Различия
Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
wiki:руководство_по_ubuntu_server:авторизация_по_сети:openldap_server [2012/06/12 21:54] [Ссылки] |
wiki:руководство_по_ubuntu_server:авторизация_по_сети:openldap_server [2013/02/10 08:17] (текущий) орфография; </code> |
||
---|---|---|---|
Строка 58: | Строка 58: | ||
<note>Ubuntu теперь использует метод slapd-config для настройки slapd и данное руководство это отражает.</note> | <note>Ubuntu теперь использует метод slapd-config для настройки slapd и данное руководство это отражает.</note> | ||
- | Во время установки у вас будет запрос на информацию об администраторе. Это LDAP данные для rootDN вашего экземпляра базы данных. По умолчанию этот пользовательский DN **cn=admin,dc=example,dc=com**. Также по умолчанию не создаеется административного пользователя для базы данных slapd-config и вы, следовательно, будете вынуждены использовать внешнюю авторизацию LDAP для доступа к ней. Мы рассмотрим как это делается позднее. | + | Во время установки у вас будет запрос на информацию об администраторе. Это LDAP данные для rootDN вашего экземпляра базы данных. По умолчанию этот пользовательский DN **cn=admin,dc=example,dc=com**. Также по умолчанию не создается административного пользователя для базы данных slapd-config и вы, следовательно, будете вынуждены использовать внешнюю авторизацию LDAP для доступа к ней. Мы рассмотрим как это делается позднее. |
Некоторые классические схемы (cosine, nis, inetorgperson) выпускаются теперь для slapd. Это также включает базовую (core) схему, которая предполагается для любой рабочей схемы. | Некоторые классические схемы (cosine, nis, inetorgperson) выпускаются теперь для slapd. Это также включает базовую (core) схему, которая предполагается для любой рабочей схемы. | ||
Строка 86: | Строка 86: | ||
<note>Не редактируйте базу slapd-config напрямую. Вносите изменения через протокол LDAP (утилитами).</note> | <note>Не редактируйте базу slapd-config напрямую. Вносите изменения через протокол LDAP (утилитами).</note> | ||
- | ** Здесь ппоказано как выглядит дерево slapd-config через LDAP протокол: | + | ** Здесь показано как выглядит дерево slapd-config через LDAP протокол: |
<code>sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn | <code>sudo ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn | ||
dn: cn=config | dn: cn=config | ||
Строка 393: | Строка 393: | ||
</code> | </code> | ||
- | Создаем каталог, устанавливаем файл настроек базы данных и перегружаем рофиль apparmor: | + | Создаем каталог, устанавливаем файл настроек базы данных и перегружаем профиль apparmor: |
<code> | <code> | ||
sudo -u openldap mkdir /var/lib/ldap/accesslog | sudo -u openldap mkdir /var/lib/ldap/accesslog | ||
Строка 563: | Строка 563: | ||
** Создаем секретный ключ Центра сертификатов: | ** Создаем секретный ключ Центра сертификатов: | ||
<code>sudo sh -c "certtool --generate-privkey > /etc/ssl/private/cakey.pem"</code> | <code>sudo sh -c "certtool --generate-privkey > /etc/ssl/private/cakey.pem"</code> | ||
- | ** Создаем временный файл /etc/ssl/ca.info для оределения CA: | + | ** Создаем временный файл /etc/ssl/ca.info для определения CA: |
<code> | <code> | ||
cn = Example Company | cn = Example Company | ||
Строка 648: | Строка 648: | ||
--outfile ldap02_slapd_key.pem | --outfile ldap02_slapd_key.pem | ||
</code> | </code> | ||
- | Создаем информационый файл ldap02.info для сервера Потребителя; подставляйте свои соответствующие значения: | + | Создаем информационный файл ldap02.info для сервера Потребителя; подставляйте свои соответствующие значения: |
<code> | <code> | ||
organization = Example Company | organization = Example Company | ||
Строка 666: | Строка 666: | ||
--outfile ldap02_slapd_cert.pem | --outfile ldap02_slapd_cert.pem | ||
</code> | </code> | ||
- | Получаем копию сертифиата CA: | + | Получаем копию сертификата CA: |
<code>cp /etc/ssl/certs/cacert.pem .</code> | <code>cp /etc/ssl/certs/cacert.pem .</code> | ||
Все готово. Теперь переносим каталог ldap02-ssl на сервер Потребителя. Здесь мы использовали scp (данные изменяем соответственно): | Все готово. Теперь переносим каталог ldap02-ssl на сервер Потребителя. Здесь мы использовали scp (данные изменяем соответственно): | ||
Строка 765: | Строка 765: | ||
====Управление пользователями и группами==== | ====Управление пользователями и группами==== | ||
- | Пакет **ldap-utils** поставлется с достаточным количеством утилит для управления каталогами, но необходимость использовать длинные строки с опциями делает их применение обременительным. Пакет **ldapscripts** содержит оберточные сценарии (wrapper scripts) для этих утилит, которые некоторые находят более удобными в использовании. | + | Пакет **ldap-utils** поставляется с достаточным количеством утилит для управления каталогами, но необходимость использовать длинные строки с опциями делает их применение обременительным. Пакет **ldapscripts** содержит оберточные сценарии (wrapper scripts) для этих утилит, которые некоторые находят более удобными в использовании. |
Устанавливаем пакет: | Устанавливаем пакет: | ||
Строка 809: | Строка 809: | ||
Вы теперь можете увидеть атрибут **memberUid** для группы **qa** со значением для **george**. | Вы теперь можете увидеть атрибут **memberUid** для группы **qa** со значением для **george**. | ||
** Удалить пользователя из группы: | ** Удалить пользователя из группы: | ||
- | <code>sudo ldapdeleteuserfromgroup george qa<code> | + | <code>sudo ldapdeleteuserfromgroup george qa</code> |
Атрибут **memberUid** теперь будет удален из группы **qa**. | Атрибут **memberUid** теперь будет удален из группы **qa**. | ||
- | ** Сценарий **ldapmodifyuser** озволяет вам добавлять, удалять или заменять пользовательские атрибуты. Сценарий исползует тот же синтаксис, что и утилита **ldapmodify**. Например: | + | ** Сценарий **ldapmodifyuser** позволяет вам добавлять, удалять или заменять пользовательские атрибуты. Сценарий исползует тот же синтаксис, что и утилита **ldapmodify**. Например: |
<code> | <code> | ||
sudo ldapmodifyuser george | sudo ldapmodifyuser george | ||
Строка 860: | Строка 860: | ||
Есть утилиты из пакета, которые здесь не рассматривались. Вот их полный список: | Есть утилиты из пакета, которые здесь не рассматривались. Вот их полный список: | ||
- | <code> | + | |
- | ldaprenamemachine | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldaprenamemachine.1.html|ldaprenamemachine]] \\ |
- | ldapadduser | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldapadduser.1.html|ldapadduser]] \\ |
- | ldapdeleteuserfromgroup | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldapdeleteuserfromgroup.1.html|ldapdeleteuserfromgroup]] \\ |
- | ldapfinger | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldapfinger.1.html|ldapfinger]] \\ |
- | ldapid | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldapid.1.html|ldapid]] \\ |
- | ldapgid | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldapgid.1.html|ldapgid]] \\ |
- | ldapmodifyuser | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldapmodifyuser.1.html|ldapmodifyuser]] \\ |
- | ldaprenameuser | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldaprenameuser.1.html|ldaprenameuser]] \\ |
- | lsldap | + | [[http://manpages.ubuntu.com/manpages/en/man1/lsldap.1.html|lsldap]] \\ |
- | ldapaddusertogroup | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldapaddusertogroup.1.html|ldapaddusertogroup]] \\ |
- | ldapsetpasswd | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldapsetpasswd.1.html|ldapsetpasswd]] \\ |
- | ldapinit | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldapinit.1.html|ldapinit]] \\ |
- | ldapaddgroup | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldapaddgroup.1.html|ldapaddgroup]] \\ |
- | ldapdeletegroup | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldapdeletegroup.1.html|ldapdeletegroup]] \\ |
- | ldapmodifygroup | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldapmodifygroup.1.html|ldapmodifygroup]] \\ |
- | ldapdeletemachine | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldapdeletemachine.1.html|ldapdeletemachine]] \\ |
- | ldaprenamegroup | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldaprenamegroup.1.html|ldaprenamegroup]] \\ |
- | ldapaddmachine | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldapaddmachine.1.html|ldapaddmachine]] \\ |
- | ldapmodifymachine | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldapmodifymachine.1.html|ldapmodifymachine]] \\ |
- | ldapsetprimarygroup | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldapsetprimarygroup.1.html|ldapsetprimarygroup]] \\ |
- | ldapdeleteuser | + | [[http://manpages.ubuntu.com/manpages/en/man1/ldapdeleteuser.1.html|ldapdeleteuser]] |
- | </code> | + | |
====Резервное копирование и восстановление==== | ====Резервное копирование и восстановление==== |