| SUSE LINUX – Příručka správce systému Kapitola 22. Linux v síti / 22.9. LDAP — adresářové služby | ||||
|---|---|---|---|---|
 | 22.8. NIS — Network Information Service | 22.10. NFS — sdílené souborové systémy |  | |
| SUSE LINUX – Příručka správce systému Kapitola 22. Linux v síti / 22.9. LDAP — adresářové služby | ||||
|---|---|---|---|---|
| 22.8. NIS — Network Information Service | 22.10. NFS — sdílené souborové systémy | | |
V síťovém prostředí je velmi důležité uchovávat důležité informace na dostupném místě a v uspořádané podobě. Vyhledávání dat v podnikové síti může brzy přerůst ve velmi obtížný úkol. Jaké je telefonní číslo kolegy XY? Jakou má emailovou adresu? Rychlá a snadná dostupnost těchto dat výrazně zvýší efektivitu vaší práce. Dobrou cestou je nasazení adresářové služby, která podobně jako žluté stránky, ale s mnohem větší rychlostí a pohodlím, dokáže zprostředkovat potřebné informace.
V ideálním případe server všechna data uloží do adresáře a pomocí jednotného protokolu je pak distribuuje všem klientům. Data jsou strukturována tak, aby s nimi mohla pracovat celá řada různých aplikací. Není tak nutné, aby každá kalendářová aplikace či poštovní klient udržoval nezávislou databázi, stačí vytvořit jednu centrální. Tím se uspoří čas a náklady na údržbu několika databází. Použitím otevřeného a standardizovaného protokolu LDAP navíc zajistíte, že tato data budou dostupná pro různé typy aplikací a klientů.
Pojmem adresář v této souvislosti rozumíme databázi optimalizovanou pro rychlé a efektivní čtení a vyhledávání, která má tyto vlastnosti:
Aby bylo umožněno vícenásobné čtení v maximálním objemu, je zápis omezen na aktualizace administrátorem databáze. Běžné typy databází jsou optimalizovány pro zápis maximálního množství dat v krátkém čase.
Protože jsou možnosti zápisu značně omezeny, slouží adresářové služby především pro uchovávání neměnných statických informací. V normální databázi se naopak data mění velmi často (dynamická data). Např. telefonní číslo společnosti se nemění tak často jako účetní údaje.
Administrace statických dat vyžaduje jen výjimečné aktualizace a změny. Při práci s dynamickými daty, jako např. zůstatky na účtech, je kladen vysoký důraz na konzistenci dat. Pokud je například z jednoho účtu odečtena částka a připsána na jiný, musí obě operace proběhnout současně v rámci jedné transakce. Databáze takové transakce podporují, ale adresářové služby nikoliv. Drobné nekonzistence nevedou obvykle u adresářové služby k žádným závažným problémům.
Adresářové služby jako LDAP nejsou navrženy pro podporu komplexní aktualizace a dotazovacího mechanizmu. Přístup musí být rychlý a jednoduchý.
Řada adresářových služeb existovala a dosud existuje jak na platformě Unix, tak mimo ní. Několika příklady jsou Novell NDS, Microsoft ADS, Banyan Street Talk a OSI standard X.500. LDAP byl původně navržen jako verze DAP (Directory Access Protocol) navrženého pro přístup k X.500. Standard X.500 se zabývá hierarchickou organizací adresářové struktury.
LDAP neobsahuje některé funkce DAP, což umožňuje úspory zdrojů. Použití protokolu TCP/IP usnadňuje spojení aplikací a služby LDAP.
LDAP je dnes samostatným řešením pracujícím bez podpory X.500. LDAPv3 (verze protokolu v balíčku openldap2) podporuje tzv. referrals, které umožňují vytváření distribuovaných databází. Nové je také využití SASL (Simple Authentication and Security Layer).
LDAP není omezen na X.500 servery, jak bylo původně v plánu. Opensource server slapd dokáže ukládat objektové informace v lokální databázi. Díky rozšíření slurpd je možné LDAP servery replikovat.
Balíček openldap2 obsahuje následující složky:
LDAPv3 server spravující informace v BerkeleyDB databázi.
Program, který umožňuje replikaci změn dat z lokálního serveru na ostatní LDAP servery v síti.
slapcat, slapadd, slapindex.
Unixoví administrátoři pro rozpoznávání jmen a distribuci dat v síti tradičně používají službu NIS. Konfigurační data se nacházejí v souborech v adresáři /etc:group, hosts, mail, netgroup, networks, passwd, printcap, protocols, rpc a services, odkud jsou distribuována klientům v síti. Tyto soubory lze velmi jednoduše spravovat, protože jde o prosté textové soubory. Správa většího množství dat je ovšem náročnější vzhledem k neexistující strukturalizaci. Služba NIS je určena pouze pro unixové systémy, což znesnadňuje nasazení v heterogenních sítích.
Na rozdíl od NIS není služba LDAP omezená jen na čistě unixové sítě. LDAP podporují Windows servery (od verze 2000) a podporu obsahuje také Novell.
LDAP je vhodné všude, kde je zapotřebí centrálně spravovat datovou strukturu, např.:
Náhrada NIS.
Směrování pošty (postfix, sendmail).
Adresář pro poštovní klienty jako Mozilla, Evolution či Outlook.
Administrace popisů zón BIND9 name serveru.
Tento seznam je možné rozšířit, protože LDAP je na rozdíl od NIS rozšiřitelný. Jasně definovaná hierarchická struktura dat usnadňuje administraci velkého množství dat.
LDAP adresář má stromovou strukturu. Všechny položky (zvané objekty) adresáře mají v hierarchii jasně definovanou pozici. Tato struktura je označována jako informační adresářový strom (DIT). Kompletní cesta k určité položce se nazývá distinguished name nebo-li DN. Jednotlivé nody této cesty se nazývají relative distinguished name nebo-li RDN. Objekty mohou být dvou typů:
Tento objekt obsahuje další objekty. Takové objektové třídy jsou root (kořenový element adresářového stromu), c (country), ou (organizational unit) a dc (domain component).
Tyto objekty se nalézají na samém okraji větve a nemají žádné podobjekty. Jde např. o person, InetOrgPerson nebo groupofNames.
Na samém vrcholu adresářové struktury stojí objekt root. Ten obsahuje podobjekty c (country), dc (domain component) nebo o (organization). Vztahy mezi objekty v LDAP stromu jsou zřejmé z příkladu na obrázku 22.21 – „Struktura LDAP adresáře“.
Diagram obsahuje vymyšlený informační adresářový strom. Jsou zobrazeny položky ve třech úrovních. Úplné validní distinguished name pro smyšleného SUSE zaměstnance jménem Geeko Linux je v našem případě cn=Geeko Linux,ou=doc,dc=suse,dc=de. Je vytvořeno přidáním RDN cn=Geeko Linux k DN předcházející položky ou=doc,dc=suse,dc=de.
Obecná pravidla určující, jaké typy objektů mají být ukládány v DIT, jsou daná tzv. schématem (scheme). Typ objektu je určen objektovou třídou. Objektová třída určuje vlastnosti, které objekt musí nebo může mít. Schéma proto musí obsahovat definici všech objektových tříd a atributů. K dispozici je několik obecných schémat (viz. RFC 2252 a 2256). Samozřejmě je možné vytvořit si schéma vlastní, které bude více vyhovovat vašim požadavkům.
Tabulka 22.9 – „Běžně používané objektové třídy a atributy“ nabízí krátký přehled tříd objektů z core.schema a inetorgperson. schema použitých v příkladu. Najdete zde také atributy a platné hodnoty těchto atributů.
Tabulka 22.9. Běžně používané objektové třídy a atributy
| Objektová třída | Význam | Příklad | Povinné položky |
|---|---|---|---|
| dcObject | domainComponent (komponenta domény) | suse | dc |
| organizationalUnit | organizationalUnit (organizační jednotka) | doc | ou |
| inetOrgPerson | inetOrgPerson (osobní data pro intranet nebo Internet) | Geeko Linux | sn a cn |
V následujícím výstupu vidíte výtah ze schématu:
#1 attributetype ( 2.5.4.11 NAME ( 'ou' 'organizationalUnitName' )
#2 DESC 'RFC2256: organizational unit this object belongs to'
#3 SUP name )
...
#4 objectclass ( 2.5.6.5 NAME 'organizationalUnit'
#5 DESC 'RFC2256: an organizational unit'
#6 SUP top STRUCTURAL
#7 MUST ou
#8 MAY ( userPassword $ searchGuide $ seeAlso $ businessCategory $
x121Address $ registeredAddress $ destinationIndicator $
preferredDeliveryMethod $ telexNumber $
teletexTerminalIdentifier $ telephoneNumber $
internationaliSDNNumber $ facsimileTelephoneNumber $
street $ postOfficeBox $ postalCode $ postalAddress
$ physicalDeliveryOfficeName $ st $ l $ description) )
...
Typ atributu organizationalUnitName a odpovídající objektová třída organizationalUnit zde slouží jako příklad. Řádka 1 obsahuje jméno atributu, unikátní OID (object identifier) (číselný údaj) a zkratku.
Řádka 2 obsahuje krátký popis atributu (DESC). Je zde uveden i odkaz na příslušný RFC. SUP v řádce 3 uvádí nadřazený typ atributu, ke kterému tento atribut náleží.
Samotná definice objektové třídy organizationalUnit začíná na řádce 4. Stejně jako definice atributu obsahuje OID a jméno třídy. Na řádce 5 je krátký popis objektové třídy. Řádka 6 (SUP top) udává, že tato objektová třída není závislá na jiné objektové třídě. Řádka 7 začínající řetězcem MUST udává všechny atributy, které objekt typu organizationalUnit musí obsahovat. Řádka 8 začínající řetězcem MAY udává vlastnosti, které mohou být s touto objektovou třídou používány.
Velmi hezký úvod do schémat najdete v dokumentaci OpenLDAP. Je-li OpenLDAP nainstalován, najdete ji v souboru /usr/share/doc/packages/openldap2/admin-guide/index.html.
Konfigurační soubor LDAP serveru se nachází v /etc/openldap/slapd.conf. Jednotlivé položky jsou zde krátce popsány. Položky začínající znakem # jsou zakomentované a tedy neaktivní. Pokud je chcete aktivovat, musíte znak smazat.
První položky slapd.conf vidíte v následujícím příkladu:
include /etc/openldap/schema/core.schema include /etc/openldap/schema/inetorgperson.schema
Určuje schéma LDAP adresáře. K základnímu povinnému schématu (zde core.schema) lze přidávat i dodatečná schémata (v našem případě inetorgperson.schema ). Další schémata naleznete v adresáři /etc/openldap/schema. Pro nahrazení NIS službou LDAP budete potřebovat dvě schémata — rfc2307.schema a cosine.schema. Informace o této problematice najdete v dokumentaci OpenLDAP.
pidfile /var/run/slapd.pid argsfile /var/run/slapd.args
Tyto dva soubory obsahují PID (process ID) a některé argumenty, se kterými je spouštěn slapd. Žádné změny zde nejsou potřeba.
# Sample Access Control
# Allow read access of root DSE
# Allow self write access
# Allow authenticated users read access
# Allow anonymous users to authenticate
#
access to dn="" by * read
access to *
by self write
by users read
by anonymous auth
#
# if no access controls are present, the default is:
# Allow read by all
#
# rootdn can always write!Uvedený příklad je část souboru slapd.conf, která se týká nastavení přístupu k adresáři LDAP na serveru. Nastavení uvedená zde v globální sekci souboru slapd.conf jsou platná až do okamžiku vytvoření vlastních nastavení v části specifické pro databázi. V našem příkladě mají všichni uživatelé práva pro čtení, ale pouze administrátor (rootdn) může do této databáze zapisovat. Nastavení přístupových práv v LDAP je poměrně složité téma, nabízíme proto několik tipů:
Každé nastavení přístupu má tuto strukturu:
access to <what> by <who> <access>>
what nahraďte objektem nebo atributem, ke které se má přistupovat. Jednotlivé větve adresáře mohou být chráněny vlastními pravidly. Pokud chcete, můžete chránit části adresáře pomocí regulárních výrazů. Program slapd vyhodnocuje všechna pravidla v pořadí, v jakém jsou uvedeny v konfiguračním souboru. Obecnější pravidla by měla být uvedena později — uplatněno je první platné pravidlo, ostatní jsou ignorována.
who určuje, komu bude přiznán přístup do oblastí určených pomocí what. Lze použít i regulární výrazy. slapd opět ukončí vyhodnocování who po nalezení první shody, proto by obecnější pravidla měla být uvedena později. Možná jsou nastavení uvedení v tabulce 22.10 – „Uživatelské skupiny a jejich přístupová práva“
access uvádí typ přístupu. Možná nastavení najdete v tabulce 22.11 – „Typy přístupu“.
Tabulka 22.11. Typy přístupu
| Tag | Význam |
|---|---|
| none | bez přístupu |
| auth | spojení se serverem |
| compare | porovnávání |
| search | vyhledávání pomocí filtrů |
| read | čtení |
| write | zápis |
slapd porovnává dotazy klientů s nastavením přístupových práv v souboru slapd.conf. Klientovi je přístup povolen jen v případě, že splňuje požadavky pro přístup (má požadovaná nebo vyšší práva).
Následující příklad ukazuje jednoduché nastavení přístupových práv pomocí regulárního výrazu:
access to dn.regex="ou=([^,]+),dc=suse,dc=de" by cn=administrator,ou=\$1,dc=suse,dc=de write by user read by * none
V tomto příkladu má práva zápisu do položky ou pouze administrátor. Všichni ostatní autentizovaní uživatelé mají práva ke čtení. Ostatní uživatelé nemají žádný přístup.
![[Tip]](admon/tip.png) | Vytvoření pravidel |
|---|---|
Pokud chybí pravidlo access to nebo neexistuje vyhovující proměnná who, není přístup povolen. Jestliže nezadáte vůbec žádné pravidlo, nastaví se výchozí přístupová práva, tj. právo zápisu pro administrátora a právo čtení pro všechny ostatní. | |
Podrobné informace a příklady nastavení přístupových práv k LDAP naleznete v dokumentaci balíčku openldap2.
Mimo nastavení přístupových práv v centrálním konfiguračním souboru (slapd.conf) je k dispozici také ACI (Access Control Information). ACI umožňuje ukládání informací o jednotlivých objektech LDAP stromu. Tento přístup je však stále ještě považován za experimentální. Viz http://www.openldap.org/faq/data/cache/758.html.
Nastavení specifická pro databázi v souboru slapd.conf:
database ldbm suffix "dc=suse,dc=de" rootdn "cn=admin,dc=suse,dc=de" # Cleartext passwords, especially for the rootdn, should # be avoided. See slappasswd(8) and slapd.conf(5) for details. # Use of strong authentication encouraged. rootpw secret # The database directory MUST exist prior to running slapd AND # should only be accessible by the slapd/tools. Mode 700 recommended. directory /var/lib/ldap # Indices to maintain index objectClass eq
Na prvním řádku této sekce je určen typ databáze (v našem případě LDBM). Na druhé řádce (suffix) je určeno, za jakou část LDAP stromu uvedený server zodpovídá. Následující rootdn určuje administrátora serveru. V něm nastavený uživatel nepotřebuje mít LDAP záznam nebo existovat jako běžný uživatel. Heslo administrátora je nastaveno v položce rootpw. Místo secret můžete použít hash administrátorského hesla vytvořený pomocí programu slappasswd. Položka directory určuje adresář (v souborovém systému), ve kterém je uložena databáze. Poslední část, index objectClass eq, stanoví, že bude index spravován pro všechny objektové třídy. Podle zkušeností zde lze nastavit atributy, které uživatelé nejčastěji vyhledávají. Vlastní pravidla Access nastavená v této sekci se použijí místo pravidel globálních.
Je-li server plně nakonfigurovaný a pokud byly vytvořeny všechny požadované položky, jak je popsáno v sekci 22.9.4 – „Správa dat v LDAP adresáři“, spusťte server jako uživatel root příkazem rcldap start. Ručně server zastavíte příkazem rcldap stop. Stav běžícího LDAP serveru zjistíte příkazem rcldap status.
Pokud chcete LDAP server spouštět automaticky při startu systému, použijte editor úrovní běhu programu YaST (viz kapitolu 10.5 – „YaST Editor úrovní běhu“). Automatické spuštění při startu systému můžete zajistit také pomocí příkazu insserv (viz kapitolu 10.4.1 – „Vkládání skriptů“).
OpenLDAP nabízí pro správu dat v LDAP adresáři celou řadu nástrojů. Čtyři nejdůležitější jsou určeny pro vkládání, mazání, vyhledávání a změnu dat.
Pokud je konfigurace LDAP serveru v souboru /etc/openldap/lsapd.conf připravena, tedy pokud má správně nastaveny položky suffix, directory, rootdn, rootpw a index, pokračujte vkládáním záznamů. K tomu OpenLDAP nabízí nástroj ldapadd. Objekty je vhodné z praktických důvodů vkládat po větších celcích. LDAP je schopný používat LDIF formát (LDAP Data Interchange Format), který je k tomu vhodný. LDIF soubor je jednoduchý textový soubor obsahující páry atribut—hodnota. Dostupné objektové třídy a atributy jsou popsané ve schématech definovaných v souboru slapd.conf. LDIF soubor k vytvoření hrubé kostry obrázku 22.21 – „Struktura LDAP adresáře“ by vypadal následovně:
# The SuSE Organization dn: dc=suse,dc=de objectClass: dcObject objectClass: organization o: SuSE AG dc: suse # The organizational unit development (devel) dn: ou=devel,dc=suse,dc=de objectClass: organizationalUnit ou: devel # The organizational unit documentation (doc) dn: ou=doc,dc=suse,dc=de objectClass: organizationalUnit ou: doc # The organizational unit internal IT (it) dn: ou=it,dc=suse,dc=de objectClass: organizationalUnit ou: it
![[Important]](admon/important.png) | Kódování LDIF souborů |
|---|---|
LDAP pracuje s UTF-8 (Unicode). Používejte proto editor s podporou UTF-8 (např. Kate nebo novější verze editoru Emacs či vim). Jestliže použijete editor bez podpory UTF-8, budou se špatně zobrazovat znaky s českou diakritikou. Pokud potřebujete převést do UTF-8 již existující text, použijte program recode. | |
Soubor se ukládá s příponou .ldif a serveru se předává příkazem:
ldapadd -x -D <dn administrátora> -W -f <soubor>.ldif
První parametr, -x, vypíná ověřování pomocí SASL. Volba -D specifikuje uživatele, který operaci volá. Za touto volbou musí následovat DN administrátora tak, jak je uvedeno v souboru slapd.conf. V našem případě jde o cn=admin,dc=suse,dc=de. Přepínač -W obejde zadávání hesla přímo na příkazovém řádku (v prostém textu) a zobrazí zvláštní výzvu k zadání hesla. Jde o heslo ze souboru slapd.conf (rootpw). Parametrem -f předáte jméno souboru. Ukázku běhu programu ldapadd si můžete prohlédnout v tomto příkladu:
ldapadd -x -D cn=admin,dc=suse,dc=de -W -f example.ldif Enter LDAP password: adding new entry "dc=suse,dc=de" adding new entry "ou=devel,dc=suse,dc=de" adding new entry "ou=doc,dc=suse,dc=de" adding new entry "ou=it,dc=suse,dc=de"
Data jednotlivých uživatelů lze připravit v oddělených LDIF souborech. Následující příklad přidává do LDAP adresáře uživatele Tux:
# coworker Tux dn: cn=Tux Linux,ou=devel,dc=suse,dc=de objectClass: inetOrgPerson cn: Tux Linux givenName: Tux sn: Linux mail: tux@suse.de uid: tux telephoneNumber: +49 1234 567-8
LDIF soubor může obsahovat libovolné množství objektů. Jednotlivé větve stromu je tak možné vložit do databáze najednou nebo po částech. Pokud se některé části mění častěji, je vhodné je oddělit zvlášť.
Ke změně dat se používá příkaz ldapmodify. Nejjednodušší způsob je změnit již existující LDIF soubor a ten pak předat serveru. Pokud byste např. chtěli změnit telefonní číslo kolegy Tuxe z +49 1234 567-8 na +49 1234 567-10, změňte LDIF soubor takto:
# coworker Tux dn: cn=Tux Linux,ou=devel,dc=suse,dc=de changetype: modify replace: telephoneNumber telephoneNumber: +49 1234 567-10
Změněný soubor importujete na server příkazem:
ldapmodify -x -D cn=admin,dc=suse,dc=de -W -f tux.ldif
Vlastnosti lze měnit i přímo takto:
Spusťte příkaz ldapmodify a zadejte heslo:
ldapmodify -x -D cn=admin,dc=suse,dc=de -W Enter LDAP password:
Při zadání změn je nutné dodržovat syntaxi. Příkazy pro náš případ vypadají takto:
dn: cn=Tux Linux,ou=devel,dc=suse,dc=de changetype: modify replace: telephoneNumber telephoneNumber: +49 1234 567-10
Více informací o ldapmodify a příslušné syntaxi najdete na jeho manuálové stránce.
OpenLDAP poskytuje nástroj ldapsearch, který umožňuje vyhledávání a čtení dat z LDAP adresáře. Jednoduchý dotaz má následující syntaxi:
ldapsearch -x -b dc=suse,dc=de "(objectClass=*)"
Volbou -b nastavíte sekci stromu, ve které se má prohledávat (search base), v našem případě dc=suse,dc=de. Chcete-li důkladně prohledat jen určitou sekci LDAP adresáře, specifikujte ji pomocí volby -b. Volba -x požaduje jednoduchou autentizaci. (objectClass=*) určuje, že budou čteny všechny objekty v adresáři. Tento příkaz je vhodný např. k ověření správnosti záznamů po vytvoření nového adresářového stromu. Více informací získáte v manuálových stránkách příkazu ldapsearch, které vyvoláte zadáním man ldapsearch.
YaST obsahuje modul pro nastavení ověřování uživatelů pomocí LDAP. Pokud jste tuto vlastnost nepovolili během instalace systému, spusťte modul volbou->. YaST automaticky povolí změny PAM a NSS vyžadované LDAP (jak je popsáno dále) a nainstaluje potřebné soubory.
Při aktivaci LDAP pro ověřování v síti nebo po spuštění modulu YaST se nainstalují balíčky pam_ldap a nss_ldap a nastaví se dva příslušné konfigurační soubory.
pam_ldap je PAM modul odpovědný při přihlášení za přenos dat z LDAP.
Pokud provádíte konfiguraci ručně, již uzpůsobené konfigurační soubory najdete v adresáři /usr/share/doc/packages/pam_ldap/pam.d/. Soubory překopírujte do /etc/pam.d.
Rozpoznávání jmen glibc přes nsswitch pomocí LDAP je řešeno s nss_ldap. Nový soubor nsswitch.conf je vytvořen v adresáři /etc/ při instalaci balíčku. Více o práci s nsswitch.conf najdete v části 22.3.1 – „Konfigurační soubory“. V souboru nsswitch.conf musí být následující řádky:
passwd: files ldap group: files ldap
Tyto řádky přikazují resolver knihovně glibc nejprve vyhodnotit soubory v adresáři /etc a pak se připojit k LDAP serveru jako zdroji autentizačních a uživatelských dat. Mechanismus můžete otestovat přečtením uživatelské databáze příkazem getent passwd. Výsledek by měl obsahovat lokální uživatele vašeho systému i uživatele uložené na LDAP serveru.
Abyste zabránili běžným uživatelům spravovaným přes LDAP přihlásit se k serveru pomocí ssh nebo login, musí soubory /etc/passwd a /etc/group obsahovat následující řádek: +::::::/sbin/nologin v /etc/passwd a +::: v /etc/group.
Jakmile jsou nss_ldap, pam_ldap, /etc/passwd a /etc/group YaSTem upraveny, lze pokračovat v konfiguraci za pomocí prvního dialogu modulu YaST. Viz obrázek 22.22 – „YaST: Konfigurace LDAP klienta“.
V prvním dialogu aktivujte použití LDAP pro autentizaci uživatelů. V položce zadejte prohledávací základnu, ve které jsou na serveru uložená data. IP adresu LDAP serveru zadejte v položce . Můžete zadat více serverů oddělených mezerou. Chcete-li automaticky připojovat adresáře, zaškrtněte . Chcete-li jako administrátor upravit data na serveru, klikněte na . Viz obrázek 22.23 – „YaST: Pokročilá konfigurace“.
Další dialog má dvě části: V horní části lze provést obecné nastavení uživatelů a skupin. V dolní části se nastavují data potřebná pro přístup k LDAP serveru. Nastavení uživatelů a skupin obsahuje následující položky:
Pokud je aktuální systém souborový server pro uživatelské adresáře (/home), povolte tuto volbu.
Povolením této volby umožníte uživatelům spravovaným přes LDAP přihlásit se do vašeho systému.
Zde nastavte typ LDAP skupiny. Výchozí je , další možností je .
V dolní části nastavte údaje potřebné pro konfiguraci a přístup k LDAP serveru, tj. , pod kterou jsou uloženy všechny konfigurační objekty, a .
Chcete-li editovat položky na serveru, klikněte na . V dialogu, který se objeví, zadejte heslo pro autentizaci na serveru. Bude vám umožněn přístup ke konfiguračním modulům na serveru v souladu s ACL a ACI.
| Použití YaST klienta |
|---|---|
YaST LDAP klienta použijte k přizpůsobení YaST modulů pro správu uživatelů a skupin a k jejich případnému rozšíření. Navíc je možné definovat předlohy s výchozími hodnotami jednotlivých atributů pro usnadnění registrace údajů. Tato nastavení jsou sama uložena jako LDAP objekty v LDAP adresáři. Registrace uživatelských dat je stále prováděna pomocí běžných YaST formulářů. Údaje se ukládají jako objekty v LDAP adresáři. | |
V dialogu pro konfiguraci modulu (obrázek 22.24 – „YaST: Konfigurace modulu“) lze vybírat a upravovat existující konfigurační moduly a vytvářet a upravovat šablony. Chcete-li upravit hodnotu v konfiguračním modulu nebo modul přejmenovat, vyberte příslušný modul v nabídce. Objeví se seznam všech jeho povolených atributů i s hodnotami. Obsahuje i atributy povolené schématem, ale nepoužité.
Chcete-li změnit hodnotu atributu, vyberte atribut ze seznamu a klikněte na . Provedené změny potvrdíte tlačítkem .
Chcete-li přidat nový modul, klikněte na . Zadejte jméno a objektovou třídu nového modulu (buď suseuserconfiguration nebo susegroupconfiguration). Uzavřením dialogu tlačítkem přidáte nový modul do seznamu existujících modulů. Kliknutím na vybraný modul smažete.
Pokud byly předem definovány, obsahují YaST moduly pro správu uživatelů a skupin šablony se smysluplnými výchozími hodnotami. Chcete-li šablonu upravit, klikněte na . Dialog pro nastavení šablon je rozdělen na dvě části. Horní část obsahuje obecné atributy šablony. Upravte je podle potřeby a nebo nechte prázdné. Prázdné atributy budou na LDAP serveru smazány.
Druhá část () obsahuje všechny atributy odpovídajícího LDAP objektu (v tomto případě konfigurace uživatelů či skupin), pro které se definuje standardní hodnota. Lze přidávat nové a mazat již existující atributy, případně je měnit. Šablonu zkopírujete změnou hodnoty cn. Šablonu spojíte s modulem nastavením atributu susedefaulttemplate příslušného modulu na hodnotu obsahující DN upravené šablony.
| Tip |
|---|---|
Výchozí hodnoty lze vytvářet z jiných atributů pomocí proměnných místo přímého zadání hodnoty. Například při vytváření nového uživatele lze použít cn=%sn %givenName a vytvářet tak automaticky hodnotu z sn a givenName. | |
Jsou-li moduly a šablony správně nastaveny, můžete registrovat nové uživatele a skupiny běžným způsobem v nástroji YaST.
Registrace údajů o uživatelích a skupinách se od postupu bez použití LDAP liší jen minimálně. Následující text se vztahuje k registraci uživatelů. Registrace skupin je analogická.
Spusťte YaST modul pro administraci uživatelů pomocí +. Objeví se formulář, ve kterém zadejte nejdůležitější data o uživateli, jako jméno, uživatelské jméno a heslo. Pomocí tlačítka se dostanete k dialogu, ve kterém můžete nastavit členství ve skupinách, přihlašovací shell a domovský adresář. Výchozí hodnoty byly definované postupem popsaným v 22.9.5.2 – „Konfigurace LDAP klienta“. Pokud je použito LDAP, následuje další formulář pro zadání údajů specifických pro LDAP. Vyberte atributy, jejichž hodnotu chcete upravit, a klikněte na . Zavřením dialogu, který se objeví po kliknutí na , se vrátíte k hlavnímu dialogu správy uživatelů.
Hlavní dialog správy uživatelů obsahuje nabídku . Ta umožňuje použít vyhledávací LDAP filtry a nebo přejít do modulu pro konfiguraci LDAP uživatelů a skupin výběrem .
Tato kapitola neobsahuje řadu témat, jako např. konfiguraci SASL nebo replikaci LDAP serveru, která umožňuje rozložit zatížení na několik strojů. Velmi vyčerpávajícím způsobem je toto nastavení popsáno v OpenLDAP 2.1 Administrator's Guide (viz níže).
Velmi rozsáhlou dokumentaci najdete přímo na stránkách projektu OpenLDAP:
Sbírka otázek a odpovědí týkajících se instalace, konfigurace a správy OpenLDAP. http://www.openldap.org/faq/data/cache/1.html.
Jednoduchá instalační příručka LDAP serveru. http://www.openldap.org/doc/admin21/quickstart.html nebo přímo na vašem počítači v souboru /usr/share/doc/packages/openldap2/admin-guide/quickstart.html
Detailní informace o konfiguraci LDAP včetně kontroly přístupu a šifrování. Příručka je dostupná na adrese http://www.openldap.org/doc/admin22/ nebo přímo na vašem počítači v souboru /usr/share/doc/packages/openldap2/admin-guide/index.html
IBM vydalo o LDAP tyto červené knihy:
Základní principy LDAP. Kniha je dostupná na adrese http://www.redbooks.ibm.com/redbooks/pdfs/sg244986.pdf.
Tato příručka je zaměřena především na administraci IBM SecureWay Directory. Obsahuje však také základní informace o LDAP. Naleznete ji na adrese http://www.redbooks.ibm.com/redbooks/pdfs/sg245110.pdf.
Tištěné knihy o LDAP:
Howes, Smith, and Good: Understanding and Deploying LDAP Directory Services. Addison-Wesley, 2. Aufl., 2003. (ISBN 0-672-32316-8)
Hodges: LDAP System Administration. O'Reilly & Associates, 2003. (ISBN 1-56592-491-6)
Vynikajícím referenčním manuálem pro LDAP jsou RFC dokumenty od čísla 2251 do 2256.
