RHCE7认证学习笔记23——LDAP和Kerberos

1、Windows的AD 和 Linux的LDAP

2、 openldap 和IPA 可搭建 Linux  LDAP服务器

        openldap                    IPA

        phpldapadmin        Web 和 命令行配置

            rhds

3、安装IPA搭建LDAP服务器

服务器端安装IPA包和bind包

[root@linuxidc tmp]# yum install ipa-server\* bind.x86_64 bind-dyndb-ldap.x86_64 bind-libs.i686 bind-libs-lite.i686 -y

客户端安装IPA client包：

[root@localhost ~]# yum list ipa\*

在服务器端进行交互式的IPA服务安装：
[root@linuxidc tmp]# ipa-server-install --setup-dns

    安装完后，添加防火墙设置，初始化密码：
Next steps: 
1. You must make sure these network ports are open: 
TCP Ports: 
  * 80, 443: HTTP/HTTPS
  * 389, 636: LDAP/LDAPS
  * 88, 464: kerberos 
  * 53: bind 
UDP Ports: 
  * 88, 464: kerberos 
  * 53: bind 
  * 123: ntp 
2. You can now obtain a kerberos ticket using the command: 'kinit admin'
  This ticket will allow you to use the IPA tools (e.g., ipa user-add) 
  and the web user interface.

  
[root@linuxidc tmp]# firewall-cmd --add-port={80,443,389,636,88,464,53}/tcp --permanent

[root@linuxidc tmp]# firewall-cmd --add-port={88,53,123}/udp --permanent

[root@linuxidc tmp]# kinit admin

    打开浏览器，输入IPA服务器的域名地址：

    登陆IPA WEB管理客户端：

添加网络用户：

客户端上修改DNS服务器指向IPA服务器：
nameserver 10.35.89.32

客户端安装IPA clinet服务：

[root@localhost ~]# ipa-client-install --mkhomedir

客户端此时可以识别到刚才添加的网络用户:

[root@localhost ~]# id tom 
uid=1906600001(tom) gid=1906600001(tom) groups=1906600001(tom)

四、本地用户和网络用户登陆的优先级

本地用户和网络用户的登陆优先级的定义在/etc/nssswitch.conf文件里面：
passwd:    files sss  files指本地用户，sss指网络用户 
shadow:    files sss 
group:      files sss