系，我们可以看出 objectclass 中包含了密码文件条目的信息（ 是文件条目的 base64 编码）。

图 1. LDAP 目录条目和 Linux 密码文件之间的关系
 

    文件 /etc/openldap/schema/nis.schema 为 posixAccount 对象类中的条目定义了所有的属性和 objectclass。例如，下面是对 属性的描述：

attributetype ( 1.3.6.1.1.1.1.0 NAME 'uidNumber' DESC 'An integer uniquely identifying a user in an administrative domain' EQUALITY integerMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )

所有的属性类型都已经定义了，它们被收集到 objectclass 中。例如：

objectclass ( 1.3.6.1.1.1.2.0 NAME 'posixAccount' SUP top AUXILIARY DESC 'Abstraction of an account with POSIX attributes' MUST ( cn $ uid $ uidNumber $ gidNumber $ homeDirectory ) MAY ( userPassword $ loginShell $ gecos $ description ) )

条目具有一个识别名属性 ，它用作用户名，并与 一起用来在 LDAP 目录中记录信息，或与 LDAP 目录绑定在一起使用。

    LDAP 为作为容器使用的特殊条目提供了将这些条目组织成树结构的功能。在这个例子中，我们将使用一个容器 保存用户帐号信息，使用另外一个容器 保存组帐号信息。所生成的目录信息树如图 2 所示。

图 2. 用户帐号信息使用的目录信息树
 

   让我们来看一下如何配置 OpenLDAP 服务器，如何将信息从系统文件迁移到 LDAP 目录中，如何配置 OpenLDAP 客户机通过 LDAP 对用户进行身份验证。在使用一个集中的身份验证数据库时，应该通过使用复制技术采用第二个 LDAP 服务器提供高可用性，这样在主服务器出现问题时，就可以使用第二个 LDAP 服务器响应客户机的请求。由于诸如密码之类的身份验证数据会通过网络进行传输，因此希望使用 TSL 协议建立加密通信连接。

   我们的 OpenLDAP 服务器和客户机都是虚拟机，上面运行的是 Red Hat Enterprise Linux AS release 4（Nahant Update 1）。在我们的例子中使用了 所列出的系统。如果想模仿这些例子，请使用适合您自己的设置。

表 1. 系统网络信息
 

角色 主机名 IP 地址 OpenLDAP 主服务器 dhcp64-233.ibm.com 9.47.64.233 OpenLDAP 从服务器 dhcp64-253.ibm.com 9.47.64.253 OpenLDAP 客户机 dhcp64-251.ibm.com 9.47.64.251

 [2] [3] [4] [5] [6] [7] 下一页