Посоветуйте доку/книгу по openldap (для samba) для чайников.

sleepycat	# 10 лет, 4 месяца назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	ldap это бд, она для хранения юзеров не пилина по дефолту, от этого нехватка примеров, что логично. Подсказать нечего. Сам максимум по советам, собираюсь попробовать повесить авторизацию для сервера(ов) , пока что базово для unix. Хотя вроде samba также популярная тема, с лдапом, странно, может так было то смены синтаксиса конфигов…. хз, если попробую то отпишусь в ЛС. Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

# 10 лет, 4 месяца назад

Сообщения: 3291

Участник с: 19 июля 2011

ldap это бд, она для хранения юзеров не пилина по дефолту, от этого нехватка примеров, что логично. Подсказать нечего. Сам максимум по советам, собираюсь попробовать повесить авторизацию для сервера(ов) , пока что базово для unix. Хотя вроде samba также популярная тема, с лдапом, странно, может так было то смены синтаксиса конфигов…. хз, если попробую то отпишусь в ЛС.

Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

gard	# 10 лет, 4 месяца назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Пока ковырялся, понял, что обозначился глобальный пробел. Учетки можно добавлять и средствами того же phpldapadmin, но как оставить автоматическое создание машинных аккаунтов. Добавлять машины вручную не очень интересный вариант. В итоге сегодня докопался до пакета ldapscripts, который позволяет выполнять команды типа ldapadduser, ldapaddgroup, ldapaddmachine (даже такая есть) и прочие. В общем очень интересный пакет. По сути.. в ldap записи можно вносить чуть ли не вручную, используя ldif файлы, но нужно знать синтаксис разных объектных классов, а это жесть. В общем сегодня-завтра поставлю в виртуалке две машины: дебиан как сервер и винда как клиент, буду пробовать. Еще есть интересный пакет smbldap-tools, но я пока что ковыряюсь с вариантами “обойтись без него”, возможно зря, нужно будет посмотреть и его. Пугает излишняя усложненность конфигурации, поставить то поставлю, а вдруг война и что делать непонятно. =) Нужно разбираться, время пока есть, до реального внедрения самбы времени еще не один месяц.. подготавливаю плацдарм в общем. =)

gard

# 10 лет, 4 месяца назад

Темы: 66

Сообщения: 1167

Участник с: 15 декабря 2009

Пока ковырялся, понял, что обозначился глобальный пробел. Учетки можно добавлять и средствами того же phpldapadmin, но как оставить автоматическое создание машинных аккаунтов. Добавлять машины вручную не очень интересный вариант. В итоге сегодня докопался до пакета ldapscripts, который позволяет выполнять команды типа ldapadduser, ldapaddgroup, ldapaddmachine (даже такая есть) и прочие. В общем очень интересный пакет. По сути.. в ldap записи можно вносить чуть ли не вручную, используя ldif файлы, но нужно знать синтаксис разных объектных классов, а это жесть. В общем сегодня-завтра поставлю в виртуалке две машины: дебиан как сервер и винда как клиент, буду пробовать. Еще есть интересный пакет smbldap-tools, но я пока что ковыряюсь с вариантами “обойтись без него”, возможно зря, нужно будет посмотреть и его. Пугает излишняя усложненность конфигурации, поставить то поставлю, а вдруг война и что делать непонятно. =) Нужно разбираться, время пока есть, до реального внедрения самбы времени еще не один месяц.. подготавливаю плацдарм в общем. =)

ProFfeSsoRr	# 10 лет, 4 месяца назад
Темы: 82 Сообщения: 948 Участник с: 14 мая 2009	Я сам в итоге до конца ручное руление ldif и не осилил, постигаю “по мере необходимости”, благо 99% мне ничего, выходящего за рамки phpldapadmin (правда, с перепиленными шаблонами и прилично настроенными конфигом), и не надо. Т.к. по ним, по сути, одна документация и есть, а каких-то понятных и толковых примеров (пусть даже и на английском) - как-то нету. Вот сейчас к примеру ищу способ адкеватного руления cn=config через админку, в тот же phpldapadmin это вроде допиливают сейчас, но все равно с этим функционалм как-то вообще бедно в целом :( P.S. Ты видимо этот этап уже прошел, но базовая настройка OpenLDAP (причем с репликацией и SSL) хорошо описана здесь: http://doc.ubuntu.com/ubuntu/serverguid … erver.html

ProFfeSsoRr

# 10 лет, 4 месяца назад

Темы: 82

Сообщения: 948

Участник с: 14 мая 2009

Я сам в итоге до конца ручное руление ldif и не осилил, постигаю “по мере необходимости”, благо 99% мне ничего, выходящего за рамки phpldapadmin (правда, с перепиленными шаблонами и прилично настроенными конфигом), и не надо. Т.к. по ним, по сути, одна документация и есть, а каких-то понятных и толковых примеров (пусть даже и на английском) - как-то нету. Вот сейчас к примеру ищу способ адкеватного руления cn=config через админку, в тот же phpldapadmin это вроде допиливают сейчас, но все равно с этим функционалм как-то вообще бедно в целом :(

P.S. Ты видимо этот этап уже прошел, но базовая настройка OpenLDAP (причем с репликацией и SSL) хорошо описана здесь: http://doc.ubuntu.com/ubuntu/serverguid … erver.html

gard	# 10 лет, 4 месяца назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Да, как раз каждый последний день почитываю эту доку.. уже встретился с “приятной” неожиданностью, что новый ldap настраивается совершенно по другому. Стартово прицепить схему самба в общем то получается. Далее вариант использовать smbldap-tool, а потом попробовать навернуть Gosa. Но с Gosa опять таки все как то печально, в манах говорится подключать ldif-файлы, но в Gosa-пакете нет этих файлов, только схемы. Подключать схемы по порядку конечно можно.. кстати возможно даже есть более быстрый способ нежели через slapcat. Нужно еще в общем попробовать, неделю назад я вообще не понимал как оно работает. SSL и репликация мне не нужна, самба с ldap будут крутиться на одной машинке. Ну а вообще пока разбираюсь, и кстати, посмотрел тут вчера Zentyal. Блин, вкусная штуковина, ставится одной командой и работает, сегодня взял из нее конфиг самба, сейчас покурю его, кое что мне там понравилось, я в этих вопросах немного перемудриваю.

gard

# 10 лет, 4 месяца назад

Темы: 66

Сообщения: 1167

Участник с: 15 декабря 2009

Да, как раз каждый последний день почитываю эту доку.. уже встретился с “приятной” неожиданностью, что новый ldap настраивается совершенно по другому. Стартово прицепить схему самба в общем то получается. Далее вариант использовать smbldap-tool, а потом попробовать навернуть Gosa. Но с Gosa опять таки все как то печально, в манах говорится подключать ldif-файлы, но в Gosa-пакете нет этих файлов, только схемы. Подключать схемы по порядку конечно можно.. кстати возможно даже есть более быстрый способ нежели через slapcat. Нужно еще в общем попробовать, неделю назад я вообще не понимал как оно работает. SSL и репликация мне не нужна, самба с ldap будут крутиться на одной машинке.

Ну а вообще пока разбираюсь, и кстати, посмотрел тут вчера Zentyal. Блин, вкусная штуковина, ставится одной командой и работает, сегодня взял из нее конфиг самба, сейчас покурю его, кое что мне там понравилось, я в этих вопросах немного перемудриваю.

gard	# 10 лет, 4 месяца назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Ну все товарищи.. в общем кажется решил задачку. С некоторыми ограничениями и допущениями, но в итоге работает как надо. В двух словах: 1) Установка/настройка ldap, подключение схем и создание начальной структуры БД. 2) Установка libnns-ldap (в арче nss_ldap) для того, чтобы система видела пользователей в ldap'е. Тестовая проверка. 3) Настройка конфига самба, с учетом 2х допущений: каждый юзер имеет личную папку и имеет доступ к шаре группы. Прочие шары прописываются отдельно в конфиге. Перемещаемых профилей нет. 4) Установка smbldap-tools для автоматической генерации (smbldap-populate) структуры samba в ldap, с группами и маппингом. 5) Установка ldap-account-manager, который позволяет вносить пользователей/группы в ldap, включение плюшки автосоздания каталогов пользователей и групп через pam.d/samba. Последний пункт опять таки допущение, пользователями можно рулить через smbldap-tools, не имея никакого ldap-account-manager'a, smbldap-tools также позволяет автоматически создавать хомяки пользователям, но вот шары для групп уже не создаст, хотя и тут можно скооперироваться с pam.d/samba и будет создавать. Автосоздание каталогов у smbldap-tools вообще можно отнять. Кроме того есть еще допущение: группы и пользователей желательно именовать одним словом в нижнем регистре, иначе могут быть приколы, обсасывать решение которых совсем уж лень. Для негрупповых и неприватных шар очевидно придется использовать acl, там в принципе ничего сложного нет, но ручная работа таки будет, это еще даже близко не Zentyal. Есть еще вариант рулить пользователями через утилиты от M$, но честно говоря, я как то попробовал - быстрее сделать без них, страшное старое непонятное поделие. Может я незнаю и есть что-то более новое. Все вышеописанные опыты производил в виртуалке под Ubuntu Server 10.04 LTS, по сути в Debian также будет все это работать, но не уверен, что там также настраивается libnss-ldap. Там есть еще какие то заморочки с pam, однако, если использовать пользователей _только_ из ldap, то при синхронизации пароля unix и samba - пользователя ничего страшного от pam ждать не следует, то есть сам pam по сути вообще не настраивается, потому что это ненужно. Все изменения происходят с записью пользователя в ldap, а уж оттуда его видит nss. То есть все довольно скромно, но в общем то работает. Если есть интерес - постараюсь написать хаутушку, но выложу на УбунтуФоруме, все таки там apt, а тут дам ссылку. =)

gard

# 10 лет, 4 месяца назад

Темы: 66

Сообщения: 1167

Участник с: 15 декабря 2009

Ну все товарищи.. в общем кажется решил задачку. С некоторыми ограничениями и допущениями, но в итоге работает как надо. В двух словах:
1) Установка/настройка ldap, подключение схем и создание начальной структуры БД.
2) Установка libnns-ldap (в арче nss_ldap) для того, чтобы система видела пользователей в ldap'е. Тестовая проверка.
3) Настройка конфига самба, с учетом 2х допущений: каждый юзер имеет личную папку и имеет доступ к шаре группы. Прочие шары прописываются отдельно в конфиге. Перемещаемых профилей нет.
4) Установка smbldap-tools для автоматической генерации (smbldap-populate) структуры samba в ldap, с группами и маппингом.
5) Установка ldap-account-manager, который позволяет вносить пользователей/группы в ldap, включение плюшки автосоздания каталогов пользователей и групп через pam.d/samba.

Последний пункт опять таки допущение, пользователями можно рулить через smbldap-tools, не имея никакого ldap-account-manager'a, smbldap-tools также позволяет автоматически создавать хомяки пользователям, но вот шары для групп уже не создаст, хотя и тут можно скооперироваться с pam.d/samba и будет создавать. Автосоздание каталогов у smbldap-tools вообще можно отнять. Кроме того есть еще допущение: группы и пользователей желательно именовать одним словом в нижнем регистре, иначе могут быть приколы, обсасывать решение которых совсем уж лень. Для негрупповых и неприватных шар очевидно придется использовать acl, там в принципе ничего сложного нет, но ручная работа таки будет, это еще даже близко не Zentyal. Есть еще вариант рулить пользователями через утилиты от M$, но честно говоря, я как то попробовал - быстрее сделать без них, страшное старое непонятное поделие. Может я незнаю и есть что-то более новое.

Все вышеописанные опыты производил в виртуалке под Ubuntu Server 10.04 LTS, по сути в Debian также будет все это работать, но не уверен, что там также настраивается libnss-ldap. Там есть еще какие то заморочки с pam, однако, если использовать пользователей _только_ из ldap, то при синхронизации пароля unix и samba - пользователя ничего страшного от pam ждать не следует, то есть сам pam по сути вообще не настраивается, потому что это ненужно. Все изменения происходят с записью пользователя в ldap, а уж оттуда его видит nss. То есть все довольно скромно, но в общем то работает. Если есть интерес - постараюсь написать хаутушку, но выложу на УбунтуФоруме, все таки там apt, а тут дам ссылку. =)

sleepycat	# 10 лет, 4 месяца назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	мне сразу исходник в лс )))) как раз пданируется тест на дебиане, может убью 2 зайцев и чтото новое попробую и начну знакомится с apt дистрами. Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 10 лет, 4 месяца назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

мне сразу исходник в лс )))) как раз пданируется тест на дебиане, может убью 2 зайцев и чтото новое попробую и начну знакомится с apt дистрами.

ProFfeSsoRr	# 10 лет, 4 месяца назад
Темы: 82 Сообщения: 948 Участник с: 14 мая 2009	Установка libnns-ldap (в арче nss_ldap) мне очень нравится nss-ldapd из AUR. Он не вешает машину при отвале LDAP сервера, не тормозит загрузку компа, когда LDAP нет или он сам тормозит (к примеру - сломалась репликация). В общем - офигенная штука. И особенно здорово, что демоном управляется, погасил его - и нет LDAP в системе вообще :)

ProFfeSsoRr

# 10 лет, 4 месяца назад

Темы: 82

Сообщения: 948

Участник с: 14 мая 2009

Установка libnns-ldap (в арче nss_ldap)

мне очень нравится nss-ldapd из AUR. Он не вешает машину при отвале LDAP сервера, не тормозит загрузку компа, когда LDAP нет или он сам тормозит (к примеру - сломалась репликация). В общем - офигенная штука. И особенно здорово, что демоном управляется, погасил его - и нет LDAP в системе вообще :)

gard	# 10 лет, 4 месяца назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	sleepycat, исходника пока как такового нет, надо описывать последовательность действий на холсте )), много мелочей, который потом складываются в общую картину. ProFfeSsoRr, мне самому ldap пока без надобности, но буду иметь в виду, ставить арч под PDC как то страшновато, хотя в защиту арча - шлюз там у меня уже полтора года на нем работает. =)

gard

# 10 лет, 4 месяца назад

Темы: 66

Сообщения: 1167

Участник с: 15 декабря 2009

sleepycat, исходника пока как такового нет, надо описывать последовательность действий на холсте )), много мелочей, который потом складываются в общую картину. ProFfeSsoRr, мне самому ldap пока без надобности, но буду иметь в виду, ставить арч под PDC как то страшновато, хотя в защиту арча - шлюз там у меня уже полтора года на нем работает. =)

ProFfeSsoRr	# 10 лет, 4 месяца назад
Темы: 82 Сообщения: 948 Участник с: 14 мая 2009	ставить арч под PDC как то страшновато Почему? У меня уже год работает. Обновляться если решишь, то надо аккуратно, но у меня под каждый сервис своя виртуальная машина, и поэтому на каждой не так уж много пакетов изменяется при обновлении, легко все отслеживать.

ProFfeSsoRr

# 10 лет, 4 месяца назад

Темы: 82

Сообщения: 948

Участник с: 14 мая 2009

ставить арч под PDC как то страшновато

Почему? У меня уже год работает. Обновляться если решишь, то надо аккуратно, но у меня под каждый сервис своя виртуальная машина, и поэтому на каждой не так уж много пакетов изменяется при обновлении, легко все отслеживать.

gard	# 10 лет, 4 месяца назад
Темы: 66 Сообщения: 1167 Участник с: 15 декабря 2009	Вчера понаписал хаутушку, просидел 3 часа, параллельно делая все в виртуалке, посмотреть можно здесь. Пока что даже не перечитывал и не подправлял, потом поменяю, ссылка будет та же. =)