Strona 1 z 1
LDAP, zmiana nazwy atrybuty
: 18 stycznia 2014, 14:49
autor: razz87
Witam,
czy dobrze rozumiem zasadę działania, aplikacje takie jak Samba, PAM korzystają z bazdy LDAP na podstawie OID, a nie na podstawie nazw? Dążę do tego że mam własną bazę w LDAP, i chciałbym z niej korzystać jako bazy użytkowników dla PAM i Samby.
Rozumiem że muszę wyedytować plik np. samba.schema tak aby pasował do mojej struktury? Mam racje?
Pozdrawiam,
razz
: 18 stycznia 2014, 15:16
autor: pawkrol
Do jakiej struktury ?
Standardowe schematy
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/samba.schema
Zapewniają Ci działanie uwierzytelniania użytkowników poprzez ldapa i nic nie musisz w nich grzebać.
Natomiast samo drzewo w ldapie, ou oraz ulokowanie w nich użytkowników możesz dowolnie sobie zorganizować.
Zainteresuj się programami smbldap-tools, libnss-ldap oraz libpam-ldap
: 18 stycznia 2014, 15:42
autor: razz87
Chodzi mi o to czy mogę sobie stworzyć własną strukturę (z własnymi nazwami, hierarchią itp). Rozumiem że tak, ale zastanawiam mnie skąd Samba, PAM lub inny program będzie wiedział że atrybut np. HasloPracownika, Samba ma traktować jako lmPassword, a PAM jako userPassword?
: 18 stycznia 2014, 15:51
autor: pawkrol
Wydaje mi się, że nazwy tych atrybutów zaszyte są w bilibotekach pam oraz samby więc pewnie beędziesz musiał korzystać z tych domyślnych.
: 18 stycznia 2014, 16:20
autor: razz87
Widziałem w manualach, że niektóre aplikacje mają możliwość definiowania jak dane pole nazywa się w bazie, ale jak znam życie to pewnie tylko tych najważniejszych i nie w każdym programie/bibliotece. Druga sprawa, co mi z tego że będę miał użytkowników w LDAP, jak dla każdego programu będę musiał tworzyć nową bazę z użytkownikami.
: 18 stycznia 2014, 20:09
autor: pawkrol
Używam ldapa do autoryzacji użytkowników :
joomla,samba,linux-shell,pure-ftp,poczta,apache,urządzenia sieciowe,squid,ocs+glpi,radius,openvpn.
Wszystko chodzi i autoryzuje się z jednej bazy ( ten sam użytkownik to samo hasło ). Ustawienia atrybutów standardowe.
hasło - userpassword
login: uid
Więc wydaje mi się iż producent tworząc możliwość autoryzacji programu z ldapa raczej używa tych właśnie atrybutów.
Do zarządzania ldapem szczerze polecam darmowy program ldapadmin (pod windows)
: 20 stycznia 2014, 23:46
autor: lessmian2
Jeśli chodzi o autoryzację użytkowników i sprawy około autoryzacyjne, to zazwyczaj bazuje się na odgórnie zdefiniowanej klasie posixaccount ze stałymi atrybutami. Wygooglaj sobie posixaccount definition i sprawdź jakie ma domyślnie atrybuty - większość softu (np. PAM LDAP) bazuje właśnie na tym. Natomiast jak będzie zdefiniowane drzewo katalogów, to już możesz sobie sam określić i to w większości przypadków jest już konfigurowalne.