OpenLDAP praktikus használata

FreeBSD-all

Sziasztok,

Bocs, ha nem jó kategóriát választottam, igény esetén áthelyezhető.

Adott egy irodai környezet, ~50 user, főleg windows kliensek (win10 jellemzően), a többi mac. A LAN-on fut egy felhőszolgáltatás (Owncloud, illetve van már Nextcloud is), egy FreeNAS szerver, és alapvetően egy SonicWall tűzfal/router látja el az alap hálózati szolgáltatásokat (gateway, DHCP, stb.). Mostanra lett annyi user, illetve untam meg a 3 helyen történő user managementet, hogy szeretnék egy központi megoldást rá. Praktikus okokból ($$$) az OpenLDAP-ra esett a választás, feltelepítettem egy virtuális gépre (FreeBSD 9.3-RELEASE-p5 (FREENAS.amd64) #0 3b4abc3: Mon Dec 8 15:09:41 PST 2014), látszólag fut is rendben.

Nem találtam viszont használható leírást, hogyan tudnám ezt a legpraktikusabban szolgálataimba állítani, értve ezalatt elsősorban a használandó user schema-kat, a megfelelő konfigurációs beállításokat, a management felületet illetve az esetlegesen telepítendő további szolgáltatásokat (pl. FreeRADIUS?..). A cél az, hogy minden user esetében központilag tudjam kezelni mindhárom hozzáférését (Owncloud, FreeNAS, SonicWall) jelszavakkal együtt, és az ezekhez tartozó jogosultságaikat. Természetesen köszönettel fogadok minden hasznos tippet, milyen további értelmes célokra tudnám még használni. Egy jól bevált, minden ilyen típusú igényt kielégítő kezelőfelület is jól jönne. Amiket eddig találtam, azok elég fapadosnak tűntek (nincs erre valami de facto standard, mint pl. a phpMyAdmin?..).

Nem kizárt, hogy én kerestem bénán, ezért köszönettel fogadok hasznos linkeket, ahol választ találok a fentiekre, de elsősorban olyan emberek segítségének örülnék, akik csináltak már ilyet, vagy hasonlót, és vannak tapasztalatok, hogyan érdemes ezt és hogyan nem.

kösz előre is,
phord

  • 1344 megtekintés

( _ventura_ v | 2017. 05. 06., szo – 18:00 )

Ha már windowsok vannak, miért nem samba4 ? Később akár tartományvezérlő is lehet belőle. Plusz ugye ldap kompatibilis.

Fedora 25, Thinkpad x220

Annyi, hogy a samba4 ben már beleintegráltak mindent ami kell. LDAP kerberos DNS szervert. így nem kell ezekkel külön külön bajlódni. Valamint komplett AD windows környezetnek.

Valamint ha jól rémlik az OSX-ek már csak teljes értékű AD tartományba tudnak belépni. A régi samba + openldap páros már kevés neki.

Fedora 25, Thinkpad x220

Aha, értem, ezt nem is tudtam, köszönöm, már megérte :) Ennek akkor utánaolvasok.

Erre vonatkozólag esetleg valakinek gyakorlati tapasztalata? Mármint, hogy az eredeti kérdésre visszatérve, hogyan lehet ezen keresztül a usereket illeszteni Owncloudhoz, FreeNAShoz, SonicWallhoz?

"favorite-search-engine://{owncloud,freenas,sonicwall} ad integration"

https://doc.owncloud.org/server/7.0/admin_manual/configuration/user_aut…
http://doc.freenas.org/9.3/freenas_directoryservice.html#active-directo…
https://support.quest.com/kb/sw7806

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

+1, én is ezt akartam kérdezni, csak első átolvasásra az jött le, hogy a gépek adatait (DHCP) is az LDAP-ból olvasná (amit ha jól láttam a SonicWall nem is tud, mert az LDAP settingsnél csak user management van), így skippeltem.

Management eszközökre ott van a RSAT, és rengeteg integrálandó szoftvernél ott van a kifejezetten Active Directory setting, ami az egész kötött felépítés miatt out-of-the-box menni szokott. (+ha a kliens gépeket a tartományba teszi, még az SSO-val is lehet játszani)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ezen a nyomon elindulva (nem OpenLDAP, hanem valami más) belefutottam az Apple Open Directory-jába is. Erről esetleg tud valaki valamit, mennyire felel meg a vázolt céloknak, mivel mennyire kompatibilis, mennyire kényelmes?

Tapasztalatoknak örülnék a legjobban, de bármilyen info jól jön. Meglepően aluldokumentált ez a terület, vagy rosszul keresek...

( istii | 2017. 05. 06., szo – 21:48 )

A phpMyAdminra leginkább a phpLdapAdmint mondanám:-) Nagyon jól használható, de sajnos már nem igazán fejlesztik így érdemes eléggé lekorlátozni az elérhetőségét(csak az adminoknak).

egyrészt adottság (ez volt), másrészt, ahogy írtam, ez egy FreeNAS 9.3, ami a legújabb (9.10) előtti. a 9.10 eddig nem volt képes hiba nélkül feltelepülni, így mindig visszaálltam erre.

ahogy írtam, az OpenLDAP telepítve van, fut. segítségre a konfigurálásával kapcsolatban lenne szükségem, hadd ne írjam le újra, mihez, hogyan.

Tudtommal a 4.1-es már nem támogatott az upstream által sem, azért nem biztos, hogy érdemes. (Freshports.org -on a törölt portokra (is) rákeresva van már csak találat, és ez látszik mellette:
samba41: 4.1.22_2
DEPRECATED: not supported by the upstream
Expired This port expired on: 2016-03-01

Szóval ezért nem biztos, hogy jó ötlet.)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

( Zsugabubus | 2017. 05. 08., h – 11:17 )

LdapAccountManager + amit az nem tud, phpLdapAdmin a manuális buzgerálásra bevált. De előbb-utóbb muszáj lesz AD-s Samba-ra váltani, akkor mehet az OpenLDAP a levesbe.

( r0pi v | 2017. 05. 08., h – 12:29 )

Ha nem feltetel a nativ freebsd, akkor egy freeipa-val jol jarhatsz.
389-ds -re epul. Van szep web/cli managementje.
Megy docker kontenerkent is. De akar belokhetsz egy linux-ot ala jail-be.
Aztan raagathatsz sssd-vel ami tetszik es ha jol emlekszem AD-sync-et tud, igy lehet utana samba-t is kotogetni.