Witam,
czy dobrze rozumiem zasadę działania, aplikacje takie jak Samba, PAM korzystają z bazdy LDAP na podstawie OID, a nie na podstawie nazw? Dążę do tego że mam własną bazę w LDAP, i chciałbym z niej korzystać jako bazy użytkowników dla PAM i Samby.
Rozumiem że muszę wyedytować plik np. samba.schema tak aby pasował do mojej struktury? Mam racje?
Pozdrawiam,
razz
LDAP, zmiana nazwy atrybuty
Do jakiej struktury ?
Standardowe schematy
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/samba.schema
Zapewniają Ci działanie uwierzytelniania użytkowników poprzez ldapa i nic nie musisz w nich grzebać.
Natomiast samo drzewo w ldapie, ou oraz ulokowanie w nich użytkowników możesz dowolnie sobie zorganizować.
Zainteresuj się programami smbldap-tools, libnss-ldap oraz libpam-ldap
Standardowe schematy
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/samba.schema
Zapewniają Ci działanie uwierzytelniania użytkowników poprzez ldapa i nic nie musisz w nich grzebać.
Natomiast samo drzewo w ldapie, ou oraz ulokowanie w nich użytkowników możesz dowolnie sobie zorganizować.
Zainteresuj się programami smbldap-tools, libnss-ldap oraz libpam-ldap
Widziałem w manualach, że niektóre aplikacje mają możliwość definiowania jak dane pole nazywa się w bazie, ale jak znam życie to pewnie tylko tych najważniejszych i nie w każdym programie/bibliotece. Druga sprawa, co mi z tego że będę miał użytkowników w LDAP, jak dla każdego programu będę musiał tworzyć nową bazę z użytkownikami.
Używam ldapa do autoryzacji użytkowników :
joomla,samba,linux-shell,pure-ftp,poczta,apache,urządzenia sieciowe,squid,ocs+glpi,radius,openvpn.
Wszystko chodzi i autoryzuje się z jednej bazy ( ten sam użytkownik to samo hasło ). Ustawienia atrybutów standardowe.
hasło - userpassword
login: uid
Więc wydaje mi się iż producent tworząc możliwość autoryzacji programu z ldapa raczej używa tych właśnie atrybutów.
Do zarządzania ldapem szczerze polecam darmowy program ldapadmin (pod windows)
joomla,samba,linux-shell,pure-ftp,poczta,apache,urządzenia sieciowe,squid,ocs+glpi,radius,openvpn.
Wszystko chodzi i autoryzuje się z jednej bazy ( ten sam użytkownik to samo hasło ). Ustawienia atrybutów standardowe.
hasło - userpassword
login: uid
Więc wydaje mi się iż producent tworząc możliwość autoryzacji programu z ldapa raczej używa tych właśnie atrybutów.
Do zarządzania ldapem szczerze polecam darmowy program ldapadmin (pod windows)
Jeśli chodzi o autoryzację użytkowników i sprawy około autoryzacyjne, to zazwyczaj bazuje się na odgórnie zdefiniowanej klasie posixaccount ze stałymi atrybutami. Wygooglaj sobie posixaccount definition i sprawdź jakie ma domyślnie atrybuty - większość softu (np. PAM LDAP) bazuje właśnie na tym. Natomiast jak będzie zdefiniowane drzewo katalogów, to już możesz sobie sam określić i to w większości przypadków jest już konfigurowalne.