wiki soporte |
** | wiki Soporte |
Tópicos |
Actualizaciones LDAP
En inter5:/extra/ldap y los csv de brak:/extra/ldap
Hay que mirar los que tiene mal el server (inter1 por linux0).
Actualizamos el openldap en la inter5 a la version 2.0.24 y lo compilamos con TLS y wrappers. Ver el /etc/hosts.allow y /etc/hosts.deny para habilitarlo fuera de la UNSL.
bases:
inter1, linux0, fices: cuentas de unix
Entonces los DN quedan como:
"ou=base,dc=unsl,dc=edu,dc=ar"
donde base es alguna de las de mas arriba.
Las bases estan en directorios separados (ver config slapd.conf) de forma que la actualizacion sea mas eficiente. Basta borrar todos los archivos del subdirectorio correspondiente. Rearrancar el slapd y hacer los ldapadd que corresponda. El primer registro ldif en agregarse tiene que ser la base:
dn: ou=base,dc=unsl,dc=edu,dc=ar
objectClass: organizationalUnit
ou: base
donde base es alguna de las de mas arriba.
Una alternativa de buscador de usuarios en cualquier servidor en http://www/~persicoa/buscador.php -->
En inter5 pueden buscar cosas como:
todos los nodocentes de rectorado que se llamen julio:
ldapsearch -x -b "ou=personal,dc=unsl,dc=edu,dc=ar" "(&(funcion=nodocente)
(dependencia=rectorado)(cn=*julio*))"
un nro y tipo de documento
ldapsearch -x -b "ou=personal,dc=unsl,dc=edu,dc=ar" "(&(nrodoc=14415687)(tipodoc=dni))"
mas detalles de ldapsearch y filtros:
IANA nos asigno un numero OID publico. Este numero nos identifica en internet como 12135.
La cadena completa OID es 1.3.6.1.4.1.12135.
Se pueden migrar todas las cuentas de inter1, linux0, fices al servidor ldap
usando los scripts que viven en inter5:/extra1/ldap.
Probe usar mi cuenta de linux0 y fices en la inter5 y funciona!
Obviamente el home de linux0/fices no se los va a montar.
#AHORA Base OID 1.3.6.1.4.1.12135
#Base OID 1.2.3.4
attributetype ( 1.2.3.4.1.1 NAME 'regNumber'
attributetype ( 1.2.3.4.1.2 NAME 'docNumber'
attributetype ( 1.2.3.4.1.3 NAME 'actAcad'
objectclass ( 1.2.3.4.2.1 NAME 'local'
Es IMPORTANTE dejar espacio debajo de attributetype y objectclass
cuando se coloca DESC, SUP, SYNTAX.
Este esquema debe ser agregado al /usr/local/etc/openldap/slapd.conf
con la clausula include, es decir, colocar en el archivo de configuracion de slapd:
include /usr/local/etc/openldap/schema/local.schema
y reiniciar el demonio de slapd.
si no dio error de sintaxis el schema entonces se puede usar agregando
la clase en los archivos ldif y los tributos de la clase.
Por ejemplo:
dn: uid=adminis,ou=People,dc=unsl,dc=edu,dc=ar
aca solamente se hizo una llamada a la clase local pero no se uso ninguno de sus atributos. Para esto se tendria que haber agregado en el ejemplo
docNumber: algo
Una vez generado el archivo en formato ldif hay que agregarlo a la base
ldap usando el comando:
ldapadd -x -W -D "cn=Manager,dc=unsl,dc=edu,dc=ar" -f ejemplo.ldif
con esto se esta agregado al arbol de directorio unsl.edu.ar que tiene como hijo a People que contiene un usuario con uid=adminis
Siempre usar este comando para agregar informacion a ldap.
VER INFORMACION DE LA BASE
/usr/local/sbin/slapcat
COMO BUSCAR INFORMACION EN LDAP?
ldapsearch -x -b
COMO REGENERAR LOS INDICES?
slapindex
COMO CREAR LA BASE DE DIRECTORIO Y ALGUNA OTRA CLASE?
la base del arbol de directorio se crea generando un archivo .ldif con:
crea el dominio unsl.edu.ar que pertenece a las clases dcObject ()dominio comun
y a la clase organization
Tambien mas abajo crea al manager de ldap (root)
dn: dc=unsl,dc=edu,dc=ar
dn: cn=Manager,dc=unsl,dc=edu,dc=ar
la clase People se crea generando un archivo .ldif con:
dn: ou=People,dc=unsl,dc=edu,dc=ar
WEB LDAP
Se instalo en inter5 un browser para ver el arbol de directorio LDAP.
Muestra informacion del usuario pero
no sirve para crear, borrar, modificar a los usuarios.
Al ser solamente un browser no autentica.
El url es http://inter5/ldapxp25/home.phtml
otro browser ldap que autentica por el manager de ldap es http://inter5/ldapexplorer
la informacion del usuario manager esta /usr/local/etc/openldap/slapd.conf.
se esta probando para que muestre el arbol de directorio de los usuarios, porque solo muestra la base del directorio que es unsl.edu.ar
Tambien, se probo el ldapQladmin, que es otro administrador de ldap pero que tambien usa el qmail.Es un buscador de usuarios ldap.
No autentica con el manager de ldap para mostrar informacion del usuario.
El url es http://inter5/qladmin/index.php
da algunos errores de coneccion a ldap, aun no se bien porque.
la coneccion a ldap la hace sino no mostraria informacion de los usuarios.
LDAP
En la inter5 instale un server ldap de openldap Esta usando la berkeley db.
Tambien instale cliente ldap, inter13, que autentica por medio de inter5 , los
usuarios ldap, casi la mayoria de inter1.
por andrea
por hacer:
crear una base de datos de alumnos con el dni y con un campo indicando actividad academica ademas de la informacion del archivo de password.
ademas, migrar a todos los usuarios a ldap en forma automatica desde el archivo de password como asi tambien a los nuevos
-usar una aplicacion de administracion de usuarios ldap facil, para cambios de password a usuarios ldap, etc.
18-9-2001
por -f
Nos queda probar el nss_ldap (permiter usar ldap en el /etc/nsswitch.conf), pam_
ldap. Despues se podrian poner atributos a las cuentas o hacer un grupo para
restringir las login shells. Tambien habria que probar el openssh con pam para
que las use.
El auth_ldap es un modulo para aute
nticar con el apache. Y las extensiones ldap para el php y poner alguna herramie
nta de administracion de freshmeat.net
|