Домен/Скрипты: различия между версиями
| Строка 45: | Строка 45: | ||
===ldap-useradd=== | ===ldap-useradd=== | ||
Добавление пользователя в домен. | Добавление пользователя в домен. | ||
Использование: | |||
ldap-useradd [-n <Имя>] [-f <Фамилия>] [-c <ФИО полностью>] | |||
[-d <домашний каталог>] [-s <интерпретатор>] [-p <пароль>] | |||
[-G <группа[,...]] <имя пользователя> | |||
Параметры: | |||
;-n <Имя> | |||
:имя пользователя | |||
;-f <Фамилия> | |||
:фамилия пользователя | |||
;-с <ФИО полностью> | |||
:полные фамилия имя отчество пользователя. | |||
:''Примечание:'' Так как отдельного поля для отчества в штатной схеме LDAP нет, было решено добавить его в поле '''cn'''. При обработке оно смотрит на содержимое фамилии и имени, убирает их из cn и получает отчество. Поэтому для определения отчества указывайте их с фамилией и именем в параметре -c. | |||
;-d <домашний каталог> | |||
:домашний каталог пользователя на сервере. По умолчанию: /home/<имя пользователя> | |||
;-s <интерпретатор> | |||
:интерпретатор команд. По умолчанию: {{cmd|/bin/bash}}. Если указать /sbin/nologin или /dev/null, пользователь не сможет войти по SSH на сервер. | |||
;-p <пароль> | |||
:пароль пользователя. Пароль можно установить позднее командой '''ldap-passwd'''. | |||
;-G <группа,...> | |||
:По умолчанию в LDAP создаётся и одноимённая с пользователем группа. Параметр -G предназначен для включения нового пользователя в уже созданные группы LDAP (группы указываются через запятую). | |||
;<имя пользователя> | |||
:имя пользователя. Единственный обязательный параметр. | |||
Пример: | |||
ldap-useradd -f "Филиппов" -n "Иван" -c "Филиппов Иван Дмитриевич" -d /home/fil -s /bin/sh -p pASSWORD -G g1,group2 fill | |||
===ldap-userdel=== | ===ldap-userdel=== | ||
Версия от 17:10, 3 октября 2012
Программы для управления доменом.
ldap-user-tools
Вспомогательные программы входят в пакет ldap-user-tools.
Переменные среды окружения
| Переменная | Пример | Описание |
|---|---|---|
| DN_CONF | /etc/openldap/slapd-test.altlinux.ru.conf | Файл с конфигурацией base DN текущего домена |
| ENABLE_KRB | yes | Если «yes», дополнительно использовать базу Kerberos для операций |
Переменные заполняются автоматически, если текущий домен настроен и используется для аутентификации. Просмотреть значения переменных можно командами:
. /usr/bin/alterator-openldap-functions
set_ldap_config
echo $DN_CONF
echo $ENABLE_KRB
Совет: При указании значения переменной DN_CONF перед запуском скриптов ldap-* можно переназначить работу с доменом LDAP, отличным от используемого для аутентификации.
Примечание: переменная DN_CONF заполняется из вывода текущей схемы аутентификации
system-auth status
значение переменной ENABLE_KRB выставляется в «yes», если в файле /etc/sysconfig/system есть значение SERVER_ROLE=master.
Утилиты
ldap-init
Инициализирует базовый DN текущего домена, создаёт подразделы. Явно не используется.
ldap-dn
Управление базовыми DN.
ldap-getent
Получение записей о пользователях и группах домена в формате getent(1).
ldap-useradd
Добавление пользователя в домен.
Использование:
ldap-useradd [-n <Имя>] [-f <Фамилия>] [-c <ФИО полностью>]
[-d <домашний каталог>] [-s <интерпретатор>] [-p <пароль>]
[-G <группа[,...]] <имя пользователя>
Параметры:
- -n <Имя>
- имя пользователя
- -f <Фамилия>
- фамилия пользователя
- -с <ФИО полностью>
- полные фамилия имя отчество пользователя.
- Примечание: Так как отдельного поля для отчества в штатной схеме LDAP нет, было решено добавить его в поле cn. При обработке оно смотрит на содержимое фамилии и имени, убирает их из cn и получает отчество. Поэтому для определения отчества указывайте их с фамилией и именем в параметре -c.
- -d <домашний каталог>
- домашний каталог пользователя на сервере. По умолчанию: /home/<имя пользователя>
- -s <интерпретатор>
- интерпретатор команд. По умолчанию: /bin/bash. Если указать /sbin/nologin или /dev/null, пользователь не сможет войти по SSH на сервер.
- -p <пароль>
- пароль пользователя. Пароль можно установить позднее командой ldap-passwd.
- -G <группа,...>
- По умолчанию в LDAP создаётся и одноимённая с пользователем группа. Параметр -G предназначен для включения нового пользователя в уже созданные группы LDAP (группы указываются через запятую).
- <имя пользователя>
- имя пользователя. Единственный обязательный параметр.
Пример:
ldap-useradd -f "Филиппов" -n "Иван" -c "Филиппов Иван Дмитриевич" -d /home/fil -s /bin/sh -p pASSWORD -G g1,group2 fill
ldap-userdel
Удаление пользователя из домена.
ldap-usermod
Изменение данных о пользователе домена.
ldap-passwd
Изменение пароля пользователя домена.
ldap-groupadd
Добавление группы в домен.
ldap-groupdel
Удаление группы из домена.
ldap-groupmod
Изменение данных о составе группы домена.