Евгений Верещагин, 21 июня 2011 года. Оригинал статьи и обсуждение по адресу http://manualpages.pro/node/28.
Обсуждение статьи на форуме проекта Pro-LDAP.ru.
Для управления доменом на базе LDAP+Samba поставляются консольные утилиты:
Ими можно и пользоваться напрямую, и написать собственные скрипты, для введения и управления пользователями в домене. Названия скриптов более чем понятны. Более того, если есть список пользователей, то ввести их из текстового фала по шаблону - дело пары минут и ни в какой графике так быстро это сделать не получится, при управлении через SSH тоже консольным утилитам равных нет.
Эта утилита заточена именно под совместное использование LDAP и Samba (впрочем, и без Samba работает великолепно). Имеется в репозитариях Debian Squeeze. Кроме того, автор предлагает расширенную версию LAM Pro, но уже за денежку. Но возможностей бесплатной версии более чем достаточно на первое (да и второе) время.
# apt-get install ldap-account-manager
Потянет с собой Apache2 и прочую ерунду для своей работы.
Используется настроенный LDAP+Samba сервер, как описано тут
Первым делом после установки LAM, заходим на web: http://server_addr/lam:
Ясное дело, что по-умолчанию мы даже зайти не сможем. Поэтому перво-наперво поправляем параметры входа в LDAP, то есть LAM configuration:
Для входа в панель управления требуется пароль. По-умолчанию пароль - lam:
Ну вот и добрались до сути. Теперь важно поменять настройки на те, что у нас уже существуют в LDAP. Сперва на странице General:
Назначаем адрес LDAP-сервера, ведь Web-интрфейс может работать и с удалёнными серверами. Шифрования TSL нет. Tree-suffix берём такой же, какой указывали Base DN для LDAP. Собственно, это одно и то же. При наведении мышки на значок вопрос можно получить краткую, но ёмкую подсказку :-)
Выбираем предпочитаемый язык. Русский в комплекте имеется, хотя и не совсем полный.
Опции LAM-демона. Пока оставляем всё без изменений, это тема отдельного разговора.
Указываем админа LDAP. Именно главного, у меня это так:
cn=admin,dc=ldap
Ну и не забыть поменять настройки типов учётных записей, приводим их в соответствие тому, что у нас понаписано в slapd.conf:
Переделываю умолчание под себя:
ou=People,dc=ldap
Правим группы под свой домен:
ou=group,dc=ldap
При установке LDAP назначили группу computer для машин, а значит:
ou=computer,dc=ldap
И последнее: Samba-домен. Приводим к правильному виду:
dc=ldap
С настройками закончили, можно пробовать логин, теперь должны быть правильные параметры:
Если хочется управлять несколькими LDAP-серверами, то имеет смысл завести несколько профилей серверов. Чего не советую так это переименовывать профили. У меня, почему-то, перекосило всё окончательно и зайти в управление LDAP стало невозможно.
После входа видим вполне сносный интерфейс:
LAM построен с использованием AJAX-библиотек, поэтому пересохранение настроек удобно сделано, не надо при малейшем изменении и при переходах по вкладкам применять изменения - примутся все разом. Для тестирования и проверки, всё ли правильно сделали, есть "Утилиты", а в них - тест конфигурации.
Внимание!!! Обновление информации в LDAP почему-то иногда задерживается (вероятно надо где-то попилить конфигурацию). Поэтому если windows-машина в домен идти отказывается, то перезапустите slapd и samba. Но проблема такая только в тестовых конфигурациях, при постоянных сменах основных настроек. При нормальном использовании всё становится хорошо и не сопротивляется.
Конечно, сравнение несколько некорректно. Как минимум, у этих систем разная "весовая категория". Но по сравнению с GOsa2, LAM имеет 2 преимущества:
Но по степени интеграции, GOsa2, конечно, впереди планеты всей. Я уж лучше сам всё прикручу и буду знать, где и как оно прописано, чем потом разбираться, что и где отломилось.
Обсуждение статьи на форуме проекта Pro-LDAP.ru.