LDAP Service Configuration - lyulyul/shine-cluster GitHub Wiki

About LDAP

我们使用 Synology NAS 作为LDAP的服务提供者。

首先，在 Synology NAS 中找到Package Center，然后搜索 LDAP Server并点击安装。

安装完成后，打开 LDAP Server 的设置界面，启用 LDAP Server选择, 输入 FQDN & Password，最后应用设置即可。

这里我们会获取到认证信息，其中包括了 Base DN 和 Bind DN。该信息配置客户端时需要提供。

该配置仅仅实现了基本的功能，其他细节需要参考官方文档，已经查阅到的文档将以超链接方式在下面给出。

请注意，目前我们的计算节点的操作系统均为 Ubuntu 20.04。

输入以下命令，以获取最新的 OpenLDAP Client 软件，安装时，终端提供交互界面以进行初始配置（可直接默认设置，之后再进入配置文件设置）。

sudo apt-get update
sudo apt -y install libnss-ldapd libpam-ldapd ldap-utils nslcd

Note: libnss-ldap 与 libnss-ldapd 是不同的包，我们使用的是后者。另外，我尝试了只安装 libnss-ldapd，其他的包好像也已经包含在内了。

安装完成后，我们需要修改以下文件（建议参考已经配置好的coruscant节点）：

# 将 ldap验证 加入 passwd，group
passwd: compat systemd ldap
group:  compat systemd ldap
shadow: compat

/etc/pam.d/common-password

# 注释 line 26, 该操作实现了允许本机修改密码
# 修改的详细原因需要进一步研究
# password    [success=1 default=ignore]  pam_ldap.so minimum_uid=1000 try_first_pass

/etc/pam.d/common-session

# 添加此行到文件尾部，允许用户第一次登陆的时候自动创建新的用户目录
session optional pam_mkhomedir.so skel=/etc/skel umask=077

# 在该文件中需要填充LDAP Server的验证信息。详细请查阅文档。

请注意, NSS 和 nslcd 配置更新之后，需要重新启用 nscd 和 nslcd 服务。

sudo service nscd restart
sudo service nslcd restart
# or 
# 推荐
systemctl restart nscd
systemctl restart nslcd

重新启动服务之后，就可以进行用户同步的测试了。

另外，进一步调试可以使用 ldapsearch，该命令可以对 LDAP Server 上的用户信息进行搜索。