browse ldap

wiki soporte  
** wiki Soporte
         
 

Tópicos
Linux
Redes
Routers & Enlaces
Wireless

Windows
Reparaciones
Modems
LDAP

Virus
Digesto


Otros Links
info.unsl.edu.ar:
Sistemas de Información en la UNSL


 

Estructura LDAP

10/10/2002 por -f

Actualizaciones LDAP

En inter5:/extra/ldap y los csv de brak:/extra/ldap

  • UNIX: ya estan los scripts
  • ALUMNOS: salen de los csv + alumnos.pl
  • DOCENTES: csv + profes.pl
  • PERSONAL: de hacienda
  • DNI: alumnos del csv tablon en tres archivos separados en formato "dni": $nrodoc,$tdoc[$tipodoc],$nombre,$facu,$nroemp,$servidor,$login
    • los emails de profes registrados en los csv
    • los docentes y nodocentes "descubiertos" del LDAP PERSONAL
    • los adhonorem, contratados, etc. que no estan en PERSONAL

Hay que mirar los que tiene mal el server (inter1 por linux0).

Actualizacion LDAP

 20/06/2002 por -f

Actualizamos el openldap en la inter5 a la version 2.0.24 y lo compilamos con TLS y wrappers. Ver el /etc/hosts.allow y /etc/hosts.deny para habilitarlo fuera de la UNSL.

bases:

inter1, linux0, fices: cuentas de unix
alumnos: datos de alumnos
docentes: profes (segun el sistema alumnos)
personal: de sueldos
dni: este relaciona documento con cuenta unix. Falta completar

Entonces los DN quedan como:

"ou=base,dc=unsl,dc=edu,dc=ar"

donde base es alguna de las de mas arriba.

Las bases estan en directorios separados (ver config slapd.conf) de forma que la actualizacion sea mas eficiente. Basta borrar todos los archivos del subdirectorio correspondiente. Rearrancar el slapd y hacer los ldapadd que corresponda. El primer registro ldif en agregarse tiene que ser la base:

dn: ou=base,dc=unsl,dc=edu,dc=ar objectClass: organizationalUnit ou: base

donde base es alguna de las de mas arriba.

buscador LDAP

 07/05/2002 por andrea

Una alternativa de buscador de usuarios en cualquier servidor en http://www/~persicoa/buscador.php -->

http://inter5/ldap/buscador.php

Datos de personal cargados

 14/03/2002 por -f

En inter5 pueden buscar cosas como:

todos los nodocentes de rectorado que se llamen julio:

ldapsearch -x -b "ou=personal,dc=unsl,dc=edu,dc=ar" "(&(funcion=nodocente) (dependencia=rectorado)(cn=*julio*))"

un nro y tipo de documento

ldapsearch -x -b "ou=personal,dc=unsl,dc=edu,dc=ar" "(&(nrodoc=14415687)(tipodoc=dni))"

mas detalles de ldapsearch y filtros:
http://www.novell.com/documentation/lg/nas4nw/usnas4nw/nasnwenu/ldapsrch.html

To bind or not to bind

 19/02/2002 por -f
  • creo que es mejor no bindear como el usuario mismo por problemas de control de errores.
  • necesitamos una funcion authldap(uid,grupo,passwd,acceso) donde:
    • uid es el login
    • grupo es linux0,inters,fices
    • acceso es el grupo de aceso requerido (alumno, profe, admin de algun sistema, etc.)
  • implementacion:
    • ldap connect
    • ldap bind como usuario poco privilegio (search)
    • ldap search uid=xxx,ou=grupo,ou=cuentasunix,dn=unsl,dn=edu,dn=ar
    • recuperar el atributo password (esta encryptado)
    • compararlo con el passwd parametro encryptado. hay que hacer: crypt(password,salt); donde salt son los 2 primeros chars del userPassword.
    • seguir solamente si esta bien el password:

      • ldap search uid=xxx,ou=grupo,ou=permisos,dn=unsl,dn=edu,dn=a r member="ou=acceso,dn=unsl..." (para ver si es member del grupo de acceso)
    • hay dos tipos de errores: mal password/uid y no pertenece al grupo d e acceso
  • hay que generar algun mecanismo de mantenimiento de los accesos en ldap: uid =xxx,ou=grupo(inter1,linux0,fices),ou=permisos,dn=unsl,dn=edu,dn=ar:
    • member= dn(alumnos) puede salir automaticamente del sistema alumnos
    • tipo/nro documento es un atributo y lo podrian mantener los mismos u suarios
    • member de profe, nodocentes, etc. podria salir del documento en form a automatica

    Migrar usuarios de los servidores a LDAP

     18/01/2002

    IANA nos asigno un numero OID publico. Este numero nos identifica en internet como 12135. La cadena completa OID es 1.3.6.1.4.1.12135.

    Se pueden migrar todas las cuentas de inter1, linux0, fices al servidor ldap usando los scripts que viven en inter5:/extra1/ldap.
    En el directorio ldif estan todos los archivos en este formato para crear el arbol de directorio.
    En el directorio migrate estan los scripts que mudan a ldif a los usuarios

    Probe usar mi cuenta de linux0 y fices en la inter5 y funciona! Obviamente el home de linux0/fices no se los va a montar.


    SCHEMA

     15/01/2002
    Se creo un esquema en inter5, el /usr/local/etc/openldap/schema/local.schema, para agregar atributos en la informacion del usuario como dni, actividad academica, numero de registro. Estos atributos pertenecen al objeto clase local.
    El archivo local.schema tiene la siguiente forma:

    #AHORA Base OID 1.3.6.1.4.1.12135 #Base OID 1.2.3.4
    #los tipos de atributos estan en al 1.2.3.4.1
    #las clases estan en la 1.2.3.4.2

    attributetype ( 1.2.3.4.1.1 NAME 'regNumber'
    DESC 'numero de registro de alumno'
    SYNTAX 1.3.6.1.4.1.1466.115.121.1.36{8} )

    attributetype ( 1.2.3.4.1.2 NAME 'docNumber'
    DESC 'numero de documento de alumno'
    SYNTAX 1.3.6.1.4.1.1466.115.121.1.36{10} )

    attributetype ( 1.2.3.4.1.3 NAME 'actAcad'
    DESC 'actividad academica del alumno'
    SYNTAX 1.3.6.1.4.1.1466.115.121.1.27{10} )

    objectclass ( 1.2.3.4.2.1 NAME 'local'
    DESC 'Clase local de alumnos'
    MAY 'regNumber $ docNumber $ actAcad ')

    Es IMPORTANTE dejar espacio debajo de attributetype y objectclass cuando se coloca DESC, SUP, SYNTAX.

    Este esquema debe ser agregado al /usr/local/etc/openldap/slapd.conf con la clausula include, es decir, colocar en el archivo de configuracion de slapd:

    include /usr/local/etc/openldap/schema/local.schema y reiniciar el demonio de slapd.

    si no dio error de sintaxis el schema entonces se puede usar agregando la clase en los archivos ldif y los tributos de la clase. Por ejemplo:

    dn: uid=adminis,ou=People,dc=unsl,dc=edu,dc=ar
    uid: adminis
    cn: Administracion
    objectClass: local
    objectClass: account
    objectClass: posixAccount
    objectClass: top
    userPassword: {crypt}eUzJYHoNsqgUc
    loginShell: /bin/bash
    uidNumber: 160000
    gidNumber: 1000
    homeDirectory: /home/admin
    gecos: Administracion

    aca solamente se hizo una llamada a la clase local pero no se uso ninguno de sus atributos. Para esto se tendria que haber agregado en el ejemplo

    docNumber: algo
    actAcad: algo
    regNumber: algo

    Una vez generado el archivo en formato ldif hay que agregarlo a la base ldap usando el comando: ldapadd -x -W -D "cn=Manager,dc=unsl,dc=edu,dc=ar" -f ejemplo.ldif

    con esto se esta agregado al arbol de directorio unsl.edu.ar que tiene como hijo a People que contiene un usuario con uid=adminis Siempre usar este comando para agregar informacion a ldap.

    VER INFORMACION DE LA BASE
    Usar el comando

    /usr/local/sbin/slapcat

    COMO BUSCAR INFORMACION EN LDAP?

    ldapsearch -x -b uid=login
    o simplemente
    ldapsearch -x muestra todo
    slapcat hace un dump de la base en formato ldif

    COMO REGENERAR LOS INDICES?

    slapindex

    COMO CREAR LA BASE DE DIRECTORIO Y ALGUNA OTRA CLASE?

    la base del arbol de directorio se crea generando un archivo .ldif con: crea el dominio unsl.edu.ar que pertenece a las clases dcObject ()dominio comun y a la clase organization Tambien mas abajo crea al manager de ldap (root)

    dn: dc=unsl,dc=edu,dc=ar
    objectclass: dcObject
    objectclass: organization
    o: Unsl
    dc: unsl

    dn: cn=Manager,dc=unsl,dc=edu,dc=ar
    objectclass: organizationalRole
    cn: Manager

    la clase People se crea generando un archivo .ldif con:

    dn: ou=People,dc=unsl,dc=edu,dc=ar
    objectClass: organizationalUnit
    ou: People


    por andrea

    LDAP

     07/01/2002

    WEB LDAP

    Se instalo en inter5 un browser para ver el arbol de directorio LDAP. Muestra informacion del usuario pero no sirve para crear, borrar, modificar a los usuarios. Al ser solamente un browser no autentica. El url es http://inter5/ldapxp25/home.phtml

    otro browser ldap que autentica por el manager de ldap es http://inter5/ldapexplorer la informacion del usuario manager esta /usr/local/etc/openldap/slapd.conf.

    se esta probando para que muestre el arbol de directorio de los usuarios, porque solo muestra la base del directorio que es unsl.edu.ar

    Tambien, se probo el ldapQladmin, que es otro administrador de ldap pero que tambien usa el qmail.Es un buscador de usuarios ldap. No autentica con el manager de ldap para mostrar informacion del usuario. El url es http://inter5/qladmin/index.php

    da algunos errores de coneccion a ldap, aun no se bien porque. la coneccion a ldap la hace sino no mostraria informacion de los usuarios.

    LDAP

     3/12/2001

    LDAP

    En la inter5 instale un server ldap de openldap Esta usando la berkeley db.

    Tambien instale cliente ldap, inter13, que autentica por medio de inter5 , los usuarios ldap, casi la mayoria de inter1.


    probar si quieren usuarios ldap
    y vean si los autentica. si no los autentica es porque no estan en la base de ldap.
    es solo una prueba php/ldap.

    por andrea


    por hacer: crear una base de datos de alumnos con el dni y con un campo indicando actividad academica ademas de la informacion del archivo de password. ademas, migrar a todos los usuarios a ldap en forma automatica desde el archivo de password como asi tambien a los nuevos

    -usar una aplicacion de administracion de usuarios ldap facil, para cambios de password a usuarios ldap, etc.

    18-9-2001 por -f
    En la inter14 instalamos un server ldap de openldap< Esta usando la berkeley db. Faltaria probar con los tcp wrappers: --enable-wrappers

    Nos queda probar el nss_ldap (permiter usar ldap en el /etc/nsswitch.conf), pam_ ldap. Despues se podrian poner atributos a las cuentas o hacer un grupo para restringir las login shells. Tambien habria que probar el openssh con pam para que las use.

    El auth_ldap es un modulo para aute nticar con el apache. Y las extensiones ldap para el php y poner alguna herramie nta de administracion de freshmeat.net

    		 



    comments on this topic: