Ubuntu 通过ldap集成AD账号登录

前端之家收集整理的这篇文章主要介绍了Ubuntu 通过ldap集成AD账号登录前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。


Ubuntu 通过ldap集成AD账号登录



安装libnss-ldapd(会自动安装nscd、nslcd)、libpam-ldapd


# apt-get install libnss-ldapd libpam-ldapd (中间配ldap部分可直接回车或随便写,后面调nslcd.conf文件即可)



# vi /etc/nsswitch.conf


passwd: files ldap

group: files ldap

shadow: files ldap


:wq





# vi /etc/nslcd.conf


uri ldap://10.0.1.4:3268


base dc=ming,dc=com


binddn cn=adminldap,cn=Users,dc=ming,dc=com (adminldap为AD账号,一般权限即可)

bindpw ****** (adminldap的密码)




filter passwd (&(objectClass=user)(objectClass=person)(!(objectClass=computer)))

map passwd uid cn

map passwd uidNumber objectSid:S-1-5-21-3623811015-3361044348-30300820

map passwd gidNumber objectSid:S-1-5-21-3623811015-3361044348-30300820

map passwd homeDirectory "/home/$cn"

map passwd gecos displayName

map passwd loginShell "/bin/bash"





filter shadow (objectClass=person)

map shadow uid sAMAccountName



filter group (|(objectClass=group)(objectClass=person))

map group gidNumber objectSid:S-1-5-21-3623811015-3361044348-30300820


:wq





认证后自动创建用户家目录:


# vi /etc/pam.d/common-session


session required pam_mkhomedir.so skel=/etc/skel umask=0022


:wq





# service nscd restart

# service nslcd restart


# getent passwd\shadow\group (查看是否可以显示AD信息,可以才算正常)


nslcd debug模式(看报错用,正常情况下就restart即可)


# service nslcd stop

# nslcd -d



确认AD账号登录


# su - aa.yang


# ssh aa.yang@10.0.1.6 (即通过远程ssh,直接写名字,不带域名)


给sudo权限(/etc/sudoers)


新账号登录后是否自动创建家目录




目前发现的bug:


1、显示的AD账号的uid和gid和AD里的真实uid不一致

2、不能通过AD的group来给sudo权限(gid不一致)

原文链接:https://www.f2er.com/ubuntu/353984.html

猜你在找的Ubuntu相关文章