Темы

1

Samba / Samba 4 и LDAP

« : 22 Май 2013, 22:17:53 »

Судя по всему, из Samba выпиливают поддержку сторонних LDAP-хранилищ. В Samba4 оно помечено как "мы за это не отвечаем, можете, конечно, но скоро выкинем". Что это? Как быть? Куда бежать?
Оставаться на Samba3 совсем надоело - хочется уже GPO и прочих плюшек новой самбы.
Однако на саму Samba4 переходить страшнователько: комбайн из bind, LDAP, smb и всего вместе. Непонятно вообще, как оно собирается работать с Linux-клиентами. Мне-то надо, чтоб там всё хранилось, а самба была прикручена "сбоку". Доки, опять же, по связке OpenLDAP и Samba4 не обнаружил.

Как теперь проектировать гетерогенную сеть-то?

2

Общий раздел / OpenLDAP и MemberOf

« : 22 Май 2013, 22:10:45 »

Долго гуглил, что и как должно работать, но так и не понял юмора. Как объединить пользователей в группы? Не хватает логичного MemberOf - свойства как а AD.

Получается, что атрибут принадлежности есть только в группе и зовётся memberUID. Атрибут множественный. У пользовательских учёток можно хоть вручную насоздавать атрибутов и по ним отбирать что угодно. Например, сделать так:

squid_policy = full | blacklist | whitelist | none
xmpp_policy = yes
xmpp_group = buh | ok | pto | adm

Это будет правильно? Или можно всё-таки по-нормальному делать группы, в них добавлять пользователей и на основании этого уже плясать с правами?
Подсказанный тут способ отбора у меня не завёлся (руки поди что кривые):

{ldap_dn_filter, {"(&(memberUid=%s)(cn=jabberACL))", ["uid"]}}]}.

ЗЫ. Вроде как уже появился OPenLDAP с MemberOf только я что-то не понимаю, где и как. У меня тут вот такой:

  Таблица версий:
     2.4.31-1+nmu2 0
        500 http://ftp.debian.org/debian/ wheezy/main amd64 Packages

Как проверить, будет оно работать или не очень?

3

Общий раздел / Проектирование каталога для хранения всего.

« : 22 Май 2013, 22:00:26 »

Вот есть у меня каталог. В него прописаны:

root -> groups -> group1 ... group10
root -> people -> user1 .. user 100
root -> comp -> comp1 .. comp 100 (это для Samba)

Ещё есть там
root -> admin и root -> samba

Теперь я начинаю осознавать, что группы для Samba сваленные просто в groups мне неудобны. Там есть системные, а есть ручками сознанный группы отделов, например. Это чтоб права на файлопомойке раздавать. Как бы порядок в этом во всём навести?

А ещё хочется другую "категорию" групп, точнее даже несколько: для SQUID свою. Чтоб там были группы доступа типа "давать инет" или "давать, но чуть-чуть". И ещё для Jabber. Например, группа "XMPP" чтоб вообще давало к серверу подключиться и некоторое количество групп, чтоб общие списки намутить. Например, "xmpp_buh" или "xmpp_ok".

Вложенными группы, вроде как, можно создавать. А вот как к ним после этого обратиться?

4

Учётные записи в *nix системах / Сводка систем аутентификации

« : 22 Май 2013, 21:40:04 »

Кто-нибудь заморачивался сбором информации о способах идентификации? Я вот представляю, что можно через sssd, можно через PAM, а можно через libnss-ldap. Ну это не считая прикручивания LDAP к Kerberos или самописное скриптование. А есть информация толком со сравнением и подробностями?

5

Конфигурация через cn=config / Конфигурация cn=config без переконвертации slapd.conf

« : 13 Март 2012, 23:45:07 »

Боле-мене разобрался, как сделать конфигурацию через slapd.conf . Но внятной инструкции, как завести своё дерево через cn=config так и не нашёл. Сильно хотеть помощи! Грязный хак с переводом slapd.conf в конфигурацию slap.d оставляю на крайний случай.

6

Конфигурация через cn=config / Настройка Master и Slave для PDC и SDC

« : 13 Март 2012, 16:23:44 »

Я так понял, есть несколько способов синхронизации LDAP-баз. Гуру, подскажите, что целесообразнее использовать для 2-3 копий LDAP для поднятия первичного и дублирующего контроллеров домена?
Если где-то есть пошаговая инструкция, как сконфигурировать через cn=config - наступило бы счастие.

7

Другие сервисы / Ejabberd или openFire и авторизация из LDAP

« : 12 Март 2012, 23:26:10 »

Собственно, сабж.
Авторизацию в LDAP я там видел, но заставить авторизоваться только тех людей, которые внесены в группу "jabber users" не смог. Точнее - не смог подобрать правильный шаблон для их отсева из общей массы.
Если приходилось бороть, поделитесь секретом!
По-идее, хотелось бы опробовать вообще OpenFire, он более "корпоративен", у него логи на стороне сервера уже включены.

8

Общий раздел / Отображение по группам

« : 12 Март 2012, 23:16:09 »

Как было подмечено, ориентироваться в plane-списке LDAP-клиента становится нереально при сотне пользователей. Уж не говорю о паре тысяч. Единственный выход, который встречается - это использование GOsa. Она умеет разбивать пользователей на группы и отображать их именно таким методом. Но GOsa авторитарна, если уж поселилась, то всё, кроме неё ничего тебя не спасёт: и LDAP загадит, и атрибутов своих напихает, короче, за интеграцию надо платить.

Собственно, во всех браузерах LDAP именно это и сводит с ума меня до сих пор: логически связанные между собой "группы пользователей" и сами "пользователи" оказываются на разных ветках LDAP и являются всего лишь списками. Вопрос в том, как же тут быть, можно ли как-то их группировать по основной группе?