酷!學園

活動相關 => 活動/聚會區 => 主題作者是: xiang 於 2013-12-04 09:02

主題: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: xiang2013-12-04 09:02
主題:
輕鬆搞定ldap server

議程簡介 : 架設一台ldap server就是要這麼簡單,另外示範如何使用Linux client login
               本次偏實作方式,不過....
               需要基礎嗎?  不用~
               需要寫筆記嗎?  不用~
               需要一步步跟著做嗎?  不用~
               只需要把您的零食、飲料準備好即可   (怕冷者可自帶棉被)

講師簡介 :
NIKO
只是一位經驗淺薄的小小MIS

時間:
        2013 年 12 月 21 日 (星期六)
        下午 14:00 ~ 16:30
        時間規劃: 2.5 hr

地點:
國立臺灣大學進修推廣部 台北市羅斯福路四段107號 303教室
此地點位於羅斯福路上靠近基隆路口

費用:
0 -

地理位置/交通路線:
http://training.dpd.ntu.edu.tw/NTU/Portal/ntumap.htm

活動報名網址:
http://samc.study-area.org/registry/add/142

主辦單位:
        酷學園

協辦單位:
        台灣網路資訊中心(TWNIC) http://www.twnic.net.tw/
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: netman2013-12-06 19:12
讚!
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: xiang2013-12-06 21:16
讚!

記得要到喔!
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: willie02202013-12-09 17:11
抱歉久沒參加 study-area 的活動,想請問一下需要事先報名嗎?因為我看了一下活動報名網址沒有報名的按鈕 XD
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: TWASA2013-12-09 17:17
活動報名網址的連結好像需要修改
http://samc.study-area.org/registry/add/142 (http://samc.study-area.org/registry/add/142)
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: xiang2013-12-10 06:50
抱歉久沒參加 study-area 的活動,想請問一下需要事先報名嗎?因為我看了一下活動報名網址沒有報名的按鈕 XD

已修改網址  麻煩再試一下  ^^
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: xiang2013-12-10 06:50
活動報名網址的連結好像需要修改
http://samc.study-area.org/registry/add/142 (http://samc.study-area.org/registry/add/142)

修改了  謝謝你~ ^^
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: Niko2013-12-11 17:22
=O=





 .
 .
 .
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: HaWay2013-12-11 22:28
=O=





 .
 .
 .

第一次總是比較痛得
眼睛閉一閉很快就過去的~~
再說!還有兩大高手阿翔跟三子在場~~
放心啦~~~~
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: xiang2013-12-12 09:12
=O=





 .
 .
 .

第一次總是比較痛得
眼睛閉一閉很快就過去的~~
再說!還有兩大高手阿翔跟三子在場~~
放心啦~~~~


是緊 還是張開?


Netman喜歡緊的
我還不確定會不會加班..........
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: Niko2013-12-12 14:37
高手雲集.....那小弟不就是在關公面前耍大刀....

我整個都倒縮起來了..... ="=
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: HaWay2013-12-12 14:55
嚇你的啦~~

當天他們都不會去 我會叫他們戴面具
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: black_cat2013-12-13 10:51
加油~~~上台就對了~
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: xiang2013-12-13 11:33
加油~~~上台就對了~

加油~~~上台就對了~
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: netman2013-12-13 13:14
加油~~~上台就對了~

加油~~~上台就對了~

加油~~~上就對了~
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: TWASA2013-12-13 17:18
加油~~~上就對了~
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: 日京三子2013-12-18 14:34
=O=





 .
 .
 .

第一次總是比較痛得
眼睛閉一閉很快就過去的~~
再說!還有兩大高手阿翔跟三子在場~~
放心啦~~~~

其實你不用緊張,你要先面對的是簡報要寫些什麼......
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: Niko2013-12-18 16:13
報告三子大,小抄我已經差不多準備好了
啊!不對,是PPT差不多完成了... XD
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: xiang2013-12-18 17:19
報告三子大,小抄我已經差不多準備好了
啊!不對,是PPT差不多完成了... XD

三子大有很多話想跟你說.........
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: HaWay2013-12-19 08:26
報告三子大,小抄我已經差不多準備好了
啊!不對,是PPT差不多完成了... XD

三子大有很多話想跟你說.........

上台說吧~~
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: 日京三子2013-12-19 09:55
報告三子大,小抄我已經差不多準備好了
啊!不對,是PPT差不多完成了... XD

三子大有很多話想跟你說.........

上台說吧~~

咦?要說什麼??
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: xiang2013-12-19 10:22
報告三子大,小抄我已經差不多準備好了
啊!不對,是PPT差不多完成了... XD

三子大有很多話想跟你說.........



上台說吧~~

咦?要說什麼??


你不用主題也可以講三天三夜
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: 日京三子2013-12-19 13:11
報告三子大,小抄我已經差不多準備好了
啊!不對,是PPT差不多完成了... XD
三子大有很多話想跟你說.........
上台說吧~~
咦?要說什麼??
你不用主題也可以講三天三夜
這只有翔哥做得到,我可不行啊~~ (攤手
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: xiang2013-12-19 22:52
報告三子大,小抄我已經差不多準備好了
啊!不對,是PPT差不多完成了... XD
三子大有很多話想跟你說.........
上台說吧~~
咦?要說什麼??
你不用主題也可以講三天三夜
這只有翔哥做得到,我可不行啊~~ (攤手


我頂多只能講三分鐘
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: xiang2013-12-21 10:24
就在今天  大家記得來唷
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: treble2013-12-21 19:58
今日收獲良多
感謝分享
 
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: Niko2013-12-22 20:52
treble大大也有來啊!! 沒想到昨天有很多大大到場....
真的是金歹勢,這麼冷的天氣來看小弟的處女秀+打臉秀 XD
最後login的部份都是小弟太緊張了,浪費了那麼多時間
小弟在這把最後的部份補完....

因為server憑證是亂做的,client預設也是會去檢查憑證的正確性,所以我們要做的就是"不管憑證是否正確,只要有server發的憑證就走TLS連線"
cetnos/rhel 6版後內建是使用系統安全性服務SSSD (System Security Services Daemon),這一套管理身份驗證的機制,所以我們也要去修改它,不要讓它去檢查憑證。

小弟後來檢查server的log,
LDAP slapd[2408]: conn=1005 fd=16 ACCEPT from IP=192.168.100.2:54521 (IP=0.0.0.0:389)
LDAP slapd[2408]: conn=1005 op=0 EXT oid=1.3.6.1.4.1.1466.20037
LDAP slapd[2408]: conn=1005 op=0 STARTTLS
LDAP slapd[2408]: conn=1005 op=0 RESULT oid= err=0 text=
LDAP slapd[2408]: conn=1005 fd=16 TLS established tls_ssf=256 ssf=256
LDAP slapd[2408]: conn=1005 fd=16 closed (connection lost)

奇怪,明明有連線但為什麼會被中斷呢?!   一下就想到,沒有錯,就是因為client發現server發的憑證是假的,所以主動切斷連線。

再來回到client上看sssd的設定檔發現,
[domain/default]
ldap_id_use_start_tls = True
cache_credentials = True
ldap_search_base = dc=study-area,dc=com
krb5_realm = EXAMPLE.COM
krb5_server = kerberos.example.com
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldap://192.168.100.1
ldap_tls_cacertdir = /etc/openldap/cacerts
[sssd]
services = nss, pam
config_file_version = 2
ldap_tls_reqcert = never
domains = default

原來小弟把設定參數寫錯地方了,正確應該是要
[domain/default]
ldap_tls_reqcert = never

寫在[domain/default]這個區段才可以

設定好後重開sssd服務,然後登出root,就可以直接使用我們在LDAP裡的帳號做登入了... :P

初次登場就自己打自己臉.... :'(
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: netman2013-12-22 21:46
厲害!

台南等你來喔〜〜^_^
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: treble2013-12-23 09:13
good job
期待下一場
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: xiang2013-12-23 09:16
厲害!

台南等你來喔〜〜^_^

等你喔~~
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: wlhfor2013-12-23 12:10
太晚看到了,可惜沒參加到T_T
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: HaWay2013-12-23 14:16

寫在[domain/default]這個區段才可以

設定好後重開sssd服務,然後登出root,就可以直接使用我們在LDAP裡的帳號做登入了... :P

初次登場就自己打自己臉.... :'(

你試一下直接把 sssd 砍掉, rpm -e sssd
應該就不用強迫加密連線
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: Niko2013-12-23 15:59
哈維大大,小弟以centos6.5做測試,把sssd砍掉後要安裝nss-pam-ldapd,也就是改用nslcd來當認證服務
小弟的想法是client端能使用預設的東西就用,所以才用authconfig-gtk這種圖形介面來加入LDAP,但是它就是很討厭的一定要用TLS,LDAP的user才能夠登入  :P
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: HaWay2013-12-26 14:55

對了, 請問一下

你簡報中有一頁是 group 的群組
假設 A 是資訊部, 並且是福委會, 所以

代碼: [選擇]
公司----> 資訊部 --> A
     +--> 福委會 --> A

1. 兩個 A 的實際視同一個節點或是分開的?

2.假設 福委會 是 group 的設定
若是我跟動 資訊部 A 的資料, 福委會的 A 會根者變動嗎?

謝謝
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: Niko2013-12-27 17:30
報告哈維大大,
1. 實際是視為同一個節點

2. 資訊部的A跟福委會的A都是同一人啊!!所以都會一起更動的

如同小弟簡報上所報告的資訊部(d10)、客服部(d20)、福委會(d30),這三個就是群組,d10 d20 d30就是gid

所以A要在哪個群組裡當然都可以由我們自己來決定!! ;D



p.s. 原來那天有這麼多大大在場喔.... :o
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: HaWay2013-12-27 17:54
Good~~感謝


我來研究一下
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: HaWay2013-12-30 10:42
請問你的 Group 是用:   "Generic: Posix Group" 這個嗎??

順便問一下 Group 的資料能不能用來系統認證, 就是登入

謝謝
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: Niko2013-12-31 15:16
小弟附上演講裡的LDIF檔

root.ldif
#root
dn: dc=study-area,dc=com
objectclass: dcObject
objectclass: organization
dc: study-area
o: study-area.com

#login
dn: ou=Login,dc=study-area,dc=com
objectclass: organizationalUnit
ou: Login

#nologin
dn: ou=Nologin,dc=study-area,dc=com
objectclass: organizationalUnit
ou: Nologin

#people
dn: ou=People,ou=Login,dc=study-area,dc=com
objectclass: organizationalUnit
ou: People

#group
dn: ou=Group,ou=Login,dc=study-area,dc=com
objectclass: organizationalUnit
ou: Group

#資訊部
dn: ou=資訊部-d10,ou=People,ou=Login,dc=study-area,dc=com
objectclass: organizationalUnit
ou: 資訊部-d10

#客服部
dn: ou=客服部-d20,ou=People,ou=Login,dc=study-area,dc=com
objectclass: organizationalUnit
ou: 客服部-d20

user.ldif
#王大明
dn: cn=Niko_Wang 王大明,ou=資訊部-d10,ou=People,ou=Login,dc=study-area,dc=com
objectclass: inetOrgPerson
objectclass: posixAccount
objectclass: shadowAccount
cn: Niko_Wang 王大明
uid: niko_wang
uidNumber: 1001
gidNumber: 2001
userPassword: 1234
shadowLastChange: 15996
shadowMax: 99999
loginShell: /bin/bash
homeDirectory: /home/niko_wang
sn: 王
givenName: 大明
mail: niko_wang@study-area.com

#李珍珍
dn: cn=Amy_Li 李珍珍,ou=客服部-d20,ou=People,ou=Login,dc=study-area,dc=com
objectclass: inetOrgPerson
objectclass: posixAccount
objectclass: shadowAccount
cn: Amy_Li 李珍珍
uid: amy_li
uidNumber: 1002
gidNumber: 2002
userPassword: 1234
shadowLastChange: 15996
shadowMax: 99999
loginShell: /bin/bash
homeDirectory: /home/amy_li
sn: 李
givenName: 珍珍
mail: amy_li@study-area.com

group.ldif
#資訊部d10
dn: cn=d10,ou=Group,ou=Login,dc=study-area,dc=com
objectclass: posixGroup
cn: d10
gidNumber: 2001
memberUid: niko_wang

#客服部d20
dn: cn=d20,ou=Group,ou=Login,dc=study-area,dc=com
objectclass: posixGroup
cn: d20
gidNumber: 2002
memberUid: amy_li

#福委會d30
dn: cn=d30,ou=Group,ou=Login,dc=study-area,dc=com
objectclass: posixGroup
cn: d30
gidNumber: 2003
memberUid: niko_wang
memberUid: amy_li

如果單以小弟的ldif檔來說,group不能夠登入的
因為缺少了如本機裡的/etc/passwd和/etc/shadow這兩個檔裡面的屬性
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: HaWay2013-12-31 18:29
感謝

跟我測試的一樣, 可是看起來 group 都沒有任何屬性

請問您實際上有使用 group 的作用是什麼時候 ???
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: twu22013-12-31 20:29
請問您實際上有使用 group 的作用是什麼時候 ???
應該就與一般 unix 上頭的 group 一樣.
非系統相關的 group, 其實本來就沒什麼作用 (應該說一般都不會拿來用....)
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: Niko2014-01-03 11:15
就像twu2大大說的,簡單來說就是unix本機的group一樣
以小弟實際經驗來說,因為工作需求常會有不同部門同事需要加入某個專案去分享檔案,搭配samba或nfs就可以達到權限的控管囉!!!
除了檔案存取權限,還可以用在sudo、radius等等的地方...
主題: Re: 2013 12月份 SA@Taipei 12/21(六) 輕鬆搞定 LDAP Server
作者: Niko2014-01-03 11:16
厲害!

台南等你來喔〜〜^_^

等你喔~~

等你喔~~~~