许多认证数据库程序都被设计成">允许用户在不同的计算机上使用同一组密码登陆。第一个这样的程序是 NIS 。但是它在传输中没有对密码进行加密处理,同时它还采用了端口映射守护进程,而端口映射使用的不可预知的TCP端口使得NIS难以通过防火墙。针对这些问题,LDAP(轻型目录访问协议)提供了一个基于X.500协议的替代品。
就像X.500一样,LDAP的目录项目被安排成树形的结构。在根节点下,有代表国家、组织、单位和人员的分支。
在复杂的LDAP部署中,当你必须和其他公司的LDAP数据库交换信息时,你可能需要向互联网编号分配机构(IANA负责)申请一个正式的组织数量,以减少数据冲突。
举例来帮助理解这些概念。比如说在一个小的机构里有一个IT部门,域名是exampe.com。它有许多Linux系统的服务器需要管理。
公司希望对于所
有的服务器都能有一种简单、安全的认证登陆方案。 公司决定使用 example.com 作为它的LDAP数据库域名,这个域名由 example 和 com 两部分组成。 这个数据库里只有一种成为 People 的组织单位,这也是 LDAP的默认情况。 每一个人
都有一些属性,比如用户名(User ID 或者 UID)、密码、Linux的主目录以及登陆接口。 作为LDAP服务器并存放数据库的
Fedora Linux 服务器的名字为 bigboy ,它的 IP 地址是 192.168.1.100。 作为测试系统的LDAP 用户 Fedora Linux 服务器名字是 smallfry ,IP地址是 192.168.1.102。 服务器 bigboy 用来测试的账户用户名是ldapuser。
下面是如何完成我们的工作的。
大多数的RedHat 和 Fedora Linux 软件都能找到 RPM 格式的发行包。在寻找这些软件包时,请注意 FreeRADIUS 的 RPM 软件包通常以 openldap 开头,并且文件名的后部有该软件包的版本号,例如 openldap-servers-2.1.22-8.i386.rpm。
请将下面这些LDAP 服务 RPM 包安装到您的 LDAP服务器上。
必须的LDAP服务器端软件包
下面的软件必须安装到您的 LDAP 服务器上。
openldapopenldap-clientsopenldap-develnss_ldapopenldap-servers
必须的LDAP客户端软件包
下面的软件必须安装到您的 LDAP 客户端计算机上。
openldapopenldap-clientsopenldap-develnss_ldap