zdravim
chtel bych se zeptat, zda nekdo nemate nejaky solidni informacni zdroj, jak nastavit SUSE 10.2 jako LDAP klient pro autentizaci proti openldap serveru (ten bezi na freebsd). Nemohu nikde najit nejake solidni info jak na to.
dekuji
22. Srpen 2007
#1
LDAP client proti openldap
Veškeré nastavení LDAP pro autentizaci lze udělat přes Yast. Záleží na tom, jestli na freebsd již LDAP server funguje jako autentizační nebo ještě ne. Pdle toho se buď server zkonfiguruje nebo se již konfigurovat nebude. V YaST/Síťové služby/Klient LDAP je vše dobře okomentováno. Případně pro prohlížení obsahu LDAP serveru lze použít YaST/Síťové služby/LDAP prohlížeč.
Při správě LDAP serveru je potřeba rozumět základním pojmům, jako jsou "základna DN", "administrační DN" a vědět základy o struktuře dat v LDAP. Já jsem ve svých začátcích používání LDAP vycházel z popisu LDAP v knize "Linux programujeme profesionálně", kde je celá jedna kapitola věnovaná instalaci a nastavení LDAP serveru.
První rozchození jsem provedl na SuSE 9.2 a nyní již mi komunikace chodí včetně šifrování TLS.
Dlouho mi trvalo než jsem ze všech popisů pochopil jak jsou data organizována a jak se k nim přistupuje. Ve chvíli, kdy jsem toto překonal, tak už bylo vše jasné a další už bylo pouze otázkou technického řešení.
Přeji příjemné a vrušující bádání.
Ldap uz v tuto chvili funguje jako autentizacni server pro ftp, weby atp. Ne pro logovani do SUSE. Samotnemu LDAPu rouzmim dobre, pouzivam ho jiz drahnou dobu. Dekuji za odkaz na knihu, snad tam naleznu nejakou radu. A na zaver snad vlezly dotaz. Myslite, ze by bylo mozne se k Vam vydat a mrknout, jak to vlastne funguje ? ZAjima me i chovani kdyz je klient offline. Jsou ty ucty nakesovane ? Proste spousta otazek.
dekuji
Nejprve k té návštěvě. Tuto věc jsem řešil v rámci zakázky, kterou firma dělá pro specifického zákazníka a náhodná návštěva zde není žádoucí. Sám za sebe, pokud budu schopen Vám nějak poradit, tak v tom problém nevidím.
Pokud je klient offline tak se nepřihlásí. Kešování jsem zatím nezkoumal. Naposledy jsem zkoumal pamatování si starých hesel, aby uživatel byl nucen po vypršení platnosti hesla točit minimálně N hesel. Tady je jeden nedoraz PAMu. Použitá hesla se neukládají do LDAP, ale na PC přes který bylo heslo změněno. Pokud tedy uživatel si v síti své heslo změní pokaždé na jiném PC, dojde k nekonzistentnosti zapamatovaných starých hesel na různých PC pro téhož uživatele.
Pokud již používáte LDAP pro ftp, weby atd a autentizace používá PAM, tak Vám už vlastně autentizace chodí. Pokud ale tyto programy autentizaci provádějí pomocí vlastního přístupu k LDAP, tak je potřeba systémovou autentizaci rozchodit.
Přeji příjemný den.
Diky za info. Moje weby a ftp opravdu delaji autentizaci pomoci vlastniho pristupu do LDAPu. Trochu jsem prekvapen, ze nefunguje zalogovani offline klienta, prece jen jsem to chtel nasadit i na notebookach. No, snad se reseni najde. Zacnu tedy na te autentizaci klenta pracovat a dam Vam vedet, jak jsem dopadl. Zatim ale v kazdem pripade dekuji.
Tak mě napadlo, že by offline autentizace mohla jít udělat pomocí replikace dat mezi LDAP servery. Na každém PC by běžel vlastní LDAP server a tem by měl nastavenu adresu na hlavní LDAP server sítě. Z něho by si replikoval data. Replikaci dat jsem však ještě nezkoušel. Neměl jsem k tomu důvod.
Replikaci delam, mezi servery, ale zda se mi to moc velky kanon na vrabce, mit zreplikovanej ldap lokalne. Sand bude snazzsi cesta.