Интегрировать eGroupWare с доменом Centaurus: различия между версиями

Хранение учётных записей пользователей eGroupWare в домене Centaurus (LDAP)

Решение задачи аутентификации и хранения данных пользователей eGroupWare в домене Centaurus относительно несложно в случае, если eGroupWare и LDAP расположены на одном сервере. Дело в том, что по умолчанию для обращения к LDAP по сети разрешён только протокол ldaps, и это правильно. В eGroupWare (пока?) указать ldaps для аутентификации не получается, только ldap. Вероятно, это ограничение можно обойти, например при помощи SSH-туннелирования.

Здесь и далее: domain - имя домена Centaurus, точно так, как было указано в поле имени "Домен:" в соответствующем интерфейсе Alterator при инициализации домена. Если есть сомения, их можно устранить при помощи инструментария phpldapadmin и данных из конфигурационного файла /etc/openldap/slapd-domain.conf

Необходимые параметры вводятся в меню установки eGroupWare "Шаг 2 - Конфигуратор":

Авторизация / Учётные записи

Выберите используемый вами тип идентификации: LDAP
Тип шифрования SQL Для пароля (по умолчанию - md5): BLOWISH_CRYPT
Выберите где вы будете хранить/получать информацию об учетных записях пользователей: LDAP
Минимальный идентификатор учетных записей (напр.500 или 100, и т.п.): 5000

Используя LDAP:

Имя сервера LDAP: localhost
LDAP контекст: ou=People,dc=domain
Контекст групп LDAP: ou=Group,dc=domain
Корневой dn LDAP (поиск акаунтов и смена паролей): cn=ldaproot,dc=domain
Пароль LDAP: взять из файла /etc/openldap/slapd-domain.conf
Тип шифрования LDAP: BLOWISH_CRYPT

Остальные параметры можно попробовать оставить как есть по умолчанию. Если всё получилось, то после сохранения настроек (перезапуск http-сервера не требуется) eGroupWare начнёт принимать пароли пользователей, определённых в домене Centaurus, хотя и не пропустит, ссылаясь на недостаточность прав доступа. Чтобы пользователь вошёл, необходимо зарегистрироваться в eGroupWare с учетной записью администратора "Шаг 3 - Учетная запись администратора" и добавить всем пользователям, которым разрешено использование eGroupWare, группу Default. Или любую другую группу, которой разрешено запускать приложение "Домой". Обратите внимание, что имена пользователей и их участие в группах одинаково отображаются как в меню Администрирование eGroupWare, так и в меню Пользователи через Alterator.

Создание новых учетных записей

Создавать новые учетные записи пользователей теперь можно как через Alterator, так и через eGroupWare. Для того, чтобы рабочая станция домена Centaurus приняла пользователя, достаточно в Конфигураторе установить:

Не желаете ли вы поуправлять атрибутами домашней папки и системы входа(loginshell)?: Да
Префикс домашней папки LDAP по уполчанию (напр. /home для /home/username: /home
LDAP оболочка по умолчанию (напр. /bin/bash): /bin/bash

Однако, в домене Centaurus учетная запись имеет дополнительные атрибуты (класс sambaSamAccount), а eGroupWare их не создаёт, они для eGroupWare попросту не нужны. Поэтому, кроме особых случаев, учетные записи в домене следует создавать через Alterator.