LINUX.ORG.RU
ФорумAdmin

Fedora Directory Server


0

0

жизнь шепчет - надо использовать централизированое администрирование сети. Кто использует? Поделитесь своими соображениями - почему федоркино поставили, как работает, все ли там просто и понятно, глючит нет, какие рекомендации может быть есть, чтобы на грабли не наступать. Никогда LDAP не ставил и не сталкивался. Заранее спасибо.

★★★
Ответ на: комментарий от jr_A

любой грамотный совет будет кстати
можно и про FDS можно и про остальное - задача сделать быстро просто и забыть.

vaborg ★★★
() автор топика
Ответ на: комментарий от vaborg

c FDS не работал, у меня все бегает на openldap. Сложностей там больших нет. У меня свзка работает такая: kerberos5/samba-ldap/openldap/nssldap/pam_krb5 - основняк, кроме того MTA/IMAP/Bugzilla/autofs закинуты тоже на LDAP.

Начнем так: что хочется получить в итоге, какие сервисы должны быть заведены на ldap?

jr_A
()
Ответ на: комментарий от jr_A

в итоге хочется получить единое управление пользователями, чтобы все машины в сети имели только тех пользователей, которые заведени на LDAP сервере, самбу надо так приделать чтобы отдельный файл сервер работал через него. вроде все.

vaborg ★★★
() автор топика
Ответ на: комментарий от jr_A

у меня примерно те же цели, но на Дебиане ;)

Хотелось примерно следущее связать --постфикс, самбу, сквиду, edjabberd... Ещё бы можно было бы с терминал-сервером вендовым.

Пробовал прицепить FDS и Apache DS, но их нет в нормальных дистрах :( и правльно прицепить их сложно :(

vovans ★★★★★
()
Ответ на: комментарий от vaborg

Так-с... это все заняло у меня несколько больше времени, чем я рассчитывал. Однако.

Есть такая штука: IDEALX smbldap-tools. Это набор скриптов для управления пользователями и группами в samba-PDC. Сейчас её можно найти здесь: http://freshmeat.net/projects/smbldap-tools/. Вроде как внутри пакета есть документация. Так как я все делал года 2-3 назад, мои представления о скриптах могут быть неверными, так что ничего в слепую не делайте. Кроме того, я делал это на RHEL4, могут быть отличия в nss и pam.

Для того, что бы стартануть эту связку, для начала поставьте samba и ldap, ну это очевидно. Так же поставьте пакет nssldap - для того, чтобы брать пользователей из ldap базы (и обеспечить безболезненный uid/gid mapping для самбы). Скачайте и поставьте smbldap-tools. Далее нужно сконфигурить ldap(мануалов по настройке в сети валяется много, рекомедую этот: http://www.bayour.com/LDAPv3-HOWTO.html). Когда я поднимал эту систему я наткнулся на такую штуку: smbldap скрипты требовали наличие cn атрибута в LDAP схеме для posixAccount и posixGroup объектных типов, однако в схеме rfc2307bis.schema, которую я использовал, в posixGroup сn нет вообще, кроме того, posixGroup не является в этой схеме определяющим типом. Чинится это легко: в posixGroup добавляете cn и меняете тип на c AUXILIARY на STRUCTURAL.

Так-с, о схемах: нужны все схемы по умолчанию: core, cosine, dyngroup, inetorgperson, openldap и еще несколько. Нужна схема samba-3.что-то-там.scheme (из самбы вестимо, есть в пакете). И! на выбор: nis.schema (не будет геморроя, который я выше описал) или rfc2307bis.schema. Я использую последний вариант, так как там более удобная схема организации карт автомаунтера для autofs5.

После того, как настроили ldap, добавте туда либо очень могучего ползьзователя, который сможет менять пароли у других, добавлять/удалять пользователей и т.п.; или можно плюнуть на первое время обойтись cn=root,dc=....

Создаем новый samba-домен, вдумчиво читая доку по smbldap tools. Но прежде чем это все пускать, настраиваем nssldap. Есть такой файл: /etc/ldap.conf (для redhatов, для демьяна другой - на вскидку не вспомню), он хорошо документирован и проблем возникнуть не должно. Далее нужно настроить pamldap. Здесь мануала не будет, я с этим не сталкивался, у меня через pamkrb5 всё работает, поэтому - гугл. С помощью smbldap-tools создаем фейкового пользователя. После того как настроен nssldap и nssldap, открываем пару рутовых!!! консолей, молимся электрическим богам и говорим системе, что пользователей надо брать из ldap (в rh-based делается через system-config-authentication). Через некоторое время, после того как будет отлажен заход фейкового пользователя(из ldap) в систему, можно стартовать самбу. После доводки напильником - получится то, к чему стремились.

Получилось очень сумбурно и сжато, ибо вопрос сложный и нюансов много. Попытайтесь начать делать, ежли что-то станет колом, пишите сюда, отвечу.

jr_A
()
Ответ на: комментарий от vovans

Все очень хорошо связывается. Насчет терминал-сервера - не знаю, не сталкивался. По поводу FDS и Apache - это ведь LDAPv3 серверы, больших сложностей по привязыванию быть не должно.

jr_A
()
Ответ на: комментарий от vovans

Для этого есть мануалы и гугл, ну и форумы, если возникла специфическая проблема :)

jr_A
()
Ответ на: комментарий от jr_A

для руления лдапом есть: phpldapadmin (демка -- http://thesmithfam.org/phpldapadmin-demo/htdocs/index.php ) и lam (LDAP Account Manager -- lam.sf.net). Последний мне вполне приглянулся =) Там и домен для самбы можно завести и юзверями рулить просто...

vovans ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.