对于想学习 Linux 的初学者来说要适应使用命令行或者终端可能非常困难。由于终端比图形用户界面程序更能帮助用户控制 Linux 系统，我们必须习惯在终端中运行命令。因此为了有效记忆 Linux 不同的命令，你应该每天使用终端并明白怎样将命令和不同选项以及参数一同使用。

在 Linux 中管理文件类型和设置时间

请先查看我们 Linux 小技巧系列之前的文章：

• 5 个有趣的 Linux 命令行技巧
• 给新手的 10 个有用 Linux 命令行技巧

在这篇文章中，我们打算看看终端中 5 个和文件以及时间相关的提示和技巧。

Linux 中的文件类型

在 Linux 中，一切皆文件，你的设备、目录以及普通文件都认为是文件。

Linux 系统中文件有不同的类型：

• 普通文件：可能包含命令、文档、音频文件、视频、图像，归档文件等。
• 设备文件：系统用于访问你硬件组件。

这里有两种表示存储设备的设备文件：块文件，例如硬盘，它们以块读取数据；字符文件，以逐个字符读取数据。

• 硬链接和软链接：用于在 Linux 文件系统的任意地方访问文件。
• 命名管道和套接字：允许不同的进程之间进行交互。

1. 用 ‘file’ 命令确定文件类型

你可以像下面这样使用 file 命令确定文件的类型。下面的截图显示了用 file 命令确定不同文件类型的例子。

tecmint@tecmint ~/Linux-Tricks $ dir
BACKUP                    master.zip
crossroads-stable.tar.gz          num.txt
EDWARD-MAYA-2011-2012-NEW-REMIX.mp3   reggea.xspf
Linux-Security-Optimization-Book.gif  tmp-link

tecmint@tecmint ~/Linux-Tricks $ file BACKUP/
BACKUP/: directory 

tecmint@tecmint ~/Linux-Tricks $ file master.zip 
master.zip: Zip archive data, at least v1.0 to extract

tecmint@tecmint ~/Linux-Tricks $ file crossroads-stable.tar.gz
crossroads-stable.tar.gz: gzip compressed data, from Unix, last modified: Tue Apr  5 15:15:20 2011

tecmint@tecmint ~/Linux-Tricks $ file Linux-Security-Optimization-Book.gif 
Linux-Security-Optimization-Book.gif: GIF image data, version 89a, 200 x 259

tecmint@tecmint ~/Linux-Tricks $ file EDWARD-MAYA-2011-2012-NEW-REMIX.mp3 
EDWARD-MAYA-2011-2012-NEW-REMIX.mp3: Audio file with ID3 version 2.3.0, contains: MPEG ADTS, layer III, v1, 192 kbps, 44.1 kHz, JntStereo

tecmint@tecmint ~/Linux-Tricks $ file /dev/sda1
/dev/sda1: block special 

tecmint@tecmint ~/Linux-Tricks $ file /dev/tty1
/dev/tty1: character special 

2. 用 ‘ls’ 和 ‘dir’ 命令确定文件类型

确定文件类型的另一种方式是用 ls 和 dir 命令显示一长串结果。

用 ls -l 确定一个文件的类型。

当你查看文件权限时，第一个字符显示了文件类型，其它字符显示文件权限。

tecmint@tecmint ~/Linux-Tricks $ ls -l
total 6908
drwxr-xr-x 2 tecmint tecmint    4096 Sep  9 11:46 BACKUP
-rw-r--r-- 1 tecmint tecmint 1075620 Sep  9 11:47 crossroads-stable.tar.gz
-rwxr----- 1 tecmint tecmint 5916085 Sep  9 11:49 EDWARD-MAYA-2011-2012-NEW-REMIX.mp3
-rw-r--r-- 1 tecmint tecmint   42122 Sep  9 11:49 Linux-Security-Optimization-Book.gif
-rw-r--r-- 1 tecmint tecmint   17627 Sep  9 11:46 master.zip
-rw-r--r-- 1 tecmint tecmint       5 Sep  9 11:48 num.txt
-rw-r--r-- 1 tecmint tecmint       0 Sep  9 11:46 reggea.xspf
-rw-r--r-- 1 tecmint tecmint       5 Sep  9 11:47 tmp-link

使用 ls -l 确定块和字符文件

tecmint@tecmint ~/Linux-Tricks $ ls -l /dev/sda1
brw-rw---- 1 root disk 8, 1 Sep  9 10:53 /dev/sda1

tecmint@tecmint ~/Linux-Tricks $ ls -l /dev/tty1
crw-rw---- 1 root tty 4, 1 Sep  9 10:54 /dev/tty1

使用 dir -l 确定一个文件的类型。

tecmint@tecmint ~/Linux-Tricks $ dir -l
total 6908
drwxr-xr-x 2 tecmint tecmint    4096 Sep  9 11:46 BACKUP
-rw-r--r-- 1 tecmint tecmint 1075620 Sep  9 11:47 crossroads-stable.tar.gz
-rwxr----- 1 tecmint tecmint 5916085 Sep  9 11:49 EDWARD-MAYA-2011-2012-NEW-REMIX.mp3
-rw-r--r-- 1 tecmint tecmint   42122 Sep  9 11:49 Linux-Security-Optimization-Book.gif
-rw-r--r-- 1 tecmint tecmint   17627 Sep  9 11:46 master.zip
-rw-r--r-- 1 tecmint tecmint       5 Sep  9 11:48 num.txt
-rw-r--r-- 1 tecmint tecmint       0 Sep  9 11:46 reggea.xspf
-rw-r--r-- 1 tecmint tecmint       5 Sep  9 11:47 tmp-link

3. 统计指定类型文件的数目

下面我们来看看在一个目录中用 ls，grep 和 wc 命令统计指定类型文件数目的技巧。命令之间的交互通过命名管道完成。

• grep – 用户根据给定模式或正则表达式进行搜索的命令。
• wc – 用于统计行、字和字符的命令。

统计普通文件的数目

在 Linux 中，普通文件用符号 - 表示。

tecmint@tecmint ~/Linux-Tricks $ ls -l | grep ^- | wc -l
7

统计目录的数目

在 Linux 中，目录用符号 d 表示。

tecmint@tecmint ~/Linux-Tricks $ ls -l | grep ^d | wc -l
1

统计符号链接和硬链接的数目

在 Linux 中，符号链接和硬链接用符号 l 表示。

tecmint@tecmint ~/Linux-Tricks $ ls -l | grep ^l | wc -l
0

统计块文件和字符文件的数目

在 Linux 中，块和字符文件用符号 b 和 c 表示。

tecmint@tecmint ~/Linux-Tricks $ ls -l /dev | grep ^b | wc -l
37
tecmint@tecmint ~/Linux-Tricks $ ls -l /dev | grep ^c | wc -l
159

4. 在 Linux 系统中查找文件

下面我们来看看在 Linux 系统中查找文件一些命令，它们包括 locate、find、whatis 和 which 命令。

用 locate 命令查找文件

在下面的输出中，我想要定位系统中的 Samba 服务器配置文件

tecmint@tecmint ~/Linux-Tricks $ locate samba.conf
/usr/lib/tmpfiles.d/samba.conf
/var/lib/dpkg/info/samba.conffiles

用 find 命令查找文件

想要学习如何在 Linux 中使用 find 命令，你可以阅读我们以下的文章，里面列出了 find 命令的 30 多个例子和使用方法。

• Linux 中 35 个 ‘find’ 命令示例

用 whatis 命令定位命令

whatis 命令通常用于定位命令，它很特殊，因为它给出关于一个命令的信息，它还能查找配置文件和命令的帮助手册条目。

tecmint@tecmint ~/Linux-Tricks $ whatis bash
bash (1)             - GNU Bourne-Again SHell

tecmint@tecmint ~/Linux-Tricks $ whatis find
find (1)             - search for files in a directory hierarchy

tecmint@tecmint ~/Linux-Tricks $ whatis ls
ls (1)               - list directory contents

用 which 命令定位命令

which 命令用于定位文件系统中的命令。

tecmint@tecmint ~/Linux-Tricks $ which mkdir
/bin/mkdir

tecmint@tecmint ~/Linux-Tricks $ which bash
/bin/bash

tecmint@tecmint ~/Linux-Tricks $ which find
/usr/bin/find

tecmint@tecmint ~/Linux-Tricks $ $ which ls
/bin/ls

5.处理 Linux 系统的时间

在联网环境中，保持你 Linux 系统时间准确是一个好的习惯。Linux 系统中有很多服务要求时间正确才能在联网条件下正常工作。

让我们来看看你可以用来管理你机器时间的命令。在 Linux 中，有两种方式管理时间：系统时间和硬件时间。

系统时间由系统时钟管理，硬件时间由硬件时钟管理。

要查看你的系统时间、日期和时区，像下面这样使用 date 命令。

tecmint@tecmint ~/Linux-Tricks $ date
Wed Sep  9 12:25:40 IST 2015

像下面这样用 date -s 或 date -set=“STRING” 设置系统时间。

tecmint@tecmint ~/Linux-Tricks $ sudo date -s "12:27:00"
Wed Sep  9 12:27:00 IST 2015

tecmint@tecmint ~/Linux-Tricks $ sudo date --set="12:27:00"
Wed Sep  9 12:27:00 IST 2015

你也可以像下面这样设置时间和日期。

tecmint@tecmint ~/Linux-Tricks $ sudo date 090912302015
Wed Sep  9 12:30:00 IST 2015

使用 cal 命令从日历中查看当前日期。

tecmint@tecmint ~/Linux-Tricks $ cal
   September 2015     
Su Mo Tu We Th Fr Sa  
       1  2  3  4  5  
 6  7  8  9 10 11 12  
13 14 15 16 17 18 19  
20 21 22 23 24 25 26  
27 28 29 30      

使用 hwclock 命令查看硬件时钟时间。

tecmint@tecmint ~/Linux-Tricks $ sudo hwclock
Wednesday 09 September 2015 06:02:58 PM IST  -0.200081 seconds

要设置硬件时钟时间，像下面这样使用 hwclock –set –date=“STRING” 命令。

tecmint@tecmint ~/Linux-Tricks $ sudo hwclock --set --date="09/09/2015 12:33:00"

tecmint@tecmint ~/Linux-Tricks $ sudo hwclock
Wednesday 09 September 2015 12:33:11 PM IST  -0.891163 seconds

系统时间是由硬件时钟时间在启动时设置的，系统关闭时，硬件时间被重置为系统时间。

因此你查看系统时间和硬件时间时，它们是一样的，除非你更改了系统时间。当你的 CMOS 电量不足时，硬件时间可能不正确。

你也可以像下面这样使用硬件时钟的时间设置系统时间。

$ sudo hwclock --hctosys

也可以像下面这样用系统时钟时间设置硬件时钟时间。

$ sudo hwclock --systohc

要查看你的 Linux 系统已经运行了多长时间，可以使用 uptime 命令。

tecmint@tecmint ~/Linux-Tricks $ uptime
12:36:27 up  1:43,  2 users,  load average: 1.39, 1.34, 1.45

tecmint@tecmint ~/Linux-Tricks $ uptime -p
up 1 hour, 43 minutes

tecmint@tecmint ~/Linux-Tricks $ uptime -s
2015-09-09 10:52:47

总结

对于初学者来说理解 Linux 中的文件类型是一个好的尝试，同时时间管理也非常重要，尤其是在需要可靠有效地管理服务的服务器上。希望这篇指南能对你有所帮助。如果你有任何反馈，别忘了给我们写评论。和我们保持联系。

via: http://www.tecmint.com/manage-file-types-and-set-system-time-in-linux/

作者：Aaron Kili 译者：ictlyh 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

这是一篇对完全是新手的一篇技巧，我将向你展示如何在Ubuntu文件管理器中添加书签。

现在如果你想知道为什么要这么做，答案很简单。它可以让你可以快速地在左边栏中访问。比如，我在Ubuntu中安装了Copy 云服务。它创建在/Home/Copy。先进入Home目录再进入Copy目录并不是很麻烦，但是我想要更快地访问它。因此我添加了一个书签这样我就可以直接从侧边栏访问了。

在Ubuntu中添加书签

打开Files。进入你想要保存快速访问的目录。你需要在标记书签的目录里面。

现在，你有两种方法：

方法1:

当你在Files（Ubuntu中的文件管理器）中时，查看顶部菜单。你会看到书签按钮。点击它你会看到将当前路径保存为书签的选项。

方法 2:

你可以直接按下Ctrl+D就可以将当前位置保存为书签。

如你所见，这里左边栏就有一个新添加的Copy目录：

管理书签

如果你不想要太多的书签或者你错误地添加了一个书签，你可以很简单地删除它。按下Ctrl+B查看所有的书签。现在选择想要删除的书签并点击删除。

这就是在Ubuntu中管理书签需要做的。我知道这对于大多数用户而言很简单，但是这也许多Ubuntu的新手而言或许还有用。

via: http://itsfoss.com/add-remove-bookmarks-ubuntu/

作者：Abhishek 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

全新的Ubuntu 15.10 Wily Werewolf默认壁纸已经亮相

乍一看你几乎无法发现与今天4月发布的Ubuntu 15.04中受到折纸启发的‘Suru’设计有什么差别。但是仔细看你就会发现默认背景有一些细微差别。

其中一点是更淡，受到由左上角图片发出的橘黄色光的帮助。保持了角褶皱和色块，但是增加了块和矩形部分。

新的背景由Canonica设计团队的Alex Milazzo设计。

Ubuntu 15.10 默认桌面背景

为了凸显变化，这个是Ubuntu 15.04的默认壁纸作为比较：

Ubuntu 15.04 默认壁纸

下载Ubuntu 15.10 壁纸

如果你正运行的是Ubuntu 15.10 Wily Werewolf每日构建版本，那么你无法看到这个默认壁纸：设计已经亮相但是还没有打包到Wily中。

你不必等到10月份来使用新的设计来作为你的桌面背景。你可以点击下面的按钮下载4096×2304高清壁纸。

• 下载Ubuntu 15.10新的默认壁纸

最后，如我们每次在有新壁纸时说的，你不必在意发布版品牌和设计细节。如果壁纸不合你的口味或者不想永远用它，轻易地就换掉，毕竟这不是Ubuntu Phone！

你是新版本的粉丝么？在评论中让我们知道

via: http://www.omgubuntu.co.uk/2015/09/ubuntu-15-10-wily-werewolf-default-wallpaper

作者：Joey-Elijah Sneddon 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

假如你在词典中查一下单词 “ 虚拟化 （ virtualize ） ”，你将会发现它的意思是 “创造某些事物的一个虚拟物（而非真实的）”。在计算机行业中，术语 虚拟化 （ virtualization ） 指的是：在相同的物理（硬件）系统上，同时运行多个操作系统，且这几个系统相互隔离的可能性，而那个硬件在虚拟化架构中被称作 宿主机 （ host ） 。

RHCSA 系列： 虚拟化基础和使用 KVM 进行虚拟机管理 – Part 15

通过使用虚拟机监视器（也被称为 虚拟机管理程序 （ hypervisor ） ），虚拟机（被称为 guest）由底层的硬件来供给虚拟资源（举几个例子来说，如 CPU，RAM，存储介质，网络接口等）。

考虑到这一点就可以清楚地看出，虚拟化的主要优点是节约成本（在设备和网络基础设施，及维护工作等方面）和显著地减少容纳所有必要硬件所需的物理空间。

由于这个简单的指南不能涵盖所有的虚拟化方法，我鼓励你参考在总结部分中列出的文档，以此对这个话题做更深入的了解。

请记住当前文章只是用于在 RHEL 7 中用命令行工具使用 KVM ( Kernel-based Virtual Machine （ 基于内核的虚拟机 ） ) 学习虚拟化基础知识的一个起点，而并不是对这个话题的深入探讨。

检查硬件要求并安装软件包

为了设置虚拟化，你的 CPU 必须能够支持它。你可以使用下面的命令来查看你的系统是否满足这个要求：

# grep -E 'svm|vmx' /proc/cpuinfo

在下面的截图中，我们可以看到当前的系统（带有一个 AMD 的微处理器）支持虚拟化，svm 字样的存在暗示了这一点。假如我们有一个 Intel 系列的处理器，我们将会看到上面命令的结果将会出现 vmx 字样。

检查 KVM 支持

另外，你需要在你宿主机的硬件（BIOS 或 UEFI）中开启虚拟化。

现在，安装必要的软件包：

• qemu-kvm 是一个开源的虚拟机程序，为 KVM 虚拟机监视器提供硬件仿真，而 qemu-img 则提供了一个操纵磁盘镜像的命令行工具。
• libvirt 包含与操作系统的虚拟化功能交互的工具。
• libvirt-python 包含一个模块，它允许用 Python 写的应用来使用由 libvirt 提供的接口。
• libguestfs-tools 包含各式各样的针对虚拟机的系统管理员命令行工具。
• virt-install 包含针对虚拟机管理的其他命令行工具。

命令如下：

# yum update && yum install qemu-kvm qemu-img libvirt libvirt-python libguestfs-tools virt-install

一旦安装完成，请确保你启动并开启了 libvirtd 服务：

# systemctl start libvirtd.service
# systemctl enable libvirtd.service

默认情况下，每个虚拟机将只能够与放在相同的物理服务器上的虚拟机以及宿主机自身通信。要使得虚拟机能够访问位于局域网或因特网中的其他机器，我们需要像下面这样在我们的宿主机上设置一个桥接接口（比如说 br0）：

1、 添加下面的一行到我们的 NIC 主配置中（类似 /etc/sysconfig/network-scripts/ifcfg-enp0s3 这样的文件）：

BRIDGE=br0

2、 使用下面的内容（注意，你可能需要更改 IP 地址，网关地址和 DNS 信息）为 br0 创建一个配置文件（/etc/sysconfig/network-scripts/ifcfg-br0）：

DEVICE=br0
TYPE=Bridge
BOOTPROTO=static
IPADDR=192.168.0.18
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
NM_CONTROLLED=no
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
NAME=br0
ONBOOT=yes
DNS1=8.8.8.8
DNS2=8.8.4.4

3、 最后在文件/etc/sysctl.conf 中设置：

net.ipv4.ip_forward = 1

来开启包转发并加载更改到当前的内核配置中：

# sysctl -p

注意，你可能还需要告诉 firewalld 让这类的流量应当被允许通过防火墙。假如你需要这样做，记住你可以参考这个系列的 使用 firewalld 和 iptables 来控制网络流量。

创建虚拟机镜像

默认情况下，虚拟机镜像将会被创建到 /var/lib/libvirt/images 中，且强烈建议你不要更改这个设定，除非你真的需要那么做且知道你在做什么，并能自己处理有关 SELinux 的设定（这个话题已经超出了本教程的讨论范畴，但你可以参考这个系列的第 13 部分 使用 SELinux 来进行强制访问控制，假如你想更新你的知识的话）。

这意味着你需要确保你在文件系统中分配了必要的空间来容纳你的虚拟机。

下面的命令将使用位于 /home/gacanepa/ISOs目录下的 rhel-server-7.0-x86\_64-dvd.iso 镜像文件和 br0 这个网桥来创建一个名为 tecmint-virt01 的虚拟机，它有一个虚拟 CPU，1 GB（=1024 MB）的 RAM，20 GB 的磁盘空间（由/var/lib/libvirt/images/tecmint-virt01.img所代表）：

# virt-install \
--network bridge=br0
--name tecmint-virt01 \
--ram=1024 \
--vcpus=1 \
--disk path=/var/lib/libvirt/images/tecmint-virt01.img,size=20 \
--graphics none \
--cdrom /home/gacanepa/ISOs/rhel-server-7.0-x86_64-dvd.iso
--extra-args="console=tty0 console=ttyS0,115200"

假如安装文件位于一个 HTTP 服务器上，而不是存储在你磁盘中的镜像中，你必须将上面的 -cdrom 替换为 -location，并明确地指出在线存储仓库的地址。

至于上面的 –graphics none 选项，它告诉安装程序只以文本模式执行安装过程。假如你使用一个 GUI 界面和一个 VNC 窗口来访问主虚拟机控制台，则可以省略这个选项。最后，使用 –extra-args 参数，我们将传递内核启动参数给安装程序，以此来设置一个串行的虚拟机控制台。

现在，所安装的虚拟机应当可以作为一个正常的（真实的）服务来运行了。假如没有，请查看上面列出的步骤。

管理虚拟机

作为一个系统管理员，还有一些典型的管理任务需要你在虚拟机上去完成。注：下面所有的命令都需要在你的宿主机上运行：

1. 列出所有的虚拟机：

# virsh list --all

你必须留意上面命令输出中的虚拟机 ID（尽管上面的命令还会返回虚拟机的名称和当前的状态），因为你需要它来执行有关某个虚拟机的大多数管理任务。

2. 显示某个虚拟机的信息：

# virsh dominfo [VM Id]

3. 开启，重启或停止一个虚拟机操作系统：

# virsh start | reboot | shutdown [VM Id]

4. 假如网络无法连接且在宿主机上没有运行 X 服务器，可以使用下面的命令来访问虚拟机的串行控制台：

# virsh console [VM Id]

注：这需要你添加一个串行控制台配置信息到 /etc/grub.conf 文件中（参考刚才创建虚拟机时传递给-extra-args选项的参数）。

5. 修改分配的内存或虚拟 CPU：

首先，关闭虚拟机：

# virsh shutdown [VM Id]

为 RAM 编辑虚拟机的配置：

# virsh edit [VM Id]

然后更改

<memory>[内存大小，注意不要加上方括号]</memory>

使用新的设定重启虚拟机：

# virsh create /etc/libvirt/qemu/tecmint-virt01.xml

最后，可以使用下面的命令来动态地改变内存的大小：

# virsh setmem [VM Id] [内存大小，这里没有括号]

对于 CPU，使用：

# virsh edit [VM Id]

然后更改

<cpu>[CPU 数目，这里没有括号]</cpu>

至于更深入的命令和细节，请参考 RHEL 5 虚拟化指南（这个指南尽管有些陈旧，但包括了用于管理虚拟机的 virsh 命令的详尽清单）的第 26 章里的表 26.1。

总结

在这篇文章中，我们涵盖了在 RHEL 7 中如何使用 KVM 和虚拟化的一些基本概念，这个话题是一个广泛且令人着迷的话题。并且我希望它能成为你在随后阅读官方的 RHEL 虚拟化入门 和 RHEL 虚拟化部署和管理指南 ，探索更高级的主题时的起点教程，并给你带来帮助。

另外，为了分辨或拓展这里解释的某些概念，你还可以参考先前包含在 KVM 系列 中的文章。

via: http://www.tecmint.com/kvm-virtualization-basics-and-guest-administration/

作者：Gabriel Cánepa 译者：FSSlc 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Linux 社区通常对 Linux 的诞生日有两种看法：

• 8月25日是 Linus Torvalds 首次发布消息说他开始开发 Linux 的日期
• 10月5日则是第一个内核 0.01 发布的日期

为了纪念1991年第一个 Linux 内核的发布，让我们来看看从第一个版本开始到现在发生了什么变化。

• Linux 内核 0.01 只有 10239 行代码（来源： Wikipedia）。
• 发布于2015年7月的 4.1 版本，已经有了超过1900万行代码（来源： Phoronix）。

现在的 Linux 内核是已知最大的协作项目之一的成果。

根据今年二月发布的 Linux 开发报告《谁写的 Linux》的数据：

• 从10年前有记录起，来自超过 1200 家公司的近 12000 名开发者为 Linux 内核做出了贡献。
• Linux 开发的速度是无与伦比的。接纳到内核的更改数量是平均每小时 7.71 个，换句话说是，每天 185 个更改或每周 1300 个。

近年来，Linux 内核的飞速发展及其带来的创新鼓舞了更多人参与到其中，在适应了它的原则、做法和方法体系后，推动 Linux 成功地解决了一些当今最复杂的技术问题。

就在这周，Linux 基金会以其 合作项目 （ Collaborative Projects ） 作为样本发布了首份开源开发的价值评估报告。报告的数据十分有趣，令人印象深刻，该报告表明 Linux 基金会合作项目的综合价值超过了五亿美金 （使用 David A. Wheeler 的模型）。

据此报告：

• 在上个月，Linux 基金会合作项目已经有了一亿一千五百万行（115013302）源代码。
• 这些项目里包含1356名开发者花费了超过30年而重新创造的代码。
• 这些工作的经济总价值评估超过了五亿美金。

我们已经从 Linux 中学到了如此之多，没有什么能阻止我们继续获得更多。来和我们一起庆祝 Linux 的纪念日吧，请关注Linux 基金会的 Twitter 消息和我们下周在爱尔兰都柏林的举办的 LinuxCon Europe 上的庆祝活动吧。

在这篇文章中，我们将首先罗列一些 LDAP 的基础知识（它是什么，它被用于何处以及为什么会被这样使用），然后向你展示如何使用 RHEL 7 系统来设置一个 LDAP 服务器以及配置一个客户端来使用它达到认证的目的。

RHCSA 系列：设置 LDAP 服务器及客户端认证 – Part 14

正如你将看到的那样，关于认证，还存在其他可能的应用场景，但在这篇指南中，我们将只关注基于 LDAP 的认证。另外，请记住，由于这个话题的广泛性，在这里我们将只涵盖它的基础知识，但你可以参考位于总结部分中列出的文档，以此来了解更加深入的细节。

基于相同的原因，你将注意到：为了简洁起见，我已经决定省略了几个位于 man 页中 LDAP 工具的参考，但相应命令的解释是近在咫尺的（例如，输入 man ldapadd）。

那还是让我们开始吧。

我们的测试环境

我们的测试环境包含两台 RHEL 7机器：

Server: 192.168.0.18. FQDN: rhel7.mydomain.com
Client: 192.168.0.20. FQDN: ldapclient.mydomain.com

如若你想，你可以使用在 RHCSA 系列（十二）: 使用 Kickstart 完成 RHEL 7 的自动化安装 中使用 Kickstart 安装的机子来作为客户端。

LDAP 是什么？

LDAP 代表 轻量级目录访问协议 （ Lightweight Directory Access Protocol ） ，并包含在一系列协议之中，这些协议允许一个客户端通过网络去获取集中存储的信息（例如所登录的 shell 的路径，家目录的绝对路径，或者其他典型的系统用户信息），而这些信息可以从不同的地方访问到或被很多终端用户获取到（另一个例子是含有某个公司所有雇员的家庭地址和电话号码的目录）。

对于那些被赋予了权限可以使用这些信息的人来说，将这些信息进行集中管理意味着可以更容易地维护和获取。

下面的图表提供了一个简化了的关于 LDAP 的示意图，在下面将会进行更多的描述：

LDAP 示意图

下面是对上面示意图的一个详细解释。

• 在一个 LDAP 目录中，一个 条目 （ entry ） 代表一个独立单元或信息，被所谓的 区别名 （ DN，Distinguished Name ） 唯一识别。
• 一个 属性 （ attribute ） 是一些与某个条目相关的信息（例如地址，有效的联系电话号码和邮箱地址）。
• 每个属性被分配有一个或多个 值 （ value ） ，这些值被包含在一个以空格为分隔符的列表中。每个条目中那个唯一的值被称为一个 相对区别名 （ RDN，Relative Distinguished Name ） 。

接下来，就让我们进入到有关服务器和客户端安装的内容。

安装和配置一个 LDAP 服务器和客户端

在 RHEL 7 中， LDAP 由 OpenLDAP 实现。为了安装服务器和客户端，分别使用下面的命令：

# yum update && yum install openldap openldap-clients openldap-servers
# yum update && yum install openldap openldap-clients nss-pam-ldapd

一旦安装完成，我们还需要关注一些事情。除非显示地提示，下面的步骤都只在服务器上执行：

1. 在服务器和客户端上，为了确保 SELinux 不会妨碍挡道，长久地开启下列的布尔值：

# setsebool -P allow_ypbind=0 authlogin_nsswitch_use_ldap=0

其中 allow_ypbind 为基于 LDAP 的认证所需要，而 authlogin_nsswitch_use_ldap则可能会被某些应用所需要。

2. 开启并启动服务：

# systemctl enable slapd.service
# systemctl start slapd.service

记住你也可以使用 systemctl 来禁用，重启或停止服务：

# systemctl disable slapd.service
# systemctl restart slapd.service
# systemctl stop slapd.service

3. 由于 slapd 服务是由 ldap 用户来运行的（你可以使用 ps -e -o pid,uname,comm | grep slapd 来验证），为了使得服务器能够更改由管理工具创建的条目，该用户应该有目录 /var/lib/ldap 的所有权，而这些管理工具仅可以由 root 用户来运行（紧接着有更多这方面的内容）。

在递归地更改这个目录的所有权之前，将 slapd 的示例数据库配置文件复制进这个目录：

# cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
# chown -R ldap:ldap /var/lib/ldap

4. 设置一个 OpenLDAP 管理用户并设置密码：

# slappasswd

正如下一幅图所展示的那样：

设置 LDAP 管理密码

然后以下面的内容创建一个 LDIF 文件(ldaprootpasswd.ldif)：

dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}PASSWORD

其中：

• PASSWORD 是先前得到的经过哈希处理的字符串。
• cn=config 指的是全局配置选项。
• olcDatabase 指的是一个特定的数据库实例的名称，并且通常可以在 /etc/openldap/slapd.d/cn=config 目录中发现。

根据上面提供的理论背景，ldaprootpasswd.ldif 文件将添加一个条目到 LDAP 目录中。在那个条目中，每一行代表一个属性键值对（其中 dn，changetype，add 和 olcRootPW 为属性，每个冒号右边的字符串为相应的键值）。

随着我们的进一步深入，请记住上面的这些，并注意到在这篇文章的余下部分，我们使用相同的 通用名 （ Common Names ） (cn=)，而这些余下的步骤中的每一步都将与其上一步相关。

5. 现在，通过特别指定相对于 ldap 服务的 URI ，添加相应的 LDAP 条目，其中只有 protocol/host/port 这几个域被允许使用。

# ldapadd -H ldapi:/// -f ldaprootpasswd.ldif

上面命令的输出应该与下面的图像相似：

LDAP 配置

接着从 /etc/openldap/schema 目录导入一个基本的 LDAP 定义：

# for def in cosine.ldif nis.ldif inetorgperson.ldif; do ldapadd -H ldapi:/// -f /etc/openldap/schema/$def; done

LDAP 定义

6. 让 LDAP 在它的数据库中使用你的域名。

以下面的内容创建另一个 LDIF 文件，我们称之为 ldapdomain.ldif， 然后酌情替换这个文件中的域名（在 域名部分 （ Domain Component ） dc=） 和密码：

dn: olcDatabase={1}monitor,cn=config
changetype: modify
replace: olcAccess
olcAccess: {0}to * by dn.base="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth"
  read by dn.base="cn=Manager,dc=mydomain,dc=com" read by * none

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=mydomain,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
replace: olcRootDN
olcRootDN: cn=Manager,dc=mydomain,dc=com

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcRootPW
olcRootPW: {SSHA}PASSWORD

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: {0}to attrs=userPassword,shadowLastChange by
  dn="cn=Manager,dc=mydomain,dc=com" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=Manager,dc=mydomain,dc=com" write by * read

接着使用下面的命令来加载：

# ldapmodify -H ldapi:/// -f ldapdomain.ldif

LDAP 域名配置

7. 现在，该是添加一些条目到我们的 LDAP 目录的时候了。在下面的文件中，属性和键值由一个冒号(:) 所分隔，这个文件我们将命名为 baseldapdomain.ldif:

dn: dc=mydomain,dc=com
objectClass: top
objectClass: dcObject
objectclass: organization
o: mydomain com
dc: mydomain

dn: cn=Manager,dc=mydomain,dc=com
objectClass: organizationalRole
cn: Manager
description: Directory Manager

dn: ou=People,dc=mydomain,dc=com
objectClass: organizationalUnit
ou: People

dn: ou=Group,dc=mydomain,dc=com
objectClass: organizationalUnit
ou: Group

添加条目到 LDAP 目录中：

# ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f baseldapdomain.ldif

添加 LDAP 域名，属性和键值

8. 创建一个名为 ldapuser 的 LDAP 用户(adduser ldapuser)，然后在ldapgroup.ldif 中为一个 LDAP 组创建定义。

# adduser ldapuser
# vi ldapgroup.ldif

添加下面的内容：

dn: cn=Manager,ou=Group,dc=mydomain,dc=com
objectClass: top
objectClass: posixGroup
gidNumber: 1004

其中 gidNumber 是 ldapuser 在 /etc/group 中的 GID，然后加载这个文件：

# ldapadd -x -W -D "cn=Manager,dc=mydomain,dc=com" -f ldapgroup.ldif

9. 为用户 ldapuser 添加一个带有定义的 LDIF 文件（ldapuser.ldif）：

dn: uid=ldapuser,ou=People,dc=mydomain,dc=com
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
cn: ldapuser
uid: ldapuser
uidNumber: 1004
gidNumber: 1004
homeDirectory: /home/ldapuser
userPassword: {SSHA}fiN0YqzbDuDI0Fpqq9UudWmjZQY28S3M
loginShell: /bin/bash
gecos: ldapuser
shadowLastChange: 0
shadowMax: 0
shadowWarning: 0

并加载它：

# ldapadd -x -D cn=Manager,dc=mydomain,dc=com -W -f ldapuser.ldif

LDAP 用户配置

相似地，你可以删除你刚刚创建的用户条目：

# ldapdelete -x -W -D cn=Manager,dc=mydomain,dc=com "uid=ldapuser,ou=People,dc=mydomain,dc=com"

10. 允许有关 ldap 的通信通过防火墙：

# firewall-cmd --add-service=ldap

11. 最后，但并非最不重要的是使用 LDAP 开启客户端的认证。

为了在最后一步中对我们有所帮助，我们将使用 authconfig 工具（一个配置系统认证资源的界面）。

使用下面的命令，在通过 LDAP 服务器认证成功后，假如请求的用户的家目录不存在，则将会被创建：

# authconfig --enableldap --enableldapauth --ldapserver=rhel7.mydomain.com --ldapbasedn="dc=mydomain,dc=com" --enablemkhomedir --update

LDAP 客户端认证

总结

在这篇文章中，我们已经解释了如何利用一个 LDAP 服务器来设置基本的认证。若想对当前这个指南里描述的设置进行更深入的配置，请参考位于 RHEL 系统管理员指南里的 第 13 章 – LDAP 的配置，并特别注意使用 TLS 来进行安全设定。

请随意使用下面的评论框来留下你的提问。

via: http://www.tecmint.com/setup-ldap-server-and-configure-client-authentication/

作者：Gabriel Cánepa 译者：FSSlc 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出