- Понедельник, 6 сентября 2010

ldap_auth@conference.gentoo.ru

Понедельник, 6 сентября 2010< ^ >

anarchist установил(а) тему: Продолжаем debug

Конфигурация комнаты

Участники комнаты

GMT+4
[03:11:38] slepnoga вышел(а) из комнаты
[03:11:53] slepnoga вошёл(а) в комнату
[04:31:22] slepnoga вышел(а) из комнаты
[04:52:33] slepnoga вошёл(а) в комнату
[06:27:39] slepnoga вышел(а) из комнаты
[06:29:34] slepnoga вошёл(а) в комнату
[07:06:31] slepnoga вышел(а) из комнаты
[07:30:34] slepnoga вошёл(а) в комнату
[07:41:38] slepnoga вышел(а) из комнаты
[07:43:46] slepnoga вошёл(а) в комнату
[08:04:00] slepnoga вышел(а) из комнаты
[08:04:13] slepnoga вошёл(а) в комнату
[10:27:44] slepnoga вышел(а) из комнаты
[12:18:51] Anarchist вошёл(а) в комнату
[14:12:24] hedgeven вошёл(а) в комнату
[14:12:33] <hedgeven> привет
[14:12:50] <hedgeven> возвращаясь к моим вопросам...
[14:13:19] <Anarchist> Привет,
[14:13:19] <hedgeven> поясни пожалуйста пункт 1. Развернуть OpenLDAP. Создать базу пользователей. Проработать темы добавления/изменения регистрационных данных пользователей и конфигурации LDAP'а
[14:13:23] <Anarchist> Как успехи.
[14:13:51] <Anarchist> Сейчас.
[14:13:52] <hedgeven> честно говоря хожу вокруг ldap, но создать базу юзеров пока не решаюсь
[14:14:10] <Anarchist> Правильно делаешь.
[14:14:30] <hedgeven> ldap стоит. пока не совсем выстроилась система заведения юзеров и групп юзеров
[14:14:35] <Anarchist> migration-tools от padl формируют весьма странный (ИМХО) ldif
[14:14:59] <hedgeven> migration-tools это для вытягивания из AD'а?
[14:19:14] <Anarchist> ???
[14:19:49] <Anarchist> AFAIR из ада оно может и умеет, но я использовал для предварительного преобразования традиционной (passwd/shadow) базы в ldif для загрузки.
[14:19:59] <Anarchist> Но корень дерева оно не генерит.
[14:23:40] <hedgeven> так.. тогда 1. я сформирую ldif при помощи migration-tools(правлю ldif, если надо) 2. закидываю в OpenLDAP 3. перевожу аутентификацию на базу ldap(/etc/nsswitch.conf)... я прав?
[14:29:35] <Anarchist> Не... Сейчас расскажу и потом вернёмся к первому вопросу.
[14:30:18] <Anarchist> 1. Ручками по образцу рисуешь ldif корня дерева (в принципе будет работать и без него, но как минимум 2.3 при загрузке писал варнинги).
[14:30:49] <Anarchist> Формируешь исходный ldif базы пользователей (групп и что ты там ещё думаешь переносить в ldap).
[14:31:57] <hedgeven> вот корень по образцу
[14:31:59] <Anarchist> Добавляешь ldif'ы (сначала корень, потом всё остальное). Рекомендую slapadd (при остановленном демоне). Да, есть ещё фактор в виде конфига БД (бэк-енда). Возьми на карандаш для последующей проработки.
[14:32:02] <hedgeven> dn: dc=home,dc=net
ObjectClass: dcObject
ObjectClass: organization
dc: home
o : Home
dn: ou=Users,dc=home,dc=net
objectClass: organizationalUnit
ou: Users
dn: ou=Groups,dc=home,dc=net
objectClass: organizationalUnit
ou: Groups
dn: ou=Computers,dc=home,dc=net
objectClass: organizationalUnit
ou: Computers
[14:32:28] <Anarchist> Не... Это ещё не корень. Тогда жди, пошёл рыть свои шпаргалки.
[14:36:23] <Anarchist> dn: dc=net
objectClass: top
objectClass: domain
dc: net
[14:36:43] <Anarchist> Потом аналогично следующий уровень для dc=home,dc=net
[14:38:35] <Anarchist> Так вот, дальше ты правишь конфиг системных утилит (/etc/ldap.conf), прописываешь pam_ldap в скриптах /etc/pam.d/ и последним шагом модификация /etc/nsswitch.conf (осторожно, на этом этапе резервных консолей (с правами root'а, виртуальных и физических) много не бывает).
[14:38:35] <hedgeven> для след уровня то что я скидывал пойдет? или много лишнего?
[14:39:24] <Anarchist> Ты уже про третий уровень :) Users --- понятно, must be. Groups --- тоже логично и понятно.
[14:39:57] <Anarchist> Относительно же ou=Computers лично у меня большой вопрос: оно вообще нужно? На фига? ИМХО это рудимент от Самбы.
[14:40:35] <Anarchist> Соответственно имеет смысл втыкать только если точно знаешь, что оно тебе _нужно_ и _зачем_ оно тебе нужно.
[15:18:08] <hedgeven> спасибо, буду экспериментировать
[15:18:49] hedgeven вышел(а) из комнаты
[15:27:17] <Anarchist> Ты это заходи, почитывай логи :)
[15:27:36] <Anarchist> Сегодня-завтра я постараюсь нарисовать ответ на твой первый вопрос.
[16:33:53] slepnoga вошёл(а) в комнату
[17:40:50] <Anarchist> Не... Досказывать буду завтра.
[17:42:08] Anarchist вышел(а) из комнаты
[21:50:29] slepnoga вышел(а) из комнаты