Fedora Directory Server

0

0

жизнь шепчет - надо использовать централизированое администрирование сети. Кто использует? Поделитесь своими соображениями - почему федоркино поставили, как работает, все ли там просто и понятно, глючит нет, какие рекомендации может быть есть, чтобы на грабли не наступать. Никогда LDAP не ставил и не сталкивался. Заранее спасибо.

Ссылка

←	Сетевая установка Дебиан из ДВД на ФТП

vsftpd и дата изменения файлов

→

LDAP - это не только FDS, но OpenLDAP еще. eDirectory ещё есть. Тебе про FDS или в общем?

jr_A ★
(11.06.07 22:27:02 MSD)

Ответ на: комментарий от jr_A 11.06.07 22:27:02 MSD

любой грамотный совет будет кстати
можно и про FDS можно и про остальное - задача сделать быстро просто и забыть.

vaborg ★★★
(12.06.07 11:54:48 MSD) автор топика

Ответ на: комментарий от vaborg 12.06.07 11:54:48 MSD

c FDS не работал, у меня все бегает на openldap. Сложностей там больших нет. У меня свзка работает такая: kerberos5/samba-ldap/openldap/nssldap/pam_krb5 - основняк, кроме того MTA/IMAP/Bugzilla/autofs закинуты тоже на LDAP.

Начнем так: что хочется получить в итоге, какие сервисы должны быть заведены на ldap?

jr_A ★
(12.06.07 15:36:03 MSD)

Ответ на: комментарий от jr_A 12.06.07 15:36:03 MSD

в итоге хочется получить единое управление пользователями, чтобы все машины в сети имели только тех пользователей, которые заведени на LDAP сервере, самбу надо так приделать чтобы отдельный файл сервер работал через него. вроде все.

vaborg ★★★
(12.06.07 16:56:08 MSD) автор топика

Ответ на: комментарий от vaborg 12.06.07 16:56:08 MSD

То есть: samba+ldap/nssldap/pam_ldap. Вечером напишу что-нибудь толковое. Какая ось?

jr_A ★
(12.06.07 17:37:40 MSD)

Ответ на: комментарий от jr_A 12.06.07 17:37:40 MSD

спасибо, линук - я еще не знаю какой точно - скорее всего федора.

vaborg ★★★
(12.06.07 17:40:03 MSD) автор топика

Ответ на: комментарий от jr_A 12.06.07 17:37:40 MSD

у меня примерно те же цели, но на Дебиане ;)

Хотелось примерно следущее связать --постфикс, самбу, сквиду, edjabberd... Ещё бы можно было бы с терминал-сервером вендовым.

Пробовал прицепить FDS и Apache DS, но их нет в нормальных дистрах :( и правльно прицепить их сложно :(

vovans ★★★★★
(14.06.07 14:05:05 MSD)

Ответ на: комментарий от vaborg 12.06.07 17:40:03 MSD

Так-с... это все заняло у меня несколько больше времени, чем я рассчитывал. Однако.

Есть такая штука: IDEALX smbldap-tools. Это набор скриптов для управления пользователями и группами в samba-PDC. Сейчас её можно найти здесь: http://freshmeat.net/projects/smbldap-tools/. Вроде как внутри пакета есть документация. Так как я все делал года 2-3 назад, мои представления о скриптах могут быть неверными, так что ничего в слепую не делайте. Кроме того, я делал это на RHEL4, могут быть отличия в nss и pam.

Для того, что бы стартануть эту связку, для начала поставьте samba и ldap, ну это очевидно. Так же поставьте пакет nssldap - для того, чтобы брать пользователей из ldap базы (и обеспечить безболезненный uid/gid mapping для самбы). Скачайте и поставьте smbldap-tools. Далее нужно сконфигурить ldap(мануалов по настройке в сети валяется много, рекомедую этот: http://www.bayour.com/LDAPv3-HOWTO.html). Когда я поднимал эту систему я наткнулся на такую штуку: smbldap скрипты требовали наличие cn атрибута в LDAP схеме для posixAccount и posixGroup объектных типов, однако в схеме rfc2307bis.schema, которую я использовал, в posixGroup сn нет вообще, кроме того, posixGroup не является в этой схеме определяющим типом. Чинится это легко: в posixGroup добавляете cn и меняете тип на c AUXILIARY на STRUCTURAL.

Так-с, о схемах: нужны все схемы по умолчанию: core, cosine, dyngroup, inetorgperson, openldap и еще несколько. Нужна схема samba-3.что-то-там.scheme (из самбы вестимо, есть в пакете). И! на выбор: nis.schema (не будет геморроя, который я выше описал) или rfc2307bis.schema. Я использую последний вариант, так как там более удобная схема организации карт автомаунтера для autofs5.

После того, как настроили ldap, добавте туда либо очень могучего ползьзователя, который сможет менять пароли у других, добавлять/удалять пользователей и т.п.; или можно плюнуть на первое время обойтись cn=root,dc=....

Создаем новый samba-домен, вдумчиво читая доку по smbldap tools. Но прежде чем это все пускать, настраиваем nssldap. Есть такой файл: /etc/ldap.conf (для redhatов, для демьяна другой - на вскидку не вспомню), он хорошо документирован и проблем возникнуть не должно. Далее нужно настроить pamldap. Здесь мануала не будет, я с этим не сталкивался, у меня через pamkrb5 всё работает, поэтому - гугл. С помощью smbldap-tools создаем фейкового пользователя. После того как настроен nssldap и nssldap, открываем пару рутовых!!! консолей, молимся электрическим богам и говорим системе, что пользователей надо брать из ldap (в rh-based делается через system-config-authentication). Через некоторое время, после того как будет отлажен заход фейкового пользователя(из ldap) в систему, можно стартовать самбу. После доводки напильником - получится то, к чему стремились.

Получилось очень сумбурно и сжато, ибо вопрос сложный и нюансов много. Попытайтесь начать делать, ежли что-то станет колом, пишите сюда, отвечу.

jr_A ★
(15.06.07 00:04:58 MSD)

Ответ на: комментарий от vovans 14.06.07 14:05:05 MSD

Все очень хорошо связывается. Насчет терминал-сервера - не знаю, не сталкивался. По поводу FDS и Apache - это ведь LDAPv3 серверы, больших сложностей по привязыванию быть не должно.

jr_A ★
(15.06.07 00:07:32 MSD)

Ответ на: комментарий от jr_A 15.06.07 00:07:32 MSD

по привязыванию -- да, но вот поставить это ещё надо =))

vovans ★★★★★
(15.06.07 11:04:48 MSD)

Ответ на: комментарий от vovans 15.06.07 11:04:48 MSD

Для этого есть мануалы и гугл, ну и форумы, если возникла специфическая проблема :)

jr_A ★
(15.06.07 11:29:55 MSD)

Ссылка

Ответ на: комментарий от jr_A 15.06.07 00:04:58 MSD

для руления лдапом есть: phpldapadmin (демка -- http://thesmithfam.org/phpldapadmin-demo/htdocs/index.php ) и lam (LDAP Account Manager -- lam.sf.net). Последний мне вполне приглянулся =) Там и домен для самбы можно завести и юзверями рулить просто...

vovans ★★★★★
(15.06.07 16:35:59 MSD)