Интегрировать eGroupWare с доменом Centaurus
Материал из ALT Linux Wiki
Pavelri (обсуждение | вклад) (→Хранение учётных записей пользователей eGroupWare в домене Centaurus (LDAP)) |
Pavelri (обсуждение | вклад) (→Создание новых учетных записей) |
||
Строка 49: | Строка 49: | ||
а eGroupWare их не создаёт, они для eGroupWare попросту не нужны. Поэтому, кроме особых случаев, | а eGroupWare их не создаёт, они для eGroupWare попросту не нужны. Поэтому, кроме особых случаев, | ||
учетные записи в домене следует создавать через Alterator. | учетные записи в домене следует создавать через Alterator. | ||
+ | |||
+ | |||
+ | == Адресные книги == | ||
+ | |||
+ | |||
+ | === Адресная книга - список пользователей === | ||
+ | |||
+ | Поскольку мы уже храним учетные записи пользователей со всеми необходимыми атрибутами в каталоге LDAP, | ||
+ | к ним можно обратиться из почтового клиента. Почтовым клиентом по умолчанию в дистрибутиве Centaurus служит | ||
+ | Evolution, поэтому подключение адресной книги лучше всего показать на его примере. | ||
+ | Откроем Evolution, Вид - Окно - Контакты (Ctrl+2) - Файл - Создать - Адресная книга | ||
+ | В окне Новая адресная книга следует выставить такие параметры: | ||
+ | Тип: На серверах LDAP | ||
+ | Имя: любое интуитивно понятное, например, Сотрудники | ||
+ | Сервер: имя или адрес сервера LDAP (в нашем примере - контроллера домена domain) | ||
+ | Порт: 636 | ||
+ | Использовать защищенное соединение: Шифрование TLS | ||
+ | Метод подключения: использовать адрес электронной почты пользователя, как он записан в свойствах учетной записи | ||
+ | Далее, на вкладке Подробности | ||
+ | База поиска: ou=People,dc=domain | ||
+ | Диапазон поиска: Один или Под (достаточно Один) | ||
+ | OK | ||
+ | Если всё получилось, то при первом обращении к адресной книге Evolution переспросит и предложит сохранить пароль | ||
+ | пользователя. После этого адресную книгу уже можно использовать при создании новых сообщений. | ||
+ | |||
+ | === Общая адресная книга === | ||
+ | |||
+ | Подключим общую адресную книгу (она же - адресная книга группы Default) с тем, чтобы | ||
+ | все пользователи в группе могли создавать, хранить, изменять и при необходимости удалять контакты в ней. | ||
+ | Причем не только из веб-интерфейса, но и из Evolution. | ||
+ | По умолчанию eGroupWare сохраняет адресные книги в базе данных SQL, эту настройку необходимо изменить. | ||
+ | Войти в eGroupWare с учетной записи администратора, Адресная книга, Меню адресной книги (слева), Администрирование - Конфигурирование сайта | ||
+ | Необходимо установить следующие параметры: | ||
+ | Выберите, где вы хотите записывать/извлекать контакы: LDAP | ||
+ | Хост LDAP для контактов: localhost | ||
+ | Контекст LDAP для контактов: dc=domain | ||
+ | Там же есть такая фраза: "Дополнительная информация об использовании LDAP в качестве хранилища контактов" и ссылка README. Крайне рекомендуется ознакомиться с файлом README, там есть все необходимые пояснения. Дело в том, что eGruoupWare создаёт в каталоге | ||
+ | новую ветку, для этого требуется разрешение в ACL каталога LDAP. Дополним список ACL в конфигурационном файле | ||
+ | /etc/openldap/slapd-domain.conf | ||
+ | |||
+ | # Access to groups addressbooks | ||
+ | access to dn.regex="cn=default,ou=shared,ou=contacts,dc=''domain''$" | ||
+ | attrs=entry,@person,@inetOrgPerson | ||
+ | by users write | ||
+ | access to dn.regex="cn=default,ou=shared,ou=contacts,dc=''domain''$" | ||
+ | attrs=children | ||
+ | by users write | ||
+ | И перезапустим slapd. | ||
+ | Теперь можно настроить Evolution так же, как и как и на список пользователей, только имя адресной книге дадим Общая, а база поиска у нас будет cn=default,ou=shared,ou=contacts,dc=domain | ||
[[Категория:Centaurus]] | [[Категория:Centaurus]] |
Версия 08:47, 20 ноября 2011
Содержание |
Хранение учётных записей пользователей eGroupWare в домене Centaurus (LDAP)
Решение задачи аутентификации и хранения данных пользователей eGroupWare в домене Centaurus относительно несложно в случае, если eGroupWare и LDAP расположены на одном сервере. Дело в том, что по умолчанию для обращения к LDAP по сети разрешён только протокол ldaps, и это правильно. В eGroupWare (пока?) указать ldaps для аутентификации не получается, только ldap. Вероятно, это ограничение можно обойти, например при помощи SSH-туннелирования.
Здесь и далее: domain - имя домена Centaurus, точно так, как было указано в поле имени "Домен:" в соответствующем интерфейсе Alterator при инициализации домена. Если есть сомения, их можно устранить при помощи инструментария phpldapadmin и данных из конфигурационного файла /etc/openldap/slapd-domain.conf
Необходимые параметры вводятся в меню установки eGroupWare "Шаг 2 - Конфигуратор":
Авторизация / Учётные записи
Выберите используемый вами тип идентификации: LDAP Тип шифрования SQL Для пароля (по умолчанию - md5): BLOWISH_CRYPT Выберите где вы будете хранить/получать информацию об учетных записях пользователей: LDAP Минимальный идентификатор учетных записей (напр.500 или 100, и т.п.): 5000
Используя LDAP:
Имя сервера LDAP: localhost LDAP контекст: ou=People,dc=domain Контекст групп LDAP: ou=Group,dc=domain Корневой dn LDAP (поиск акаунтов и смена паролей): cn=ldaproot,dc=domain Пароль LDAP: взять из файла /etc/openldap/slapd-domain.conf Тип шифрования LDAP: BLOWISH_CRYPT
Остальные параметры можно попробовать оставить как есть по умолчанию. Если всё получилось, то после сохранения настроек (перезапуск http-сервера не требуется) eGroupWare начнёт принимать пароли пользователей, определённых в домене Centaurus, хотя и не пропустит, ссылаясь на недостаточность прав доступа. Чтобы пользователь вошёл, необходимо зарегистрироваться в eGroupWare с учетной записью администратора "Шаг 3 - Учетная запись администратора" и добавить всем пользователям, которым разрешено использование eGroupWare, группу Default. Или любую другую группу, которой разрешено запускать приложение "Домой". Обратите внимание, что имена пользователей и их участие в группах одинаково отображаются как в меню Администрирование eGroupWare, так и в меню Пользователи через Alterator.
Создание новых учетных записей
Создавать новые учетные записи пользователей теперь можно как через Alterator, так и через eGroupWare. Для того, чтобы рабочая станция домена Centaurus приняла пользователя, достаточно в Конфигураторе установить:
Не желаете ли вы поуправлять атрибутами домашней папки и системы входа(loginshell)?: Да Префикс домашней папки LDAP по уполчанию (напр. /home для /home/username: /home LDAP оболочка по умолчанию (напр. /bin/bash): /bin/bash
Однако, в домене Centaurus учетная запись имеет дополнительные атрибуты (класс sambaSamAccount), а eGroupWare их не создаёт, они для eGroupWare попросту не нужны. Поэтому, кроме особых случаев, учетные записи в домене следует создавать через Alterator.
Адресные книги
Адресная книга - список пользователей
Поскольку мы уже храним учетные записи пользователей со всеми необходимыми атрибутами в каталоге LDAP, к ним можно обратиться из почтового клиента. Почтовым клиентом по умолчанию в дистрибутиве Centaurus служит Evolution, поэтому подключение адресной книги лучше всего показать на его примере. Откроем Evolution, Вид - Окно - Контакты (Ctrl+2) - Файл - Создать - Адресная книга В окне Новая адресная книга следует выставить такие параметры:
Тип: На серверах LDAP Имя: любое интуитивно понятное, например, Сотрудники Сервер: имя или адрес сервера LDAP (в нашем примере - контроллера домена domain) Порт: 636
Использовать защищенное соединение: Шифрование TLS Метод подключения: использовать адрес электронной почты пользователя, как он записан в свойствах учетной записи Далее, на вкладке Подробности База поиска: ou=People,dc=domain Диапазон поиска: Один или Под (достаточно Один) OK Если всё получилось, то при первом обращении к адресной книге Evolution переспросит и предложит сохранить пароль пользователя. После этого адресную книгу уже можно использовать при создании новых сообщений.
Общая адресная книга
Подключим общую адресную книгу (она же - адресная книга группы Default) с тем, чтобы все пользователи в группе могли создавать, хранить, изменять и при необходимости удалять контакты в ней. Причем не только из веб-интерфейса, но и из Evolution. По умолчанию eGroupWare сохраняет адресные книги в базе данных SQL, эту настройку необходимо изменить. Войти в eGroupWare с учетной записи администратора, Адресная книга, Меню адресной книги (слева), Администрирование - Конфигурирование сайта Необходимо установить следующие параметры:
Выберите, где вы хотите записывать/извлекать контакы: LDAP
Хост LDAP для контактов: localhost
Контекст LDAP для контактов: dc=domain
Там же есть такая фраза: "Дополнительная информация об использовании LDAP в качестве хранилища контактов" и ссылка README. Крайне рекомендуется ознакомиться с файлом README, там есть все необходимые пояснения. Дело в том, что eGruoupWare создаёт в каталоге новую ветку, для этого требуется разрешение в ACL каталога LDAP. Дополним список ACL в конфигурационном файле /etc/openldap/slapd-domain.conf
# Access to groups addressbooks access to dn.regex="cn=default,ou=shared,ou=contacts,dc=domain$" attrs=entry,@person,@inetOrgPerson by users write access to dn.regex="cn=default,ou=shared,ou=contacts,dc=domain$" attrs=children by users write
И перезапустим slapd. Теперь можно настроить Evolution так же, как и как и на список пользователей, только имя адресной книге дадим Общая, а база поиска у нас будет cn=default,ou=shared,ou=contacts,dc=domain