Releases/40/OfficeServerLDAP: различия между версиями

Материал из ALT Linux Wiki
< Releases‎ | 40
Нет описания правки
 
(не показаны 2 промежуточные версии этого же участника)
Строка 1: Строка 1:
{{MovedFromFreesourceInfo|AltLinux/Releases/40/OfficeServerLDAP}}
== Черновик: план интеграции LDAP в ALT Linux 4.0 Office Server ==
== Черновик: план интеграции LDAP в ALT Linux 4.0 Office Server ==
Этот план составлен по мотивам [http://freesource.info/wiki/AltLinux/Releases/40/PretenziiOfficeServer обсуждения] 5-й бета-версии дистрибутива ALT Linux 4.0 Office Server.
Этот план составлен по мотивам [http://freesource.info/wiki/AltLinux/Releases/40/PretenziiOfficeServer обсуждения] 5-й бета-версии дистрибутива ALT Linux 4.0 Office Server.
Особая благодарность объявляется [mailto:mailto:dmitriy.kruglikov@gmail.com Дмитрию Кругликову] за содействие в разработке и примеры конфигов =).
Особая благодарность объявляется [mailto:mailto:dmitriy.kruglikov@gmail.com Дмитрию Кругликову] за содействие в разработке и примеры конфигов =).
=== Информация о пользователях ===
=== Информация о пользователях ===
В отличие от обычных (POSIX) аккаунтов, в LDAP можно хранить много дополнительной информации, например, для ведения общей адресной книги. По LDAP можно подключаться к книге с любого компьютера в локальной сети.
В отличие от обычных (POSIX) аккаунтов, в LDAP можно хранить много дополнительной информации, например, для ведения общей адресной книги. По LDAP можно подключаться к книге с любого компьютера в локальной сети.
POSIX:
POSIX:
* Имя (Username)
* Имя (Username)
Строка 14: Строка 14:
* Домашний каталог
* Домашний каталог
* Интерпретатор команд (Shell)
* Интерпретатор команд (Shell)
LDAP:
LDAP:
:Секция POSIX:
* Секция POSIX:
** Имя (Username)
** Имя (Username)
** Пароль
** Пароль
Строка 23: Строка 24:
** Домашний каталог
** Домашний каталог
** Интерпретатор команд (Shell)
** Интерпретатор команд (Shell)
:Секция ФИО:
* Секция ФИО:
** Имя
** Имя
** Отчество (инициалы)
** Отчество (инициалы)
Строка 29: Строка 30:
** Вариант записи для адресной книги
** Вариант записи для адресной книги
** Фотография
** Фотография
:Секция Работа:
* Секция Работа:
** Компания (O)
** Компания (O)
** Подразделение (OU)
** Подразделение (OU)
Строка 36: Строка 37:
** Почтовый адрес
** Почтовый адрес
** Почтовый(ые) псевдоним(ы)
** Почтовый(ые) псевдоним(ы)
:Секция Дом:
* Секция Дом:
** Город
** Город
** Адрес
** Адрес
** Домашний телефон
** Домашний телефон
** Мобильный телефон
** Мобильный телефон
:Разрешить доступ:
* Разрешить доступ:
** К почте
** К почте
** К файловому серверу (Samba)
** К файловому серверу (Samba)
Строка 58: Строка 59:


Поскольку интерфейс настроек POSIX-аккаунтов соответствует упрощённому интерфейсу LDAP-аккаунтов, желательно сделать их максимально похожими, а расширенные настройки вынести на другую страницу или вкладку. Но не будем забывать, что в любом варианте LDAP-аккаунтов должен присутствовать выбор редактируемой базы пользователей. Выбор базы может представлять собой непосредственное указание параметров соединения:
Поскольку интерфейс настроек POSIX-аккаунтов соответствует упрощённому интерфейсу LDAP-аккаунтов, желательно сделать их максимально похожими, а расширенные настройки вынести на другую страницу или вкладку. Но не будем забывать, что в любом варианте LDAP-аккаунтов должен присутствовать выбор редактируемой базы пользователей. Выбор базы может представлять собой непосредственное указание параметров соединения:
ftp://ftp.spb.altlinux.org/people/bga/ldap_db_settings.png
* ftp://ftp.spb.altlinux.org/people/bga/ldap_db_settings.png
 
или выбор одной из уже добавленных и настроенных баз, что представляется более удобным:
или выбор одной из уже добавленных и настроенных баз, что представляется более удобным:
ftp://ftp.spb.altlinux.org/people/bga/ldap_domains.png
* ftp://ftp.spb.altlinux.org/people/bga/ldap_domains.png
 
* ftp://ftp.spb.altlinux.org/people/bga/Auth_in_LDAP.jpg
ftp://ftp.spb.altlinux.org/people/bga/Auth_in_LDAP.jpg
* ftp://ftp.spb.altlinux.org/people/bga/new_edit_ldap_domain.jpg
ftp://ftp.spb.altlinux.org/people/bga/new_edit_ldap_domain.jpg
* ftp://ftp.spb.altlinux.org/people/bga/new_edit_ldap_user.jpg
ftp://ftp.spb.altlinux.org/people/bga/new_edit_ldap_user.jpg
* ftp://ftp.spb.altlinux.org/people/bga/new_nsswitch.jpg
ftp://ftp.spb.altlinux.org/people/bga/new_nsswitch.jpg


=== LDAP-сервер ===
=== LDAP-сервер ===
Сразу после установки сервер принимает только локальные соединения (с localhost), т.е. свои собственные. Включены порты ldap:// и ldaps://. Эти настройки можно изменить установкой галок (checkbox). Домены аутентификации представлены в виде списка, можно удалить один или несколько доменов, добавить новый или изменить его настройки.
Сразу после установки сервер принимает только локальные соединения (с localhost), то есть свои собственные. Включены порты ldap:// и ldaps://. Эти настройки можно изменить установкой галок (checkbox). Домены аутентификации представлены в виде списка, можно удалить один или несколько доменов, добавить новый или изменить его настройки.
ftp://ftp.spb.altlinux.org/people/bga/ldap-list.png
ftp://ftp.spb.altlinux.org/people/bga/ldap-list.png


В каждом домене отдельно настраивается базовый DN, DN администратора и его пароль. Зная эти параметры, можно подключиться к серверу удалённо и редактировать дерево LDAP любыми подручными средствами.
В каждом домене отдельно настраивается базовый DN, DN администратора и его пароль. Зная эти параметры, можно подключиться к серверу удалённо и редактировать дерево LDAP любыми подручными средствами.
ftp://ftp.spb.altlinux.org/people/bga/ldap-domain.png
* ftp://ftp.spb.altlinux.org/people/bga/ldap-domain.png


=== DHCP-сервер ===
=== DHCP-сервер ===
Строка 89: Строка 90:


Этого можно добиться установкой связки ISC DHCP-сервера и bind или сервера dnsmasq.
Этого можно добиться установкой связки ISC DHCP-сервера и bind или сервера dnsmasq.
{{Category navigation|title=LDAP|category=LDAP|sortkey={{SUBPAGENAME}}}}
{{Category navigation|title=Releases/40|category=Releases/40|sortkey={{SUBPAGENAME}}}}
{{Category navigation|title=ALT Linux Office Server|category=ALT Linux Office Server|sortkey={{SUBPAGENAME}}}}

Текущая версия от 12:56, 7 января 2009

Черновик: план интеграции LDAP в ALT Linux 4.0 Office Server

Этот план составлен по мотивам обсуждения 5-й бета-версии дистрибутива ALT Linux 4.0 Office Server. Особая благодарность объявляется Дмитрию Кругликову за содействие в разработке и примеры конфигов =).

Информация о пользователях

В отличие от обычных (POSIX) аккаунтов, в LDAP можно хранить много дополнительной информации, например, для ведения общей адресной книги. По LDAP можно подключаться к книге с любого компьютера в локальной сети.

POSIX:

  • Имя (Username)
  • Пароль
  • Номер UID
  • Номер GID, членство в прочих группах
  • Комментарий (Gecos)
  • Домашний каталог
  • Интерпретатор команд (Shell)

LDAP:

  • Секция POSIX:
    • Имя (Username)
    • Пароль
    • Номер UID
    • Номер GID, членство в прочих группах
    • Комментарий (Gecos)
    • Домашний каталог
    • Интерпретатор команд (Shell)
  • Секция ФИО:
    • Имя
    • Отчество (инициалы)
    • Фамилия
    • Вариант записи для адресной книги
    • Фотография
  • Секция Работа:
    • Компания (O)
    • Подразделение (OU)
    • Должность (Title)
    • Телефон
    • Почтовый адрес
    • Почтовый(ые) псевдоним(ы)
  • Секция Дом:
    • Город
    • Адрес
    • Домашний телефон
    • Мобильный телефон
  • Разрешить доступ:
    • К почте
    • К файловому серверу (Samba)
    • К прокси-серверу
    • К su
    • К sudo

Иллюстрация: ftp://ftp.spb.altlinux.org/people/bga/LDAP_Users.jpg

При этом обязательными (и видимыми в упрощённом интерфейсе) являются только секции POSIX и Разрешить доступ: ftp://ftp.spb.altlinux.org/people/bga/LDAP_Users_mini.jpg Примечание: ставить галки можно только напротив установленных в системе служб (checkbox enabled/disabled).

Вопрос: как будет выглядеть в LDAP SambaMachineAccount?

Поскольку интерфейс настроек POSIX-аккаунтов соответствует упрощённому интерфейсу LDAP-аккаунтов, желательно сделать их максимально похожими, а расширенные настройки вынести на другую страницу или вкладку. Но не будем забывать, что в любом варианте LDAP-аккаунтов должен присутствовать выбор редактируемой базы пользователей. Выбор базы может представлять собой непосредственное указание параметров соединения:

или выбор одной из уже добавленных и настроенных баз, что представляется более удобным:

LDAP-сервер

Сразу после установки сервер принимает только локальные соединения (с localhost), то есть свои собственные. Включены порты ldap:// и ldaps://. Эти настройки можно изменить установкой галок (checkbox). Домены аутентификации представлены в виде списка, можно удалить один или несколько доменов, добавить новый или изменить его настройки. ftp://ftp.spb.altlinux.org/people/bga/ldap-list.png

В каждом домене отдельно настраивается базовый DN, DN администратора и его пароль. Зная эти параметры, можно подключиться к серверу удалённо и редактировать дерево LDAP любыми подручными средствами.

DHCP-сервер

От сервера DHCP требуется раздавать клиентам динамические IP-адреса и вспомогательные настройки:

  • IP-адрес (выбирается из некоторого диапазона)
  • Маска сети
  • Домен
  • Шлюзы
  • Сервера DNS
  • Почие поля, например,
    • nis-domain
    • netbios-name-servers
    • netbios-dd-server
    • netbios-node-type

Желательно уметь привязывать IP-адреса к MAC-адресам и обновлять локальный DNS-сервер текущими значениями hostname-IP.

Этого можно добиться установкой связки ISC DHCP-сервера и bind или сервера dnsmasq.