openLDAP
| 
| 
openLDAP
Централизованная аутентификация пользователей в принципе очень удобная вещь - учетные записи пользователей хранятся на центральном сервере, что позволяет при необходимости получить доступ к своей учетке с любого компьютера и не создавать на отдельных ПК локальные учетные записи.
Централизованную аутентификацию пользователей в Windows сети можно развернуть с помощью Active Directory (служба каталогов корпорации Microsoft). В Linux эту задачу можно реализовать используя свободный и бесплатный openLDAP (Lightweight Directory Access Protocol, «облегчённый протокол доступа к каталогам»).
Каталог LDAP Базовоя система обозначений LDAP символов: Серверная ОС: SUSE Linux Enterprise Server 11 Настройка сервера. Настройка клиента. Аутентификация в Linux использует модули PAM, потому нужно прописать в них строки для использования LDAP. Все конфиг файлы хранятся в каталогах /etc/pam.d/ Кроме того, пришлось каталогу /home прописать права 777, иначе при входе возникала ошибка невозможности создания пользователем домашних папок. Или лучше и проще создать домашнюю папку для каждого пользователя, не забыв назначить пользователя ее владельцем с соответствующими правами доступа. В принципе все, сеть готова для организации централизованной аутентификации пользователей. Следующие интересные моменты использования LDAP это хранение учетных записей почтовых клиентов и замена контроллера домена Windows-сети. Ссылки: http://www.informatic.org.ua/forum/104-1381-1
LDAP это грубо говоря смесь протокола доступа к каталогам и службы каталогов (базы данных). При этом учетные записи хранятся на LDAP-сервере, а авторизация пользователей может производиться в разных системах, например почтовых клиентах, системах оперативного и финансового учета и т.д. и т.п. См. схема архитектуры LDAP:
LDAP-каталоги — это базы данных, структурированные по принципу иерархических информационных деревьев, которые описывают представляемые ими организации. На рис. ниже приведен пример иерархической структуры, состоящей из трех уровней. Каждая запись LDAP идентифицируется с помощью отличительного имени (distinguished name, DN), которое декларирует свою позицию в иерархии. Структура данной иерархии представляет собой информационное дерево каталога (directory information tree, DIT), которое «вырастает» из корня (RootDN).
dc - обозначают компонент домена (domain component),
ou — организационную единицу (organizational unit),
uid — идентификатор пользователя (user id).
Корень RootDN, описывающего некую базирующуюся в Греции организацию информационного дерева каталога с данными о пользователях, выглядел бы как dc=organization-name, dc=gr, а отличительное имя DN записи уполномоченного пользователя формулировалось бы так: uid=avakali, ou=people, dc=organization-name, dc=gr.
Клиентская ОС: OpenSUSE 11.2
Для начала нужно установить сам openLDAP-сервер. На SUSE Linux Enterprise Server (SLES) в принципе все уже было установлено: "YaST->сетевые службы->Сервер LDAP". Я прописал базовое DN: dc=site, DN администратора: cn=Administrator. В конфигурации запуска указать: Запустить сервер - Да, регистрировать в демоне SLP.
В мануалах предлагается конфигурировать файл /etc/openldap/slapd.conf, но в файле было прописано что YaST больше не использует этот файл для хранения конфигурации OpenLDAP, потому ничего в нем не прописывал.
YaST->сетевые службы->Проводник LDAP->прописал сервер LDAP: 127.0.0.1 , DN администратора: cn=Administrator,dc=site , пароль: ваш пароль.
Далее захожу в YaST->Пользователи и безопасность->Управление пользователями->Задать фильтр->Пользователи LDAP->ввести пароль сканер LDAP (внизу должно быть прописано: IP сервера, Администратор: cn=Administrator,dc=site)->Добавить. Все пользователь LDAP создан.
Для удобства администрирования LDAP сервера можно воспользоваться web-инструментарием, например, phpLDAPadmin. Для его функционирования пришлось установить некоторые дополнения для php.
YaST->Сетевые службы->клиент LDAP->установить: Использовать LDAP, Адреса серверов LDAP - прописать IP сервера, основной DN LDAP - я написал dc=site (нажать Запрос DN - выбрать верхнюю строку); В Расширенная настройка прописал следующие значения: отображение пользователей: ou=people,dc=site , отображение паролей: ou=people,dc=site , отображение групп: group,dc=site, Протокол смены пароля: clear, Атрибут члена группы: memeber
Проверим отображаются на клиенте пользователи LDAP: YaST->Безопасность и пользователи ->Управление пользователями->Задать фильтр->Пользователи LDAP->ввести пароль сканер LDAP->должен отобразиться список пользователей созданных в LDAP. Так же это можно сделать командой getent passwd
Основная модификация заключается в необходимости добавления строк в конфигурационные файлы такой формы:
type sufficient pam_ldap.so
где type одно из значений account, auth, password или session в зависимости от соответствующего файла /etc/pam.d/common-[account, auth, password, or session]
Пакеты установленные на клиенте: pam_ldap, nss_ldap, yast2-ldap-client, yast2-ldap, openldap2-client, libevoldap, libldap, libldapcpp.
Почтовый сервер postfix автоматически использует пользователей прописаных в LDAP.
http://ldots.org/ldap/
http://www-uxsup.csx.cam.ac.uk/pub....nt.html
http://tazlambert.wordpress.com/2008....use-102
http://en.opensuse.org/Howto_LDAP_server
http://en.opensuse.org/Howto_setup_SUSE_11.1_as_Samba_PDC
Обновлено (31.12.2010 22:58)
