Сообщения

1

Учётные записи в *nix системах / Re: Сводка систем аутентификации

« : 30 Май 2013, 08:55:06 »

Спасибо! Утащу себе в памятки, чтоб не потерялось.

А в Debian есть и стандартные библиотеки, и редхатовский sssd водится. Значит, должно работать.

2

Общий раздел / Re: OpenLDAP и MemberOf

« : 30 Май 2013, 08:50:02 »

Посмотрел, да, действительно, можно MemberOf использовать. Надо рискнуть, забэкапившись. Спасибо!

3

Samba / Re: Samba 4 и LDAP

« : 23 Май 2013, 18:58:05 »

"Сейчас пока работает" - именно так говорится в официальном мане. Но с упором на "пока" и "мы не будем за это отвечать". Реально самба без OpenLDAP нафик не нужна - линуксовые машины через AD гонять - это извращение. Кстати, хаутушек по скрещиванию Samba4 и OpenLDAP днём с огнём не сыскать. Уж не говоря о том, что в моём Debian samba в плачевном состоянии релизнута.

4

Общий раздел / Re: OpenLDAP и MemberOf

« : 23 Май 2013, 18:54:16 »

Ну менять группы уже, наверное, как-то поздновато: и пользователи, и группы уже работают. Да и самбовая схема, вероятно, не позволит. И менеджер LAM придётся, поди, перелопачивать. Овчинка выделки не стоит. К тому же, там есть вариант, что дебианщики скомпиляли LDAP без memberOf, как узнать-то?

Другое дело, насоздавать дополнительных атрибутов - это нормально? Ведь как-то же решалась эта популярнейшая задача и без memberOf, в принципе-то!

5

Samba / Samba 4 и LDAP

« : 22 Май 2013, 22:17:53 »

Судя по всему, из Samba выпиливают поддержку сторонних LDAP-хранилищ. В Samba4 оно помечено как "мы за это не отвечаем, можете, конечно, но скоро выкинем". Что это? Как быть? Куда бежать?
Оставаться на Samba3 совсем надоело - хочется уже GPO и прочих плюшек новой самбы.
Однако на саму Samba4 переходить страшнователько: комбайн из bind, LDAP, smb и всего вместе. Непонятно вообще, как оно собирается работать с Linux-клиентами. Мне-то надо, чтоб там всё хранилось, а самба была прикручена "сбоку". Доки, опять же, по связке OpenLDAP и Samba4 не обнаружил.

Как теперь проектировать гетерогенную сеть-то?

6

Общий раздел / OpenLDAP и MemberOf

« : 22 Май 2013, 22:10:45 »

Долго гуглил, что и как должно работать, но так и не понял юмора. Как объединить пользователей в группы? Не хватает логичного MemberOf - свойства как а AD.

Получается, что атрибут принадлежности есть только в группе и зовётся memberUID. Атрибут множественный. У пользовательских учёток можно хоть вручную насоздавать атрибутов и по ним отбирать что угодно. Например, сделать так:

squid_policy = full | blacklist | whitelist | none
xmpp_policy = yes
xmpp_group = buh | ok | pto | adm

Это будет правильно? Или можно всё-таки по-нормальному делать группы, в них добавлять пользователей и на основании этого уже плясать с правами?
Подсказанный тут способ отбора у меня не завёлся (руки поди что кривые):

{ldap_dn_filter, {"(&(memberUid=%s)(cn=jabberACL))", ["uid"]}}]}.

ЗЫ. Вроде как уже появился OPenLDAP с MemberOf только я что-то не понимаю, где и как. У меня тут вот такой:

  Таблица версий:
     2.4.31-1+nmu2 0
        500 http://ftp.debian.org/debian/ wheezy/main amd64 Packages

Как проверить, будет оно работать или не очень?

7

Общий раздел / Проектирование каталога для хранения всего.

« : 22 Май 2013, 22:00:26 »

Вот есть у меня каталог. В него прописаны:

root -> groups -> group1 ... group10
root -> people -> user1 .. user 100
root -> comp -> comp1 .. comp 100 (это для Samba)

Ещё есть там
root -> admin и root -> samba

Теперь я начинаю осознавать, что группы для Samba сваленные просто в groups мне неудобны. Там есть системные, а есть ручками сознанный группы отделов, например. Это чтоб права на файлопомойке раздавать. Как бы порядок в этом во всём навести?

А ещё хочется другую "категорию" групп, точнее даже несколько: для SQUID свою. Чтоб там были группы доступа типа "давать инет" или "давать, но чуть-чуть". И ещё для Jabber. Например, группа "XMPP" чтоб вообще давало к серверу подключиться и некоторое количество групп, чтоб общие списки намутить. Например, "xmpp_buh" или "xmpp_ok".

Вложенными группы, вроде как, можно создавать. А вот как к ним после этого обратиться?

8

Учётные записи в *nix системах / Сводка систем аутентификации

« : 22 Май 2013, 21:40:04 »

Кто-нибудь заморачивался сбором информации о способах идентификации? Я вот представляю, что можно через sssd, можно через PAM, а можно через libnss-ldap. Ну это не считая прикручивания LDAP к Kerberos или самописное скриптование. А есть информация толком со сравнением и подробностями?

9

Обсуждение переводов и статей / Re: Обсуждение статьи "Пример работы с LDAP-каталогом с помощью php API"

« : 27 Апрель 2012, 10:42:55 »

Спасибо, Егор!
Как только вернусь в админсво - опробую твои рецепты. Просто до конца июня я не админ, а студент-дипломник.

10

Другие сервисы / Re: Ejabberd или openFire и авторизация из LDAP

« : 15 Апрель 2012, 10:19:29 »

Ай, спасиба, дорогой! Как только займусь снова администрированием - опробую.

11

Общий раздел / Re: Отображение по группам

« : 24 Март 2012, 19:42:20 »

Спасиба! Попробою, как доберусь до работы.

12

Конфигурация через cn=config / Re: Конфигурация cn=config без переконвертации slapd.conf

« : 15 Март 2012, 14:58:12 »

Ну в принципе-то да, можно и так поступить. Копаю дальше!

13

Конфигурация через cn=config / Re: Конфигурация cn=config без переконвертации slapd.conf

« : 14 Март 2012, 22:54:19 »

Ну нахрапом- не нахрапом, но LDAP - это лишь мала часть моей жизни :-) Тратить на неё больше, чем на овладевание пассатижами я не имею никакой возможности. Да и пригодится оно мне так же ограниченно в жизни, как пассатижи. Эт так, лирика :-)

Проблемс-то в том, что в Debian идёт уже некоторая настройка LDAP, прямо при установке. Как минимум, можно задать имя DC и пароль админа этого бардака с именем admin. Правда потом это никак использовать.

А за статью пасиба, там я ещё парочку полезностей накопал, на будущее. Буду завтра как раз копать и разбираться.

14

Конфигурация через cn=config / Re: Конфигурация cn=config без переконвертации slapd.conf

« : 14 Март 2012, 00:08:03 »

Вот типичная статья: http://www.myoguz.info/debian/debian-6-0-squeeze-openldap-2-4-cnconfig

Делаем всё так, slapcat показал вот это:

# slapcat

Код: [Выделить]

dn: dc=LDAP
objectClass: top
objectClass: dcObject
objectClass: organization
o: LDAP
dc: LDAP
structuralObjectClass: organization
entryUUID: 8e0f7f1a-0191-1031-841b-853ff525ab39
creatorsName: cn=admin,dc=LDAP
createTimestamp: 20120313195039Z
entryCSN: 20120313195039.908800Z#000000#000#000000
modifiersName: cn=admin,dc=LDAP
modifyTimestamp: 20120313195039Z

dn: cn=admin,dc=LDAP
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword:: e1NTSEF9emtIbkpHNDJScFg5dGtYV0J6OFRGZmdPM0RyLy9BbjQ=
structuralObjectClass: organizationalRole
entryUUID: 8e1c43bc-0191-1031-841c-853ff525ab39
creatorsName: cn=admin,dc=LDAP
createTimestamp: 20120313195039Z
entryCSN: 20120313195039.992481Z#000000#000#000000
modifiersName: cn=admin,dc=LDAP
modifyTimestamp: 20120313195039Z
Создал LDIF, чтоб добавить ветки people и groups:

Код: [Выделить]

cat base.ldif
    dn: dc=ldap
    objectClass: dcObject
    objectClass: organization
    objectClass: top
    dc: ldap
    o: ldap

    dn: ou=people,dc=ldap
    objectClass: organizationalUnit
    ou: people

    dn: ou=groups,dc=ldap
    objectClass: organizationalUnit
    ou: groups
И получил по губе:

Код: [Выделить]

ldapadd -x -D “cn=admin,dc=LDAP” -w password -f base.ldif
ldap_bind: Invalid DN syntax (34)
        additional info: invalid DN
Скажите болезному, ну что я делаю не так? Ясно, что косячу в какой-то фигне..

Кстати, к cn=admin,dc=ldap подключаться получается через jxplorer.

15

Конфигурация через cn=config / Конфигурация cn=config без переконвертации slapd.conf

« : 13 Март 2012, 23:45:07 »

Боле-мене разобрался, как сделать конфигурацию через slapd.conf . Но внятной инструкции, как завести своё дерево через cn=config так и не нашёл. Сильно хотеть помощи! Грязный хак с переводом slapd.conf в конфигурацию slap.d оставляю на крайний случай.