sleepycat |
|
Темы:
98
Сообщения:
3291
Участник с: 19 июля 2011
|
ldap это бд, она для хранения юзеров не пилина по дефолту, от этого нехватка примеров, что логично. Подсказать нечего. Сам максимум по советам, собираюсь попробовать повесить авторизацию для сервера(ов) , пока что базово для unix. Хотя вроде samba также популярная тема, с лдапом, странно, может так было то смены синтаксиса конфигов…. хз, если попробую то отпишусь в ЛС.
Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)
|
gard |
|
Темы:
66
Сообщения:
1167
Участник с: 15 декабря 2009
|
Пока ковырялся, понял, что обозначился глобальный пробел. Учетки можно добавлять и средствами того же phpldapadmin, но как оставить автоматическое создание машинных аккаунтов. Добавлять машины вручную не очень интересный вариант. В итоге сегодня докопался до пакета ldapscripts, который позволяет выполнять команды типа ldapadduser, ldapaddgroup, ldapaddmachine (даже такая есть) и прочие. В общем очень интересный пакет. По сути.. в ldap записи можно вносить чуть ли не вручную, используя ldif файлы, но нужно знать синтаксис разных объектных классов, а это жесть. В общем сегодня-завтра поставлю в виртуалке две машины: дебиан как сервер и винда как клиент, буду пробовать. Еще есть интересный пакет smbldap-tools, но я пока что ковыряюсь с вариантами “обойтись без него”, возможно зря, нужно будет посмотреть и его. Пугает излишняя усложненность конфигурации, поставить то поставлю, а вдруг война и что делать непонятно. =) Нужно разбираться, время пока есть, до реального внедрения самбы времени еще не один месяц.. подготавливаю плацдарм в общем. =) |
ProFfeSsoRr |
|
Темы:
82
Сообщения:
948
Участник с: 14 мая 2009
|
Я сам в итоге до конца ручное руление ldif и не осилил, постигаю “по мере необходимости”, благо 99% мне ничего, выходящего за рамки phpldapadmin (правда, с перепиленными шаблонами и прилично настроенными конфигом), и не надо. Т.к. по ним, по сути, одна документация и есть, а каких-то понятных и толковых примеров (пусть даже и на английском) - как-то нету. Вот сейчас к примеру ищу способ адкеватного руления cn=config через админку, в тот же phpldapadmin это вроде допиливают сейчас, но все равно с этим функционалм как-то вообще бедно в целом :( P.S. Ты видимо этот этап уже прошел, но базовая настройка OpenLDAP (причем с репликацией и SSL) хорошо описана здесь: http://doc.ubuntu.com/ubuntu/serverguid … erver.html |
gard |
|
Темы:
66
Сообщения:
1167
Участник с: 15 декабря 2009
|
Да, как раз каждый последний день почитываю эту доку.. уже встретился с “приятной” неожиданностью, что новый ldap настраивается совершенно по другому. Стартово прицепить схему самба в общем то получается. Далее вариант использовать smbldap-tool, а потом попробовать навернуть Gosa. Но с Gosa опять таки все как то печально, в манах говорится подключать ldif-файлы, но в Gosa-пакете нет этих файлов, только схемы. Подключать схемы по порядку конечно можно.. кстати возможно даже есть более быстрый способ нежели через slapcat. Нужно еще в общем попробовать, неделю назад я вообще не понимал как оно работает. SSL и репликация мне не нужна, самба с ldap будут крутиться на одной машинке. Ну а вообще пока разбираюсь, и кстати, посмотрел тут вчера Zentyal. Блин, вкусная штуковина, ставится одной командой и работает, сегодня взял из нее конфиг самба, сейчас покурю его, кое что мне там понравилось, я в этих вопросах немного перемудриваю. |
gard |
|
Темы:
66
Сообщения:
1167
Участник с: 15 декабря 2009
|
Ну все товарищи.. в общем кажется решил задачку. С некоторыми ограничениями и допущениями, но в итоге работает как надо. В двух словах: 1) Установка/настройка ldap, подключение схем и создание начальной структуры БД. 2) Установка libnns-ldap (в арче nss_ldap) для того, чтобы система видела пользователей в ldap'е. Тестовая проверка. 3) Настройка конфига самба, с учетом 2х допущений: каждый юзер имеет личную папку и имеет доступ к шаре группы. Прочие шары прописываются отдельно в конфиге. Перемещаемых профилей нет. 4) Установка smbldap-tools для автоматической генерации (smbldap-populate) структуры samba в ldap, с группами и маппингом. 5) Установка ldap-account-manager, который позволяет вносить пользователей/группы в ldap, включение плюшки автосоздания каталогов пользователей и групп через pam.d/samba. Последний пункт опять таки допущение, пользователями можно рулить через smbldap-tools, не имея никакого ldap-account-manager'a, smbldap-tools также позволяет автоматически создавать хомяки пользователям, но вот шары для групп уже не создаст, хотя и тут можно скооперироваться с pam.d/samba и будет создавать. Автосоздание каталогов у smbldap-tools вообще можно отнять. Кроме того есть еще допущение: группы и пользователей желательно именовать одним словом в нижнем регистре, иначе могут быть приколы, обсасывать решение которых совсем уж лень. Для негрупповых и неприватных шар очевидно придется использовать acl, там в принципе ничего сложного нет, но ручная работа таки будет, это еще даже близко не Zentyal. Есть еще вариант рулить пользователями через утилиты от M$, но честно говоря, я как то попробовал - быстрее сделать без них, страшное старое непонятное поделие. Может я незнаю и есть что-то более новое. Все вышеописанные опыты производил в виртуалке под Ubuntu Server 10.04 LTS, по сути в Debian также будет все это работать, но не уверен, что там также настраивается libnss-ldap. Там есть еще какие то заморочки с pam, однако, если использовать пользователей _только_ из ldap, то при синхронизации пароля unix и samba - пользователя ничего страшного от pam ждать не следует, то есть сам pam по сути вообще не настраивается, потому что это ненужно. Все изменения происходят с записью пользователя в ldap, а уж оттуда его видит nss. То есть все довольно скромно, но в общем то работает. Если есть интерес - постараюсь написать хаутушку, но выложу на УбунтуФоруме, все таки там apt, а тут дам ссылку. =) |
sleepycat |
|
Темы:
98
Сообщения:
3291
Участник с: 19 июля 2011
|
мне сразу исходник в лс )))) как раз пданируется тест на дебиане, может убью 2 зайцев и чтото новое попробую и начну знакомится с apt дистрами.
Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)
|
ProFfeSsoRr |
|
Темы:
82
Сообщения:
948
Участник с: 14 мая 2009
|
Установка libnns-ldap (в арче nss_ldap)мне очень нравится nss-ldapd из AUR. Он не вешает машину при отвале LDAP сервера, не тормозит загрузку компа, когда LDAP нет или он сам тормозит (к примеру - сломалась репликация). В общем - офигенная штука. И особенно здорово, что демоном управляется, погасил его - и нет LDAP в системе вообще :) |
gard |
|
Темы:
66
Сообщения:
1167
Участник с: 15 декабря 2009
|
sleepycat, исходника пока как такового нет, надо описывать последовательность действий на холсте )), много мелочей, который потом складываются в общую картину. ProFfeSsoRr, мне самому ldap пока без надобности, но буду иметь в виду, ставить арч под PDC как то страшновато, хотя в защиту арча - шлюз там у меня уже полтора года на нем работает. =) |
ProFfeSsoRr |
|
Темы:
82
Сообщения:
948
Участник с: 14 мая 2009
|
ставить арч под PDC как то страшноватоПочему? У меня уже год работает. Обновляться если решишь, то надо аккуратно, но у меня под каждый сервис своя виртуальная машина, и поэтому на каждой не так уж много пакетов изменяется при обновлении, легко все отслеживать. |
gard |
|
Темы:
66
Сообщения:
1167
Участник с: 15 декабря 2009
|
Вчера понаписал хаутушку, просидел 3 часа, параллельно делая все в виртуалке, посмотреть можно здесь. Пока что даже не перечитывал и не подправлял, потом поменяю, ссылка будет та же. =) |