[sisyphus] Office-Server and LDAP. Шаг за шагом

Dmitriy Kruglikov =?iso-8859-1?q?dmitriy=2Ekruglikov_=CE=C1_gmail=2Ecom?=
Ср Апр 2 16:04:38 MSD 2008


Доброго времени суток, коллеги.
И так, что нужно доделать, на мой взгляд, для того, чтобы управление
пользователями в LDAP работало так, как хочется.
1) Создавать новую базу автоматически, основываясь на на hostname, а
на domainname.  (У меня, при установке, была создана база, основаная
на hostname). В создаваемой по умолчанию базе, создавать дерево
контейнеров.
2) Проверять базу на наличие структуры контейнеров, и если их нет, то создавать.
ou=People,dc...
ou=Group,dc...
ou=Computers,dc...
3) Для редактирования контейнеров предусмотреть поля в диалоге
https://localhost:8080/index.scm/nsswitch/:
Поиск пользователей:
Поиск групп:
Поис паролей:
И контейнеры, соответственн:
ou=People,dc...
ou=Group,dc...
ou=People,dc...
4) Раскоментировать соответствующие строки в  pam_ldap.conf
и ldap.conf (если они не симлинки)
nss_base_passwd         ou=People,?one
nss_base_shadow         ou=People,?one
nss_base_group          ou=Groups,?one
nss_base_hosts          ou=Computers,?one
5) Не хранить пароль cn=admin в открытом виде в /etc/openldap/slapd.conf,
а в
   /etc/ldap.conf
   /etc/nss_ldap.conf
   /etc/pam_ldap.conf
не хранить его вообще, так как анонимно все будет работать.
6) Так как в одной записи uid=ХХХ,ou=People,dc=... можно хранить
информацию для различных сервисов, то предусмотреть необходимые поля в
диалоге добавления/редактирования.
7) Предусмотреть соответствующие поля и настройки в сервисах, которые
могут/будут искать записи в LDAP. Я делал для SAMBA, Postfix,
Cyrus-IMAP.

Пример записи, которая проверена мной, могу предоставить в формате
ldif, вместе с всей остальной структурой контейнеров.

Полигон для испытаний готов, руки аж чешутся...

P.S. Руки мыл...


-- 
Best regards,
  Dmitriy L. Kruglikov
  Dmitriy.Kruglikov_at_gmail_dot_com
  DKR6-RIPE
  DKR6-UANIC
  XMPP: Dmitriy.Kruglikov_at_gmail_dot_com


Подробная информация о списке рассылки Sisyphus