Сейчас я использую подход SSSD . Это довольно безболезненно, и файлы конфигурации чистые. SSSD можно включить во время установки или просто запустить с помощью командного интерфейса authconfig
. Я недавно преобразовал около 200 серверов Linux в SSSD из локальной аутентификации и использовал следующие шаги.
Это предполагает систему, подобную Red Hat (RHEL, CentOS, Fedora) ...
1) Загрузите SSSD.
yum install sssd
2). Измените системные настройки authconfig.
authconfig --enablesssd --ldapserver = ldap: //dc1.mdmarra.local --ldapbasedn = "dc = mdmarra, dc = local" --enablerfc2307bis --enablesssdauth --krb5kdc = dc1.mdmarra.local --krb5realm = MDMARRA.LOCAL --disableforcelegacy --enablelocauthorize --enablemkhomedir 12 3). Обновите содержимое файла конфигурации /etc/sssd/sssd.conf следующим образом:
# sssd.conf [domain/default] ldap_id_use_start_tls = False ldap_schema = rfc2307bis ldap_search_base = dc=mdmarra,dc=local krb5_realm = MDMARRA.LOCAL krb5_server = dc1.mdmarra.local id_provider = ldap auth_provider = krb5 chpass_provider = krb5 ldap_uri = ldap://dc1.mdmarra.local,ldap://dc2.mdmarra.local krb5_kpasswd = dc1.mdmarra.local,dc2.mdmarra.local krb5_kdcip = dc1.mdmarra.local,dc2.mdmarra.local cache_credentials = True ldap_tls_cacertdir = /etc/openldap/cacerts ldap_force_upper_case_realm = True ldap_user_object_class = person ldap_group_object_class = group ldap_user_gecos = displayName ldap_user_home_directory = unixHomeDirectory ldap_default_bind_dn = ldapuser@mdmarra.local ldap_default_authtok_type = password ldap_default_authtok = fdfXb52Ghk3F [sssd] services = nss, pam config_file_version = 2 domains = default [nss] filter_users = root,ldap,named,avahi,haldaemon,dbus,radiusd,news,nscd [pam] [sudo] [autofs] [ssh]