1 260
szerkesztés
Módosítások
a
még nincs kész
Ez a leírás Debian 4.0 (Etch) operációs rendszerhez készült. A példa konfigurációs állományok bitről bitre másolása más rendszerekre nem biztos, hogy jó ötlet, de a koncepció azért kinyerhető. Néhány eltérést igyekeztem jelölni.
== Beállítások az LDAP szerveren ==
=== Schema ===
A legtöbb modern szerver támogatja a <code>posixAccount</code> objektumosztályt out-of-box. Ha még a shadow paramétereket is szeretnénk használni (jelszó lejárat, erősség stb), akkor a <code>shadowAccount</code> objektumosztályra is szükségünk lesz.
Az alábbi attribútumok mindenképpen ki kell, hogy legyenek töltve:
* <code>uid</code>
* <code>uidNumber</code>
* <code>gidNumber</code>
* <code>homeDirectory</code>
* <code>cn</code>
==== Megjegyzések ====
* Érdemes meggondolni, hogy milyen értékeket használunk <code>uidNumber</code>,<code>gidNumber</code>, <code>loginShell</code>, <code>homeDirectory</code> stb attribútumokban, ugyanis - ha több gépet akarunk LDAP beléptetésbe integrálni - némi gondot okozhat, hogy ezeknek bizony minden rendszerben meg kell egyezniük. Első (sziszifuszi) munka tehát a gépeket olyan állapotba hozni, hogy ezek az értékek mindenhol egyformák legyenek. (BSD-n természetesen <code>/usr/local/bin/bash</code> van.)
=== Jogosultságok, ACI ===
Általában nem szeretjük, ha a felhasználóink minden attribútumát mindenhonnan olvasni lehet, ezért aztán a PAM/NSS-LDAP számára létre kell hozni egy alkalmazás bejegyzést valami alkalmas helyen az LDAP fában. Például így:
dn: uid=papigw,ou=pam,ou=applications,o=niifi,o=niif,c=hu
objectClass: top
objectClass: account
objectClass: simplesecurityobject
uid: papigw
userPassword: *****
Ezek után a felhasználóinkat tartalmazó ágra létre kell hozni egy jó kis ACI-t, pl. így:
aci: (targetattr = "objectClass || uid || uidNumber || gidNumber || homeDirect
ory || loginShell || gecos || shadowExpire || shadowFlag || shadowInactive ||
shadowLastChange || shadowMax || shadowMin || shadowWarning") (version 3.0;a
cl "PAM/NSS user lookup";allow (read,search)(userdn = "ldap:///uid=*,ou=pam,o
u=applications,o=niifi,o=niif,c=hu");)
== Beállítások a Host gépen ==
=== Szükséges csomagok ===
=== SSL konfiguráció ===
=== PAM/NSS-LDAP konfiguráció ===
=== NSS konfiguráció ===
=== PAM konfiguráció ===
== Beállítások az LDAP szerveren ==
=== Schema ===
A legtöbb modern szerver támogatja a <code>posixAccount</code> objektumosztályt out-of-box. Ha még a shadow paramétereket is szeretnénk használni (jelszó lejárat, erősség stb), akkor a <code>shadowAccount</code> objektumosztályra is szükségünk lesz.
Az alábbi attribútumok mindenképpen ki kell, hogy legyenek töltve:
* <code>uid</code>
* <code>uidNumber</code>
* <code>gidNumber</code>
* <code>homeDirectory</code>
* <code>cn</code>
==== Megjegyzések ====
* Érdemes meggondolni, hogy milyen értékeket használunk <code>uidNumber</code>,<code>gidNumber</code>, <code>loginShell</code>, <code>homeDirectory</code> stb attribútumokban, ugyanis - ha több gépet akarunk LDAP beléptetésbe integrálni - némi gondot okozhat, hogy ezeknek bizony minden rendszerben meg kell egyezniük. Első (sziszifuszi) munka tehát a gépeket olyan állapotba hozni, hogy ezek az értékek mindenhol egyformák legyenek. (BSD-n természetesen <code>/usr/local/bin/bash</code> van.)
=== Jogosultságok, ACI ===
Általában nem szeretjük, ha a felhasználóink minden attribútumát mindenhonnan olvasni lehet, ezért aztán a PAM/NSS-LDAP számára létre kell hozni egy alkalmazás bejegyzést valami alkalmas helyen az LDAP fában. Például így:
dn: uid=papigw,ou=pam,ou=applications,o=niifi,o=niif,c=hu
objectClass: top
objectClass: account
objectClass: simplesecurityobject
uid: papigw
userPassword: *****
Ezek után a felhasználóinkat tartalmazó ágra létre kell hozni egy jó kis ACI-t, pl. így:
aci: (targetattr = "objectClass || uid || uidNumber || gidNumber || homeDirect
ory || loginShell || gecos || shadowExpire || shadowFlag || shadowInactive ||
shadowLastChange || shadowMax || shadowMin || shadowWarning") (version 3.0;a
cl "PAM/NSS user lookup";allow (read,search)(userdn = "ldap:///uid=*,ou=pam,o
u=applications,o=niifi,o=niif,c=hu");)
== Beállítások a Host gépen ==
=== Szükséges csomagok ===
=== SSL konfiguráció ===
=== PAM/NSS-LDAP konfiguráció ===
=== NSS konfiguráció ===
=== PAM konfiguráció ===
