3.2. LDAP 和 IdM


标准 LDAP 目录(如 OpenLDAP 和红帽目录服务器)都可用作 LDAP 身份提供商。另外,旧的 IdM 版本和 FreeIPA 也可以配置为身份提供程序,方法是将其配置为具有相关 Kerberos 服务器的 LDAP 供应商。
openldap-clients 软件包或 sssd 软件包用于为用户数据库配置 LDAP 服务器。默认情况下会安装这两个软件包。

3.2.1. 使用 UI 配置 LDAP 身份验证

  1. 打开 authconfig UI,如 第 2.2.3 节 “启动 authconfig UI” 所述。
  2. 用户帐户数据库 下拉菜单中选择 LDAP
  3. 设置连接 LDAP 服务器所需的信息。
    • LDAP 搜索基础 DN 提供用户目录的 root 后缀或可 区分名称 (DN)。用于身份或身份验证的所有用户条目都位于此父条目的下方。例如,ou=people,dc=example,dc=com
      此字段是可选的。如果没有指定,系统安全服务守护进程(SSSD)会尝试使用 LDAP 服务器配置条目中 namingContextsdefaultNamingContext 属性检测搜索基础。
    • LDAP 服务器提供 LDAP 服务器的 URL。这通常需要 LDAP 服务器的主机名和端口号,如 ldap://ldap.example.com:389
      使用以 ldaps:// 开头的 URL 输入安全协议,可启用 Download CA Certificate 按钮,该按钮从发布的任何证书颁发机构中检索 LDAP 服务器的 CA 证书。CA 证书必须采用隐私增强的邮件(PEM)格式。
    • 如果您使用不安全的标准端口连接( ldap://开头的URL),您可以使用 Use TLS 加密连接 复选框来使用 STARTTLS 加密与 LDAP 服务器通信。选择此复选框也会启用 Download CA Certificate 按钮。
      注意
      如果服务器 URL 使用 LDAPS (LDAP over SSL)安全协议,则不需要选择 Use TLS 来加密连接 复选框,因为通信已经加密。
  4. 选择验证方法。LDAP 允许简单密码身份验证或 Kerberos 身份验证.
    LDAP 密码 选项使用 PAM 应用程序使用 LDAP 身份验证。此选项要求通过使用 LDAPS 或 TLS 连接到 LDAP 服务器来设置安全连接。

3.2.2. 从命令行配置 LDAP 用户存储

要使用 LDAP 身份存储,请使用 --enableldap。要将 LDAP 用作身份验证源,请使用 --enableldapauth,然后使用必要的连接信息,如 LDAP 服务器名称、用户后缀的基础 DN,以及(可选)是否使用 TLS。authconfig 命令还具有为用户条目启用或禁用 RFC 2307bis 模式的选项,这无法通过 authconfig UI 实现。
务必使用完整的 LDAP URL,包括协议(ldapldaps)和端口号。不要将 安全 LDAP URL (ldaps)与 --enableldaptls 选项一起使用。
authconfig --enableldap --enableldapauth --ldapserver=ldap://ldap.example.com:389,ldap://ldap2.example.com:389 --ldapbasedn="ou=people,dc=example,dc=com" --enableldaptls --ldaploadcacert=https://ca.server.example.com/caCert.crt --update
除了使用 --ldapauth 进行 LDAP 密码身份验证外,可以将 Kerberos 用于 LDAP 用户存储。这些选项在 第 4.3.2 节 “从命令行配置 Kerberos 身份验证” 中描述。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.