Ubuntu 通过ldap集成AD账号登录

注：该方式不依赖于AD的server for nis，单纯AD服务即可

安装libnss-ldapd(会自动安装nscd、nslcd)、libpam-ldapd

# apt-get install libnss-ldapd libpam-ldapd  （中间配ldap部分可直接回车或随便写，后面调nslcd.conf文件即可）

# vi /etc/nsswitch.conf

passwd: files ldap

group:  files ldap

shadow: files ldap

:wq

# vi /etc/nslcd.conf

 

uri ldap://10.0.1.4:3268

base dc=ming，dc=com

binddn cn=adminldap,cn=Users,dc=ming,dc=com   （adminldap为AD账号，一般权限即可）

bindpw ******    （adminldap的密码）

filter passwd (&(objectClass=user)(objectClass=person)(!(objectClass=computer)))

map    passwd uid           cn

map    passwd uidNumber     objectSid:S-1-5-21-3623811015-3361044348-30300820

map    passwd gidNumber     objectSid:S-1-5-21-3623811015-3361044348-30300820

map    passwd homeDirectory "/home/$cn"

map    passwd gecos         displayName

map    passwd loginShell    "/bin/bash"

filter shadow (objectClass=person)

map shadow uid  sAMAccountName

filter group (|(objectClass=group)(objectClass=person))

map    group gidNumber      objectSid:S-1-5-21-3623811015-3361044348-30300820

:wq

认证后自动创建用户家目录：

# vi /etc/pam.d/common-session

session required pam_mkhomedir.so skel=/etc/skel umask=0022

:wq

# service nscd restart

# service nslcd restart

# getent passwd\shadow\group  （查看是否可以显示AD信息，可以才算正常）

nslcd debug模式（看报错用，正常情况下就restart即可）

# service nslcd stop

# nslcd -d

确认AD账号登录：

# su - aa.yang

# ssh aa.yang@10.0.1.6  （即通过远程ssh，直接写名字，不带域名）

给sudo权限(/etc/sudoers)

新账号登录后是否自动创建家目录

目前发现的bug：

1、显示的AD账号的uid和gid和AD里的真实uid不一致

2、不认原有的group，显示的账号gid同uid

3、显示的AD账号中间为空格，需在AD里右击重命名中间带点，否则登录时需用‘’引起来

本文转自linux博客51CTO博客，原文链接http://blog.51cto.com/yangzhiming/1907710如需转载请自行联系原作者

yangzhimingg