初始化LDAP 客户机
第12 章• 设置LDAP 客户机（任务） 181
运行ldapclient init 命令。
# ldapclient init \
-a profileName=new \
-a domainName=west.example.com 192.168.0.1
System successfully configured
使用代理凭证

如何使用代理凭证初始化客户机
注– 请勿直接编辑任何客户机配置文件。请使用ldapclient 创建或修改这些文件的内容。
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见System Administration
Guide: Security Services中的“Using Role-Based Access Control (Tasks)”。
运行ldapclient（定义代理值）。
# ldapclient init \
-a proxyDN=cn=proxyagent,ou=profile,dc=west,dc=example,dc=com \
-a domainName=west.example.com \
-a profileName=pit1 \
-a proxyPassword=test1234 192.168.0.1
System successfully configured
如果要为proxy 设置要使用的配置文件，则-a proxyDN 和-a proxyPassword 是必需的。由
于服务器上保存的配置文件中未存储凭证，因此必须在初始化客户机时提供该信息。与原
先在服务器上存储代理凭证的方法相比，此方法更安全。
代理信息用来创建/var/ldap/ldap_client_cred。其余信息放置在
/var/ldap/ldap_client_file 中。
手动初始化客户机
超级用户或承担等效角色的管理员可以执行手动客户机配置。但是在此过程中会跳过许多
检查，因此系统配置相对容易出错。此外，还必须在每台计算机中更改设置，而不像使用
配置文件时那样，只需在一个集中位置进行更改即可。
2
1
2
初始化LDAP 客户机
182 系统管理指南：名称和目录服务（DNS、NIS 和LDAP） • 2006 年9 月

如何手动初始化客户机
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见System Administration
Guide: Security Services中的“Using Role-Based Access Control (Tasks)”。
使用ldapclient manual 初始化客户机。
# ldapclient manual \
-a domainName=dc=west.example.com \
-a credentialLevel=proxy \
-a defaultSearchBase=dc=west,dc=example,dc=com \
-a proxyDN=cn=proxyagent,ou=profile,dc=west,dc=example,dc=com \
-a proxyPassword=testtest 192.168.0.1
使用ldapclient list 进行验证。
NS_LDAP_FILE_VERSION= 2.0
NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=west,dc=example,dc=com
NS_LDAP_BINDPASSWD= {NS1}4a3788e8c053424f
NS_LDAP_SERVERS= 192.168.0.1
NS_LDAP_SEARCH_BASEDN= dc=west,dc=example,dc=com
NS_LDAP_CREDENTIAL_LEVEL= proxy
修改手动客户机配置

如何修改手动配置
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见System Administration
Guide: Security Services中的“Using Role-Based Access Control (Tasks)”。
使用ldapclient mod 命令将身份验证方法更改为simple。
# ldapclient mod -a authenticationMethod=simple
1
2
3
1
2
初始化LDAP 客户机
第12 章• 设置LDAP 客户机（任务） 183
使用ldapclient list 验证是否进行了更改。
# ldapclient list
NS_LDAP_FILE_VERSION= 2.0
NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=west,dc=example,dc=com
NS_LDAP_BINDPASSWD= {NS1}4a3788e8c053424f
NS_LDAP_SERVERS= 192.168.0.1
NS_LDAP_SEARCH_BASEDN= dc=west,dc=example,dc=com
NS_LDAP_AUTH= simple
NS_LDAP_CREDENTIAL_LEVEL= proxy
取消客户机初始化
ldapclient uninit 可将客户机名称服务恢复到它在最近的init、modify 或manual 操作之前
的状态。换言之，该命令可对采取的上一个步骤执行“撤消”操作。例如，如果对客户机进
行配置，使其使用profile1，然后更改为使用profile2，则使用ldapclient uninit 将使客
户机恢复使用profile1。

如何取消客户机初始化
成为超级用户或承担等效角色。
角色包含授权和具有一定权限的命令。有关角色的更多信息，请参见System Administration
Guide: Security Services中的“Using Role-Based Access Control (Tasks)”。
使用ldapclient uninit。
# ldapclient uninit
System successfully recovered
设置TLS 安全性
注– 安全数据库文件必须可供任何人读取。请勿在key3.db 中包括任何私钥。
如果使用TLS，则必须安装必要的安全数据库。需要特别指出的是，需要证书和密钥数据
库文件。例如，如果采用Netscape Communicator 的旧数据库格式，则需要以下两个文件
：cert7.db 和key3.db。或者，如果使用Mozilla 的新数据库格式，则需要以下三个文件
3
1
2
初始化LDAP 客户机
184 系统管理指南：名称和目录服务（DNS、NIS 和LDAP） • 2006 年9 月
：cert8.db、key3.db 和secmod.db。cert7.db 或cert8.db 文件中包含受信任证书。key3.db
文件包含客户机的密钥。即使LDAP 名称服务客户机不使用客户机密钥，此文件也必须存
在。secmod.db 文件包含安全模块，如PKCS#11 模块。如果使用的是旧格式，则不需要此文
件。
注– 在运行ldapclient 之前，应设置并安装本节中介绍的必需的安全数据库文件。
有关如何创建并管理这些文件的信息，请参见针对您使用的Sun Java System Directory Server
版本的管理员指南中“管理SSL” 一章中有关配置LDAP 客户机以使其使用SSL 一节。配置
后，这些文件必须存储在LDAP 名称服务客户机所期望的位置。属性certificatePath 用来
确定此位置。此位置缺省为/var/ldap。
例如，在使用Netscape CommunicatorTM 设置必需的cert7.db 和key3.db 文件后，请将这些
文件复制到缺省位置。
# cp $HOME/.netscape/cert7.db /var/ldap
# cp $HOME/.netscape/key3.db /var/ldap
然后，向所有人授予读访问权限。
# chmod 444 /var/ldap/cert7.db
# chmod 444 /var/ldap/key3.db
注– Netscape 在$HOME/.netscape 目录中管理cert7.db 和key3.db 文件，而Mozilla 将其
cert8.db、key3.db 和secmod.db 文件放在$HOME/.mozilla 下的一个子目录中进行管理。如
果要将这些安全数据库用于LDAP 名称服务客户机，则必须将其副本存储在本地文件系统
中。
配置PAM
pam_ldap 是用于LDAP 的身份验证和帐户管理PAM模块。请参见pam_ldap(5) 手册页和附
录A，以获取更多有关pam_ldap 当前支持的功能的信息。
配置PAM，使其使用UNIX policy
要配置PAM，使其使用UNIX policy，请参考第201 页中的“pam_ldap 的示例pam.conf 文
件”中的样例进行操作。向客户机的/etc/pam.conf 文件中添加包含pam_ldap.so.1 的行。
有关详细信息，请参见pam.conf(4) 手册页。
初始化LDAP 客户机
第12 章• 设置LDAP 客户机（任务） 185
配置PAM，使其使用LDAPserver_policy
要配置PAM，使其使用LDAP server_policy，请遵照第204 页中的“为帐户管理配置的
pam_ldap 的示例pam_conf 文件”中的样例。向客户机的/etc/pam.conf 文件中添加包含
pam_ldap.so.1 的行。此外，如果pam.conf 文件样例中的任何PAM模块指定了binding 标志
和server_policy 选项，则必须对该客户机的/etc/pam.conf 文件中的对应模块使用相同的
标志和选项。而且，还要将server_policy 选项添加到包含服务模块
pam_authtok_store.so.1 的行中。
注– 启用pam_ldap 帐户管理后，所有用户在每次登录系统时都必须提供口令。进行验证时
必须提供登录口令。因此，使用rsh、rlogin 或ssh等工具进行的不基于口令的登录将会失
败。
 binding 控制标志
使用binding 控制标志允许本地口令覆盖远程(LDAP) 口令。例如，如果在本地文件和
LDAP 名称空间中都找到某一用户帐户，则与本地帐户关联的口令将优先于远程口令。
因此，如果本地口令到期，即使远程LDAP 口令仍有效，身份验证也会失败。
 server_policy 选项
server_policy 选项指示pam_unix_auth、pam_unix_account 和pam_passwd_auth 忽略在
LDAP 名称空间中找到的用户，并允许pam_ldap 执行身份验证或帐户验证。对于
pam_authtok_store，会向LDAP 服务器传递一个未经加密的新口令。因此，该口令将根
据服务器中配置的口令加密方案存储在目录中。有关更多信息，请参见pam.conf(4) 和
pam_ldap(5)。
检索LDAP名称服务信息
使用ldaplist 实用程序可以检索有关LDAP 名称服务的信息。此LDAP 实用程序会以LDIF
格式列出LDAP 服务器中的名称信息。该实用程序可用于进行故障排除。有关详细信息，
请参见ldaplist(1)。
列出所有LDAP容器
ldaplist 显示输出时以空白行分隔记录，这对显示由多行组成的大量记录很有帮助。
注– ldaplist 的输出取决于客户机配置。例如，如果ns_ldap_search 的值是sub 而不是
one，ldaplist 将列出当前搜索baseDN 下的所有项。
下面是ldaplist 输出的示例。
# ldaplist
dn: ou=people,dc=west,dc=example,dc=com
检索LDAP 名称服务信息
186 系统管理指南：名称和目录服务（DNS、NIS 和LDAP） • 2006 年9 月
dn: ou=group,dc=west,dc=example,dc=com
dn: ou=rpc,dc=west,dc=example,dc=com
dn: ou=protocols,dc=west,dc=example,dc=com
dn: ou=networks,dc=west,dc=example,dc=com
dn: ou=netgroup,dc=west,dc=example,dc=com
dn: ou=aliases,dc=west,dc=example,dc=com
dn: ou=hosts,dc=west,dc=example,dc=com
dn: ou=services,dc=west,dc=example,dc=com
dn: ou=ethers,dc=west,dc=example,dc=com
dn: ou=profile,dc=west,dc=example,dc=com
dn: automountmap=auto_home,dc=west,dc=example,dc=com
dn: automountmap=auto_direct,dc=west,dc=example,dc=com
检索LDAP 名称服务信息
第12 章• 设置LDAP 客户机（任务） 187
dn: automountmap=auto_master,dc=west,dc=example,dc=com
dn: automountmap=auto_shared,dc=west,dc=example,dc=com
列出所有用户项属性
要列出特定信息（如用户的passwd 项），请按如下所示使用getent：
# getent passwd user1
user1::30641:10:Joe Q. User:/home/user1:/bin/csh
如果要列出所有属性，请将ldaplist 与-l 选项结合使用。
# ldaplist -l passwd user1dn: uid=user1,ou=People,dc=west,dc=example,dc=com
uid: user1
cn: user1
uidNumber: 30641
gidNumber: 10
gecos: Joe Q. User
homeDirectory: /home/user1
loginShell: /bin/csh
objectClass: top
objectClass: shadowAccount
objectClass: account
objectClass: posixAccount
shadowLastChange: 6445
检索LDAP 名称服务信息
188 系统管理指南：名称和目录服务（DNS、NIS 和LDAP） • 2006 年9 月
自定义LDAP客户机环境
以下各节介绍如何自定义客户机环境。
可以更改任何服务，但一定要小心，因为如果未在服务器上为指定的服务填充数据，则服
务会停止工作。而且，在某些情况下，可能不会按缺省情况设置文件。
为LDAP修改nsswitch.conf 文件
可以修改/etc/nsswitch.conf 文件，以自定义每个服务获取信息的位置。缺省设置存储在
/etc/nsswitch.ldap 中，在初始化客户机时ldapclient 使用此文件创建
/etc/nsswitch.conf 文件。
和LDAP一起启用DNS
如果要通过设置/etc/resolv.conf 文件来启用DNS，请按如下所示将DNS 添加到主机行。
hosts: ldap dns [NOTFOUND=return] files
自定义LDAP 客户机环境
第12 章• 设置LDAP 客户机（任务） 189
190
LDAP 疑难解答（参考）
本章描述了配置问题以及为解决它们而建议的解决方案。
注– LDAP服务由服务管理工具管理。可以使用svcadm 命令对此服务执行启用、禁用或重新
启动等管理操作。有关针对LDAP 使用服务管理工具的更多信息，请参见第180 页中的
“LDAP 和服务管理工具”。有关服务管理工具的概述，请参阅System Administration
Guide: Basic Administration中的“管理服务（概述）”。有关更多详细信息，另请参阅
svcadm(1M)和svcs(1) 手册页。
监视LDAP客户机状态
以下各节介绍了各种可帮助确定LDAP 客户机环境状态的命令。有关可以使用的选项的其
他信息，另请参见相应的手册页。
有关服务管理工具的概述，请参阅System Administration Guide: Basic Administration中的“管
理服务（概述）”。有关更多详细信息，另请参阅svcadm(1M)和svcs(1) 手册页。
验证ldap_cachemgr 是否正在运行
ldap_cachemgr 守护进程必须一直正常运行。否则，系统将无法正常工作。当启动LDAP 客
户机时，客户机会自动启动ldap_cachemgr 守护进程。因此，如果ldap_cachemgr 未运行，
LDAP 客户机将被禁用。下面是两种用于确定LDAP 客户机是否联机的方法：
 使用svcs 命令。
# svcs \*ldap\*
STATE STIME FMRI
disabled Aug_24 svc:/network/ldap/client:default
13 第1 3 章
191
或
# svcs -l network/ldap/client:default
fmri svc:/network/ldap/client:default
enabled true
state online
next_state none
restarter svc:/system/svc/restarter:default
contract_id 1598
dependency require_all/none (-)
dependency require_all/none svc:/network/initial (online)
dependency require_all/none svc:/system/filesystem/minimal (online)
 向ldap_cachemgr 传递-g 选项。
此选项提供更广泛的状态信息，这些信息可用于诊断问题。
# /usr/lib/ldap/ldap_cachemgr -g
cachemgr configuration:
server debug level 0
server log file "/var/ldap/cachemgr.log"
number of calls to ldapcachemgr 19
cachemgr cache data statistics:
Configuration refresh information:
Previous refresh time: 2001/11/16 18:33:28
Next refresh time: 2001/11/16 18:43:28
Server information:
Previous refresh time: 2001/11/16 18:33:28
监视LDAP 客户机状态
192 系统管理指南：名称和目录服务（DNS、NIS 和LDAP） • 2006 年9 月
Next refresh time: 2001/11/16 18:36:08
server: 192.168.0.0, status: UP
server: 192.168.0.1, status: ERROR
error message: Can’t connect to the LDAP server
Cache data information:
Maximum cache entries: 256
Number of cache entries: 2
有关ldap_cachemgr 守护进程的更多信息，请参见ldap_cachemgr(1M) 手册页。
检查当前的配置文件信息
成为超级用户或承担等效角色，然后运行带list 选项的ldapclient。
# ldapclient list
NS_LDAP_FILE_VERSION= 2.0
NS_LDAP_BINDDN= cn=proxyagent,ou=profile,dc=west,dc=example,dc=com
NS_LDAP_BINDPASSWD= {NS1}4a3788e8c053424f
NS_LDAP_SERVERS= 192.168.0.1, 192.168.0.10
NS_LDAP_SEARCH_BASEDN= dc=west,dc=example,dc=com
NS_LDAP_AUTH= simple
NS_LDAP_SEARCH_REF= TRUE
NS_LDAP_SEARCH_SCOPE= one
NS_LDAP_SEARCH_TIME= 30
NS_LDAP_SERVER_PREF= 192.168.0.1
NS_LDAP_PROFILE= pit1
NS_LDAP_CREDENTIAL_LEVEL= proxy

 

以上文章转自于 ： http://developers.sun.com.cn/