Ubuntu: Авторизация в OpenLDAP (сервер и клиент)
Вступление :)
Здесь вы можете найти готовые скрипты для создания сервера и клиента OpenLDAP на основе Ubuntu Feisty 7.04. Данные скрипты предназначены для демонстрации того, на сколько это просто, а так же могут быть использованы в дальнейших разработках. Самый простой способ проверить работоспособность данных скриптов - загрузиться с LiveCD на двух машинах и запустить на одной из них скрипт сервера, а на другой скрипт клиента.
Что нужно для установки
- Установка в "два клика" и займёт всего 10 минут
- Необходимо подключение к интернет обоих машин (для автоматической установки компонентов сервера и клиента)
- Перед запуском скрипта на машине клиенте измените ldap://server на ldap://ip_вашего_сервера в файле libnss-ldap.conf
- Пользователи и пароли в демо-скриптах:
- admin: admin
- user: user
- Сами скрипты:
Что полезного даёт эта система и что из себя представляет
В данной реализации это несколько похоже на упрощённый вариант AD от MS и реализует следующее:
- Централизованная база пользователей и авторизация
- Автоматическое создание домашней директории при логоне (если её нет)
- Управление правами на основе групп
Какие группы уже есть в демо-скрипте?
- adm - данной группе применение пока не найдено
- dialout - права на com-порты
- cdrom - права на доступ к cdrom
- floppy - доступ к floppy
- audio - звук
- video - например веб камера
- plugdev - к примеру внешние накопители
- users - группа по умолчанию (GID)
- admin - не используйте эту группу, в 7.04 + LDAP она вызывает ошибки (возможно исправят или исправили)
- linuxadm - группа имеющая право на использование sudo (т.е. то же самое что группа admin в локальной системе)
GID всех групп совпадает с локальными в системе кроме linuxadm (пришлось создать вместо admin из-за специфики работы sudo)
Какие права имеют пользователи в демо скриптах?
- user - только звук (т.к. включен в группу audio)
- admin - только sudo (т.к. включен в группу linuxadm, но не включен, например, в audio, и на звуке у него будет "крест" - устройство не доступно)
Как управлять пользователями, группами и сервером OpenLDAP
- Если вы решите установить сервер OpenLDAP всерьёз и надолго, то незаменимыми окажутся:
- lam (ldap-account-manager) - управление пользователями и группами через веб (вещь незаменимая)
- phpldapadmin - управление деревом OpenLDAP через веб
Жду фидбэк
вопросы, комментарии, предложения - можете оставлять здесь, писать на мыль или в jabber
page revision: 10, last edited: 04 Mar 2008 12:51