[Comm] Пользователи в LDAP
sergey
=?iso-8859-1?q?serj_=CE=C1_mk=2Ekp=2Ekm=2Eua?=
Пт Сен 27 17:01:41 MSD 2002
Тарас Абламский пишет:
|Здравствуйте Все!
|
|Такое дело:
|
|Хочу настроить авторизацию пользователей через LDAP.
|Уже есть работающий LDAP сервер, толпа народу в ou=People.
|Пользователи могут входить на разные машины по ssh, ftp, login etc.
|Вроде все работает. (спасибо ALM admin guide, OpenLDAP admin guide, etc)
|
|Но.
|
|Насколько я понял useradd, userdel, usermod, groupadd, etc
|работать с LDAP не будут.
smbldap-tools на http://samba.IDEALX.org/ - подкорректировать
smbldap_conf.pm, spec - на предмет путей, всяких dn=,cn=,dc= ... - по
умолчанию, smbldap-useradd.pl (напутано с группами)
|
|passwd работает, хотя это не совсем хорошо с точки зрения безопасности.
|
|Вопрос такой:
|
|Есть ли аналоги user*, group*, newusers etc., которые работают с LDAP
базой?
|
|Или это надо все писать самому?
|
|Посмотрел на webmin от Mandrake, что-то не очень, слишком много всего в
куче, а мне нужен лишь один LDAP users manager.
syslog.conf:
local4.* -/var/log/ldap/slapd.log
ln -s /etc/openldap/ldap.conf /etc/ldap.conf
/etc/openldap/ldap.conf:
host 127.0.0.1
base o=mycompany,c=ua
ssl no
pam_password md5
rootbinddn
cn=admin,o=mycompany,c=ua
#port 389
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
#pam_filter objectclass=posixAccount
pam_filter objectclass=account
pam_login_attribute=uid
pam_template_login_attribute uid
pam_template_login
nobody
nss_base_passwd ou=Peoples,o=mycompany,c=ua?one
nss_base_shadow ou=Peoples,o=mycompany,c=ua?one
nss_base_group ou=Groups,o=mycompany,c=ua?one
/etc/openldap/slapв.conf:
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include
/etc/openldap/schema/samba.schema
pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
access to attrs=userPassword
by dn="cn=admin,o=mycompany,c=ua" write
by self write
by anonymous auth
by * none
access to * by * read
# by self write
# by users read
# by anonymous auth
database ldbm
suffix "o=meatkomb,c=ua"
rootdn "cn=admin,o=mycompany,c=ua"
password-hash {MD5}
rootpw {MD5}Xr4ilOzQ4Pq123op0qbuaQ==
directory /var/lib/ldap/bases
#loglevel 768
loglevel 0
lastmod off
cachesize 100
dbcachesize 1000
dbnosyncindex objectClass,uid,uidNumber,gidNumber eq
index cn,mail,surname,givenname
eq,subinitial
/etc/nsswitch.conf:
~
passwd: files ldap nisplus nis
shadow: tcb ldap files nisplus nis
group: files ldap nisplus nis
~
/etc/pam.d/system-auth:
#%PAM-1.0
auth required /lib/security/pam_env.so
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_tcb.so shadow fork nullok
use_first_pass
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_tcb.so shadow fork
password required /lib/security/pam_passwdqc.so
min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny
random=42 enforce=users retry=3
password sufficient /lib/security/pam_ldap.so use_authtok
password required /lib/security/pam_tcb.so use_authtok
shadow fork prefix=$2a$ count=8 write_to=tcb
session required /lib/security/pam_env.so
session required /lib/security/pam_ldap.so
session required /lib/security/pam_tcb.so
session required /lib/security/pam_limits.so
/etc/pam.d/system-auth-use_first_pass:
#%PAM-1.0
auth required /lib/security/pam_env.so
auth sufficient /lib/security/pam_ldap.so use_first_pass
auth required /lib/security/pam_tcb.so shadow fork nullok
use_first_pass
password sufficient /lib/security/pam_ldap.so use_first_pass
password required /lib/security/pam_tcb.so use_authtok
shadow fork prefix=$2a$ count=8 write_to=tcb
session required /lib/security/pam_env.so
Конфигурации рабочие, смотреть логи ОБЯЗАТЕЛЬНО
С ув. Serj.
Подробная информация о списке рассылки community