六、OpenLDAP客戶端驗證

1、配置/etc/openldap/ldap.conf

默認客戶端不允許查詢OpenLDAP條目信息，如果需要讓客戶端查詢條目，需要添加OpenLDAP服務端的URI以及BASE條目，命令如下：

2、客戶端驗證

用戶的信息添加我已經在上篇博文里面介紹過了，這次我們驗證一下添加的這個test1用戶。如果沒有獲取成功，請查看以上提到的配置文件。

3、客戶端登錄驗證

此時使用OpenLDAP用戶驗證是否正常登錄客戶端。從截圖我們可以看到已經登錄成功了，但是發現他沒有自己的主目錄，此時通過創建用戶家目錄即可解決。

一般可以通過配置服務端和客戶端兩種方式解決，一種是 autofs+nfs，另一種是修改/etc/pam.d/system-auth添加pam模塊(pam_mkhomedir.so)實現OpenLDAP用戶家目錄的創建，我們這里選擇添加pam模塊進行演示，這也是比較推薦的方法。

客戶端再次登錄驗證。

七、配置文件部署OpenLDAP客戶端

nslcd進程由nss-pam-ldapd 軟件包提供，并根據nslcd.conf配置信息，與后端的認證服務器進行交互。例如，用戶、主機名稱服務信息、組織、其他數據歷史存儲、NIS等。

1、安裝OpenLDAP客戶端軟件包

2、修改/etc/nslcd.conf 配置文件

修改文件最后面如下內容。

3、修改pam_ldap.conf 配置文件

在文件最后面添加如下內容，注意刪除里面的base和host有效的那一行。

4、修改system-auth 認證文件

在文件內添加如下內容，��體位置請查看上面的圖片。

5、修改nsswitch.conf 配置文件

在passwd、shadow、group后面的files 后面添加ldap。

6、修改/etc/sysconfig/authconfig 認證文件

7、加載nslce進程

以上我簡單略過的大家可以參照圖形化安裝修改的一些文件內容來修改，相對來說圖形化安裝比較方便，但是如果遇到大批量安裝，使用命令行部署還是比較簡便的。

八、命令行部署OpenLDAP客戶端

1、authconfig命令介紹

通過authconfig -h 查看其幫助信息。

2、安裝客戶端軟件包

3、命令行部署

運行一下命令，可以根據幫助文檔進行個性化定制。

可以看到正常登錄，創建家目錄。之前我們是在/etc/pam.d/sshd里面添加的創建家目錄認證，我們使用命令部署之后，我看它加在了/etc/pam.d/system-auth里面，之前我手動修改配置文件的時候不行，圖形化安裝也不行，大家可以試試看看是否OK，具體如下：

4、用戶密碼設置

默認情況下用戶是不可以修改密碼的，因為我服務端開通了修改密碼的權限，所以我這里用戶可以個性化修改自己的密碼，添加的服務端代碼如下，具體操作請查看我的服務端部署文檔。

密碼修改演示如下。

OpenLDAP 的詳細介紹：請點這里

OpenLDAP 的下載地址：請點這里