YaST 中包含一個模組,可用來設定 LDAP 式的使用者管理。如果您在安裝時未啟用此功能,則可選取
+ 來啟用模組。YaST 會自動啟用 LDAP 所需的任何 PAM 和 NSS 相關變更,並安裝必要檔案。具備作用於用戶端機器背景的處理程序基本知識,可協助您瞭解 YaST LDAP 用戶端模組的運作方式。如果已啟用 LDAP 以進行網路驗證或者已呼叫 YaST 模組,則表示已安裝 pam_ldap
和 nss_ldap
套件,而且兩個對應的組態檔也已經調整。pam_ldap
為 PAM 模組,負責登入程序和 LDAP 目錄之間的協調,也是驗證資料的來源。已安裝 pam_ldap.so
專用模組並調整 PAM 組態 (請參閱 範例 36.11 「適用於 LDAP 的 pam_unix2.conf」)。
範例 36.11. 適用於 LDAP 的 pam_unix2.conf
auth: use_ldap account: use_ldap password: use_ldap session: none
在手動設定額外服務以使用 LDAP 時,應納入 PAM組態檔中的 PAM LDAP 模組,該組態檔與 /etc/pam.d
中的服務相對應。可在 /usr/share/doc/packages/pam_ldap/pam.d/
中找到適用於個別服務的組態檔。將適當的檔案複製到 /etc/pam.d
。
透過 nsswitch
機制進行的 glibc
名稱解析適用於含有 nss_ldap
的 LDAP。安裝此套件時,已在 /etc/
中建立一個新的調整過的 nsswitch.conf
檔案。如需 nsswitch.conf
運作的更多資訊,請參閱第 30.7.1 節「組態檔案」。nsswitch.conf
必須包含下列幾行,以供 LDAP 進行使用者管理及驗證。請參閱範例 36.12 「nsswitch.conf 中的調整」。
這幾行會先命令 glibc
的查詢程式庫評估 /etc
中的對應檔案,然後存取 LDAP 伺服器,以它作為驗證及使用者資料的來源。可對此機制進行測試,例如使用 getent passwd
指令來讀取使用者資料庫的內容。所傳回的資料集應包含一份有關您系統上的本地使用者和 LDAP 伺服器儲存的所有使用者的調查。
如果要避免一般使用者透過 LDAP 以 ssh 或 login 登入伺服器,則 /etc/passwd
和 /etc/group
檔案必須各自增加一行。也就是 /etc/passwd
加上 +::::::/sbin/nologin
行,/etc/group
加上 +:::
行。
在 YaST 完成 nss_ldap
、pam_ldap
、/etc/passwd
和 /etc/group
的初始調整之後,您只需將用戶端連接到伺服器,讓 YaST 管理 LDAP 上的使用者即可。第 36.6.2.1 節「基本組態」中有說明這個基本設定。
使用 YaST LDAP 用戶端進一步設定 YaST 群組和使用者組態模組。這包括操作新使用者和群組的預設設定,以及指定給使用者或群組的屬性數目和性質。與傳統的使用者或群組管理解決方案相比,LDAP 使用者管理可讓您將更多不同屬性指定給使用者和群組。如需詳細資訊,請參閱第 36.6.2.2 節「設定 YaST 群組和使用者管理模組」。
如果您選擇 LDAP 使用者管理,或是在已安裝系統的「YaST 控制中心」選取圖形 36.3 「YaST: LDAP 用戶端的組態」)。
+ ,就會在安裝期間開啟基本 LDAP 用戶端組態對話方塊 (若要對 OpenLDAP 伺服器驗證機器使用者,並透過 OpenLDAP 啟用使用者管理,請按照下列步驟進行:
按一下
以使用 LDAP。如果您要使用 LDAP 進行驗證,但是不想讓其他使用者登入這個用戶端,請改為選取 。輸入要使用的 LDAP 伺服器的 IP 位址。
輸入
以選取 LDAP 伺服器上的搜尋基礎。如果要自動取得基礎 DN,請按一下 。然後,YaST 就會在以上指定的伺服器位址檢查任何 LDAP 資料庫。請從 YaST 提供的搜尋結果中選擇適當的基礎 DN。如果需要伺服器的 TLS 或 SSL 受保護通訊,請選取
。如果 LDAP 伺服器仍然使用 LDAPv2,請選取
以明確地使用此協定。選取/home
) 裝載至用戶端。
選取
,在使用者第一次登入時自動建立主目錄。按一下
以套用設定。如果要以管理者身份修改伺服器上的資料,按一下圖形 36.4 「YaST:進階組態」。
。下列對話方塊分為兩個索引標籤。請參閱在
索引標籤中,依照您的需要來調整下列設定:如果使用者、密碼和群組的搜尋基礎與
指定的全域搜尋基礎不同,請在 、 和 中,輸入這些不同的命名內容。指定密碼變更協定。變更密碼時使用的標準方法是 crypt
,表示會使用由 crypt 產生的密碼雜湊。如需這個選項和其他選項的詳細資料,請參閱 pam_ldap
man 頁面。
指定要與member
。
在
中,調整下列設定:透過
來設定儲存使用者管理資料的基礎。在/etc/openldap/slapd.conf
所指定的 rootdn
值相同,才能讓這位特定使用者操作 LDAP 伺服器中儲存的資料。輸入完整 DN (例如 cn=Administrator,dc=example,dc=com
) 或啟用 以便在您輸入 cn=Administrator
後自動加上基礎 DN。
勾選
,在伺服器上建立基本組態物件,以透過 LDAP 啟用使用者管理。如果用戶端機器會成為網路中的主目錄的檔案伺服器,請勾選
。使用
部份,選取、新增、刪除或修改使用的密碼規則設定。YaST 的密碼規則組態是 LDAP 伺服器設定的一部分。按一下
以離開 ,再按 以套用設定。按一下第 36.6.2.2 節「設定 YaST 群組和使用者管理模組」 中概述的程序。
以編輯 LDAP 伺服器上旳項目。接著會根據伺服器中儲存的 ACL 和 ACI 來授予伺服器組態模組的權限。遵循使用 YaST LDAP 用戶端來調整 YaST 模組,以進行使用者和群組管理,並在需要時加以延伸。利用個別屬性的預設值來定義範本,以簡化資料註冊。此處所建立的預設會以 LDAP 物件的形式儲存在 LDAP 目錄中。使用者資料註冊仍以使用者和群組管理的一般 YaST 模組來完成。所註冊的資料會在伺服器中儲存為 LDAP 物件。
模組組態對話方塊 (圖形 36.5 「YaST: 模組組態」) 允許建立新模組、選取和修改現有的模組組態,以及設計和修改這些模組的範本。
若要建立新的組態模組,請按照下列步驟進行:
按一下suseuserconfiguration
;若為群組組態,請選擇 susegroupconfiguration
。
選擇新範本的名稱。接著該內容會顯示一個表格,列出所有可用於此模組的屬性和其指定值。除了所有設定的屬性之外,表格中也會列出現用綱要允許但未使用的其他屬性。
選取個別屬性,按cn
屬性,即可重新命名模組。按一下 可刪除目前選取的模組。
按一下
之後,新模組就會加入選項功能表。群組和使用者管理的 YaST 模組會將合理的標準值內嵌至範本中。若要編輯與組態模組相關聯的範本,請按照下列步驟進行:
在
對話方塊中,按一下 。根據您的需求來決定要指定給此範本的一般屬性值,或是保留空白。LDAP 伺服器上的空白屬性會被刪除。
修改、刪除或新增新物件的預設值 (LDAP 樹中的使用者或群組組態)。
將模組的 susedefaulttemplate
屬性值設定為調整過的範本 DN,以連接範本與其模組。
![]() | |
使用變數來取代絕對值,即可透過其他屬性建立一個屬性的預設值。例如,建立新使用者時,會自動以 |
一旦所有模組和範本都已正確設定並可執行時,可使用 YaST 以一般方式來註冊新群組和使用者。