Домен/Скрипты: различия между версиями

Материал из ALT Linux Wiki
 
(не показано 27 промежуточных версий 3 участников)
Строка 4: Строка 4:
!Программа
!Программа
!Пакет
!Пакет
!назначение
!Назначение
|-
|-
|ldap-init||ldap-user-tools||Инициализирует базовый DN текущего домена, создаёт подразделы
|ldap-init||rowspan="10" valign="top"|[http://packages.altlinux.org/en/Sisyphus/srpms/ldap-user-tools ldap-user-tools]||Инициализирует базовый DN текущего домена, создаёт подразделы
|-
|-
|ldap-dn||ldap-user-tools||Управление базовыми DN
|ldap-dn||Управление базовыми DN
|-
|-
|ldap-getent||ldap-user-tools||Получение записей о пользователях и группах домена в формате getent(1)
|ldap-getent||Получение записей о пользователях и группах домена в формате getent(1)
|-
|-
|ldap-useradd||ldap-user-tools||Добавление пользователя в домен
|ldap-useradd||Добавление пользователя в домен
|-
|-
|ldap-userdel||ldap-user-tools||Удаление пользователя из домена
|ldap-userdel||Удаление пользователя из домена
|-
|-
|ldap-usermod||ldap-user-tools||Изменение данных о пользователе домена
|ldap-usermod||Изменение данных о пользователе домена
|-
|-
|ldap-passwd||ldap-user-tools||Изменение пароля пользователя домена
|ldap-passwd||Изменение пароля пользователя домена
|-
|-
|ldap-groupadd||ldap-user-tools||Добавление группы в домен
|ldap-groupadd||Добавление группы в домен
|-
|-
|ldap-groupdel||ldap-user-tools||Удаление группы из домена
|ldap-groupdel||Удаление группы из домена
|-
|-
|ldap-groupmod||ldap-user-tools||Изменение данных о составе группы домена
|ldap-groupmod||Изменение данных о составе группы домена
|-
|-
|alterator-cmdline||alterator||Вызов методов бэкендов модулей Alterator  
|alterator-cmdline||[http://packages.altlinux.org/en/Sisyphus/srpms/alterator alterator]||Вызов методов бэкендов модулей Alterator  
|-
|-
|system-auth||alterator-auth||Просматр и устанавка текущей схемы аутентификации
|system-auth||[http://packages.altlinux.org/en/Sisyphus/srpms/alterator-auth alterator-auth]||Просмотр и установка текущей схемы аутентификации
|}
|}


Строка 63: Строка 63:
''Примечание:'' переменная DN_CONF заполняется из вывода текущей схемы аутентификации <pre>system-auth status</pre> значение переменной ENABLE_KRB выставляется в «yes», если в файле /etc/sysconfig/system есть значение SERVER_ROLE=master.
''Примечание:'' переменная DN_CONF заполняется из вывода текущей схемы аутентификации <pre>system-auth status</pre> значение переменной ENABLE_KRB выставляется в «yes», если в файле /etc/sysconfig/system есть значение SERVER_ROLE=master.


== Утилиты ==
==ldap-init==
 
===ldap-init===
Инициализирует базовый DN текущего домена, создаёт подразделы. Явно не используется.
Инициализирует базовый DN текущего домена, создаёт подразделы. Явно не используется.


===ldap-dn===
==ldap-dn==
Управление базовыми DN.
Управление базовыми DN.


===ldap-getent===
Использование:
ldap-dn <команда> [<базовый DN>]
 
Параметры:
;<команда>
:команда на изменение:
{|class="standard"
!Режим
!Описание
|-
|{{term|list}}||Список доступных базовых DN
|-
|{{term|create}}||Создать базовый DN
|-
|{{term|delete}}||Удалить базовый DN
|-
|{{term|find}}||Показ файла конфигурации базового DN
|-
|{{term|master}}||Установить как базовый DN по умолчанию
|-
|}
;<базовый DN>
:базовый DN домена.
 
Команды {{term|list}} и {{term|find}} выводят записи в виде {{term|<базовый DN> <файл конфигурации>}}
 
Примеры:
 
Список базовых DN:
# ldap-dn list
dc=test,dc=altlinux,dc=ru /etc/openldap/slapd-test.altlinux.ru.conf
 
Создание базового DN:
# ldap-dn create dc=school-100
hdb_monitor_db_open: monitoring disabled; configure monitor database to enable
_#################### 100.00% eta  none elapsed            none fast!       
Closing DB...
 
Показ файла конфигурации:
# ldap-dn find dc=school-100
/etc/openldap/slapd-school-100.conf
 
Установка базового DN по умолчанию:
# ldap-dn master dc=test,dc=altlinux,dc=ru
 
Удаление базового DN:
# ldap-dn delete dc=school-100
 
==ldap-getent==
Получение записей о пользователях и группах домена в формате getent(1).
Получение записей о пользователях и группах домена в формате getent(1).


===ldap-useradd===
Использование:
Добавление пользователя в домен.
ldap-getent <класс> [<имя>] [<поле>[,...]]
 
Параметры:
;<класс>
:возможные значения: '''passwd''' (пользователи), '''group''' (группы), '''ws''' (зарегистрированные рабочие станции) {{Since|0.8.0}}
;<имя>
:имя пользователя, группы или рабочей станции. Если опущено, показываются все объекты.
;<поле>
:список полей LDAP, которые нужно показать вместо обычного вывода в формате getent(1) (значения разделены двоеточием, пароли не показываются):
:Для пользователей: <pre>uid:userPassword:uidNumber:gidNumber:gecos:homeDirectory:loginShell</pre>
:Для групп: <pre>cn:userPassword:gidNumber:memberUid</pre>
:Для рабочих станций <pre>uidNumber</pre>
 
Примечания:
* Регистр указываемых полей несущественен.
* Если объект содержит несколько записей с одинаковым полем (например, memberUid в группах), значения будут показаны через запятую.
 
Примеры:
Показать всех пользователей:<pre># ldap-getent passwd
l1::5000:5000::/home/l1:/bin/bash
user::5001:5001::/home/user:/bin/bash
ivanov::5002:5002::/home/ivanov:/bin/bash
l2::5003:5005::/home/l2:/bin/bash
iv::5005:5008::/home/iv:/bin/bash
fill::5006:5009::/home/fil:/bin/sh</pre>
 
Показать состав группы admins: <pre># ldap-getent group admins memberuid
l1,user,ivanov</pre>
 
==ldap-useradd==
Добавление пользователя или рабочей станции в домен.


Использование:
Использование:
  ldap-useradd [-n <Имя>] [-f <Фамилия>] [-c <ФИО полностью>]
  ldap-useradd [-n <Имя>] [-f <Фамилия>] [-c <ФИО полностью>]
       [-d <домашний каталог>] [-s <интерпретатор>] [-p <пароль>]
       [-d <домашний каталог>] [-s <интерпретатор>] [-p <пароль>]
       [-G <группа[,...]] <имя пользователя>
       [-G <группа[,...]] [-w] [-i] <имя пользователя>


Параметры:
Параметры:
Строка 98: Строка 174:
;-G <группа,...>
;-G <группа,...>
:По умолчанию в LDAP создаётся и одноимённая с пользователем группа. Параметр -G предназначен для включения нового пользователя в уже созданные группы LDAP (группы указываются через запятую).
:По умолчанию в LDAP создаётся и одноимённая с пользователем группа. Параметр -G предназначен для включения нового пользователя в уже созданные группы LDAP (группы указываются через запятую).
;-w {{Since|0.8.0}}
:Создать не пользователя, а рабочую станцию
;-i {{Since|0.8.0}}
:Рабочая станция (необходимо также указание ключа {{term|-w}}) является доверенной. Даже если не указан символ $ в конце имени рабочей станции, он добавляется автоматически.
;<имя пользователя>
;<имя пользователя>
:имя пользователя. Единственный обязательный параметр.
:имя пользователя или рабочей станции. Единственный обязательный параметр.


Пример:
Пример:
  ldap-useradd -f Филиппов -n Иван -c 'Филиппов Иван Дмитриевич' -d /home/fill -s /bin/bash -p pASSWORD -G g1,group2 fill
  ldap-useradd -f Филиппов -n Иван -c 'Филиппов Иван Дмитриевич' -d /home/fill -s /bin/bash -p pASSWORD -G g1,group2 fill


===ldap-userdel===
==ldap-userdel==
Удаление пользователя из домена.
Удаление пользователя или рабочей станции из домена.


Использование:
Использование:
  ldap-userdel [-r] <имя пользователя>
  ldap-userdel [-r] [-w] <имя пользователя>


Параметры:
Параметры:
;-r
;-r
:удалить домашний каталог пользователя и его почтовый ящик
:удалить домашний каталог пользователя и его почтовый ящик
;-w {{Since|0.8.0}}
:удалить не пользователя, а рабочую станцию
;<имя пользователя>
;<имя пользователя>
:имя пользователя. Единственный обязательный параметр.
:имя пользователя или рабочей станции. Единственный обязательный параметр.


Пример:
Пример:
  ldap-userdel -r fill
  ldap-userdel -r fill


===ldap-usermod===
==ldap-usermod==
 
Изменение данных о пользователе домена.
Изменение данных о пользователе домена.


===ldap-passwd===
Использование:
ldap-usermod [-g <группа> |<режим>] <имя пользователя>
 
Параметры:
;-g <группа> {{Since|0.8.1}}
:установить основную группу у пользователя
;<режим>
:режим изменений.
{|class="standard"
!Режим
!Описание
|-
|{{term|add}}||Добавляет поле записи пользователя
|-
|{{term|replace}}||Изменяет значения полей (изменяются только переданные поля)
|-
|{{term|del}}||Удаляет поле записи пользователя
|-
|}
;<имя пользователя>
:имя пользователя домена.
 
При указании параметра {{term|-g}} режим указывать не нужно.
 
Добавляемые или удаляемые поля передаются через стандартный поток ввода в виде {{term|<имя поля>:<значение>}}. Имя поля нечувствительно к регистру. Список поддерживаемых полей смотрите в описании [[Домен/Скрипты#ldap-getent|ldap-getent]].
 
Пример:
echo "mail:sidorov@domain.ru" | ldap-usermod add sid
 
==ldap-passwd==
Изменение пароля пользователя домена.
Изменение пароля пользователя домена.


===ldap-groupadd===
Использование:
ldap-passwd <имя пользователя> [<пароль>]
 
Параметры:
;<имя пользователя>
:имя существующего пользователя домена
;<пароль>
:новый пароль. Если параметр не указан, пароль считывается из стандартного потока ввода.
 
Пример:
ldap-passwd fill NewPaSsWoRD
 
==ldap-groupadd==
Добавление группы в домен.
Добавление группы в домен.


===ldap-groupdel===
Использование:
ldap-groupadd <имя группы> [<gid>]
ldap-groupadd --default
 
Параметры:
;<имя группы>
:имя новой группы домена.
;<gid>
:необязательный идентификатор группы. Если идентификатор совпадает с идентификатором системной группы, при регистрации под правами получает права в локальных группах (правда, не все системные группы имеют одинаковый идентификатор на разных компьютерах)
;--default {{Since|0.8.1}}
:Создать группы по списку и добавить всех пользователей в группы по умолчанию:
:* Список групп (по одной в каждой строке, комментарии начинаются с символа #, пустые строки игнорируются) указывается в файле {{path|/etc/alterator/ldap-groups/group-init-list}} (пакет ''alterator-ldap-groups'')
:* Если имя группы совпадает с именем системной группы на сервере (в файле {{path|/etc/group}}), то создаётся группа с идентификатором системной группы
:* Список групп по умолчанию, разделённый пробелами) находится в параметре '''default_groups =''' в файле  {{path|/usr/lib/alterator/backend3/ldap-users}} (пакет ''alterator-ldap-users'')
 
Пример:
ldap-groupadd staff
 
==ldap-groupdel==
Удаление группы из домена.
Удаление группы из домена.


Строка 136: Строка 278:
Параметры:
Параметры:
;<имя группы>
;<имя группы>
:имя группы домена. Единственный обязательный параметр.
:имя группы домена.


Пример:
Пример:
  ldap-groupdel staff
  ldap-groupdel staff


===ldap-groupmod===
==ldap-groupmod==
Изменение данных о составе группы домена.
Изменение данных о составе группы домена.
Использование:
ldap-groupmod [-m|-x <список пользователей> | <режим>] <имя группы>
Параметры:
;-m <список пользователей> {{Since|0.8.1}}
:Добавить пользователей из списка, разделённого запятыми, в группу
;-x <список пользователей> {{Since|0.8.1}}
:Удалить пользователей по списку, разделённого запятыми, из группы
;-g <GID или имя системной группы> {{Since|0.8.3}}
:Привязать группу LDAP к системной группе Unix
;-s [<имя группы Samba>] {{Since|0.8.3}}
:Привязать группу LDAP к группе Samba
;-u {{Since|0.8.3}}
:Удалить группу Samba, привязанную к указанной группе LDAP
;<режим>
:режим изменений.
{|class="standard"
!Режим
!Описание
|-
|{{term|add}}||Добавляет пользователей в группу
|-
|{{term|replace}}||Изменяет состав группы (удаляет всех пользователей и заводит новый состав)
|-
|{{term|del}}||Удаляет пользователей из группы
|-
|}
;<имя группы>
:имя группы домена.
При указании параметра {{term|-m}}, {{term|-x}}, {{term|-g}}, {{term|-s}}, {{term|-u}} указывать режим не нужно.
Добавляемые или удаляемые поля передаются через стандартный поток ввода в виде {{term|memberUid:<имя пользователя>}}
Пример:
Добавить пользователя ''fill'' в группу ''staff''
echo 'memberUid:fill' | ldap-groupmod add staff
или {{Since|0.8.1}}
ldap-groupmod -m fill staff
Удалить пользователя ''fill'' из группы ''staff''
echo 'memberUid:fill' | ldap-groupmod del staff
или {{Since|0.8.1}}
ldap-groupmod -x fill staff
''Примечение:'' посмотреть список пользователей в группе можно командой
ldap-getent group <имя группы>
Пример:
# ldap-getent group staff memberUid
fill,l1


= alterator-cmdline =
= alterator-cmdline =
Строка 148: Строка 345:
Все методы бэкендов модулей [[Alterator]] можно вызвать через команду alterator-cmdline. Ниже представлены полезные команды:
Все методы бэкендов модулей [[Alterator]] можно вызвать через команду alterator-cmdline. Ниже представлены полезные команды:


=== alterator-net-domain (Домен) ===
== alterator-net-domain (Домен)==


'''Просмотр текущего состояния домена'''
'''Просмотр текущего состояния домена'''
Строка 157: Строка 354:
ldap:OK
ldap:OK
kdc:OK
kdc:OK
smb:OK
smb:OK (TEST.ALTLINUX)
dhcpd:OK
dhcpd:OK
master:#t
master:#t
Строка 200: Строка 397:
  # system-auth write krb5 dc=test,dc=altlinux,dc=ru ldaps://ldap.test.altlinux.ru
  # system-auth write krb5 dc=test,dc=altlinux,dc=ru ldaps://ldap.test.altlinux.ru


==Примечания==
= Поля LDAP =
# Собственно выбором схемы аутентификации для [http://ru.wikipedia.org/wiki/PAM PAM] занимается [[control]] system-auth:
{{:Домен/LDAP}}
# control system-auth
krb5
# Параметры аутентификации через LDAP находятся при использовании nss_ldap в файлах ''/etc/pam_ldap.conf'' и ''/etc/nss_ldap.conf'', при использовании nss-ldapd ­— в файле ''/etc/nslcd.conf'' (при этом обязательно должна быть запущена служба '''nslcd''').
# База имён пользователей (NSS) находится в файле ''/etc/nsswitch.conf''


[[Категория:Руководства]] [[Категория:Домен]]
<!-- Есть в [[Домен/LDAP]]
{{Category navigation|title=Домен|category=Домен|sortkey={{SUBPAGENAME}}}}
-->

Текущая версия от 23:21, 21 февраля 2021

Программы для управления доменом.

Программа Пакет Назначение
ldap-init ldap-user-tools Инициализирует базовый DN текущего домена, создаёт подразделы
ldap-dn Управление базовыми DN
ldap-getent Получение записей о пользователях и группах домена в формате getent(1)
ldap-useradd Добавление пользователя в домен
ldap-userdel Удаление пользователя из домена
ldap-usermod Изменение данных о пользователе домена
ldap-passwd Изменение пароля пользователя домена
ldap-groupadd Добавление группы в домен
ldap-groupdel Удаление группы из домена
ldap-groupmod Изменение данных о составе группы домена
alterator-cmdline alterator Вызов методов бэкендов модулей Alterator
system-auth alterator-auth Просмотр и установка текущей схемы аутентификации


ldap-user-tools

Вспомогательные программы входят в пакет ldap-user-tools. Все программы размещены в каталоге /usr/sbin, поэтому доступны без полного пути администратору. См. Su. Каждый скрипт поддерживает параметры -h и --help для выдаче справки по использованию скрипта и --version для показа версии пакета и сервера LDAP.

Переменные среды окружения

Переменная Пример Описание
DN_CONF /etc/openldap/slapd-test.altlinux.ru.conf Файл с конфигурацией base DN текущего домена
ENABLE_KRB yes Если «yes», дополнительно использовать базу Kerberos для операций

Переменные заполняются автоматически, если текущий домен настроен и используется для аутентификации. Просмотреть значения переменных можно командами:

. /usr/bin/alterator-openldap-functions
set_ldap_config
echo $DN_CONF
echo $ENABLE_KRB

Совет: При указании значения переменной DN_CONF перед запуском скриптов ldap-* можно переназначить работу с доменом LDAP, отличным от используемого для аутентификации.

Примечание: переменная DN_CONF заполняется из вывода текущей схемы аутентификации

system-auth status

значение переменной ENABLE_KRB выставляется в «yes», если в файле /etc/sysconfig/system есть значение SERVER_ROLE=master.

ldap-init

Инициализирует базовый DN текущего домена, создаёт подразделы. Явно не используется.

ldap-dn

Управление базовыми DN.

Использование:

ldap-dn <команда> [<базовый DN>]

Параметры:

<команда>
команда на изменение:
Режим Описание
list Список доступных базовых DN
create Создать базовый DN
delete Удалить базовый DN
find Показ файла конфигурации базового DN
master Установить как базовый DN по умолчанию
<базовый DN>
базовый DN домена.

Команды list и find выводят записи в виде <базовый DN> <файл конфигурации>

Примеры:

Список базовых DN:

# ldap-dn list
dc=test,dc=altlinux,dc=ru /etc/openldap/slapd-test.altlinux.ru.conf

Создание базового DN:

# ldap-dn create dc=school-100
hdb_monitor_db_open: monitoring disabled; configure monitor database to enable
_#################### 100.00% eta   none elapsed            none fast!         
Closing DB...

Показ файла конфигурации:

# ldap-dn find dc=school-100
/etc/openldap/slapd-school-100.conf

Установка базового DN по умолчанию:

# ldap-dn master dc=test,dc=altlinux,dc=ru

Удаление базового DN:

# ldap-dn delete dc=school-100

ldap-getent

Получение записей о пользователях и группах домена в формате getent(1).

Использование:

ldap-getent <класс> [<имя>] [<поле>[,...]]

Параметры:

<класс>
возможные значения: passwd (пользователи), group (группы), ws (зарегистрированные рабочие станции)  с версии 0.8.0 
<имя>
имя пользователя, группы или рабочей станции. Если опущено, показываются все объекты.
<поле>
список полей LDAP, которые нужно показать вместо обычного вывода в формате getent(1) (значения разделены двоеточием, пароли не показываются):
Для пользователей:
uid:userPassword:uidNumber:gidNumber:gecos:homeDirectory:loginShell
Для групп:
cn:userPassword:gidNumber:memberUid
Для рабочих станций
uidNumber

Примечания:

  • Регистр указываемых полей несущественен.
  • Если объект содержит несколько записей с одинаковым полем (например, memberUid в группах), значения будут показаны через запятую.

Примеры:

Показать всех пользователей:

# ldap-getent passwd 
l1::5000:5000::/home/l1:/bin/bash
user::5001:5001::/home/user:/bin/bash
ivanov::5002:5002::/home/ivanov:/bin/bash
l2::5003:5005::/home/l2:/bin/bash
iv::5005:5008::/home/iv:/bin/bash
fill::5006:5009::/home/fil:/bin/sh

Показать состав группы admins:

# ldap-getent group admins memberuid
l1,user,ivanov

ldap-useradd

Добавление пользователя или рабочей станции в домен.

Использование:

ldap-useradd [-n <Имя>] [-f <Фамилия>] [-c <ФИО полностью>]
      [-d <домашний каталог>] [-s <интерпретатор>] [-p <пароль>]
      [-G <группа[,...]] [-w] [-i] <имя пользователя>

Параметры:

-n <Имя>
имя пользователя
-f <Фамилия>
фамилия пользователя
-с <ФИО полностью>
полные фамилия имя отчество пользователя.
Примечание: Так как отдельного поля для отчества в штатной схеме LDAP нет, было решено добавить его в поле cn. При обработке оно смотрит на содержимое фамилии и имени, убирает их из cn и получает отчество. Поэтому для определения отчества указывайте их с фамилией и именем в параметре -c.
-d <домашний каталог>
домашний каталог пользователя на сервере. По умолчанию: /home/<имя пользователя>
-s <интерпретатор>
интерпретатор команд. По умолчанию: /bin/bash. Если указать /sbin/nologin или /dev/null, пользователь не сможет войти по SSH на сервер.
-p <пароль>
пароль пользователя. Пароль можно установить позднее командой ldap-passwd.
-G <группа,...>
По умолчанию в LDAP создаётся и одноимённая с пользователем группа. Параметр -G предназначен для включения нового пользователя в уже созданные группы LDAP (группы указываются через запятую).
-w  с версии 0.8.0 
Создать не пользователя, а рабочую станцию
-i  с версии 0.8.0 
Рабочая станция (необходимо также указание ключа -w) является доверенной. Даже если не указан символ $ в конце имени рабочей станции, он добавляется автоматически.
<имя пользователя>
имя пользователя или рабочей станции. Единственный обязательный параметр.

Пример:

ldap-useradd -f Филиппов -n Иван -c 'Филиппов Иван Дмитриевич' -d /home/fill -s /bin/bash -p pASSWORD -G g1,group2 fill

ldap-userdel

Удаление пользователя или рабочей станции из домена.

Использование:

ldap-userdel [-r] [-w] <имя пользователя>

Параметры:

-r
удалить домашний каталог пользователя и его почтовый ящик
-w  с версии 0.8.0 
удалить не пользователя, а рабочую станцию
<имя пользователя>
имя пользователя или рабочей станции. Единственный обязательный параметр.

Пример:

ldap-userdel -r fill

ldap-usermod

Изменение данных о пользователе домена.

Использование:

ldap-usermod [-g <группа> |<режим>] <имя пользователя>

Параметры:

-g <группа>  с версии 0.8.1 
установить основную группу у пользователя
<режим>
режим изменений.
Режим Описание
add Добавляет поле записи пользователя
replace Изменяет значения полей (изменяются только переданные поля)
del Удаляет поле записи пользователя
<имя пользователя>
имя пользователя домена.

При указании параметра -g режим указывать не нужно.

Добавляемые или удаляемые поля передаются через стандартный поток ввода в виде <имя поля>:<значение>. Имя поля нечувствительно к регистру. Список поддерживаемых полей смотрите в описании ldap-getent.

Пример:

echo "mail:sidorov@domain.ru" | ldap-usermod add sid

ldap-passwd

Изменение пароля пользователя домена.

Использование:

ldap-passwd <имя пользователя> [<пароль>]

Параметры:

<имя пользователя>
имя существующего пользователя домена
<пароль>
новый пароль. Если параметр не указан, пароль считывается из стандартного потока ввода.

Пример:

ldap-passwd fill NewPaSsWoRD

ldap-groupadd

Добавление группы в домен.

Использование:

ldap-groupadd <имя группы> [<gid>]
ldap-groupadd --default

Параметры:

<имя группы>
имя новой группы домена.
<gid>
необязательный идентификатор группы. Если идентификатор совпадает с идентификатором системной группы, при регистрации под правами получает права в локальных группах (правда, не все системные группы имеют одинаковый идентификатор на разных компьютерах)
--default  с версии 0.8.1 
Создать группы по списку и добавить всех пользователей в группы по умолчанию:
  • Список групп (по одной в каждой строке, комментарии начинаются с символа #, пустые строки игнорируются) указывается в файле /etc/alterator/ldap-groups/group-init-list (пакет alterator-ldap-groups)
  • Если имя группы совпадает с именем системной группы на сервере (в файле /etc/group), то создаётся группа с идентификатором системной группы
  • Список групп по умолчанию, разделённый пробелами) находится в параметре default_groups = в файле /usr/lib/alterator/backend3/ldap-users (пакет alterator-ldap-users)

Пример:

ldap-groupadd staff

ldap-groupdel

Удаление группы из домена.

Использование:

ldap-groupdel <имя группы>

Параметры:

<имя группы>
имя группы домена.

Пример:

ldap-groupdel staff

ldap-groupmod

Изменение данных о составе группы домена.

Использование:

ldap-groupmod [-m|-x <список пользователей> | <режим>] <имя группы>

Параметры:

-m <список пользователей>  с версии 0.8.1 
Добавить пользователей из списка, разделённого запятыми, в группу
-x <список пользователей>  с версии 0.8.1 
Удалить пользователей по списку, разделённого запятыми, из группы
-g <GID или имя системной группы>  с версии 0.8.3 
Привязать группу LDAP к системной группе Unix
-s [<имя группы Samba>]  с версии 0.8.3 
Привязать группу LDAP к группе Samba
-u  с версии 0.8.3 
Удалить группу Samba, привязанную к указанной группе LDAP
<режим>
режим изменений.
Режим Описание
add Добавляет пользователей в группу
replace Изменяет состав группы (удаляет всех пользователей и заводит новый состав)
del Удаляет пользователей из группы
<имя группы>
имя группы домена.

При указании параметра -m, -x, -g, -s, -u указывать режим не нужно.

Добавляемые или удаляемые поля передаются через стандартный поток ввода в виде memberUid:<имя пользователя>

Пример:

Добавить пользователя fill в группу staff

echo 'memberUid:fill' | ldap-groupmod add staff

или  с версии 0.8.1 

ldap-groupmod -m fill staff

Удалить пользователя fill из группы staff

echo 'memberUid:fill' | ldap-groupmod del staff

или  с версии 0.8.1 

ldap-groupmod -x fill staff

Примечение: посмотреть список пользователей в группе можно командой

ldap-getent group <имя группы>

Пример:

# ldap-getent group staff memberUid
fill,l1

alterator-cmdline

Все методы бэкендов модулей Alterator можно вызвать через команду alterator-cmdline. Ниже представлены полезные команды:

alterator-net-domain (Домен)

Просмотр текущего состояния домена

# alterator-cmdline /net-domain action read
domain:test.altlinux.ru
resolver:OK
access:OK
ldap:OK
kdc:OK
smb:OK (TEST.ALTLINUX)
dhcpd:OK
master:#t

system-auth

Утилита system-auth входит в пакет alterator-auth и позволяет просматривать и устанавливать текущую схему аутентификации.

Использование:

system-auth <действие> [<дополнительно>]

Действия:

list

Cписок поддерживаемых схем аутентификации. Пример:

# system-auth list
local
ldap
krb5

status

Текущая схема аутентификации и её параметры. Пример на сервере:

# system-auth status
ldap dc=test,dc=altlinux,dc=ru ldap://127.0.0.1

Пример на клиенте:

# system-auth status
krb5 dc=test,dc=altlinux,dc=ru ldaps://ldap.test.altlinux.ru

write

Изменить схему аутентификации

Использовать локальную базу tcb:

# system-auth write local

Использовать аутентификацию в LDAP без Kerberos:

# system-auth write ldap dc=test,dc=altlinux,dc=ru ldap://127.0.0.1

Использовать аутентификацию в LDAP c Kerberos:

# system-auth write krb5 dc=test,dc=altlinux,dc=ru ldaps://ldap.test.altlinux.ru

Поля LDAP

Поддерживаемые поля LDAP (служебные поля опущены):

Режим Описание
Пользователи
uid Логин пользователя в системе
givenName Имя
sn Фамилия
cn Фамилия Имя Отчество
loginShell Интерпретатор команд
uidNumber Идентификатор пользователя (число)
gidNumber Идентификатор группы (число)
homeDirectory Домашний каталог
mail Адрес электронной почты
o Организация
ou Подразделение
title Должность
telephoneNumber Телефон
mobile Мобильный телефон
departmentNumber Отдел
postalAddress Адрес
jpegPhoto Файл с фотографией
Группы
cn Название группы
gidNumber Идентификатор группы (число)
memberUid Имя члена группы
Рабочие станции  с версии 0.8.0 
uid Имя компьютера (доверенные заканчиваются символом «$»)
uidNumber Идентификатор рабочей станции
Примечание: В веб-интерфейсе фотография растягивается или уменьшается до 94x94 пикелей