Просмотр сообщений

В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.


Сообщения - Вереск

Страницы: [1] 2
1
Спасибо! Утащу себе в памятки, чтоб не потерялось.

А в Debian есть и стандартные библиотеки, и редхатовский sssd водится. Значит, должно работать.

2
Общий раздел / Re: OpenLDAP и MemberOf
« : 30 Май 2013, 08:50:02 »
Посмотрел, да, действительно, можно MemberOf использовать. Надо рискнуть, забэкапившись. Спасибо!

3
Samba / Re: Samba 4 и LDAP
« : 23 Май 2013, 18:58:05 »
"Сейчас пока работает" - именно так говорится в официальном мане. Но с упором на "пока" и "мы не будем за это отвечать". Реально самба без OpenLDAP нафик не нужна - линуксовые машины через AD гонять - это извращение. Кстати, хаутушек по скрещиванию Samba4 и OpenLDAP днём с огнём не сыскать. Уж не говоря о том, что в моём Debian samba в плачевном состоянии релизнута.

4
Общий раздел / Re: OpenLDAP и MemberOf
« : 23 Май 2013, 18:54:16 »
Ну менять группы уже, наверное, как-то поздновато: и пользователи, и группы уже работают. Да и самбовая схема, вероятно, не позволит. И менеджер LAM придётся, поди, перелопачивать. Овчинка выделки не стоит. К тому же, там есть вариант, что дебианщики скомпиляли LDAP без memberOf, как узнать-то?

Другое дело, насоздавать дополнительных атрибутов - это нормально? Ведь как-то же решалась эта популярнейшая задача и без memberOf, в принципе-то!

5
Samba / Samba 4 и LDAP
« : 22 Май 2013, 22:17:53 »
Судя по всему, из Samba выпиливают поддержку сторонних LDAP-хранилищ. В Samba4 оно помечено как "мы за это не отвечаем, можете, конечно, но скоро выкинем". Что это? Как быть? Куда бежать?
Оставаться на Samba3 совсем надоело - хочется уже GPO и прочих плюшек новой самбы.
Однако на саму Samba4 переходить страшнователько: комбайн из bind, LDAP, smb и всего вместе. Непонятно вообще, как оно собирается работать с Linux-клиентами. Мне-то надо, чтоб там всё хранилось, а самба была прикручена "сбоку". Доки, опять же, по связке OpenLDAP и Samba4 не обнаружил.

Как теперь проектировать гетерогенную сеть-то?

6
Общий раздел / OpenLDAP и MemberOf
« : 22 Май 2013, 22:10:45 »
Долго гуглил, что и как должно работать, но так и не понял юмора. Как объединить пользователей в группы? Не хватает логичного MemberOf - свойства как а AD.

Получается, что атрибут принадлежности есть только в группе и зовётся memberUID. Атрибут множественный. У пользовательских учёток можно хоть вручную насоздавать атрибутов и по ним отбирать что угодно. Например, сделать так:

squid_policy = full | blacklist | whitelist | none
xmpp_policy = yes
xmpp_group = buh | ok | pto | adm

Это будет правильно? Или можно всё-таки по-нормальному делать группы, в них добавлять пользователей и на основании этого уже плясать с правами?
Подсказанный тут способ отбора у меня не завёлся (руки поди что кривые):

{ldap_dn_filter, {"(&(memberUid=%s)(cn=jabberACL))", ["uid"]}}]}.

ЗЫ. Вроде как уже появился OPenLDAP с MemberOf только я что-то не понимаю, где и как. У меня тут вот такой:

  Таблица версий:
     2.4.31-1+nmu2 0
        500 http://ftp.debian.org/debian/ wheezy/main amd64 Packages

Как проверить, будет оно работать или не очень?

7
Вот есть у меня каталог. В него прописаны:

root -> groups -> group1 ... group10
root -> people -> user1 .. user 100
root -> comp -> comp1 .. comp 100 (это для Samba)

Ещё есть там
root -> admin и root -> samba

Теперь я начинаю осознавать, что группы для Samba сваленные просто в groups мне неудобны. Там есть системные, а есть ручками сознанный группы отделов, например. Это чтоб права на файлопомойке раздавать. Как бы порядок в этом во всём навести?

А ещё хочется другую "категорию" групп, точнее даже несколько: для SQUID свою. Чтоб там были группы доступа типа "давать инет" или "давать, но чуть-чуть". И ещё для Jabber. Например, группа "XMPP" чтоб вообще давало к серверу подключиться и некоторое количество групп, чтоб общие списки намутить. Например, "xmpp_buh" или "xmpp_ok".

Вложенными группы, вроде как, можно создавать. А вот как к ним после этого обратиться?

8
Кто-нибудь заморачивался сбором информации о способах идентификации? Я вот представляю, что можно через sssd, можно через PAM, а можно через libnss-ldap. Ну это не считая прикручивания LDAP к Kerberos или самописное скриптование. А есть информация толком со сравнением и подробностями?

9
Спасибо, Егор!
Как только вернусь в админсво - опробую твои рецепты. Просто до конца июня я не админ, а студент-дипломник.

10
Ай, спасиба, дорогой! Как только займусь снова администрированием - опробую.

11
Спасиба! Попробою, как доберусь до работы.

12
Ну в принципе-то да, можно и так поступить. Копаю дальше!

13
Ну нахрапом- не нахрапом, но LDAP - это лишь мала часть моей жизни :-) Тратить на неё больше, чем на овладевание пассатижами я не имею никакой возможности. Да и пригодится оно мне так же ограниченно в жизни, как пассатижи. Эт так, лирика :-)

Проблемс-то в том, что в Debian идёт уже некоторая настройка LDAP, прямо при установке. Как минимум, можно задать имя DC и пароль админа этого бардака с именем admin. Правда потом это никак использовать.

А за статью пасиба, там я ещё парочку полезностей накопал, на будущее. Буду завтра как раз копать и разбираться.

14
Вот типичная статья: http://www.myoguz.info/debian/debian-6-0-squeeze-openldap-2-4-cnconfig

Делаем всё так, slapcat показал вот это:

# slapcat
dn: dc=LDAP
objectClass: top
objectClass: dcObject
objectClass: organization
o: LDAP
dc: LDAP
structuralObjectClass: organization
entryUUID: 8e0f7f1a-0191-1031-841b-853ff525ab39
creatorsName: cn=admin,dc=LDAP
createTimestamp: 20120313195039Z
entryCSN: 20120313195039.908800Z#000000#000#000000
modifiersName: cn=admin,dc=LDAP
modifyTimestamp: 20120313195039Z

dn: cn=admin,dc=LDAP
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword:: e1NTSEF9emtIbkpHNDJScFg5dGtYV0J6OFRGZmdPM0RyLy9BbjQ=
structuralObjectClass: organizationalRole
entryUUID: 8e1c43bc-0191-1031-841c-853ff525ab39
creatorsName: cn=admin,dc=LDAP
createTimestamp: 20120313195039Z
entryCSN: 20120313195039.992481Z#000000#000#000000
modifiersName: cn=admin,dc=LDAP
modifyTimestamp: 20120313195039Z

Создал LDIF, чтоб добавить ветки people и groups:

cat base.ldif
    dn: dc=ldap
    objectClass: dcObject
    objectClass: organization
    objectClass: top
    dc: ldap
    o: ldap

    dn: ou=people,dc=ldap
    objectClass: organizationalUnit
    ou: people

    dn: ou=groups,dc=ldap
    objectClass: organizationalUnit
    ou: groups

И получил по губе:

ldapadd -x -D “cn=admin,dc=LDAP” -w password -f base.ldif
ldap_bind: Invalid DN syntax (34)
        additional info: invalid DN

Скажите болезному, ну что я делаю не так? Ясно, что косячу в какой-то фигне..

Кстати, к cn=admin,dc=ldap подключаться получается через jxplorer.

15
Боле-мене разобрался, как сделать конфигурацию через slapd.conf . Но внятной инструкции, как завести своё дерево через cn=config так и не нашёл. Сильно хотеть помощи! Грязный хак с переводом slapd.conf в конфигурацию slap.d оставляю на крайний случай.

Страницы: [1] 2
Эта страница

Содержание

Новости:
Форум проекта Pro-LDAP.ru
OpenLDAP 2.4 Руководство

Содержание

Введение в службы каталогов OpenLDAPБыстрое развёртывание и начало работыОбщая картина - варианты конфигурацииСборка и установка OpenLDAPНастройка slapd

 

Конфигурационный файл slapdЗапуск slapdКонтроль доступаОграниченияИнструментыМеханизмы манипуляции даннымиНаложенияСпецификация схемы

 

БезопасностьSASLTLSРаспределённая служба каталоговРепликацияОбслуживаниеМониторингПроизводительностьУстранение неполадок
Перевод официального руководства OpenLDAP 2.4 Admin Guide
Полное содержание здесь
LDAP для учёных-ракетчиков

Содержание

О книгеКонцепции LDAPОбъекты LDAPУстановка LDAPПримерыНастройкаРепликация и отсылкиLDIF и DSMLПротоколLDAP API

 

HOWTOНеполадкиПроизводительностьИнструменты LDAPБезопасностьЗаметкиРесурсы LDAPRFC и X.500ГлоссарийОбъекты
Перевод "LDAP for Rocket Scientists"
Полное содержание здесь
Ресурсы

Книги

Руководство OpenLDAP 2.4LDAP для учёных-ракетчиков

Другие

СтатьиТермины LDAPman-страницы OpenLDAP 2.4Список RFCКлиенты LDAPФайлы наборов схемы
Полезные ресурсы
Форум

 

Разделы форумаНепрочитанные сообщенияПоследние сообщения
Форум проекта
Главная

Pro-LDAP.ru

О проектеНовости проектаУчастникиСтаньте участником!Сообщите об ошибке!Об авторских правахСоглашения проекта
Присоединяйсь!