作者主題: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server (閱讀 26752 次)

wlhfor · « **回覆 #30 於:** 2013-12-23 12:10 »

太晚看到了,可惜沒參加到T_T

HaWay · « **回覆 #31 於:** 2013-12-23 14:16 »

引述: Niko 於 2013-12-22 20:52

寫在[domain/default]這個區段才可以

設定好後重開sssd服務，然後登出root，就可以直接使用我們在LDAP裡的帳號做登入了...

初次登場就自己打自己臉....

你試一下直接把 sssd 砍掉, rpm -e sssd
應該就不用強迫加密連線

Niko · « **回覆 #32 於:** 2013-12-23 15:59 »

哈維大大，小弟以centos6.5做測試，把sssd砍掉後要安裝nss-pam-ldapd，也就是改用nslcd來當認證服務
小弟的想法是client端能使用預設的東西就用，所以才用authconfig-gtk這種圖形介面來加入LDAP，但是它就是很討厭的一定要用TLS，LDAP的user才能夠登入

HaWay · « **回覆 #33 於:** 2013-12-26 14:55 »

對了, 請問一下

你簡報中有一頁是 group 的群組
假設 A 是資訊部, 並且是福委會, 所以

代碼: [選擇]

公司----> 資訊部 --> A
     +--> 福委會 --> A

1. 兩個 A 的實際視同一個節點或是分開的?

2.假設福委會是 group 的設定
若是我跟動資訊部 A 的資料, 福委會的 A 會根者變動嗎?

謝謝

Niko · « **回覆 #34 於:** 2013-12-27 17:30 »

報告哈維大大，
1. 實際是視為同一個節點

2. 資訊部的A跟福委會的A都是同一人啊!!所以都會一起更動的

如同小弟簡報上所報告的資訊部(d10)、客服部(d20)、福委會(d30)，這三個就是群組，d10 d20 d30就是gid

所以A要在哪個群組裡當然都可以由我們自己來決定!!

p.s. 原來那天有這麼多大大在場喔....

HaWay · « **回覆 #35 於:** 2013-12-27 17:54 »

Good~~感謝

我來研究一下

HaWay · « **回覆 #36 於:** 2013-12-30 10:42 »

請問你的 Group 是用: "Generic: Posix Group" 這個嗎??

順便問一下 Group 的資料能不能用來系統認證, 就是登入

謝謝

Niko · « **回覆 #37 於:** 2013-12-31 15:16 »

小弟附上演講裡的LDIF檔

root.ldif
#root
dn: dc=study-area,dc=com
objectclass: dcObject
objectclass: organization
dc: study-area
o: study-area.com

#login
dn: ou=Login,dc=study-area,dc=com
objectclass: organizationalUnit
ou: Login

#nologin
dn: ou=Nologin,dc=study-area,dc=com
objectclass: organizationalUnit
ou: Nologin

#people
dn: ou=People,ou=Login,dc=study-area,dc=com
objectclass: organizationalUnit
ou: People

#group
dn: ou=Group,ou=Login,dc=study-area,dc=com
objectclass: organizationalUnit
ou: Group

#資訊部
dn: ou=資訊部-d10,ou=People,ou=Login,dc=study-area,dc=com
objectclass: organizationalUnit
ou: 資訊部-d10

#客服部
dn: ou=客服部-d20,ou=People,ou=Login,dc=study-area,dc=com
objectclass: organizationalUnit
ou: 客服部-d20

user.ldif
#王大明
dn: cn=Niko_Wang 王大明,ou=資訊部-d10,ou=People,ou=Login,dc=study-area,dc=com
objectclass: inetOrgPerson
objectclass: posixAccount
objectclass: shadowAccount
cn: Niko_Wang 王大明
uid: niko_wang
uidNumber: 1001
gidNumber: 2001
userPassword: 1234
shadowLastChange: 15996
shadowMax: 99999
loginShell: /bin/bash
homeDirectory: /home/niko_wang
sn: 王
givenName: 大明
mail: niko_wang@study-area.com

#李珍珍
dn: cn=Amy_Li 李珍珍,ou=客服部-d20,ou=People,ou=Login,dc=study-area,dc=com
objectclass: inetOrgPerson
objectclass: posixAccount
objectclass: shadowAccount
cn: Amy_Li 李珍珍
uid: amy_li
uidNumber: 1002
gidNumber: 2002
userPassword: 1234
shadowLastChange: 15996
shadowMax: 99999
loginShell: /bin/bash
homeDirectory: /home/amy_li
sn: 李
givenName: 珍珍
mail: amy_li@study-area.com

group.ldif
#資訊部d10
dn: cn=d10,ou=Group,ou=Login,dc=study-area,dc=com
objectclass: posixGroup
cn: d10
gidNumber: 2001
memberUid: niko_wang

#客服部d20
dn: cn=d20,ou=Group,ou=Login,dc=study-area,dc=com
objectclass: posixGroup
cn: d20
gidNumber: 2002
memberUid: amy_li

#福委會d30
dn: cn=d30,ou=Group,ou=Login,dc=study-area,dc=com
objectclass: posixGroup
cn: d30
gidNumber: 2003
memberUid: niko_wang
memberUid: amy_li

如果單以小弟的ldif檔來說，group不能夠登入的
因為缺少了如本機裡的/etc/passwd和/etc/shadow這兩個檔裡面的屬性

HaWay · « **回覆 #38 於:** 2013-12-31 18:29 »

感謝

跟我測試的一樣, 可是看起來 group 都沒有任何屬性

請問您實際上有使用 group 的作用是什麼時候

twu2 · « **回覆 #39 於:** 2013-12-31 20:29 »

引述: HaWay 於 2013-12-31 18:29

請問您實際上有使用 group 的作用是什麼時候

應該就與一般 unix 上頭的 group 一樣.
非系統相關的 group, 其實本來就沒什麼作用 (應該說一般都不會拿來用....)

Niko · « **回覆 #40 於:** 2014-01-03 11:15 »

就像twu2大大說的，簡單來說就是unix本機的group一樣
以小弟實際經驗來說，因為工作需求常會有不同部門同事需要加入某個專案去分享檔案，搭配samba或nfs就可以達到權限的控管囉!!!
除了檔案存取權限，還可以用在sudo、radius等等的地方...

Niko · « **回覆 #41 於:** 2014-01-03 11:16 »

引述: xiang 於 2013-12-23 09:16

引述: netman 於 2013-12-22 21:46
厲害！

台南等你來喔〜〜^_^

等你喔~~

等你喔~~~~

酷!學園

最新消息: