作者 主題: [筆記]LDAP服務實做筆記! (一)  (閱讀 80513 次)

0 會員 與 1 訪客 正在閱讀本文。

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8823
    • 檢視個人資料
    • http://www.24online.cjb.net
[筆記]LDAP服務實做筆記! (一)
« 於: 2004-10-01 21:51 »
歡迎轉載 . 轉載前請先以電子郵件或者書面方式告知. 如果有任何修改請來信通知小弟, 不得作為商業用途(包含轉變為任何形式的講義,書籍片段, 網頁文章, 或者教材, 本人會保留任何形式的訴訟權利), 轉載時並請保持此一宣告.

作者: 日京三子 <a843433{at}yahoo{dot}com>


在小弟上班的環境裡, 有個問題一直讓我很困擾. 因為之前Email系統採用的是by real_Account的方式建立.管理時除了不太方便之外, 也沒辦法靈活的運用系統其他資源來做整合, 一如samba, ftp等. 用真實帳號目錄有些許好處, 例如所有系統服務比較直接, 設定時不用想太多; 但缺點就是, 你沒有辦法讓其他主機在沒有建立該使用者帳號的狀態下使用任何服務. 採用LDAP的優點就在這時候出現了! 不論你是甚麼平台, 只要有一台當成主要的LDAP Server, 其他的只要設定正確能夠接收LDAP廣播, 就能夠立刻上線服務與使用.

話說回來, 小弟服務的公司, 之前曾經發生過FreeBsd的Email主機不小心被我砍掉啟動檔, 導致許多服務都不正常的情況. 而且, FreeBsd的系統對我來說,  實在很多地方不是那麼的順手. 當時曾經想過把所有服務都轉移到別台主機上來跑, 但卡在一個問題上, 那就是帳號與密碼. 是的, 帳號與密碼, 因為我公司約有一百名使用者, 部分在中國大陸, 也有客服人員會在國外各地遊走. 建立一百個帳號很簡單, 但要通知使用者更換密碼或者更換密碼的方法都是一件困難重重的事情. 在上面兩點的考慮下, 就開始了下面的LDAP + Account + Email Server + OpenWebMail的安裝教學筆記..



要先準備的工具:
引用
1. MigrationTools.tgz. 請到 http://www.padl.com/OSS/MigrationTools.html 閱讀相關說明與下載.
2. Openldap. 請到 http://www.openldap.org 下載.
3. OpenWebmail. 請到 http://www.openwebmail.org 下載.
4. ldapBrowser282b2. 一個GUI介面, 用Java所寫的管理LDAP程式, 支援中文輸入. 請到 http://www.iit.edu/~gawojar/ldap/download.html 閱讀相關說明與下載.



(先說明一下, 我是按照旗標出版社所出版的"Linux網路管理實務"一書(註1)建構我整個的LDAP環境. 所以很多東西幾乎是直接抄襲人家的.)



我在腦海裡面建立的主要根( .root )模型是這樣的
代碼: [選擇]
dn:  dc=your,dc=com
objectClass: top
objectClass: domain
dc: your
我把上面的宣告取名叫做base.ldif. 要注意的是最後面這個dc, 這個是指你的主要網域節點名稱, 以ibm.com來說, 這個後面的dc就是指ibm.

再來, 是宣告主節點的樣式. 依照"網路管理實務"一書的思維, 我建立了主節點, 也就是主要的兩個類別:
代碼: [選擇]
dn:  ou=People,dc=your,dc=com
objectClass: top
objectClass: organizationalUnit
ou: People

dn:  ou=Group,dc=your,dc=com
objectClass: top
objectClass: organizationalUnit
ou: Group
我把上面的宣告, 取名叫做container.ldif. (註2)



準備好之後, 開始進行安裝. 因為我有一個先決環境, 已經有一台FreeBsd, 所以我要先利用 MigrationTools.tgz 裡面的各項工具程式把帳號密碼給dump出來. 在那之前, 先修改一下這支工具程式的設定檔.
代碼: [選擇]
$NETINFOBRIDGE = (-x "/usr/sbin/mkslapdconf");

if ($NETINFOBRIDGE) {
        $NAMINGCONTEXT{'aliases'}           = "cn=aliases";
        $NAMINGCONTEXT{'fstab'}             = "cn=mounts";
        $NAMINGCONTEXT{'passwd'}            = "cn=People";
        $NAMINGCONTEXT{'netgroup_byuser'}   = "cn=netgroup.byuser";
        $NAMINGCONTEXT{'netgroup_byhost'}   = "cn=netgroup.byhost";
        $NAMINGCONTEXT{'group'}             = "cn=Group";
        $NAMINGCONTEXT{'netgroup'}          = "cn=netgroup";
        $NAMINGCONTEXT{'hosts'}             = "cn=machines";
        $NAMINGCONTEXT{'networks'}          = "cn=networks";
        $NAMINGCONTEXT{'protocols'}         = "cn=protocols";
        $NAMINGCONTEXT{'rpc'}               = "cn=rpcs";
        $NAMINGCONTEXT{'services'}          = "cn=services";
} else {
        $NAMINGCONTEXT{'aliases'}           = "ou=Aliases";
        $NAMINGCONTEXT{'fstab'}             = "ou=Mounts";
        $NAMINGCONTEXT{'passwd'}            = "ou=People";
        $NAMINGCONTEXT{'netgroup_byuser'}   = "nisMapName=netgroup.byuser";
        $NAMINGCONTEXT{'netgroup_byhost'}   = "nisMapName=netgroup.byhost";
        $NAMINGCONTEXT{'group'}             = "ou=Group";
        $NAMINGCONTEXT{'netgroup'}          = "ou=Netgroup";
        $NAMINGCONTEXT{'hosts'}             = "ou=Hosts";
        $NAMINGCONTEXT{'networks'}          = "ou=Networks";
        $NAMINGCONTEXT{'protocols'}         = "ou=Protocols";
        $NAMINGCONTEXT{'rpc'}               = "ou=Rpc";
        $NAMINGCONTEXT{'services'}          = "ou=Services";
}

# Default DNS domain
$DEFAULT_MAIL_DOMAIN = "your.com";

# Default base
$DEFAULT_BASE = "dc=your,dc=com";
各位要注意, 因為裡面有些部分是不同的. 起因是我的主節點是宣告為People 跟Group (大寫的, 原始的設定檔是小寫的people跟group). 還有在下面的那行宣告, $DEFAULT_BASE , 這部分一定要修改, 因為這會影響到等等生成的使用者帳號檔案(你總不會想因為這點小錯誤, 導致你要修改一兩百個帳號吧! :x )  當然, 你想看到詳細的說明部分, 請看旗標的"Linux網路管理實務"一書.


接著, 因為我要先從FreeBsd取得帳號與密碼, 所以就先在FreeBsd主機上面下這行命令.
代碼: [選擇]
./migrate_passwd.pl /etc/master.passwd /tmp/user.ldif當然, 你也可以順便把群組一起轉出來. 但, 因為我先前的主機管理做的很差, 一個帳號就一個群組. 所以我選擇等等自己建立.

此時, 打開這個我們利用工具程式轉換出來的帳號檔案, 看看內容.
代碼: [選擇]
dn: uid=abcd,ou=People,dc=your,dc=com
uid: abcd
cn: abcd
objectClass: account
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
userPassword: {crypt}$1$ahz3dh5h$TrjekyZu/y5yKXwud5zWO/
shadowLastChange: 12481
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 514
gidNumber: 502
homeDirectory: /home/abcd
因為我真正要跑LDAP的主機是採用AMDx64_K8版本的Fedora_Core_2, 他上面所吃的格式有些許的不同, 所以我做了以下的修改:
代碼: [選擇]
dn: uid=abcd,ou=People,dc=your,dc=com
uid: abcd
cn: 這裡可以放中文使用者名稱
sn: abcd
objectClass: posixAccount
objectClass: top
objectClass: person
objectClass: inetOrgPerson
loginShell: /bin/bash
userPassword: {MD5}KgccP6INm+SIMD35+Lo1XA==
uidNumber: 1065
gidNumber: 10101
homeDirectory: /home/abcd
mail: abcd@your.com
基於方便, 我把帳號密碼檔案定名為user.ldif. 注意! 因為我後面有規劃讓ooutlook express的使用者用"通用通訊錄"的功能, 所以我在這邊建立了cn欄位 (放中文使用者名稱. 但, 請特別注意, 此地並不能接受你直接填入中文, 必須透過thiry party程式來協助建立與修改, 例如ldapBrowser282b2), 與mail欄位 (放郵件帳號).




有了帳號與密碼, 下一個目標就是讓另外一台主機跑LDAP服務. 如果是RedHat系的, 在你安裝的時候預設就會塞進來, 就算你選最小安裝時也會自動安裝. 當然, 如果你不是RedHat系的, 經過檢查也沒發覺主機上有安裝相關套件的跡象, 此時, 請到 http://www.openldap.org 下載. 切記, 最新的不一定是好! (某 x京x子 的切身之痛 :x )


(請原諒我的無知, 因為我只專長於RedHat系的, 所以下面都是使用rpm格式安裝出來, 如果您不是採用RedHat系的, 請自行修改! )



在安裝完成之後, 首先, 確認安裝程式已經把相關的設定檔案放置在 /etc/openldap 目錄底下. 以我採用的Fedora_Core_2為例, 只有這兩個檔案ldap.conf ,  slapd.conf 與 ldif , schema 這兩個目錄. 接著, 動手修改sldap.conf, 設定你跑openldap的環境. 主要要修改的地方只有這裡
代碼: [選擇]
database        ldbm
suffix           "dc=your,dc=com"
rootdn         "uid=root,ou=People,dc=your,dc=com"
rootpw        secret
分別定義了你所使用的資料庫格式, 主dn宣告, 管理者帳號(rootdn, 很多軟體會叫你設定帳號, 千萬別忘記是他唷!), 還有密碼(rootpw, 很多軟體會叫你設定密碼, 別懷疑, 就是這兩個!! ). 當然, 密碼可以是明文(例如你打ABCD, 那密碼就是大寫的ABCD), 也可以利用slappasswd來編碼. 在修改好之後, 我們讓ldap跑起來.
代碼: [選擇]
/etc/rc.d/init.d/ldap start, 然後依序匯入base.ldif, container.ldif, 與 user.ldif, 利用下面的格式:
代碼: [選擇]
ldapadd -x -f base.ldif -D "uid=root,ou=People,dc=your,dc=com" -W(註3)輸入密碼(rootpw)之後, 你就會看到系統回應加入成功的訊息. 新增這三者(base, container, user)完成之後, 我們來檢查一下系統運作是否正常. 利用
代碼: [選擇]
ldapsearch -x -b "ou=People,dc=your,dc=com" uid=*你應該會看到一堆文字飛過去, 就像下面這樣
代碼: [選擇]
# abcd, People, your.com
dn: uid=abcd,ou=People,dc=your,dc=com
uid: abcd
cn: abcd
sn: abcd
objectClass: posixAccount
objectClass: top
objectClass: person
objectClass: inetOrgPerson
loginShell: /bin/bash
userPassword:: e01ENX1LZ2NjUDZJTm0rU0lNRDM1K0xvMVhBPT0=
uidNumber: 1065
gidNumber: 10101
homeDirectory: /home/abcd
mail: abcd@your.com

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2
到此, 你就已經算是有個成功的開始了!

註1:
    此書完整的名稱是. "LINUX 網路管理實務 調教, 帳號, 監控, 安全" , 施威銘研究室著,  旗標出版社, 編號F499, ISBN為957-442-111-2

註2:
    如果一開始就看上面那本旗標的, 真的只會一知半解. 強烈建議另外買一本O'REILLY出版社的LDAP系統管理(LDAP System Administration, Gerald Carter著, 蔣大偉 編譯, 編號A130, ISBN為986-7794-21-4). 此書在一開始時立即把一些欄位的相關名詞的定義法則告訴各位.

註3:
    RedHat安裝時預設是不加密模式, 也就是不啟動ssl, 所以你一定要特別下-x 指令關閉加密傳遞. 如果有這種需求, 必須自己編譯, 或者花錢買RHES(純聽說, 不確定是不是這個版本才有, 請洽詢你的軟體經銷商確認).


期待後面的部分吧~~  8)
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

wilson

  • 俺是博士!
  • *****
  • 文章數: 1821
  • 帥氣柴老大
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (一)
« 回覆 #1 於: 2004-10-01 23:27 »
謝謝三子的分享~

我最近也剛開始看LDAP的東西~

chenfm

  • 活潑的大學生
  • ***
  • 文章數: 261
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (一)
« 回覆 #2 於: 2004-10-02 00:45 »
感謝三子分享這個好東西,期待後續的文章.

PS:問幾個可能有點白痴的問題..... :oops:

1.LDAP可以管理使用Windows 的 User 到什麼地步?能像 AD 一樣嗎?
2.LDAP可以管理使用 Linux 的 User 到什麼地步?能像 AD 一樣嗎?
3.Linux上有什麼東西可以做到像 Windows AD一樣?

感謝.

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4225
    • 檢視個人資料
    • http://blog.damon.tw/
[筆記]LDAP服務實做筆記! (一)
« 回覆 #3 於: 2004-10-02 08:23 »
在安全性的考量下我個人不建議把address book跟系統認證用的schema並用在同一個entry裡面
公司的ldap server你要用fc2來做,我個人滿佩服你的勇氣

u_n_i

  • 懷疑的國中生
  • **
  • 文章數: 80
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (一)
« 回覆 #4 於: 2004-10-02 13:10 »
..

fz150n

  • 憂鬱的高中生
  • ***
  • 文章數: 111
    • 檢視個人資料
[分享]
« 回覆 #5 於: 2004-10-02 21:43 »
感謝日京三子,您真是太用心了!繼續繼續~

小弟看的也是同一本書,不過,剛開始弄的時候,還弄到不能登入,
搞到後來才又重灌。

後來到版上貼了之後,沒有得到我想要的答案,因此,我又搞了一陣子
才順利了一點。

我想,順便共襄盛舉一下,雖然我也搞不清楚在Fedora上面這樣做有什麼風險,不過,我也只是想學習一下LDAP的原理及運作,所以,我把其他我會的部分,也貼出來大家參考:

1. Openwebmail 2.40 + OpenLDAP on Linux Fedora Core 2

首先,參考文章之後,我發現總共有兩個方式可以做這樣的認證,
(想試的人,請先確定原本Openwebmail的auth_unix的認證方式已經ok,
還有,要像日京三子所貼,有一個運作正常的LDAP Server,其中包含兩個最重要的 ou - Group & People)

1-1 auth_pam.pl

先安裝這個模組:

http://www.perl.com/CPAN/authors/id/N/NI/NIKIP/Authen-PAM-0.14.tar.gz

perl Makefile.PL
make
make install

要確認安裝過程沒有錯誤。

修改 /var/www/cgi-bin/openwebmail/etc/openwebmail.conf

domainnames                     autol
auth_module                     auth_pam.pl


修改 /var/www/cgi-bin/openwebmail/etc/defaults/auth_pam.conf

servicename                             openwebmail
passwdfile_plaintext                   /etc/passwd
check_nologin                           no
check_shell                               no
check_cobaltuser                       no

修改 /var/www/cgi-bin/openwebmail/auth_pam.pl

如果不想設定/var/www/cgi-bin/openwebmail/etc/defaults/auth_pam.conf
直接把底下兩行改成
my $servicename = "openwebmail";
my $passwdfile_plaintext = "/etc/passwd";

這是原本的,不改的話,比較符合原著的彈性設計:
my $servicename = $conf{'servicename'} || "openwebmail";
my $passwdfile_plaintext = $conf{'passwdfile_plaintext'} || "/etc/passwd";

接著,產生一個 /etc/pam.d/openwebmail  的檔案,內容為:

#%PAM-1.0
auth       sufficient   /lib/security/$ISA/pam_ldap.so
auth       required   /lib/security/$ISA/pam_unix.so
account    required   /lib/security/$ISA/pam_unix.so
account    sufficient     /lib/security/$ISA/pam_ldap.so

好的,關鍵來了,touch /var/www/cgi-bin/openwebmail/openwebmail*.pl
(因為少了這個動作,害我搞了一個下午 :oops: )

好的,可以試試看了~

附註:我在想,因為先前已經改過 /etc/pam.d/system-auth 所以,我覺得不用另外生一個openwebmail的檔案,我先試試看,如果可以再回報上來。

還有,透過pam,再透過ldap認證,給它好像有點.....文雅一點,捨近求遠..我覺得啦~

1-2 auth_ldap.pl

這個比較簡單,

修改 /var/www/cgi-bin/openwebmail/etc/openwebmail.conf

domainnames                     autol
auth_module                     auth_ldap.pl

修改 /var/www/cgi-bin/openwebmail/etc/defaults/auth_ldap.conf

#
# config file for auth_ldap.pl
#

ldaphost    your.LDAP.SERVER.IP # LDAP SERVER IP
ou             People                      # LDAP ORGANIZATIONAL UNIT
cn             Manager                    # LDAP USER
dc1           FIRSTDC                    # FIRST DC
dc2           SECONDDC                # SECOND DC
password   PASSWORD        # LDAP PASSWORD

大概就是這樣囉,注意喔!僅.供.參.考.~
因為我自己在測試的時候,並不是所有的帳號都可以順利進入OWM,
像我有一個spammer的測試帳號,可以登入系統,但是登入OWM時會有:

無法建立使用者目錄! /home/spammer/mail (Permission denied)

2. http的ldap認證:

/etc/httpd/conf/httpd.conf

確定要有這兩樣模組:
LoadModule ldap_module modules/mod_ldap.so
LoadModule auth_ldap_module modules/mod_auth_ldap.so

然後在你要認證的地方,加入這些內容:

<Directory "/var/www/html/phpBB2">
    Order allow,deny
    Allow from all
    AuthName "phpBB2 LDAP auth"
    AuthType Basic
    AuthLDAPEnabled on
    AuthLDAPURL ldap://www.fz150n.local/ou=People,dc=fz150n,dc=local?uid?one
    AuthLDAPAuthoritative on
    require valid-user
</Directory>

下次只要有人想要存取這個網頁的時候,就會出現認證的對話框。

最後最後,小弟再度強調,因為是初學者,所以,貼出來的做法並不是最好最保險的,如果照作,可能也沒有辦法很順利完成這些工作,因此還是希望前輩們能出來指正,初學者也能一窺LDAP的奧秘,好嗎?[/list]

u_n_i

  • 懷疑的國中生
  • **
  • 文章數: 80
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (一)
« 回覆 #6 於: 2004-10-03 11:09 »

fz150n

  • 憂鬱的高中生
  • ***
  • 文章數: 111
    • 檢視個人資料
[分享]
« 回覆 #7 於: 2004-10-04 02:16 »
休假兩天,想要把LDAP搞懂一點,結果,沒有什麼進展,
按照歐來禮那本書的設定,好不容易弄了kerberos來用,
結果,才發現這陣子kerberos出了紕漏,不知該不該繼續...

不過,我有試著裝一台Win 2000 server with AD,
然後在FEDORA上面,試著用Browser把AD的資料拉出來,
結果真的是可以的(哈~我比較笨)
basedn大概就是像dc=fz150n,dc=local
credential的部分,可以用CN=Administrator,CN=Users,$basedn
密碼的話,就用simple,然後輸入當初設定的administrator的密碼,
接著就可以把AD底下的資料全抓出來,甚至修改。

我打算這禮拜把smbldap弄起來,看看自己可不可以把AD全部移轉到FEDORA,
我想,這版上一定有人做出來了,如果願意的話,希望你們也可以分享一下,
如果沒人回應,我會試著把它做出來,然後貼出來大家分享。

呵呵~只是希望啦,Linux實在太強,太有趣了.....

對了,有個東西很好用:Softerra LDAP Administrator
網址在這裡:
http://download.softerra.com/ldap/index.html
我在w2k用這套測試openldap&AD,
個人覺得是所有類似工具裡面最好用的啦,
大家可以試試看,真的不錯,記得去註冊一個試用帳號喔!

SaPow

  • 榮譽博士
  • 鑽研的研究生
  • *****
  • 文章數: 509
    • 檢視個人資料
Re: [分享]
« 回覆 #8 於: 2004-10-06 12:43 »
引述: "fz150n"


對了,有個東西很好用:Softerra LDAP Administrator
網址在這裡:
http://download.softerra.com/ldap/index.html
我在w2k用這套測試openldap&AD,
個人覺得是所有類似工具裡面最好用的啦,
大家可以試試看,真的不錯,記得去註冊一個試用帳號喔!


之前用過~覺得速度太慢了~

個人還是覺得用
http://www.iit.edu/~gawojar/ldap/download.html
比較順手

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7311
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (一)
« 回覆 #9 於: 2004-10-06 16:15 »
奇怪,都沒人用IBM Tivoli Directory Server,
它有內建GUI管理工具說,而且又是base on openldap的!

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4225
    • 檢視個人資料
    • http://blog.damon.tw/
[筆記]LDAP服務實做筆記! (一)
« 回覆 #10 於: 2004-10-06 17:36 »
要錢,這是最大的原因吧

arvinwu

  • 可愛的小學生
  • *
  • 文章數: 2
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (一)
« 回覆 #11 於: 2004-11-16 15:22 »
請問在架設LDAP前有什麼地方要先做的嗎?我也是參考旗標的這本書,總是做到一半就error進行不下去了。(我是Linux菜鳥)我的OS是RedHat 9,是否要先昇及什麼套件之類的?感謝!

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8823
    • 檢視個人資料
    • http://www.24online.cjb.net
[筆記]LDAP服務實做筆記! (一)
« 回覆 #12 於: 2004-11-16 15:39 »
引述: "arvinwu"
請問在架設LDAP前有什麼地方要先做的嗎?我也是參考旗標的這本書,總是做到一半就error進行不下去了。(我是Linux菜鳥)我的OS是RedHat 9,是否要先昇及什麼套件之類的?感謝!
印象中,不需要,因為我在安裝之前沒替換過甚麼軟體.......


至於你所謂的做到一半就error,這樣子很難猜...... 做之前請確定,你有按照我的步驟一一慢慢敲......
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

arvinwu

  • 可愛的小學生
  • *
  • 文章數: 2
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (一)
« 回覆 #13 於: 2004-11-16 23:57 »
感謝,今天下午LDAP server部份已經成功,之前可能是有什麼地方設定錯誤或遺漏了吧。不過,我要用LDAP的原因是要和samba、windows整合,所以有參考旗標另一本書:《F498 Linux與Windows共舞 異質平台整合方案》這兩本書中LDAP部份好像設定方法有點不一樣耶,對初學者來說是一大考驗!唉,LDAP一點也不"L"!

vsftpd

  • 憂鬱的高中生
  • ***
  • 文章數: 161
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (一)
« 回覆 #14 於: 2005-04-05 21:13 »
請問一下在編輯xx.ldif 檔案時,裡面所建立的帳號需要事先存在於系統上嗎?
我按照一本書作得要死不活的都做不出來,書上也沒寫要不要事先建立帳號,
請大大給我個方向,謝謝?

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8823
    • 檢視個人資料
    • http://www.24online.cjb.net
[筆記]LDAP服務實做筆記! (一)
« 回覆 #15 於: 2005-04-05 22:09 »
引述: "vsftpd"
請大大給我個方向,謝謝?

你要不要先用心看我的筆記? :roll:
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

fyfcc

  • 懷疑的國中生
  • **
  • 文章數: 41
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (一)
« 回覆 #16 於: 2005-07-06 13:42 »
我也是參考 網路管理實務 的! LDAP-Server 也可正常運作!! 但在看了日京三子的文章後, 發覺大哥你加了 mail: user@domain.com 這個. 但我就是找不到這個解決的方法!! 如果我用了 qmail.schema, ldap service 就不能起動. 總是說有 duplicate 的 attr. 他說有 duplicate, 我就把他說的 attr 刪除. 但總是不行. 不用 qmail.schema 就沒問題. 但就用不了 mail 這功能. 小弟現用的是 mandriva LE2005. 也試過 10.0 和 10.1 都是一樣的錯誤.
小弟想問, qmail.schema 是否在任何的 distribution 都是一樣呢? 我可否借用在 redhat 的 qmail.schema 呢? 那, 如果不用 qmail.schema 又有何其他方法呢?

yhsien

  • 懷疑的國中生
  • **
  • 文章數: 38
    • 檢視個人資料
有先把objectClass引用進來嗎?
« 回覆 #17 於: 2006-08-08 23:41 »
引述: "fyfcc"
我也是參考 網路管理實務 的! LDAP-Server 也可正常運作!! 但在看了日京三子的文章後, 發覺大哥你加了 mail: user@domain.com 這個. 但我就是找不到這個解決的方法!! 如果我用了 qmail.schema, ldap service 就不能起動. 總是說有 duplicate 的 attr. 他說有 duplicate, 我就把他說的 attr 刪除. 但總是不行. 不用 qmail.schema 就沒問題. 但就用不了 mail 這功能. 小弟現用的是 mandriva LE2005. 也試過 10.0 和 10.1 都是一樣的錯誤.
小弟想問, qmail.schema 是否在任何的 distribution 都是一樣呢? 我可否借用在 redhat 的 qmail.schema 呢? 那, 如果不用 qmail.schema 又有何其他方法呢?


有先把可以存放mail屬性的objectClass引用進來嗎?
要不要把ldif大略的貼上來大家研究看看

代碼: [選擇]

例如:
objectClass: inetOrgPerson


如果你有使用三子大大的LDAP教學中,提到的MigrationTools
可以試試把migrate_common.ph中的下列變數改成"1",再轉一次或許結果可以達到你的需求喔~
代碼: [選擇]
$EXTENDED_SCHEMA = 0;

skyevil

  • 懷疑的國中生
  • **
  • 文章數: 45
    • 檢視個人資料
[筆記]LDAP服務實做筆記! (一)
« 回覆 #18 於: 2007-08-09 22:18 »
感謝大大的分享
最近我也才剛在作這lab
謝謝