LDAP集成和迁移 | 您所在的位置:网站首页 › openldap修改密码 › LDAP集成和迁移 |
LDAP 与
PAM 和
NSS 的集成
本节讨论
Senior Level Linux Professional ( LPIC-3 )考试
301 的
305.1 主题的内容。这个主题的 权值为
2 。
在本节中,学习:
配置
NSS 以从
LDAP 获取信息
配置
PAM 使用
LDAP 进行身份验证
在各种
UNIX 环境中配置
PAM 模块
按照传统的
UNIX 方式, PAM 和
Name Service Switch ( NSS )工具对各种身份验证组件进行抽象并 对它们的实现进行查找,这使管理员能够改变后端数据存储,而不必重新编译应用程序。例如,可以透明 地把传统的基于
/etc/passwd 的身份验证改为
Network Information Service ( NIS ) , 因为
NSS 被 实现为
C 库的一部分。 应用程序使用标准的库调用 (比如
getpwent(3) ) 查找用户, 但是通过一些配置, 可以把数据重定向给
NIS 等其他数据存储。
PAM 有点儿特殊, 在编写应用程序时必须考虑到
PAM 。管理员可以使用许多库定制支持
PAM 的应用程 序行为,例如要求特定的组成员关系和登录时间,这样才能成功通过身份验证。
可以结合使用
PAM 和
NSS 执行用户身份验证。 支持
PAM 的应用程序指示
PAM 检查用户的凭证。 管 理员可以把
PAM 配置为通过
NSS 工具检查密码,还可以设置任何其他限制。 PAM 只用于密码和影子 数据库,不能用于组和主机等其他内容。
LDAP 对
PAM 和
NSS 的支持由
PADL 软件的一个开放源码包提供。
配置
NSS 以使用
LDAP
NSS 工具在
C 库中实现,它作为用来获取信息的传统库调用的钩子。这个
C 库提供
getpwent (用来 获取用户信息)
和
gethostbyname(3) (用来获取主机信息),它们通常分别搜索
/etc/passwd 和
/etc/hosts 。通过配置
NSS ,管理员可以要求主机名搜索也使用
Domain Name Service ( DNS ),而 应用程序并不知道这一变化。
理解
NSS
表
3 描述
NSS 处理的数据库。 大多数数据库在
/etc 中有一个对应的文件, 这是存储数据的传统位置。
表
3. NSS 数据库
|
CopyRight 2018-2019 实验室设备网 版权所有 |