Управление LDAP-каталогом и Samba. Установка LAM на Debian Squeeze

Евгений Верещагин, 21 июня 2011 года. Оригинал статьи и обсуждение по адресу http://manualpages.pro/node/28.

Обсуждение статьи на форуме проекта Pro-LDAP.ru.

1. Консольные утилиты

Для управления доменом на базе LDAP+Samba поставляются консольные утилиты:

Ими можно и пользоваться напрямую, и написать собственные скрипты, для введения и управления пользователями в домене. Названия скриптов более чем понятны. Более того, если есть список пользователей, то ввести их из текстового фала по шаблону - дело пары минут и ни в какой графике так быстро это сделать не получится, при управлении через SSH тоже консольным утилитам равных нет.

2. Ldap-account-manager

Эта утилита заточена именно под совместное использование LDAP и Samba (впрочем, и без Samba работает великолепно). Имеется в репозитариях Debian Squeeze. Кроме того, автор предлагает расширенную версию LAM Pro, но уже за денежку. Но возможностей бесплатной версии более чем достаточно на первое (да и второе) время.

# apt-get install ldap-account-manager

Потянет с собой Apache2 и прочую ерунду для своей работы.

2.1 Настройка LAM

Используется настроенный LDAP+Samba сервер, как описано тут

Первым делом после установки LAM, заходим на web: http://server_addr/lam:

Ясное дело, что по-умолчанию мы даже зайти не сможем. Поэтому перво-наперво поправляем параметры входа в LDAP, то есть LAM configuration:

Для входа в панель управления требуется пароль. По-умолчанию пароль - lam:

Ну вот и добрались до сути. Теперь важно поменять настройки на те, что у нас уже существуют в LDAP. Сперва на странице General:

Назначаем адрес LDAP-сервера, ведь Web-интрфейс может работать и с удалёнными серверами. Шифрования TSL нет. Tree-suffix берём такой же, какой указывали Base DN для LDAP. Собственно, это одно и то же. При наведении мышки на значок вопрос можно получить краткую, но ёмкую подсказку :-)

Выбираем предпочитаемый язык. Русский в комплекте имеется, хотя и не совсем полный.

Опции LAM-демона. Пока оставляем всё без изменений, это тема отдельного разговора.

Указываем админа LDAP. Именно главного, у меня это так:

cn=admin,dc=ldap

Ну и не забыть поменять настройки типов учётных записей, приводим их в соответствие тому, что у нас понаписано в slapd.conf:

Переделываю умолчание под себя:

ou=People,dc=ldap

Правим группы под свой домен:

ou=group,dc=ldap

При установке LDAP назначили группу computer для машин, а значит:

ou=computer,dc=ldap

И последнее: Samba-домен. Приводим к правильному виду:

dc=ldap

С настройками закончили, можно пробовать логин, теперь должны быть правильные параметры:

Если хочется управлять несколькими LDAP-серверами, то имеет смысл завести несколько профилей серверов. Чего не советую так это переименовывать профили. У меня, почему-то, перекосило всё окончательно и зайти в управление LDAP стало невозможно.

После входа видим вполне сносный интерфейс:

LAM построен с использованием AJAX-библиотек, поэтому пересохранение настроек удобно сделано, не надо при малейшем изменении и при переходах по вкладкам применять изменения - примутся все разом. Для тестирования и проверки, всё ли правильно сделали, есть "Утилиты", а в них - тест конфигурации.

Внимание!!! Обновление информации в LDAP почему-то иногда задерживается (вероятно надо где-то попилить конфигурацию). Поэтому если windows-машина в домен идти отказывается, то перезапустите slapd и samba. Но проблема такая только в тестовых конфигурациях, при постоянных сменах основных настроек. При нормальном использовании всё становится хорошо и не сопротивляется.

3. Сравнение LAM с GOsa2

Конечно, сравнение несколько некорректно. Как минимум, у этих систем разная "весовая категория". Но по сравнению с GOsa2, LAM имеет 2 преимущества:

  1. Большее соответствие unix-way (несколько небольших утилит, каждая из которых сама по себе, но их можно объединить)
  2. LAM не заваливает своими служебными данными LDAP-каталог. После GOsa2 в LDAP вообще чёрт ногу сломит.

Но по степени интеграции, GOsa2, конечно, впереди планеты всей. Я уж лучше сам всё прикручу и буду знать, где и как оно прописано, чем потом разбираться, что и где отломилось.

Обсуждение статьи на форуме проекта Pro-LDAP.ru.