[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Centralne zarządzanie użytkownikami - nowy system

Jak doniosły WSI, dnia Wed, 17 Jan 2007 11:06:23 +0100
Jerzy Patraszewski <sm0q@pbw.edu.pl> napisał(a):

> Jak doniosły WSI, dnia Tue, 16 Jan 2007 23:48:34 +0100
> Jarek Buczyński <jaro80@gmail.com> napisał(a):
> 
> > Witam
> > 
> > > W razie czego pisz jak się zdecydujesz coś takiego wdrażać...
> > 
> > Ok. Twoje rozwiązanie wygląda ciekawie i wygląda tez że ma więcej
> > zalet niż wad :)
> > 
> > Na początek chciałbym zrobić ftp (vsftpd) z uwierzytelnianiem. Jak
> > na razie mam zainstalowane LDAPServer, LDAPClient oraz VSFTPD. I co
> > dalej? :) Obecnie na ftp można zalogować się używając loginu i hasła
> > z linuksa, użytkownicy mają dostęp tylko do swoich katalogów domowy
> > - to jest zrobione.
> > 
> > Jak dodać kolejnych użytkowników i połączyć z autoryzacją ftp +
> > dostęp tylko do pewnych katalogów a nie całego roota? 
> > 
> > 
> > > Potencjalne problemy:
> > > - kilkanaście opisów na googlach - w tym wiekszość bezwartościowa
> > > lub niekompletna (ale kilka b. dobrych)
> > 
> > To gdzie są te dobre?
> > 
> > --
> > Pozdrawiam
> > 
> Witam,
> 
> po pierwsze: 
> - nie mam FTP'a
> 
> po drugie: 
> - nie bardzo rozumiem sens ftp'a, hasła w ftp'ie i tak
> latają gołym text'em - chyba, że chcesz go skerberyzować
> 
> po trzecie:
> - niezależnie od powyższych postaram ci się jakoś pomóc:
> 
> Przed tobą jest parę etapów wdrożenia:
> 1. Musisz sobie wyedytować plik /etc/openldap/slapd.conf (proponuję
> bdb jako DBM - jest zoptymalizowany pod berkleyDB )
> 2. ACL-i na razie nie ruszaj
> 3. utwórz sobie plik ldif ze strukturą i dodaj
> go do katalogu
> 4. Skonfiguruj sobie własne CA - nie zapominając o zrobieniu hasha do
> certfikatu CA - jak o tym zapomnisz to ci się bedzie wywalał ldap po
> ssl'u
> 5. skonfiguruj sobie NSS
> (pliki /etc/nsswitch.conf, /etc/pam.d/common-*, /etc/ldap
> i /etc/ldap.secret
> 
> jak NSS zacznie ci działać (czyli bedziesz się mógł zalogować z user'a
> ldap'owego, "id" będzie zwracalo ci poprawne wartości, getent passwd
> getent groups bedzie pokazywało odpowiednie wpisy w ldap'ie
> to się odezwij i bedziemy działać dalej.
> 
> co do dobrych tutoriali na sieci:
> 1. "Samba-3 by Example" - na www.samba.org,
> 2. smbldap-howto - na
> (http://sourceforge.net/project/showfiles.php?group_id=166108
> 3. Postfix + ldap na
> http://alinux.washcoll.edu/docs/plc/postfix-courier-howto.html
> 4. Wash and go -
> http://www.tom.sfc.keio.ac.jp/%7Etorry/ldap/ldap_en.html
> 
> W każdym razie jak już bedziesz miał NSS'a to możesz zrobić wszystko
> co chcesz "udając" że korzystasz z lokalnych kont.
> 
> Pozdr
> sm0q
> 
Witam ponownie, 
żeby rozwiać ewentualne wątpliwości:
zapewne już wiesz, że:
LDAP - jest protokołem dostępu do usług katalogowych,
natomiast bazą danych przechowująca strukturę katalogu jest dowolna
baza która ma wsparcie w implementacji protokołu.
OpenLDAP jest implementacją protokołu LDAP, wspierającą m.innymi
Sleepycat Berkeley DB, ale jak chcesz to możesz sobie trzymać katalog
nawet w mysql'u (będzie choolernie woooolne, ale np. listę kontaktów
jabber'a bedziesz mógł również mieć w katalogu LDAP.)

Podsumowując: ldif'a dodajesz do katalogu LDAP oczywiście poleceniem
ldapadd -x -f struktura.ldif -D cn="cn admina podany w slapd.conf" -W 

Co do dobrego tutoriala - zapomniałem o 
"Oreilly.LDAP.System.Administration.Ebook-LiB.chm" (use google :P)
Super książka - b. pomocna jak się gdzieś zagubisz w ww. tutorialach.

Pozdr.
sm0q
Reply to: