LDAP címtár - kezdő

Linux-kezdő

Sziasztok,

egy központi címtárat szeretnék otthonra, hogy minden gépről elérjem a neveket, címeket telszámokat stb.

Ez alapján próbálkozom: https://help.ubuntu.com/community/OpenLDAPServer

Telepítettem, port forwardot beállítottam (389-es port megy a szerver felé).
dydns címem van, ezzel szeretném kívülről is elérni.
Egyelőre ennyi.

Amihez segítséget kérek:

Hogyan tudom ellenőrizni, hogy működik-e? Pl. nevek listázása
"ldapsearch -xLLL -b uid=xxx" -re nem találta meg a felhasználónevet

Hogyan tudom karbantartani egy másik gépről (pl. Thunderbirddel)?
Milyen címet állítsak be? Dyndns címre lehet hivatkozni?

Melyik a fő config állomány, amit esetleg hangolni kell?

Előre is kösz!

  • 1456 megtekintés

( xea v | 2008. 02. 07., cs – 23:23 )

Általában slapd.conf az általad említett fő config állomány, amit ubuntun szerintem az /etc/ldap-ban fogsz találni. A szerver működőképességét az ldapsearch tudja többek között ellenőrizni (vagy tetszőleges ldap kliens). Kezdetben általában csak a rootdn-nel tudsz csatlakozni (ezt szintén a slapd.conf-ban tudod állítani, csak úgy mint az acl-eket), az ő dn-jére kell bindelni.

Egy rövid példa (slapd.conf még mindig) a teljesség igénye nélkül, ahol a szervered a myhost.hu domainben üzemel:

rootdn "cn=admin,dc=myhost,dc=hu"
rootpw {SSHA}/blablabla

Majd a slapd indítása után a legegyszerűbben :

ldapsearch -x -D "cn=admin,dc=myhost,dc=hu" -W -b "dc=myhost,dc=hu" "(objectClass=*)"

Ez kilistázza az összes objektumot ami a dc=myhost,dc=hu alatt van.
Ha pedig távoli klienssel akarsz csatlakozni, akkor meg kell adnod az ip-t és portot (ez lehet dyndns is) és a bindelni kívánt dn-t és a hozzá tartozó jelszót (ha van, lásd a fenti ldapsearch példát).

Egyébként karbantartás alatt mit értesz?

Gondolom arra a dn-re gondolsz, amikor klienssel csatlakoznál az ldap szerverhez (bind dn). Ha igen, akkor annak az objektumnak a dn-jét adod meg (kvázi a felhasználónevet), akivel csatlakozni akarsz. Tehát a dn az az ldap szerkezetétől függ, nem pedig a szerver domainnevétől. Ebből következik, hogy valami olyasmit adsz meg, mint: cn=admin,dc=example,dc=com, ha az example.com admin usere vagy.

Kezdetben ez zavaros lehet, ezért hangsúlyoznám, hogy ezek a domainek és objektumok az ldap által tárolt információ szerkezete, nem pedig valóban létező felhasználók. Ha nem tiszta így sem, akkor írok egy egyszerűbb példát.

Na egy rövid példával próbálom szemléltetni. Tegyük fel, hogy a Linuxod felhasználóit és csoportjait kezelését akarod áthelyezni LDAP-ra (persze csak az LDAP szemszögéből, az nsswitchre, pamra nem térek ki). Mondjuk így néz ki a rendszered:

+-example.com <- ez itt a gyökere az egésznek (tulajdonképp a basedn)
+-groups <- a csoportokat tárolod itt
+-users <- egy példa csoport, users
+-root <- egy másik példa csoport, root
+-users <- a felhasználóidat tárolod itt
+-user1 <- példa felhasználó1
+-user2 <- példa felhasználó2

Amikor csatlakozol az LDAP klienssel, megadhatod neki, hogy a te fa struktúrádban mit szeretnél kiindulási pontnak, ez a basedn. Gyakorlatilag a basedn ágait látod. Amikor az egész rendszerben akarsz keresni, akkor a dc=example,dc=com lesz a basedn. Ha csak a felhasználókra keresel, akkor pedig ou=users,dc=example,dc=com. A csoportoknál pedig ou=groups,dc=example,dc=com. A binddn pedig a szerkezeti fában az az objektum, amivel csatlakozni kívánsz. Ha te vagy user1, akkor a binddn ez lesz: dn=user1,ou=users,dc=example,dc=com.

Az LDAP-ban levő objektumok rendelkeznek objectClass attribútummal, tulajdonképpen ez határozza meg, hogy az objektum milyen további tulajdonsággal rendelkezik. Ezek a dolgok a sémákban vannak leírva, de egy példát mondok. Ha egy objektumnak megadod a posixAccount classt, akkor őt lehet arra használni, hogy posix felhasználói fiókot reprezentáljon. Ez az osztály megköveteli az olyan attribútumok meglétét, mint pl uidNumber, gidNumber, homeDirectory, stb.

Kösz, erre gondoltam.

Igazából címtárnak szeretném, de lehet, hogy a felhasználókezelést is kipróbálom.

Pár kérdésem még van:
Ezek alapján az init.ldif-et kell felépíteni, vagy máshová kell beírni?
Milyen grafikus felülettel lehet dolgozni? A lat-ot letöltöttem, de nem látok vele semmit, pedig az init.ldif mintafelhasználóit kéne látnom. Esetleg a Thunderbirddel tudom szerkeszteni?

Felviheted az adataidat ldif fileokból vagy valami guis jószággal is. Sajnos elég kevés használható guis klienssel találkoztam eddig. jexplorer (ha jól írom) egész használható és mivel Javas, fut mindenfelé. Webes felülete van a phpldapadminnak, de én nem voltam vele túlzottan kibékülve. Windowsra ingyenes és egész kellemes az ldapadmin. Tapasztalataim szerint a Softerrának vannak a legjobb kliensei, a browser ingyenes, az administrator pedig fizetős.

kicsit bonyinak tunik elsore, de nem nehez igazabol:

dn=distinguished name=egyedi nev
cn=common name=altalanos nev

cn-jehez kell meg a hierarchia, hogy egyedive valljon, legegyszerubb esetben ez csak a domain component (dc)
dc-kbol all ossze a domain nev:
dc=ldap,dc=example,dc=com

dn="cn=Admin(a felhasznalo, az admin, na de hol admin a szentem?),dc=example,dc=com(hat itt)

--
Unix, Perfectly "natural" after five or ten years.