作者 主題: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server  (閱讀 17210 次)

0 會員 與 1 訪客 正在閱讀本文。

wlhfor

  • 懷疑的國中生
  • **
  • 文章數: 39
    • 檢視個人資料
太晚看到了,可惜沒參加到T_T

HaWay

  • 大隻佬!
  • 老人組
  • 俺是博士!
  • *****
  • 文章數: 3977
    • 檢視個人資料

寫在[domain/default]這個區段才可以

設定好後重開sssd服務,然後登出root,就可以直接使用我們在LDAP裡的帳號做登入了... :P

初次登場就自己打自己臉.... :'(

你試一下直接把 sssd 砍掉, rpm -e sssd
應該就不用強迫加密連線
我做人那麼 nice, 肯定有什麼誤會.....

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
哈維大大,小弟以centos6.5做測試,把sssd砍掉後要安裝nss-pam-ldapd,也就是改用nslcd來當認證服務
小弟的想法是client端能使用預設的東西就用,所以才用authconfig-gtk這種圖形介面來加入LDAP,但是它就是很討厭的一定要用TLS,LDAP的user才能夠登入  :P

HaWay

  • 大隻佬!
  • 老人組
  • 俺是博士!
  • *****
  • 文章數: 3977
    • 檢視個人資料

對了, 請問一下

你簡報中有一頁是 group 的群組
假設 A 是資訊部, 並且是福委會, 所以

代碼: [選擇]
公司----> 資訊部 --> A
     +--> 福委會 --> A

1. 兩個 A 的實際視同一個節點或是分開的?

2.假設 福委會 是 group 的設定
若是我跟動 資訊部 A 的資料, 福委會的 A 會根者變動嗎?

謝謝
我做人那麼 nice, 肯定有什麼誤會.....

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
報告哈維大大,
1. 實際是視為同一個節點

2. 資訊部的A跟福委會的A都是同一人啊!!所以都會一起更動的

如同小弟簡報上所報告的資訊部(d10)、客服部(d20)、福委會(d30),這三個就是群組,d10 d20 d30就是gid

所以A要在哪個群組裡當然都可以由我們自己來決定!! ;D



p.s. 原來那天有這麼多大大在場喔.... :o
« 上次編輯: 2013-12-27 17:35 由 Niko »

HaWay

  • 大隻佬!
  • 老人組
  • 俺是博士!
  • *****
  • 文章數: 3977
    • 檢視個人資料
Good~~感謝


我來研究一下
我做人那麼 nice, 肯定有什麼誤會.....

HaWay

  • 大隻佬!
  • 老人組
  • 俺是博士!
  • *****
  • 文章數: 3977
    • 檢視個人資料
請問你的 Group 是用:   "Generic: Posix Group" 這個嗎??

順便問一下 Group 的資料能不能用來系統認證, 就是登入

謝謝
« 上次編輯: 2013-12-30 17:18 由 HaWay »
我做人那麼 nice, 肯定有什麼誤會.....

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
小弟附上演講裡的LDIF檔

root.ldif
#root
dn: dc=study-area,dc=com
objectclass: dcObject
objectclass: organization
dc: study-area
o: study-area.com

#login
dn: ou=Login,dc=study-area,dc=com
objectclass: organizationalUnit
ou: Login

#nologin
dn: ou=Nologin,dc=study-area,dc=com
objectclass: organizationalUnit
ou: Nologin

#people
dn: ou=People,ou=Login,dc=study-area,dc=com
objectclass: organizationalUnit
ou: People

#group
dn: ou=Group,ou=Login,dc=study-area,dc=com
objectclass: organizationalUnit
ou: Group

#資訊部
dn: ou=資訊部-d10,ou=People,ou=Login,dc=study-area,dc=com
objectclass: organizationalUnit
ou: 資訊部-d10

#客服部
dn: ou=客服部-d20,ou=People,ou=Login,dc=study-area,dc=com
objectclass: organizationalUnit
ou: 客服部-d20

user.ldif
#王大明
dn: cn=Niko_Wang 王大明,ou=資訊部-d10,ou=People,ou=Login,dc=study-area,dc=com
objectclass: inetOrgPerson
objectclass: posixAccount
objectclass: shadowAccount
cn: Niko_Wang 王大明
uid: niko_wang
uidNumber: 1001
gidNumber: 2001
userPassword: 1234
shadowLastChange: 15996
shadowMax: 99999
loginShell: /bin/bash
homeDirectory: /home/niko_wang
sn: 王
givenName: 大明
mail: niko_wang@study-area.com

#李珍珍
dn: cn=Amy_Li 李珍珍,ou=客服部-d20,ou=People,ou=Login,dc=study-area,dc=com
objectclass: inetOrgPerson
objectclass: posixAccount
objectclass: shadowAccount
cn: Amy_Li 李珍珍
uid: amy_li
uidNumber: 1002
gidNumber: 2002
userPassword: 1234
shadowLastChange: 15996
shadowMax: 99999
loginShell: /bin/bash
homeDirectory: /home/amy_li
sn: 李
givenName: 珍珍
mail: amy_li@study-area.com

group.ldif
#資訊部d10
dn: cn=d10,ou=Group,ou=Login,dc=study-area,dc=com
objectclass: posixGroup
cn: d10
gidNumber: 2001
memberUid: niko_wang

#客服部d20
dn: cn=d20,ou=Group,ou=Login,dc=study-area,dc=com
objectclass: posixGroup
cn: d20
gidNumber: 2002
memberUid: amy_li

#福委會d30
dn: cn=d30,ou=Group,ou=Login,dc=study-area,dc=com
objectclass: posixGroup
cn: d30
gidNumber: 2003
memberUid: niko_wang
memberUid: amy_li

如果單以小弟的ldif檔來說,group不能夠登入的
因為缺少了如本機裡的/etc/passwd和/etc/shadow這兩個檔裡面的屬性

HaWay

  • 大隻佬!
  • 老人組
  • 俺是博士!
  • *****
  • 文章數: 3977
    • 檢視個人資料
感謝

跟我測試的一樣, 可是看起來 group 都沒有任何屬性

請問您實際上有使用 group 的作用是什麼時候 ???
我做人那麼 nice, 肯定有什麼誤會.....

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5392
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
請問您實際上有使用 group 的作用是什麼時候 ???
應該就與一般 unix 上頭的 group 一樣.
非系統相關的 group, 其實本來就沒什麼作用 (應該說一般都不會拿來用....)

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
就像twu2大大說的,簡單來說就是unix本機的group一樣
以小弟實際經驗來說,因為工作需求常會有不同部門同事需要加入某個專案去分享檔案,搭配samba或nfs就可以達到權限的控管囉!!!
除了檔案存取權限,還可以用在sudo、radius等等的地方...

Niko

  • 活潑的大學生
  • ***
  • 文章數: 281
  • 性別: 男
    • 檢視個人資料
厲害!

台南等你來喔〜〜^_^

等你喔~~

等你喔~~~~