使用LDAP实现跨平台的帐号同步smarteye系统与其他VMS的帐号同步

1.什么是LDAP认证？

LDAP认证是通过WSS3.0加上轻量目录LDAP协议搭建的种认证方式，使用https加密传输，主要用于做文档管理。

LDAP认证就是把用户数据放在LDAP服务器上，通过LDAP服务器上的数据对用户进行认证处理。

2.有几种实现的原理，简单讲解两种：

a).每一个登陆，连接请求先去拉取所有的可通过用户的列表，然后去查找是否在已注册用户列表。（不推荐）

b).每一个登陆，连接请求去发送本地的用户、密码给LDAP服务器，然后在LDAP服务器上进行匹配，然后判断是否可以通过认证。（推荐）

3.为什么用LDAP做身份验证？

1).LDAP数据库对读操作进行优化的种数据库，在读写比例大于7比1的情况下，LDAP会体现出高的性能。

2).更灵活添加数据类型，LDAP是根据schema的内容定义各种属性之间的从属关系及匹配模式的。

例如：在传统的结构化数据库mysql中添加一个字段，就需要在用户表中添加一个字段。但是在数据量

极大的时候是很耗时间的，效率低，用户体验差，但是LDAP只需要在Schema中加入新的属性，不会

由于用户的属性增多而形象查询性能。

3).LDAP是个开放的标准协议，不同于一般的SQL数据库，LDAP的客户端是跨平台的，方便简洁。

4).在存储上LDAP是以树形结构存储数据，任何一个分支都可以单独在服务器中进行分布式管理，

不仅有利于服务器的负载均衡，还方便做跨区域的服务器部署。

5).LDAP支持强认证方式，可以达到很高的安全级别，根据UTF-8编码。

————————————————

使用LDAP认证

LDAP目录服务

LDAP：轻量级目录访问协议（Lightweight Directory Access Protocol）

O 由服务器来集中存储并向客户端提供的消息，存储方式类似于DNS分层结构

O 提供的信息包括：用户名、密码、通信录、主机名映射记录……

典型的LDAP工作模式

O LDAP服务器为一组客户机集中提供可登录的用户帐号

O 本地用户：用户名、密码信息存储/etc/passwd、/etc/shadow

O 网络用户:用户名、密码信息存储在 LDAP 服务端

O 这些客户机都须加入同一个LDAP域

如何加入LDAP域

加入LDAP需要的条件

1）服务端提供：

O LDAP服务器地址，基本DN名称

O 加密用的证书（若需要）

2）客户端准备：

O 用途：使用另一台服务器上的账号登录到本机

O 修改用户登录的验证方式，启用LDAP

O 正确配置LDAP服务器参数

O 软件包：sssd（与服务端沟通程序）、authconfig-gtk（图形化配置sssd程序）、

【Base DN、服务器地址、证书】

配置工具：

authconfig-gtk（图形工具）

authconfig-tui（字符界面）

系统服务（C）：sssd

ssh ldapuser0@server0.example.com

服务端Server：为其他机器提供某一种资源或功能的程序

客户端Client：使用其他机器提供的资源或功能的程序

如何加入LDAP域：

第一步：装包，yum -y install sssd authconfig-gtk

第二步：配置LDAP认证，图形：authconfig-gtk

输入LDAP服务器地址(即指定用户帐户数据库LDAP)，基本DN名称，加密用的证书

第三步：

1）查看服务状态：systemctl status sssd

2)重启sssd服务成功：systemctl restart sssd

3)设置服务开机自启：systemctl enable sssd

第四步：验证LDAP用户登录

#id ldapuser0

#su - ldapuser0

案例：绑定到LDAP验证服务

配置虚拟机server0使用系统classroom.example.com提供的LDAP服务，要求如下：

1.验证服务的基本DN是：dc=example,dc=com

2.账户信息和验证信息都是由 LDAP 提供的

3.连接要使用证书加密，证书可以在下面的链接下载：
http://classroom.example.com/pub/example-ca.crt

4.当正确完成配置后，用户 ldapuser0 应该能登录到你的系统，不过暂时没有主目录（需完成 autofs 题目）

5.用户 ldapuser0 的密码是 password

方案:需要安装软件包sssd已提供支持。

配置工具可选择默认安装的authconfig-tui，或者使用图形程序authconfig-gtk。

————————————————