Посоветуйте доку/книгу по openldap (для samba) для чайников.

gard	# 10 лет, 5 месяцев назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Привет всем! На работе все тестирую самбу, возникло желание разобраться с openldap, там глядишь и жаберовские учетки прикрутить и прочее. Читаю про openldap и глаза у меня все больше и больше. :D Ничего не понимаю.. может есть какая то дока для чайников, с описанием что откуда и куда. =)

# 10 лет, 5 месяцев назад

Сообщения: 1167

Участник с: 15 декабря 2009

Привет всем!
На работе все тестирую самбу, возникло желание разобраться с openldap, там глядишь и жаберовские учетки прикрутить и прочее. Читаю про openldap и глаза у меня все больше и больше. :D Ничего не понимаю.. может есть какая то дока для чайников, с описанием что откуда и куда. =)

sleepycat	# 10 лет, 5 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	я ставил по примеру от бывалых фряшников, ставил тоже на фряхе, потом как завелось не понял зачем оно, но потом по теории в инете допер, обычно в книгах по линуксу встречается и самба и опенлдап как примеры, но так чтобы отдельно, основательно , не видел… Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 10 лет, 5 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

я ставил по примеру от бывалых фряшников, ставил тоже на фряхе, потом как завелось не понял зачем оно, но потом по теории в инете допер, обычно в книгах по линуксу встречается и самба и опенлдап как примеры, но так чтобы отдельно, основательно , не видел…

Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

vdemin	# 10 лет, 5 месяцев назад
Темы: 54 Сообщения: 1615 Участник с: 24 января 2009	Поднимал полгода назад на дебиане, помогла вот эта статья: http://www.rjsystems.nl/en/2100-d6-open … ovider.php Но все равно пришлось достаточно времени потрахаться, чтобы понять что к чему. Внятного подробного учебника для новичков, к сожалению, не нашел.

vdemin

# 10 лет, 5 месяцев назад

Темы: 54

Сообщения: 1615

Участник с: 24 января 2009

Поднимал полгода назад на дебиане, помогла вот эта статья:
http://www.rjsystems.nl/en/2100-d6-open … ovider.php

Но все равно пришлось достаточно времени потрахаться, чтобы понять что к чему. Внятного подробного учебника для новичков, к сожалению, не нашел.

vdemin	# 10 лет, 5 месяцев назад
Темы: 54 Сообщения: 1615 Участник с: 24 января 2009	sleepycat обычно в книгах по линуксу встречается и самба и опенлдап как примеры Половина (а то и больше) этих примеров для старого варианта настройки OpenLDAP, когда вся конфигурация была в одном файле. Сейчас она задается кучей ldif-файлов, этот формат как раз и сложно раскурить.

vdemin

# 10 лет, 5 месяцев назад

Темы: 54

Сообщения: 1615

Участник с: 24 января 2009

sleepycat
обычно в книгах по линуксу встречается и самба и опенлдап как примеры

Половина (а то и больше) этих примеров для старого варианта настройки OpenLDAP, когда вся конфигурация была в одном файле.
Сейчас она задается кучей ldif-файлов, этот формат как раз и сложно раскурить.

gard	# 10 лет, 5 месяцев назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Немного почитал, почитал по smbldap-tools, готовый комплект схем и скриптов для samba. В принципе кажется все более менее понятно. В общем надо пробовать, с аура пакет чего то не хочет собираться. :D

vdemin	# 10 лет, 5 месяцев назад
Темы: 54 Сообщения: 1615 Участник с: 24 января 2009	Кстати, рулить сервером удобно через phpldapadmin. Но это уже лучше после того, как разберетесь в матчасти.

sleepycat	# 10 лет, 5 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	zersaa sleepycat обычно в книгах по линуксу встречается и самба и опенлдап как примеры Половина (а то и больше) этих примеров для старого варианта настройки OpenLDAP, когда вся конфигурация была в одном файле. Сейчас она задается кучей ldif-файлов, этот формат как раз и сложно раскурить. логично до первой точки, и спасибо за инфу после. zersaa Кстати, рулить сервером удобно через phpldapadmin. Но это уже лучше после того, как разберетесь в матчасти. +1, есть такая хреновина, ставиться ровно , без камней.(ну или было так во времена изучения вопроса “что это за лдап такой”) Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 10 лет, 5 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

zersaa
sleepycat
обычно в книгах по линуксу встречается и самба и опенлдап как примеры
Половина (а то и больше) этих примеров для старого варианта настройки OpenLDAP, когда вся конфигурация была в одном файле.
Сейчас она задается кучей ldif-файлов, этот формат как раз и сложно раскурить.

логично до первой точки, и спасибо за инфу после.

zersaa
Кстати, рулить сервером удобно через phpldapadmin. Но это уже лучше после того, как разберетесь в матчасти.

+1, есть такая хреновина, ставиться ровно , без камней.(ну или было так во времена изучения вопроса “что это за лдап такой”)

gard	# 10 лет, 5 месяцев назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Почитал про него, кажется начал допетривать. А сегодня на самбе кое что покрутил без лдапа, получается ненужен он мне пока. Почитаю еще, жаль у меня с нерусским неважно. Но вообще интересно. =)

gard	# 10 лет, 4 месяца назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Почитал еще, потестировал. Но опять слегка запустался.. Как я понял есть 2 варианта развития сюжета. 1) Настроить сервер так, чтобы изначально он производил добавление пользователей системными утилитами в ldap, оттуда же брал данные пользователей. Тут нужно настроить nss_ldap и pam_ldap. 2) Настроить сервер так, чтобы он производил поиск пользователей в ldap, добавлять пользователей напрямую в ldap через какую-то утилиту, типа phpldapadmin. Тут нужно для отображения пользователей в систему настроить только nss_ldap. К этим двум вариантам настроить Samba к примеру так: passdb backend = ldapsam ldap suffix = dc=urfu ldap user suffix = ou=Users ldap group suffix = ou=Groups ldap machine suffix = ou=Computers ldap admin dn = "cn=root,dc=urfu" ldap delete dn = yes ldap ssl = off чтобы утилита smbpasswd -a при добавлении пользователя в свою базу видела, что пользователь имеет системную учетку, которая на самом деле хранится в ldap и отображается в систему через nss_ldap. Однако, как я понял добавить пользователей одним махом не получится. Нужно 1) добавить системного (ldap) пользователя, который в ldap будет выглядеть примерно так: dn: uid=fan2,ou=Users,dc=urfu objectClass: person objectClass: posixAccount objectClass: shadowAccount cn: fan2 user sn: fan2 userPassword:: e0NSWVBUfXh4eHh4eHh4eHg= loginShell: /bin/bash uidNumber: 10003 gidNumber: 2002 homeDirectory: /users/fan/ structuralObjectClass: person uid: fan2 entryUUID: a2f027f6-e233-4ec3-b28b-cb312229364b creatorsName: cn=root,dc=urfu createTimestamp: 20120420051209Z entryCSN: 20120420051209.569029Z#000000#000#000000 modifiersName: cn=root,dc=urfu modifyTimestamp: 20120420051209Z Как можно видеть он добавился и виден системой: [[email protected] ~]# id fan2 uid=10003(fantas) gid=2002(Domain Users) группы=2004 2) На его основе добавить пользователя скриптом Samba, который вызовет smbpasswd -a, в итоге полученная запись ldap о samba-пользователе будет иметь вид: dn: uid=fan2,ou=Users,dc=urfu objectClass: person objectClass: posixAccount objectClass: shadowAccount objectClass: sambaSamAccount cn: fan2 user sn: fan2 userPassword:: e0NSWVBUfXh4eHh4eHh4eHg= loginShell: /bin/bash uidNumber: 10003 gidNumber: 2002 homeDirectory: /users/fan/ structuralObjectClass: person uid: fan2 entryUUID: a2f027f6-e233-4ec3-b28b-cb312229364b creatorsName: cn=root,dc=urfu createTimestamp: 20120420051209Z sambaSID: S-1-5-21-1052329857-3541565878-1560467716-1010 displayName: fan2 user sambaNTPassword: 31D6CFE0D16AE931B73C59D7E0C089C0 sambaPasswordHistory: 00000000000000000000000000000000000000000000000000000000 00000000 sambaPwdLastSet: 1334898772 sambaAcctFlags: [U ] entryCSN: 20120420051252.960940Z#000000#000#000000 modifiersName: cn=root,dc=urfu modifyTimestamp: 20120420051252Z То есть самба поменяет имеющуюся запись системного пользователя в ldap, добавив к ней objectClass: sambaSamAccount и другие параметры. Она сливает данные имеющейся системной записи с добавляемыми собой. Если к примеру захотеть сделать пользователя клиентом почтового сервера postfix, то он также добавит свои данные к записи? Запись наверное будет огроменная. И я вот не пойму.. инструменты вроде Gosa при добавлении самба-пользователя делают эти же два действия? Выходит так или иначе сначала нужно добавить ldap-запись о posix-аккаунте, а потом добавить samba-пользователя.

gard

# 10 лет, 4 месяца назад

Темы: 66

Сообщения: 1167

Участник с: 15 декабря 2009

Почитал еще, потестировал. Но опять слегка запустался..

Как я понял есть 2 варианта развития сюжета.
1) Настроить сервер так, чтобы изначально он производил добавление пользователей системными утилитами в ldap, оттуда же брал данные пользователей. Тут нужно настроить nss_ldap и pam_ldap.
2) Настроить сервер так, чтобы он производил поиск пользователей в ldap, добавлять пользователей напрямую в ldap через какую-то утилиту, типа phpldapadmin. Тут нужно для отображения пользователей в систему настроить только nss_ldap.
К этим двум вариантам настроить Samba к примеру так:

        passdb backend = ldapsam
        ldap suffix = dc=urfu
        ldap user suffix = ou=Users
        ldap group suffix = ou=Groups
        ldap machine suffix = ou=Computers
        ldap admin dn = "cn=root,dc=urfu"
        ldap delete dn = yes
        ldap ssl = off

чтобы утилита smbpasswd -a при добавлении пользователя в свою базу видела, что пользователь имеет системную учетку, которая на самом деле хранится в ldap и отображается в систему через nss_ldap.

Однако, как я понял добавить пользователей одним махом не получится. Нужно
1) добавить системного (ldap) пользователя, который в ldap будет выглядеть примерно так:

dn: uid=fan2,ou=Users,dc=urfu
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
cn: fan2 user
sn: fan2
userPassword:: e0NSWVBUfXh4eHh4eHh4eHg=
loginShell: /bin/bash
uidNumber: 10003
gidNumber: 2002
homeDirectory: /users/fan/
structuralObjectClass: person
uid: fan2
entryUUID: a2f027f6-e233-4ec3-b28b-cb312229364b
creatorsName: cn=root,dc=urfu
createTimestamp: 20120420051209Z
entryCSN: 20120420051209.569029Z#000000#000#000000
modifiersName: cn=root,dc=urfu
modifyTimestamp: 20120420051209Z

Как можно видеть он добавился и виден системой:

[[email protected] ~]# id fan2
uid=10003(fantas) gid=2002(Domain Users) группы=2004

2) На его основе добавить пользователя скриптом Samba, который вызовет smbpasswd -a, в итоге полученная запись ldap о samba-пользователе будет иметь вид:

dn: uid=fan2,ou=Users,dc=urfu
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
cn: fan2 user
sn: fan2
userPassword:: e0NSWVBUfXh4eHh4eHh4eHg=
loginShell: /bin/bash
uidNumber: 10003
gidNumber: 2002
homeDirectory: /users/fan/
structuralObjectClass: person
uid: fan2
entryUUID: a2f027f6-e233-4ec3-b28b-cb312229364b
creatorsName: cn=root,dc=urfu
createTimestamp: 20120420051209Z
sambaSID: S-1-5-21-1052329857-3541565878-1560467716-1010
displayName: fan2 user
sambaNTPassword: 31D6CFE0D16AE931B73C59D7E0C089C0
sambaPasswordHistory: 00000000000000000000000000000000000000000000000000000000
 00000000
sambaPwdLastSet: 1334898772
sambaAcctFlags: [U          ]
entryCSN: 20120420051252.960940Z#000000#000#000000
modifiersName: cn=root,dc=urfu
modifyTimestamp: 20120420051252Z

То есть самба поменяет имеющуюся запись системного пользователя в ldap, добавив к ней objectClass: sambaSamAccount и другие параметры. Она сливает данные имеющейся системной записи с добавляемыми собой. Если к примеру захотеть сделать пользователя клиентом почтового сервера postfix, то он также добавит свои данные к записи? Запись наверное будет огроменная.

И я вот не пойму.. инструменты вроде Gosa при добавлении самба-пользователя делают эти же два действия? Выходит так или иначе сначала нужно добавить ldap-запись о posix-аккаунте, а потом добавить samba-пользователя.

gard	# 10 лет, 4 месяца назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Покопался еще, кажется теперь все становится понятно. При должной конфигурации самба, проблем возникнуть не должно. Однако остается пока что у меня вопрос какой фронтенд использовать для добавления пользователей и удаления оных. Посмотрел webmin, был приятно удивлен, он оказывается сейчас умеет кучу всего, довольно приятная штука. Но с самбой в плане менеджмента юзерами все бедно, а в связке с ldap особенно. Попробовал phpldapadmin, удобно, но есть мелкие нюансы, к примеру нужно подправить в конфиге стартовые uid/gid, иначе происходят интересные вещи, когда в ldap добавляется пользователь с uid существующего пользователя. Кроме того из выявленного - нет возможность задать неистекаемый пароль и что-то там с паролями бедновато. Думаю попробовать Gosa, нужно будет погонять дебиан или убунту в виртуалке, а может быть и на живом хосте поставлю тестово.

gard

# 10 лет, 4 месяца назад

Темы: 66

Сообщения: 1167

Участник с: 15 декабря 2009

Покопался еще, кажется теперь все становится понятно. При должной конфигурации самба, проблем возникнуть не должно. Однако остается пока что у меня вопрос какой фронтенд использовать для добавления пользователей и удаления оных. Посмотрел webmin, был приятно удивлен, он оказывается сейчас умеет кучу всего, довольно приятная штука. Но с самбой в плане менеджмента юзерами все бедно, а в связке с ldap особенно. Попробовал phpldapadmin, удобно, но есть мелкие нюансы, к примеру нужно подправить в конфиге стартовые uid/gid, иначе происходят интересные вещи, когда в ldap добавляется пользователь с uid существующего пользователя. Кроме того из выявленного - нет возможность задать неистекаемый пароль и что-то там с паролями бедновато. Думаю попробовать Gosa, нужно будет погонять дебиан или убунту в виртуалке, а может быть и на живом хосте поставлю тестово.