ubuntu ldap集中身份验证-定制nslcd deb包

Author:gaojinbo
Time:2012-12-31
Email:admin@gaojinbo.com

在ubuntu下面自己制作nss-pam-ldapd包，连接到ldap服务器。由于apt-get install nslcd会出来配置界面，不能跳过，为了使用puppet对下面几千台服务器批量配置ldap ssh登录，所以自己定制DEB安装包。

1.环境：
ubuntu 10.04 64bit
nslcd 0.7.2

2.安装编译所需环境

apt-get install libpam0g-dev libldap2-dev build-essential

3.下载nslcd源码

apt-get source nslcd

4.配置编译

cd nss-pam-ldapd-0.7.2/
rm -rf debian
./configure --disable-kerberos
make

5.生成DEB安装包

apt-get install checkinstall
checkinstall -D make install

6.安装

dpkg -i nss-pam-ldapd_0.7.2-1_amd64.deb

7.配置nslcd连接到ldap服务器

1)vi /etc/nslcd.conf
uid nslcd
gid nslcd

uri ldap://ldap.gaojinbo.com/
base dc=gaojinbo,dc=com

ldap_version 3
ssl off



2)vi /etc/nsswitch.conf
有3行修改为：
passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap


3)修改pam配置
vi /etc/pam.d/common-account
把
account [success=1 new_authtok_reqd=done default=ignore]        pam_unix.so
修改为：
account [success=2 new_authtok_reqd=done default=ignore]        pam_unix.so
account [success=1 default=ignore]      pam_ldap.so


vi /etc/pam.d/common-account
把
auth    [success=1 default=ignore]      pam_unix.so nullok_secure
修改为：
auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_ldap.so use_first_pass


vi /etc/pam.d/common-password
把
password        [success=1 default=ignore]      pam_unix.so obscure sha512
修改为：
password        [success=2 default=ignore]      pam_unix.so obscure sha512
password        [success=1 default=ignore]      pam_ldap.so try_first_pass

vi /etc/pam.d/common-session
最后增加一行：
session optional                        pam_ldap.so


vi /etc/pam.d/common-session-noninteractive
最后增加一行：
session optional                        pam_ldap.so

8.建立用户，启动服务

useradd nslcd
mkdir /var/run/nslcd
/sbin/nslcd -d

添加到开机自动启动
vi /etc/rc.local
/bin/mkdir /var/run/nslcd
/sbin/nslcd  

9.连接测试

id ldapgaojinbo

完成！

转载请注明：爱开源 » ubuntu ldap集中身份验证-定制nslcd deb包