[筆記]LDAP服務實做筆記! (一)

技術討論區 > LDAP 討論區

[筆記]LDAP服務實做筆記! (一)

<< < (2/4) > >>

fz150n:
感謝日京三子，您真是太用心了！繼續繼續～

小弟看的也是同一本書，不過，剛開始弄的時候，還弄到不能登入，
搞到後來才又重灌。

後來到版上貼了之後，沒有得到我想要的答案，因此，我又搞了一陣子
才順利了一點。

我想，順便共襄盛舉一下，雖然我也搞不清楚在Fedora上面這樣做有什麼風險，不過，我也只是想學習一下LDAP的原理及運作，所以，我把其他我會的部分，也貼出來大家參考：

1. Openwebmail 2.40 + OpenLDAP on Linux Fedora Core 2

首先，參考文章之後，我發現總共有兩個方式可以做這樣的認證，
（想試的人，請先確定原本Openwebmail的auth_unix的認證方式已經ok，
還有，要像日京三子所貼，有一個運作正常的LDAP Server，其中包含兩個最重要的 ou - Group & People）

1-1 auth_pam.pl

先安裝這個模組：

http://www.perl.com/CPAN/authors/id/N/NI/NIKIP/Authen-PAM-0.14.tar.gz

perl Makefile.PL
make
make install

要確認安裝過程沒有錯誤。

修改 /var/www/cgi-bin/openwebmail/etc/openwebmail.conf

domainnames autol
auth_module auth_pam.pl

修改 /var/www/cgi-bin/openwebmail/etc/defaults/auth_pam.conf

servicename openwebmail
passwdfile_plaintext /etc/passwd
check_nologin no
check_shell no
check_cobaltuser no

修改 /var/www/cgi-bin/openwebmail/auth_pam.pl

如果不想設定/var/www/cgi-bin/openwebmail/etc/defaults/auth_pam.conf
直接把底下兩行改成
my $servicename = "openwebmail";
my $passwdfile_plaintext = "/etc/passwd";

這是原本的，不改的話，比較符合原著的彈性設計：
my $servicename = $conf{'servicename'} || "openwebmail";
my $passwdfile_plaintext = $conf{'passwdfile_plaintext'} || "/etc/passwd";

接著，產生一個 /etc/pam.d/openwebmail 的檔案，內容為：

#%PAM-1.0
auth sufficient   /lib/security/$ISA/pam_ldap.so
auth required   /lib/security/$ISA/pam_unix.so
account required   /lib/security/$ISA/pam_unix.so
account sufficient     /lib/security/$ISA/pam_ldap.so

好的，關鍵來了，touch /var/www/cgi-bin/openwebmail/openwebmail*.pl
（因為少了這個動作，害我搞了一個下午 :oops: ）

好的，可以試試看了～

附註：我在想，因為先前已經改過 /etc/pam.d/system-auth 所以，我覺得不用另外生一個openwebmail的檔案，我先試試看，如果可以再回報上來。

還有，透過pam，再透過ldap認證，給它好像有點.....文雅一點，捨近求遠..我覺得啦～

1-2 auth_ldap.pl

這個比較簡單，

修改 /var/www/cgi-bin/openwebmail/etc/openwebmail.conf

domainnames autol
auth_module auth_ldap.pl

修改 /var/www/cgi-bin/openwebmail/etc/defaults/auth_ldap.conf

#
# config file for auth_ldap.pl
#

ldaphost your.LDAP.SERVER.IP # LDAP SERVER IP
ou People # LDAP ORGANIZATIONAL UNIT
cn Manager # LDAP USER
dc1 FIRSTDC # FIRST DC
dc2 SECONDDC # SECOND DC
password   PASSWORD # LDAP PASSWORD

大概就是這樣囉，注意喔！僅.供.參.考.～
因為我自己在測試的時候，並不是所有的帳號都可以順利進入OWM，
像我有一個spammer的測試帳號，可以登入系統，但是登入OWM時會有：

無法建立使用者目錄! /home/spammer/mail (Permission denied)

2. http的ldap認證：

/etc/httpd/conf/httpd.conf

確定要有這兩樣模組：
LoadModule ldap_module modules/mod_ldap.so
LoadModule auth_ldap_module modules/mod_auth_ldap.so

然後在你要認證的地方，加入這些內容：

<Directory "/var/www/html/phpBB2">
Order allow,deny
Allow from all
AuthName "phpBB2 LDAP auth"
AuthType Basic
AuthLDAPEnabled on
AuthLDAPURL ldap://www.fz150n.local/ou=People,dc=fz150n,dc=local?uid?one
AuthLDAPAuthoritative on
require valid-user
</Directory>

下次只要有人想要存取這個網頁的時候，就會出現認證的對話框。

最後最後，小弟再度強調，因為是初學者，所以，貼出來的做法並不是最好最保險的，如果照作，可能也沒有辦法很順利完成這些工作，因此還是希望前輩們能出來指正，初學者也能一窺LDAP的奧秘，好嗎？[/list]

u_n_i:

fz150n:
休假兩天，想要把LDAP搞懂一點，結果，沒有什麼進展，
按照歐來禮那本書的設定，好不容易弄了kerberos來用，
結果，才發現這陣子kerberos出了紕漏，不知該不該繼續...

不過，我有試著裝一台Win 2000 server with AD，
然後在FEDORA上面，試著用Browser把AD的資料拉出來，
結果真的是可以的（哈～我比較笨）
basedn大概就是像dc=fz150n,dc=local
credential的部分，可以用CN=Administrator,CN=Users,$basedn
密碼的話，就用simple，然後輸入當初設定的administrator的密碼，
接著就可以把AD底下的資料全抓出來，甚至修改。

我打算這禮拜把smbldap弄起來，看看自己可不可以把AD全部移轉到FEDORA，
我想，這版上一定有人做出來了，如果願意的話，希望你們也可以分享一下，
如果沒人回應，我會試著把它做出來，然後貼出來大家分享。

呵呵～只是希望啦，Linux實在太強，太有趣了.....

對了，有個東西很好用：Softerra LDAP Administrator
網址在這裡：
http://download.softerra.com/ldap/index.html
我在w2k用這套測試openldap&AD，
個人覺得是所有類似工具裡面最好用的啦，
大家可以試試看，真的不錯，記得去註冊一個試用帳號喔！

SaPow:

--- 引述: "fz150n" ---

對了，有個東西很好用：Softerra LDAP Administrator
網址在這裡：
http://download.softerra.com/ldap/index.html
我在w2k用這套測試openldap&AD，
個人覺得是所有類似工具裡面最好用的啦，
大家可以試試看，真的不錯，記得去註冊一個試用帳號喔！
--- 引用結尾 ---

之前用過~覺得速度太慢了~

個人還是覺得用
http://www.iit.edu/~gawojar/ldap/download.html
比較順手

duncanlo:
奇怪,都沒人用IBM Tivoli Directory Server,
它有內建GUI管理工具說,而且又是base on openldap的!

導覽

[0] 文章列表

[#] 下頁

[*] 上頁

前往完整版本