技術討論區 > LDAP 討論區

[筆記]LDAP服務實做筆記! (一)

<< < (2/4) > >>

fz150n:
感謝日京三子,您真是太用心了!繼續繼續~

小弟看的也是同一本書,不過,剛開始弄的時候,還弄到不能登入,
搞到後來才又重灌。

後來到版上貼了之後,沒有得到我想要的答案,因此,我又搞了一陣子
才順利了一點。

我想,順便共襄盛舉一下,雖然我也搞不清楚在Fedora上面這樣做有什麼風險,不過,我也只是想學習一下LDAP的原理及運作,所以,我把其他我會的部分,也貼出來大家參考:

1. Openwebmail 2.40 + OpenLDAP on Linux Fedora Core 2

首先,參考文章之後,我發現總共有兩個方式可以做這樣的認證,
(想試的人,請先確定原本Openwebmail的auth_unix的認證方式已經ok,
還有,要像日京三子所貼,有一個運作正常的LDAP Server,其中包含兩個最重要的 ou - Group & People)

1-1 auth_pam.pl

先安裝這個模組:

http://www.perl.com/CPAN/authors/id/N/NI/NIKIP/Authen-PAM-0.14.tar.gz

perl Makefile.PL
make
make install

要確認安裝過程沒有錯誤。

修改 /var/www/cgi-bin/openwebmail/etc/openwebmail.conf

domainnames                     autol
auth_module                     auth_pam.pl


修改 /var/www/cgi-bin/openwebmail/etc/defaults/auth_pam.conf

servicename                             openwebmail
passwdfile_plaintext                   /etc/passwd
check_nologin                           no
check_shell                               no
check_cobaltuser                       no

修改 /var/www/cgi-bin/openwebmail/auth_pam.pl

如果不想設定/var/www/cgi-bin/openwebmail/etc/defaults/auth_pam.conf
直接把底下兩行改成
my $servicename = "openwebmail";
my $passwdfile_plaintext = "/etc/passwd";

這是原本的,不改的話,比較符合原著的彈性設計:
my $servicename = $conf{'servicename'} || "openwebmail";
my $passwdfile_plaintext = $conf{'passwdfile_plaintext'} || "/etc/passwd";

接著,產生一個 /etc/pam.d/openwebmail  的檔案,內容為:

#%PAM-1.0
auth       sufficient   /lib/security/$ISA/pam_ldap.so
auth       required   /lib/security/$ISA/pam_unix.so
account    required   /lib/security/$ISA/pam_unix.so
account    sufficient     /lib/security/$ISA/pam_ldap.so

好的,關鍵來了,touch /var/www/cgi-bin/openwebmail/openwebmail*.pl
(因為少了這個動作,害我搞了一個下午 :oops: )

好的,可以試試看了~

附註:我在想,因為先前已經改過 /etc/pam.d/system-auth 所以,我覺得不用另外生一個openwebmail的檔案,我先試試看,如果可以再回報上來。

還有,透過pam,再透過ldap認證,給它好像有點.....文雅一點,捨近求遠..我覺得啦~

1-2 auth_ldap.pl

這個比較簡單,

修改 /var/www/cgi-bin/openwebmail/etc/openwebmail.conf

domainnames                     autol
auth_module                     auth_ldap.pl

修改 /var/www/cgi-bin/openwebmail/etc/defaults/auth_ldap.conf

#
# config file for auth_ldap.pl
#

ldaphost    your.LDAP.SERVER.IP # LDAP SERVER IP
ou             People                      # LDAP ORGANIZATIONAL UNIT
cn             Manager                    # LDAP USER
dc1           FIRSTDC                    # FIRST DC
dc2           SECONDDC                # SECOND DC
password   PASSWORD        # LDAP PASSWORD

大概就是這樣囉,注意喔!僅.供.參.考.~
因為我自己在測試的時候,並不是所有的帳號都可以順利進入OWM,
像我有一個spammer的測試帳號,可以登入系統,但是登入OWM時會有:

無法建立使用者目錄! /home/spammer/mail (Permission denied)

2. http的ldap認證:

/etc/httpd/conf/httpd.conf

確定要有這兩樣模組:
LoadModule ldap_module modules/mod_ldap.so
LoadModule auth_ldap_module modules/mod_auth_ldap.so

然後在你要認證的地方,加入這些內容:

<Directory "/var/www/html/phpBB2">
    Order allow,deny
    Allow from all
    AuthName "phpBB2 LDAP auth"
    AuthType Basic
    AuthLDAPEnabled on
    AuthLDAPURL ldap://www.fz150n.local/ou=People,dc=fz150n,dc=local?uid?one
    AuthLDAPAuthoritative on
    require valid-user
</Directory>

下次只要有人想要存取這個網頁的時候,就會出現認證的對話框。

最後最後,小弟再度強調,因為是初學者,所以,貼出來的做法並不是最好最保險的,如果照作,可能也沒有辦法很順利完成這些工作,因此還是希望前輩們能出來指正,初學者也能一窺LDAP的奧秘,好嗎?[/list]

u_n_i:

fz150n:
休假兩天,想要把LDAP搞懂一點,結果,沒有什麼進展,
按照歐來禮那本書的設定,好不容易弄了kerberos來用,
結果,才發現這陣子kerberos出了紕漏,不知該不該繼續...

不過,我有試著裝一台Win 2000 server with AD,
然後在FEDORA上面,試著用Browser把AD的資料拉出來,
結果真的是可以的(哈~我比較笨)
basedn大概就是像dc=fz150n,dc=local
credential的部分,可以用CN=Administrator,CN=Users,$basedn
密碼的話,就用simple,然後輸入當初設定的administrator的密碼,
接著就可以把AD底下的資料全抓出來,甚至修改。

我打算這禮拜把smbldap弄起來,看看自己可不可以把AD全部移轉到FEDORA,
我想,這版上一定有人做出來了,如果願意的話,希望你們也可以分享一下,
如果沒人回應,我會試著把它做出來,然後貼出來大家分享。

呵呵~只是希望啦,Linux實在太強,太有趣了.....

對了,有個東西很好用:Softerra LDAP Administrator
網址在這裡:
http://download.softerra.com/ldap/index.html
我在w2k用這套測試openldap&AD,
個人覺得是所有類似工具裡面最好用的啦,
大家可以試試看,真的不錯,記得去註冊一個試用帳號喔!

SaPow:

--- 引述: "fz150n" ---

對了,有個東西很好用:Softerra LDAP Administrator
網址在這裡:
http://download.softerra.com/ldap/index.html
我在w2k用這套測試openldap&AD,
個人覺得是所有類似工具裡面最好用的啦,
大家可以試試看,真的不錯,記得去註冊一個試用帳號喔!
--- 引用結尾 ---


之前用過~覺得速度太慢了~

個人還是覺得用
http://www.iit.edu/~gawojar/ldap/download.html
比較順手

duncanlo:
奇怪,都沒人用IBM Tivoli Directory Server,
它有內建GUI管理工具說,而且又是base on openldap的!

導覽

[0] 文章列表

[#] 下頁

[*] 上頁

前往完整版本