Сетевая аутентификация
Теперь вы имеете возможность входить в систему, используя учётные записи на основе LDAP.
Клиентам LDAP потребуются ссылки на несколько серверов, если используется репликация. В /etc/ldap.conf вам надо иметь что-то похожее:
uri ldap://ldap01.example.com ldap://ldap02.example.com
Запросы имеют таймаут и будет попытка обратиться к Потребителю (ldap02), если Поставщик (ldap01) станет недоступным.
Если вы собираетесь использовать LDAP для хранения пользователей SAMBA, вам потребуется настроить SAMBA сервер на использование LDAP. Смотрите Раздел 2, «Samba и LDAP» [135] для подробностей.
Альтернативой пакету libnss-ldap является пакет libnss-ldapd. Однако он добавит в систему пакет nscd, который, возможно, нежелателен. Просто впоследствии удалите его.
1.11. Управление пользователями и группами
Пакет ldap-utils поставляется с достаточным количеством утилит для управления каталогами, но необходимость использовать длинные строки с опциями делает их применение обременительным. Пакет ldapscripts содержит обёрточные сценарии (wrapper scripts) для этих утилит, которые некоторые находят более удобными в использовании.
Установите пакет:
sudo apt-get install ldapscripts
Затем отредактируйте файл /etc/ldapscripts/ldapscripts.conf, чтобы получить что-то наподобие следующего:
SERVER=localhost
BINDDN='cn=admin,dc=example,dc=com'
BINDPWDFILE="/etc/ldapscripts/ldapscripts.passwd"
SUFFIX='dc=example,dc=com'
GSUFFIX='ou=Groups'
USUFFIX='ou=People'
MSUFFIX='ou=Computers'
GIDSTART=10000
UIDSTART=10000
MIDSTART=10000
Затем редактируем файл ldapscripts.passwd для получения нечто похожего на следующее:
129
Сетевая аутентификация
sudo sh -c "echo -n 'secret' > /etc/ldapscripts/ldapscripts.passwd" sudo chmod 400 /etc/ldapscripts/ldapscripts.passwd
Замените «secret» на действующий пароль для пользователя rootDN вашей базы.
Теперь этот сценарий готов помочь вам в управлении вашим каталогом. Вот несколько примеров его использования:
• Создание нового пользователя:
sudo ldapadduser george example
Это создаст пользователя с uid george и установит gid example в качестве первичной пользовательской группы.
• Изменение пароля пользователя:
sudo ldapsetpasswd george
Changing password for user uid=george,ou=People,dc=example,dc=com
New Password:
New Password (verify):
• Удаление пользователя:
sudo ldapdeleteuser george
• Добавление группы:
sudo ldapaddgroup qa
• Удаление группы:
sudo ldapdeletegroup qa
• Добавление пользователя в группу:
sudo ldapaddusertogroup george qa
Вы теперь можете увидеть атрибут memberUid для группы qa со значением для george.
• Удаление пользователя из группы:
sudo ldapdeleteuserfromgroup george qa
Атрибут memberUid теперь будет удален из группы qa.
130
Сетевая аутентификация
•Сценарий ldapmodifyuser позволяет добавлять, удалять или заменять пользовательские атрибуты. Сценарий использует тот же синтаксис, что и утилита ldapmodify. Например:
sudo ldapmodifyuser george
#About to modify the following entry : dn: uid=george,ou=People,dc=example,dc=com objectClass: account
objectClass: posixAccount cn: george
uid: george uidNumber: 1001 gidNumber: 1001
homeDirectory: /home/george loginShell: /bin/bash gecos: george
description: User account
userPassword:: e1NTSEF9eXFsTFcyWlhwWkF1eGUybVdFWHZKRzJVMjFTSG9vcHk=
#Enter your modifications here, end with CTRL-D.
dn: uid=george,ou=People,dc=example,dc=com replace: gecos
gecos: George Carlin
Поле имени пользователя gecos теперь «George Carlin».
•Приятной особенностью ldapscripts является система шаблонов. Шаблоны позволяют вам настраивать атрибуты пользователей, групп и компьютерных объектов. Например, чтобы разрешить шаблон
пользователей, отредактируйте /etc/ldapscripts/ldapscripts.conf, изменив:
UTEMPLATE="/etc/ldapscripts/ldapadduser.template"
В каталоге /etc/ldapscripts имеются образцы шаблонов. Скопируйте
или переименуйте файл ldapadduser.template.sample в /etc/ldapscripts/ ldapadduser.template:
sudo cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \ /etc/ldapscripts/ldapad
Отредактируйте новый шаблон для добавления желаемых атрибутов. Следующее создаст новых пользователей с объектным классом inetOrgPerson:
dn: uid=<user>,<usuffix>,<suffix> objectClass: inetOrgPerson objectClass: posixAccount
cn: <user> sn: <ask>
131
Сетевая аутентификация
uid: <user> uidNumber: <uid> gidNumber: <gid> homeDirectory: <home> loginShell: <shell> gecos: <user>
description: User account title: Employee
Обратите внимание на опцию <ask>, использованную для атрибута sn. Это заставит ldapadduser запросить у вас его значение.
В пакете имеются утилиты, которые не были рассмотрены здесь. Вот полный список:
ldaprenamemachine5 ldapadduser6 ldapdeleteuserfromgroup7 ldapfinger8
ldapid9 ldapgid10 ldapmodifyuser11 ldaprenameuser12 lsldap13
ldapaddusertogroup14 ldapsetpasswd15 ldapinit16 ldapaddgroup17 ldapdeletegroup18 ldapmodifygroup19 ldapdeletemachine20 ldaprenamegroup21 ldapaddmachine22
5http://manpages.ubuntu.com/manpages/en/man1/ldaprenamemachine.1.html
6http://manpages.ubuntu.com/manpages/en/man1/ldapadduser.1.html
7http://manpages.ubuntu.com/manpages/en/man1/ldapdeleteuserfromgroup.1.html
8http://manpages.ubuntu.com/manpages/en/man1/ldapfinger.1.html
9http://manpages.ubuntu.com/manpages/en/man1/ldapid.1.html
10http://manpages.ubuntu.com/manpages/en/man1/ldapgid.1.html
11http://manpages.ubuntu.com/manpages/en/man1/ldapmodifyuser.1.html
12http://manpages.ubuntu.com/manpages/en/man1/ldaprenameuser.1.html
13http://manpages.ubuntu.com/manpages/en/man1/lsldap.1.html
14http://manpages.ubuntu.com/manpages/en/man1/ldapaddusertogroup.1.html
15http://manpages.ubuntu.com/manpages/en/man1/ldapsetpasswd.1.html
16http://manpages.ubuntu.com/manpages/en/man1/ldapinit.1.html
17http://manpages.ubuntu.com/manpages/en/man1/ldapaddgroup.1.html
18http://manpages.ubuntu.com/manpages/en/man1/ldapdeletegroup.1.html
19http://manpages.ubuntu.com/manpages/en/man1/ldapmodifygroup.1.html
20http://manpages.ubuntu.com/manpages/en/man1/ldapdeletemachine.1.html
21http://manpages.ubuntu.com/manpages/en/man1/ldaprenamegroup.1.html
22http://manpages.ubuntu.com/manpages/en/man1/ldapaddmachine.1.html
132