Releases/40/OfficeServerLDAP

Материал из ALT Linux Wiki

Текущая версия на 09:56, 7 января 2009

Черновик: план интеграции LDAP в ALT Linux 4.0 Office Server

Этот план составлен по мотивам обсуждения 5-й бета-версии дистрибутива ALT Linux 4.0 Office Server. Особая благодарность объявляется Дмитрию Кругликову за содействие в разработке и примеры конфигов =).

Информация о пользователях

В отличие от обычных (POSIX) аккаунтов, в LDAP можно хранить много дополнительной информации, например, для ведения общей адресной книги. По LDAP можно подключаться к книге с любого компьютера в локальной сети.

POSIX:

• Имя (Username)
• Пароль
• Номер UID
• Номер GID, членство в прочих группах
• Комментарий (Gecos)
• Домашний каталог
• Интерпретатор команд (Shell)

LDAP:

• Секция POSIX:
  • Имя (Username)
  • Пароль
  • Номер UID
  • Номер GID, членство в прочих группах
  • Комментарий (Gecos)
  • Домашний каталог
  • Интерпретатор команд (Shell)
• Секция ФИО:
  • Имя
  • Отчество (инициалы)
  • Фамилия
  • Вариант записи для адресной книги
  • Фотография
• Секция Работа:
  • Компания (O)
  • Подразделение (OU)
  • Должность (Title)
  • Телефон
  • Почтовый адрес
  • Почтовый(ые) псевдоним(ы)
• Секция Дом:
  • Город
  • Адрес
  • Домашний телефон
  • Мобильный телефон
• Разрешить доступ:
  • К почте
  • К файловому серверу (Samba)
  • К прокси-серверу
  • К su
  • К sudo

Иллюстрация: ftp://ftp.spb.altlinux.org/people/bga/LDAP_Users.jpg

При этом обязательными (и видимыми в упрощённом интерфейсе) являются только секции POSIX и Разрешить доступ: ftp://ftp.spb.altlinux.org/people/bga/LDAP_Users_mini.jpg Примечание: ставить галки можно только напротив установленных в системе служб (checkbox enabled/disabled).

Вопрос: как будет выглядеть в LDAP SambaMachineAccount?

Поскольку интерфейс настроек POSIX-аккаунтов соответствует упрощённому интерфейсу LDAP-аккаунтов, желательно сделать их максимально похожими, а расширенные настройки вынести на другую страницу или вкладку. Но не будем забывать, что в любом варианте LDAP-аккаунтов должен присутствовать выбор редактируемой базы пользователей. Выбор базы может представлять собой непосредственное указание параметров соединения:

• ftp://ftp.spb.altlinux.org/people/bga/ldap_db_settings.png

или выбор одной из уже добавленных и настроенных баз, что представляется более удобным:

• ftp://ftp.spb.altlinux.org/people/bga/ldap_domains.png
• ftp://ftp.spb.altlinux.org/people/bga/Auth_in_LDAP.jpg
• ftp://ftp.spb.altlinux.org/people/bga/new_edit_ldap_domain.jpg
• ftp://ftp.spb.altlinux.org/people/bga/new_edit_ldap_user.jpg
• ftp://ftp.spb.altlinux.org/people/bga/new_nsswitch.jpg

LDAP-сервер

Сразу после установки сервер принимает только локальные соединения (с localhost), то есть свои собственные. Включены порты ldap:// и ldaps://. Эти настройки можно изменить установкой галок (checkbox). Домены аутентификации представлены в виде списка, можно удалить один или несколько доменов, добавить новый или изменить его настройки. ftp://ftp.spb.altlinux.org/people/bga/ldap-list.png

В каждом домене отдельно настраивается базовый DN, DN администратора и его пароль. Зная эти параметры, можно подключиться к серверу удалённо и редактировать дерево LDAP любыми подручными средствами.

• ftp://ftp.spb.altlinux.org/people/bga/ldap-domain.png

DHCP-сервер

От сервера DHCP требуется раздавать клиентам динамические IP-адреса и вспомогательные настройки:

• IP-адрес (выбирается из некоторого диапазона)
• Маска сети
• Домен
• Шлюзы
• Сервера DNS
• Почие поля, например,
  • nis-domain
  • netbios-name-servers
  • netbios-dd-server
  • netbios-node-type

Желательно уметь привязывать IP-адреса к MAC-адресам и обновлять локальный DNS-сервер текущими значениями hostname-IP.

Этого можно добиться установкой связки ISC DHCP-сервера и bind или сервера dnsmasq.