安裝

tag-icon tag-icon linux rhel nfs openldap
安裝

我們在實驗室中設置了 LDAP 和 NFS。實驗室有16台機器和一台伺服器。所有 LDAP 使用者主目錄都存在於伺服器中。每當 LDAP 使用者從 16 台電腦中的任何一台登入時,他的主頁都會透過 NFS 自動掛載從伺服器顯示在用戶端電腦上。

在所有客戶端電腦中,我們安裝了 virtualbox 並建立了一個群組vbox用戶其中包含所有 LDAP 使用者。因此,每當 LDAP 使用者登入任何用戶端電腦並執行 Virtual Box 時,他就能夠使用 Virtual Box。

但是,在全新安裝 RHEL 和 VirtualBox 後的其中一台電腦中,當我以 LDAP 使用者身分執行 VirtualBox 時,我收到“來賓作業系統無法存取「錯誤。我認為這可能是一些權限問題,因此,我將權限重置為vbox用戶在那台機器裡。

然而,經過進一步調查,我們發現 LDAP 使用者實際上並未分配到該群組”vbox用戶「而不是其他群組。這怎麼可能,因為我從實驗室的工作機器複製了 LDAP 和 NFS 設定文件,並在新安裝的機器中使用了相同的文件?

編輯:

ldap.conf 內容

#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE   dc=example, dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT  12
#TIMELIMIT  15
#DEREF      never
URI ldap://192.168.1.10/
BASE dc=xxx,dc=xxx
#TLS_CACERTDIR /etc/openldap/cacerts

答案1

How can this be possible, as I copied the LDAP and NFS configuration
files from the working machines in the lab and used the same files in
the newly installed machine?

據我了解,您的實驗室需要相同的 LDAP 伺服器設置,因此我們需要匯出主 LDAP 伺服器資料庫,然後匯入新的 LDAP 伺服器。如果我是正確的那麼你可以按照這個設定。

安裝

註:本指南基於RHEL5.x/CentOS 5.x

使用以下命令安裝 OpenLDAP 軟體套件:

yum install openldap

配置伺服器,編輯/etc/openldap/slapd.conf,您可以配置與您的主伺服器相同的設置

database        bdb
suffix          "dc=example,dc=com"
rootdn          "cn=Manager,dc=example,dc=com"
rootpw          secrete # or you can use encrypted pass using slappasswd

複製所需文件

install -o ldap -g ldap /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG

在主伺服器上,將所有詳細資訊匯出到 LDIF 檔案中。

slapcat -l master.ldif

複製master.ldif到新的 LDAP 伺服器。

現在在您的新 LDAP 伺服器上。

若要將檔案 master.ldif 中指定的項目匯入至 LDAP 資料庫中,請輸入下列指令:

slapadd -l ldif

現在使用以下命令啟動 LDAP 服務:

/etc/init.d/ldap start

在用戶端電腦上:在 HOME 上掛載 NFS,在中新增所需條目/etc/fstab

然後使用以下命令啟用 LDAP 驗證:

authconfig --enableldap --enableldapauth --ldapserver=NEW_LDAPSERVER_IP --
ldapbasedn="dc=example,dc=com" –update

故障排除

預設情況下 ldap 日誌已停用,您可以使用下列命令在 LDAP 伺服器上啟用 LDAP 日誌:

編輯 /etc/syslog.conf

local4.*    /var/log/ldap.log

一旦重啟syslog服務

/etc/init.d/syslog restart

答案2

這是由於分配了不正確的群組 ID 造成的。當系統新安裝時,系統任意將群組ID 501分配給另一個群組。

在實驗室的所有剩餘機器中,我們將群組 ID 501 分配給vbox用戶。這就是 LDAP 使用者無法存取該特定電腦中的 VirtualBox 的原因。

相關內容