Ubuntu: Авторизация в OpenLDAP (сервер и клиент)

Вступление :)

Здесь вы можете найти готовые скрипты для создания сервера и клиента OpenLDAP на основе Ubuntu Feisty 7.04. Данные скрипты предназначены для демонстрации того, на сколько это просто, а так же могут быть использованы в дальнейших разработках. Самый простой способ проверить работоспособность данных скриптов - загрузиться с LiveCD на двух машинах и запустить на одной из них скрипт сервера, а на другой скрипт клиента.

Что нужно для установки

  1. Установка в "два клика" и займёт всего 10 минут
  2. Необходимо подключение к интернет обоих машин (для автоматической установки компонентов сервера и клиента)
  3. Перед запуском скрипта на машине клиенте измените ldap://server на ldap://ip_вашего_сервера в файле libnss-ldap.conf
  4. Пользователи и пароли в демо-скриптах:
    1. admin: admin
    2. user: user
  5. Сами скрипты:
    1. Клиент
    2. Сервер

Что полезного даёт эта система и что из себя представляет

В данной реализации это несколько похоже на упрощённый вариант AD от MS и реализует следующее:

  1. Централизованная база пользователей и авторизация
  2. Автоматическое создание домашней директории при логоне (если её нет)
  3. Управление правами на основе групп

Какие группы уже есть в демо-скрипте?

  1. adm - данной группе применение пока не найдено
  2. dialout - права на com-порты
  3. cdrom - права на доступ к cdrom
  4. floppy - доступ к floppy
  5. audio - звук
  6. video - например веб камера
  7. plugdev - к примеру внешние накопители
  8. users - группа по умолчанию (GID)
  9. admin - не используйте эту группу, в 7.04 + LDAP она вызывает ошибки (возможно исправят или исправили)
  10. linuxadm - группа имеющая право на использование sudo (т.е. то же самое что группа admin в локальной системе)

GID всех групп совпадает с локальными в системе кроме linuxadm (пришлось создать вместо admin из-за специфики работы sudo)

Какие права имеют пользователи в демо скриптах?

  • user - только звук (т.к. включен в группу audio)
  • admin - только sudo (т.к. включен в группу linuxadm, но не включен, например, в audio, и на звуке у него будет "крест" - устройство не доступно)

Как управлять пользователями, группами и сервером OpenLDAP

  • Если вы решите установить сервер OpenLDAP всерьёз и надолго, то незаменимыми окажутся:
    • lam (ldap-account-manager) - управление пользователями и группами через веб (вещь незаменимая)
    • phpldapadmin - управление деревом OpenLDAP через веб

Жду фидбэк

вопросы, комментарии, предложения - можете оставлять здесь, писать на мыль или в jabber

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License