zastosowanie LDAP

Jacek Konieczny jajcus w zeus.polsl.gliwice.pl
Śro, 22 Wrz 1999, 09:21:18 CEST 

On pon, 20 wrz 1999, Bartosz Waszak wrote:

> [niedziela, 12 wrzesień 1999], Jacek Konieczny napisał(a):
> 
> >>> Jeszcze  tylko przydałby się jakiś dobry program do edycji bazy LDAP.  Ja
> >>> oglądałem kldap i gq i widzę, że wymagają  jeszcze trochę pracy. Ale może
> >>> jest coś fajnego konsolowego?
> >>
> >>  Ja widziałem tylko gq.
> > Pisałem do autora tegoż z zapytaniem, czy będzie możliwa  edycja haseł  inne
> > triki, które uzanałem za przydatne. Odpowiedział, że owszem, niestety  część
> > z  tych funkcji będzie wymagać LDAP v3  (openldap 1.x supportuje tylko  v2).
> > Jest gdzieś jakiś inny open-source serwer LDAP dla linuksa?
> 
> Jak wygląda rozwój  pldconfig (czy coś się w nim wogule rozwija ;), ja bym to
> widział   właśnie  zaimplementowane    w  samym  pldconfigu. Wiekszość rzeczy
> mogłaby  być obsługiwana  przez LDAP (interfejsy, virtualne domeny (apache ma
> chyba mod_ldap), aliasy poczty (zmailer to obsluguje)
> 
> Moja wizja pldconfig  (backend  z wszystkimi funkcjami i frontend dla konsoli
> tekstowej i dla X, oraz miedzymordzie WWW)

Ale trzeba pamietac o ty, zeby nasza baze dalo sie edytowac dowolnym, narzedziem do LDAP. Super by bylo, gdyby na przyklad mozna bylo konfigurowac PLD
narzedziami Novella od NDSu.
Ale PLD config oparty o LDAP to tez dobra rzecz.

> 
> * zarządzanie userami  i  grupami (coś a'la syscon Novellowy):    trzeba   by
> zmodyfikować pam_limits  i pam_time aby korzystał z LDAP => nie trzeba by już
> edytować tylu plików aby np: założyć usera z limitem maxlogin np 1.  Szablony
> dla tworzonych userów np:
>   - konto mail   - i z góry  ustalony  limit logowań na jedno (POP3) ,  home:
>   /dev/null, shell: /dev/null, quota na /var/mail 5Mb.
>   - konto WWW - /home/wwwusers/user, shell: /dev/null i quota 10Mb
> 
> * zarządzanie aliasami e-mail 
Na razie baze aliasow robia migration tools, wedlug RFC-2307, ale to nie wykorzystuje potencjalu LDAP. Ja znowu wykozystuje qmaila - a tam jest to zrobione
troche inaczej, a nie chcialbym, zeby PLD bylo na sztywno zwiazane z jakims konkretnym MTA. 

> 
> * synchronizacja haseł Linux<=>Samba też w LDAP (właściwie powinno  to być  w
> sekcji zarządzania userami, ale niekiedy userzy mają dostęp tylko  do samby a
> do innych usług)
Od tego jest PAM. Samba sprawdza hasla w PAMie - wiec moze spokojnie wykorzystac LDAP do autentykacji. Nie wiem tylko, czy potrafi ustawiac haslo przez PAM.

> 
> * tworzenie wirtualnych domen WWW (FTP i MAIL)
To mam czesciowo przygotowane (strona LDAP), dla apacha i qmaila.


> 
> * możliwość przydzielenia uprawnień do edycji poszczególnych konfiguracji
> różnym userom np:
>   - właścicielom poszczególnej wirtualnej domeny, czy też aliasów pocztowych
>   - zakładanie nowych userów dla danej grupy np: konto free może założyć
>     każdy przez międzymordzie WWW

To akurat niezle ulatwia LDAP. Problem jest tylko z tym, ze openldap nie
potrafi wykorzystac uid/gid uzytkownika zalogowanego do systemu do sprawdzenia
jego tozsamosci, wiec trzeba sie do LDAP logowac osobno - wiec wszystkie
zmiany musza byc interaktywne, lub hasla musialyby byc zapisane w jakis plikach.

Ewentualnie kerberos moze cos tu pomoc, ale na ten temat nie mam zielonego pojecia.

Jeszcze mozna sprobowac zrobic jakiegos  patcha.
 
> To powinno  dać takie podobne możliwości   konfiguracyjne jak linuxconf,  tak
> ustawiony  system przez kogoś kto się zna mógłby być nawet  obsługiwany przez
> zwykłych klikaczy.
> 
> * pam_homedir   -   też by   się  przydał   do zakładania   userom katalogów,
> informacje  o  języku skryptów  kopiowanych byłyby pobierane  z bazy userów w
> LDAP. Informacja  o języku też by sie  przydała do  wysyłania    informacji o
> błędach itp do danego usera.
> 
> * moduły  pldconfig mogłyby być także osiągalne z linii poleceń (na  przykład
> do przetwarzania  ze skryptu np:  zakładanie  userów o nazwie kl1oa[1-30] tak
> na szkolnym serwerze mój skrypt zaklada konta dla całej klasy.

Jest jeden problem. IMHO przejscie calkowite na LDAP nie jest najlepszym pomyslem. W wielu zastosopwaniach LDAP to za duzo. A niektorzy wola standardowe pliki
konfiguracyjne. Na razie proponowalbym zrobic to jak najbardziej przezroczyscie.

Pozdrowienia,
    Jacek

-- 
+---------+--------------------------------------------------------+
!      ,  !            Jacek Konieczny, Gliwice, Poland            !      
! Jajcus  !   email: jajcus w zeus.polsl.gliwice.pl, jacek w kde.org   !
!         ! ICQ# 7149127                           WWW: none (yet) !
+---------+--------------------------------------powered-by-Linux--+

Więcej informacji o liście dyskusyjnej pld-devel-pl