Развертываем Fedora Directory Server
1. Ставим Fedora 12 или 13
2. yum install 389-ds 389-ds-base
3. Создаем базу: /usr/bin/setup-ds.pl и итвечаем на его вопросы, в частности
а) о корне каталога - в нашем примере это dc=virtual
б) о паролях администраторов - их два, один зовется cn=directory manager, второй зовется admin. Они на самом делен нужны для разных задач, но об этом почитаете сами
4. Запускаем 389-console и логинимся как cn=directory manager
5. Заводим контейнеры:
а) ou=users для пользователей (которые posixUser)
б) ou=groups для групп (которые posixGroup)
в) ou=service для специальных пользователей (которые не могут логиниться в систему, но могут работать с ldap-сервером)
6. Заводим двух специальных пользователей:
а) guest: cn=guest,ou=service,dc=virtual
б) ldaproot: cn=ldaproot,ou=service,dc=virtual
7) Раздаем права для guest - он может читать все атрибуты кроме паролей в ou=user,dc=virtual и ou=groups,dc=virtual
8) Раздаем права для ldaproot - он может читать и писать все атрибуты в ou=user,dc=virtual и ou=groups,dc=virtual и ниже, а также создавать и удалять любые объекты там же
9) Задаем пароли для ldaproot и guest
10) Через ldapsearch убеждаемся, что ldaproot и guest нормально цепляются к серверу
10) Запускаем system-config-auth, разрешаем LDAP. Там же активируем опцию создания домашнего каталога при первом входе
11) service nscd start; chkconfig nscd on
12) Редактируем /etc/ldap.conf:
host 127.0.0.1
base dc=virtual
rootbinddn uid=ldaproot,ou=service,dc=virtual
binddn uid=guest,ou=service,dc=virtual
bindpw ПарольДляGuest
port 389
ldap_version 3
scope sub
pam_login_attribute uid
nss_base_passwd ou=people,dc=virtual?sub?objectClass=posixAccount
nss_base_shadow ou=people,dc=virtual?sub?objectClass=posixAccount
nss_base_group ou=groups,dc=virtual?sub?objectClass=posixGroup
pam_password md5
ssl no
tls_cacertdir /etc/openldap/cacerts
bind_policy soft
13) в /etc/ldap.secret забиваем одну-единственную строчку с паролем ldaproot
14) chown root:root /etc/ldap.secret ; chmod 600 /etc/ldap.secret
15) chown nscd:root /etc/ldap.conf ; chmod 640 /etc/ldap.conf
16) Идем в 389-console, создаем группу cn=allusers,ou=groups,dc=virtual
Через прямое редактирование объектов дерева каталогов добавляем к записи objectClass=posixGroup, gidNumber=10000
17) Добавляем пользователя - например uid=vasya,ou=users,dc=virtual, при создании указываем ему крыжик posixAccount, и заполняем все обязательные поля. gidNumber ставим 10000 (ага, наша группа allusers!). Задаем юзеру пароль
18) в терминале пишем id vasya, должны получить рассказ о пользователе "vasya"
2. yum install 389-ds 389-ds-base
3. Создаем базу: /usr/bin/setup-ds.pl и итвечаем на его вопросы, в частности
а) о корне каталога - в нашем примере это dc=virtual
б) о паролях администраторов - их два, один зовется cn=directory manager, второй зовется admin. Они на самом делен нужны для разных задач, но об этом почитаете сами
4. Запускаем 389-console и логинимся как cn=directory manager
5. Заводим контейнеры:
а) ou=users для пользователей (которые posixUser)
б) ou=groups для групп (которые posixGroup)
в) ou=service для специальных пользователей (которые не могут логиниться в систему, но могут работать с ldap-сервером)
6. Заводим двух специальных пользователей:
а) guest: cn=guest,ou=service,dc=virtual
б) ldaproot: cn=ldaproot,ou=service,dc=virtual
7) Раздаем права для guest - он может читать все атрибуты кроме паролей в ou=user,dc=virtual и ou=groups,dc=virtual
8) Раздаем права для ldaproot - он может читать и писать все атрибуты в ou=user,dc=virtual и ou=groups,dc=virtual и ниже, а также создавать и удалять любые объекты там же
9) Задаем пароли для ldaproot и guest
10) Через ldapsearch убеждаемся, что ldaproot и guest нормально цепляются к серверу
10) Запускаем system-config-auth, разрешаем LDAP. Там же активируем опцию создания домашнего каталога при первом входе
11) service nscd start; chkconfig nscd on
12) Редактируем /etc/ldap.conf:
host 127.0.0.1
base dc=virtual
rootbinddn uid=ldaproot,ou=service,dc=virtual
binddn uid=guest,ou=service,dc=virtual
bindpw ПарольДляGuest
port 389
ldap_version 3
scope sub
pam_login_attribute uid
nss_base_passwd ou=people,dc=virtual?sub?objectClass=posixAccount
nss_base_shadow ou=people,dc=virtual?sub?objectClass=posixAccount
nss_base_group ou=groups,dc=virtual?sub?objectClass=posixGroup
pam_password md5
ssl no
tls_cacertdir /etc/openldap/cacerts
bind_policy soft
13) в /etc/ldap.secret забиваем одну-единственную строчку с паролем ldaproot
14) chown root:root /etc/ldap.secret ; chmod 600 /etc/ldap.secret
15) chown nscd:root /etc/ldap.conf ; chmod 640 /etc/ldap.conf
16) Идем в 389-console, создаем группу cn=allusers,ou=groups,dc=virtual
Через прямое редактирование объектов дерева каталогов добавляем к записи objectClass=posixGroup, gidNumber=10000
17) Добавляем пользователя - например uid=vasya,ou=users,dc=virtual, при создании указываем ему крыжик posixAccount, и заполняем все обязательные поля. gidNumber ставим 10000 (ага, наша группа allusers!). Задаем юзеру пароль
18) в терминале пишем id vasya, должны получить рассказ о пользователе "vasya"