[RHCE] LDAP Client

LDAP OVERVIEW

LDAP(Lightweight Directory Access Protocol)就像Micosoft的AD一樣，一種Linux系統上常見的目錄服務的協定。

目錄服務類似資料庫，但是又不是資料庫，會這麼說是因為它們都可以寫入跟讀取資料，但是目錄服務就像是電話簿，你會常常查通訊錄，但是你不會整天都在寫通訊錄，而資料庫就像是倉庫，每天進貨跟出貨的量幾乎是相等的；可以說目錄服務與資料庫功能類似(當然資料庫對於資料儲存的功能性肯定比目錄服務要強的多)，但是目的不同。

LDAP是一種協定，負責讓LDAP Server跟LDAP Client傳遞資料的協定，就如同HTTP在HTTP Server與HTTP Client之間的關係一樣；LDAP Server可以是各種不同的儲存形式，簡單的文字檔或者複雜的資料庫，只要遵照著LDAP即可，當然Client端也是如此。

LDAP的用途在於管理目錄，最常見的就是帳號密碼，也就是所謂的認證；在一間公司中，Mail Server、NAS、NFS、人事系統、簽呈系統、甚至連印表機也要帳號密碼，假設這間公司有100個員工，每個員工就需要記好幾個帳號密碼、而管理者更需要管理幾百個甚至上千個帳號密碼，或許對於使用者來說這不是件大事情，但是對於管理者來說這會相當頭痛；而當導入了LDAP之後，所有的系統、伺服器、硬體都可以透過LDAP Server進行認證；除了帳號密碼的認證之外，LDAP也可以應用在其他不同的地方，例如印表機設定檔、通訊錄等，任何大量讀取少量寫入的資料都可以嘗試用LDAP整合。

在RHCE的認證中，並不會實作LDAP Server的架設，只會要求受測者利用LDAP Client連上Server進行認證，然後將創建Server指定的家目錄並掛載於本機。

LDAP CLIENT

要使用LDAP Client需先安裝directory-client，輸入 #yum groupinstall directory-client，安裝完畢後在系統中找到Authentication這個應用程式(如果找不到，輸入 #yum install authconfig-gtk –y 安裝)，然後輸入LDAP Server的資訊。


之後點Download CA Certification輸入憑證下載網址。


設定完畢後，輸入 #getent passwd [使用者名稱]，如果設定都正確就會顯示從LDAP Server取得的帳號資料，例如ldapusers1等等。

如果使用者此時登入，會發生沒有家目錄的狀況而登入失敗，這是因為還沒將LDAP Server指定給使用者的家目錄掛載到LDAP Client，假設LDAP Server指定的目錄是/home/ldapusers/，則需將LDAP Server指定的目錄對應到autofs的參照檔，此時需要一個LDAP用的參照檔，假設是auto.ldapusers。

輸入 #vi /etc/auto.master 編輯autofs的主設定檔，並加入/home/ldapusers /etc/auto.ldapusers這個參照。


接著輸入 #vi /etc/auto.ldapusers 編輯LDAP Server的參照檔。


*: 代表所有使用者。
-rw : 使用者的權限。
ldapserver: LDAP Server的IP位置。
/home/ldapusers/: LDAP Server指定的家目錄。
&: 表示每個使用者的名稱，所以當使用者john登入時，就會為john在/home/ldapusers/john建立家目錄。

之後輸入#service autofs restart 重新啟動autofs，並以使用者帳號登入，使用者第一次登入時可能會因為家目錄沒建立而失敗，第二次登入就可以正常登入。