* [sisyphus] Office-Server and LDAP. Шаг за шагом
@ 2008-04-02 12:04 Dmitriy Kruglikov
2008-04-02 12:58 ` Dmitriy Kruglikov
0 siblings, 1 reply; 7+ messages in thread
From: Dmitriy Kruglikov @ 2008-04-02 12:04 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
Доброго времени суток, коллеги.
И так, что нужно доделать, на мой взгляд, для того, чтобы управление
пользователями в LDAP работало так, как хочется.
1) Создавать новую базу автоматически, основываясь на на hostname, а
на domainname. (У меня, при установке, была создана база, основаная
на hostname). В создаваемой по умолчанию базе, создавать дерево
контейнеров.
2) Проверять базу на наличие структуры контейнеров, и если их нет, то создавать.
ou=People,dc...
ou=Group,dc...
ou=Computers,dc...
3) Для редактирования контейнеров предусмотреть поля в диалоге
https://localhost:8080/index.scm/nsswitch/:
Поиск пользователей:
Поиск групп:
Поис паролей:
И контейнеры, соответственн:
ou=People,dc...
ou=Group,dc...
ou=People,dc...
4) Раскоментировать соответствующие строки в pam_ldap.conf
и ldap.conf (если они не симлинки)
nss_base_passwd ou=People,?one
nss_base_shadow ou=People,?one
nss_base_group ou=Groups,?one
nss_base_hosts ou=Computers,?one
5) Не хранить пароль cn=admin в открытом виде в /etc/openldap/slapd.conf,
а в
/etc/ldap.conf
/etc/nss_ldap.conf
/etc/pam_ldap.conf
не хранить его вообще, так как анонимно все будет работать.
6) Так как в одной записи uid=ХХХ,ou=People,dc=... можно хранить
информацию для различных сервисов, то предусмотреть необходимые поля в
диалоге добавления/редактирования.
7) Предусмотреть соответствующие поля и настройки в сервисах, которые
могут/будут искать записи в LDAP. Я делал для SAMBA, Postfix,
Cyrus-IMAP.
Пример записи, которая проверена мной, могу предоставить в формате
ldif, вместе с всей остальной структурой контейнеров.
Полигон для испытаний готов, руки аж чешутся...
P.S. Руки мыл...
--
Best regards,
Dmitriy L. Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
DKR6-RIPE
DKR6-UANIC
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Office-Server and LDAP. Шаг за шагом
2008-04-02 12:04 [sisyphus] Office-Server and LDAP. Шаг за шагом Dmitriy Kruglikov
@ 2008-04-02 12:58 ` Dmitriy Kruglikov
2008-04-02 14:01 ` Grigory Batalov
0 siblings, 1 reply; 7+ messages in thread
From: Dmitriy Kruglikov @ 2008-04-02 12:58 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
02.04.08, Dmitriy Kruglikov написал(а):
> И так, что нужно доделать, на мой взгляд, для того, чтобы управление
> пользователями в LDAP работало так, как хочется.
Совсем забыл ...
У нас "пымпочка" про "Возможность переключения на администратора"
совсем не функционирует....
Во всяком случае, после попытки ее применения меня не пустило, аж пока
руками не прописал в /etc/sudoers ...
--
Best regards,
Dmitriy L. Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
DKR6-RIPE
DKR6-UANIC
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Office-Server and LDAP. Шаг за шагом
2008-04-02 12:58 ` Dmitriy Kruglikov
@ 2008-04-02 14:01 ` Grigory Batalov
2008-04-02 14:04 ` Dmitriy Kruglikov
2008-04-03 6:29 ` Stanislav Ievlev
0 siblings, 2 replies; 7+ messages in thread
From: Grigory Batalov @ 2008-04-02 14:01 UTC (permalink / raw)
To: sisyphus
On Wed, 2 Apr 2008 15:58:47 +0300
Dmitriy Kruglikov wrote:
> > И так, что нужно доделать, на мой взгляд, для того, чтобы управление
> > пользователями в LDAP работало так, как хочется.
> Совсем забыл ...
> У нас "пымпочка" про "Возможность переключения на администратора"
> совсем не функционирует....
> Во всяком случае, после попытки ее применения меня не пустило, аж пока
> руками не прописал в /etc/sudoers ...
Так она не для sudo, а для su .
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Office-Server and LDAP. Шаг за шагом
2008-04-02 14:01 ` Grigory Batalov
@ 2008-04-02 14:04 ` Dmitriy Kruglikov
2008-04-03 6:29 ` Stanislav Ievlev
1 sibling, 0 replies; 7+ messages in thread
From: Dmitriy Kruglikov @ 2008-04-02 14:04 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
02.04.08, Grigory Batalov написал(а):
> Так она не для sudo, а для su .
Тогда вопрос снимается...
--
Best regards,
Dmitriy L. Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
DKR6-RIPE
DKR6-UANIC
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Office-Server and LDAP. Шаг за шагом
2008-04-02 14:01 ` Grigory Batalov
2008-04-02 14:04 ` Dmitriy Kruglikov
@ 2008-04-03 6:29 ` Stanislav Ievlev
2008-04-03 6:42 ` Dmitriy Kruglikov
2008-04-03 11:17 ` Grigory Batalov
1 sibling, 2 replies; 7+ messages in thread
From: Stanislav Ievlev @ 2008-04-03 6:29 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
On Wed, Apr 02, 2008 at 06:01:54PM +0400, Grigory Batalov wrote:
> On Wed, 2 Apr 2008 15:58:47 +0300
> Dmitriy Kruglikov wrote:
>
> > > И так, что нужно доделать, на мой взгляд, для того, чтобы управление
> > > пользователями в LDAP работало так, как хочется.
> > Совсем забыл ...
> > У нас "пымпочка" про "Возможность переключения на администратора"
> > совсем не функционирует....
> > Во всяком случае, после попытки ее применения меня не пустило, аж пока
> > руками не прописал в /etc/sudoers ...
>
> Так она не для sudo, а для su .
А включение ldap-пользователя в группу wheel и прочие интересные группы реализовано?
Кажется всё идёт к тому что стоит редактирование ldap пользователей делать
отдельным модулем - слишком много отличий от редактирования системных
пользователй.
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Office-Server and LDAP. Шаг за шагом
2008-04-03 6:29 ` Stanislav Ievlev
@ 2008-04-03 6:42 ` Dmitriy Kruglikov
2008-04-03 11:17 ` Grigory Batalov
1 sibling, 0 replies; 7+ messages in thread
From: Dmitriy Kruglikov @ 2008-04-03 6:42 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
03.04.08, Stanislav Ievlev написал(а):
> А включение ldap-пользователя в группу wheel и прочие интересные группы реализовано?
Для этого нужно реализовать редактирование групп в LDAP...
>
> Кажется всё идёт к тому что стоит редактирование ldap пользователей делать
> отдельным модулем - слишком много отличий от редактирования системных
> пользователй.
У меня такая же мысль ...
Когда-то делал даже список общих, для двух вариантов, полей ...
Но различий, действительно, много, и кроме того, некоторые поля
зависят от того, какие схемы подключены и какие objectClass
используются...
--
Best regards,
Dmitriy L. Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
DKR6-RIPE
DKR6-UANIC
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] Office-Server and LDAP. Шаг за шагом
2008-04-03 6:29 ` Stanislav Ievlev
2008-04-03 6:42 ` Dmitriy Kruglikov
@ 2008-04-03 11:17 ` Grigory Batalov
1 sibling, 0 replies; 7+ messages in thread
From: Grigory Batalov @ 2008-04-03 11:17 UTC (permalink / raw)
To: sisyphus
On Thu, 3 Apr 2008 10:29:58 +0400
Stanislav Ievlev wrote:
> > > > И так, что нужно доделать, на мой взгляд, для того, чтобы управление
> > > > пользователями в LDAP работало так, как хочется.
> > > Совсем забыл ...
> > > У нас "пымпочка" про "Возможность переключения на администратора"
> > > совсем не функционирует....
> > > Во всяком случае, после попытки ее применения меня не пустило, аж пока
> > > руками не прописал в /etc/sudoers ...
> >
> > Так она не для sudo, а для su .
> А включение ldap-пользователя в группу wheel и прочие интересные группы реализовано?
>
> Кажется всё идёт к тому что стоит редактирование ldap пользователей делать
> отдельным модулем - слишком много отличий от редактирования системных
> пользователй.
Да-да. Выбор домена, в котором редактируется аккаунт, - ключевой момент.
Не забываем про https://lists.altlinux.org/mailman/listinfo/office-server
^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2008-04-03 11:17 UTC | newest]
Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-04-02 12:04 [sisyphus] Office-Server and LDAP. Шаг за шагом Dmitriy Kruglikov
2008-04-02 12:58 ` Dmitriy Kruglikov
2008-04-02 14:01 ` Grigory Batalov
2008-04-02 14:04 ` Dmitriy Kruglikov
2008-04-03 6:29 ` Stanislav Ievlev
2008-04-03 6:42 ` Dmitriy Kruglikov
2008-04-03 11:17 ` Grigory Batalov
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git