Releases/40/OfficeServerLDAP: различия между версиями
Remaks (обсуждение | вклад) |
Ilis (обсуждение | вклад) Нет описания правки |
||
(не показаны 2 промежуточные версии этого же участника) | |||
Строка 1: | Строка 1: | ||
== Черновик: план интеграции LDAP в ALT Linux 4.0 Office Server == | == Черновик: план интеграции LDAP в ALT Linux 4.0 Office Server == | ||
Этот план составлен по мотивам [http://freesource.info/wiki/AltLinux/Releases/40/PretenziiOfficeServer обсуждения] 5-й бета-версии дистрибутива ALT Linux 4.0 Office Server. | Этот план составлен по мотивам [http://freesource.info/wiki/AltLinux/Releases/40/PretenziiOfficeServer обсуждения] 5-й бета-версии дистрибутива ALT Linux 4.0 Office Server. | ||
Особая благодарность объявляется [mailto:mailto:dmitriy.kruglikov@gmail.com Дмитрию Кругликову] за содействие в разработке и примеры конфигов =). | Особая благодарность объявляется [mailto:mailto:dmitriy.kruglikov@gmail.com Дмитрию Кругликову] за содействие в разработке и примеры конфигов =). | ||
=== Информация о пользователях === | === Информация о пользователях === | ||
В отличие от обычных (POSIX) аккаунтов, в LDAP можно хранить много дополнительной информации, например, для ведения общей адресной книги. По LDAP можно подключаться к книге с любого компьютера в локальной сети. | В отличие от обычных (POSIX) аккаунтов, в LDAP можно хранить много дополнительной информации, например, для ведения общей адресной книги. По LDAP можно подключаться к книге с любого компьютера в локальной сети. | ||
POSIX: | POSIX: | ||
* Имя (Username) | * Имя (Username) | ||
Строка 14: | Строка 14: | ||
* Домашний каталог | * Домашний каталог | ||
* Интерпретатор команд (Shell) | * Интерпретатор команд (Shell) | ||
LDAP: | LDAP: | ||
* Секция POSIX: | |||
** Имя (Username) | ** Имя (Username) | ||
** Пароль | ** Пароль | ||
Строка 23: | Строка 24: | ||
** Домашний каталог | ** Домашний каталог | ||
** Интерпретатор команд (Shell) | ** Интерпретатор команд (Shell) | ||
* Секция ФИО: | |||
** Имя | ** Имя | ||
** Отчество (инициалы) | ** Отчество (инициалы) | ||
Строка 29: | Строка 30: | ||
** Вариант записи для адресной книги | ** Вариант записи для адресной книги | ||
** Фотография | ** Фотография | ||
* Секция Работа: | |||
** Компания (O) | ** Компания (O) | ||
** Подразделение (OU) | ** Подразделение (OU) | ||
Строка 36: | Строка 37: | ||
** Почтовый адрес | ** Почтовый адрес | ||
** Почтовый(ые) псевдоним(ы) | ** Почтовый(ые) псевдоним(ы) | ||
* Секция Дом: | |||
** Город | ** Город | ||
** Адрес | ** Адрес | ||
** Домашний телефон | ** Домашний телефон | ||
** Мобильный телефон | ** Мобильный телефон | ||
* Разрешить доступ: | |||
** К почте | ** К почте | ||
** К файловому серверу (Samba) | ** К файловому серверу (Samba) | ||
Строка 58: | Строка 59: | ||
Поскольку интерфейс настроек POSIX-аккаунтов соответствует упрощённому интерфейсу LDAP-аккаунтов, желательно сделать их максимально похожими, а расширенные настройки вынести на другую страницу или вкладку. Но не будем забывать, что в любом варианте LDAP-аккаунтов должен присутствовать выбор редактируемой базы пользователей. Выбор базы может представлять собой непосредственное указание параметров соединения: | Поскольку интерфейс настроек POSIX-аккаунтов соответствует упрощённому интерфейсу LDAP-аккаунтов, желательно сделать их максимально похожими, а расширенные настройки вынести на другую страницу или вкладку. Но не будем забывать, что в любом варианте LDAP-аккаунтов должен присутствовать выбор редактируемой базы пользователей. Выбор базы может представлять собой непосредственное указание параметров соединения: | ||
ftp://ftp.spb.altlinux.org/people/bga/ldap_db_settings.png | * ftp://ftp.spb.altlinux.org/people/bga/ldap_db_settings.png | ||
или выбор одной из уже добавленных и настроенных баз, что представляется более удобным: | или выбор одной из уже добавленных и настроенных баз, что представляется более удобным: | ||
ftp://ftp.spb.altlinux.org/people/bga/ldap_domains.png | * ftp://ftp.spb.altlinux.org/people/bga/ldap_domains.png | ||
* ftp://ftp.spb.altlinux.org/people/bga/Auth_in_LDAP.jpg | |||
ftp://ftp.spb.altlinux.org/people/bga/Auth_in_LDAP.jpg | * ftp://ftp.spb.altlinux.org/people/bga/new_edit_ldap_domain.jpg | ||
ftp://ftp.spb.altlinux.org/people/bga/new_edit_ldap_domain.jpg | * ftp://ftp.spb.altlinux.org/people/bga/new_edit_ldap_user.jpg | ||
ftp://ftp.spb.altlinux.org/people/bga/new_edit_ldap_user.jpg | * ftp://ftp.spb.altlinux.org/people/bga/new_nsswitch.jpg | ||
ftp://ftp.spb.altlinux.org/people/bga/new_nsswitch.jpg | |||
=== LDAP-сервер === | === LDAP-сервер === | ||
Сразу после установки сервер принимает только локальные соединения (с localhost), | Сразу после установки сервер принимает только локальные соединения (с localhost), то есть свои собственные. Включены порты ldap:// и ldaps://. Эти настройки можно изменить установкой галок (checkbox). Домены аутентификации представлены в виде списка, можно удалить один или несколько доменов, добавить новый или изменить его настройки. | ||
ftp://ftp.spb.altlinux.org/people/bga/ldap-list.png | ftp://ftp.spb.altlinux.org/people/bga/ldap-list.png | ||
В каждом домене отдельно настраивается базовый DN, DN администратора и его пароль. Зная эти параметры, можно подключиться к серверу удалённо и редактировать дерево LDAP любыми подручными средствами. | В каждом домене отдельно настраивается базовый DN, DN администратора и его пароль. Зная эти параметры, можно подключиться к серверу удалённо и редактировать дерево LDAP любыми подручными средствами. | ||
ftp://ftp.spb.altlinux.org/people/bga/ldap-domain.png | * ftp://ftp.spb.altlinux.org/people/bga/ldap-domain.png | ||
=== DHCP-сервер === | === DHCP-сервер === | ||
Строка 89: | Строка 90: | ||
Этого можно добиться установкой связки ISC DHCP-сервера и bind или сервера dnsmasq. | Этого можно добиться установкой связки ISC DHCP-сервера и bind или сервера dnsmasq. | ||
{{Category navigation|title=LDAP|category=LDAP|sortkey={{SUBPAGENAME}}}} | |||
{{Category navigation|title=Releases/40|category=Releases/40|sortkey={{SUBPAGENAME}}}} | |||
{{Category navigation|title=ALT Linux Office Server|category=ALT Linux Office Server|sortkey={{SUBPAGENAME}}}} |
Текущая версия от 12:56, 7 января 2009
Черновик: план интеграции LDAP в ALT Linux 4.0 Office Server
Этот план составлен по мотивам обсуждения 5-й бета-версии дистрибутива ALT Linux 4.0 Office Server. Особая благодарность объявляется Дмитрию Кругликову за содействие в разработке и примеры конфигов =).
Информация о пользователях
В отличие от обычных (POSIX) аккаунтов, в LDAP можно хранить много дополнительной информации, например, для ведения общей адресной книги. По LDAP можно подключаться к книге с любого компьютера в локальной сети.
POSIX:
- Имя (Username)
- Пароль
- Номер UID
- Номер GID, членство в прочих группах
- Комментарий (Gecos)
- Домашний каталог
- Интерпретатор команд (Shell)
LDAP:
- Секция POSIX:
- Имя (Username)
- Пароль
- Номер UID
- Номер GID, членство в прочих группах
- Комментарий (Gecos)
- Домашний каталог
- Интерпретатор команд (Shell)
- Секция ФИО:
- Имя
- Отчество (инициалы)
- Фамилия
- Вариант записи для адресной книги
- Фотография
- Секция Работа:
- Компания (O)
- Подразделение (OU)
- Должность (Title)
- Телефон
- Почтовый адрес
- Почтовый(ые) псевдоним(ы)
- Секция Дом:
- Город
- Адрес
- Домашний телефон
- Мобильный телефон
- Разрешить доступ:
- К почте
- К файловому серверу (Samba)
- К прокси-серверу
- К su
- К sudo
Иллюстрация: ftp://ftp.spb.altlinux.org/people/bga/LDAP_Users.jpg
При этом обязательными (и видимыми в упрощённом интерфейсе) являются только секции POSIX и Разрешить доступ: ftp://ftp.spb.altlinux.org/people/bga/LDAP_Users_mini.jpg Примечание: ставить галки можно только напротив установленных в системе служб (checkbox enabled/disabled).
Вопрос: как будет выглядеть в LDAP SambaMachineAccount?
Поскольку интерфейс настроек POSIX-аккаунтов соответствует упрощённому интерфейсу LDAP-аккаунтов, желательно сделать их максимально похожими, а расширенные настройки вынести на другую страницу или вкладку. Но не будем забывать, что в любом варианте LDAP-аккаунтов должен присутствовать выбор редактируемой базы пользователей. Выбор базы может представлять собой непосредственное указание параметров соединения:
или выбор одной из уже добавленных и настроенных баз, что представляется более удобным:
- ftp://ftp.spb.altlinux.org/people/bga/ldap_domains.png
- ftp://ftp.spb.altlinux.org/people/bga/Auth_in_LDAP.jpg
- ftp://ftp.spb.altlinux.org/people/bga/new_edit_ldap_domain.jpg
- ftp://ftp.spb.altlinux.org/people/bga/new_edit_ldap_user.jpg
- ftp://ftp.spb.altlinux.org/people/bga/new_nsswitch.jpg
LDAP-сервер
Сразу после установки сервер принимает только локальные соединения (с localhost), то есть свои собственные. Включены порты ldap:// и ldaps://. Эти настройки можно изменить установкой галок (checkbox). Домены аутентификации представлены в виде списка, можно удалить один или несколько доменов, добавить новый или изменить его настройки. ftp://ftp.spb.altlinux.org/people/bga/ldap-list.png
В каждом домене отдельно настраивается базовый DN, DN администратора и его пароль. Зная эти параметры, можно подключиться к серверу удалённо и редактировать дерево LDAP любыми подручными средствами.
DHCP-сервер
От сервера DHCP требуется раздавать клиентам динамические IP-адреса и вспомогательные настройки:
- IP-адрес (выбирается из некоторого диапазона)
- Маска сети
- Домен
- Шлюзы
- Сервера DNS
- Почие поля, например,
- nis-domain
- netbios-name-servers
- netbios-dd-server
- netbios-node-type
Желательно уметь привязывать IP-адреса к MAC-адресам и обновлять локальный DNS-сервер текущими значениями hostname-IP.
Этого можно добиться установкой связки ISC DHCP-сервера и bind или сервера dnsmasq.