PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : LAM im Ldap-Servereinsatz



crazychris
24.07.09, 09:03
Hallo,

ich bin derzeit am Aufbau eines LDAP-Server der mit Samba arbeitet und das alles auf openSuSE 11.
Die Server (LDAP / Samba) habe inzwischen am laufen und für die LDAP Accounting Geschichte nutze ich LAM was mir recht praktisch scheint.

Jetzt muß ich aber noch einige Konfigurationen an Samba und vielleicht noch am LDAP machen wo ich noch nicht recht durchsteige.
Auch würde mich interessieren ob hier noch jemand den LAM im Einsatz hat und wir uns austauschen könnten?

Kurzinfo: bestehendes System aus diversen Servern UNIX, Linux und Win2003 auf welche über AD accounted wird. Jetzt soll der LDAP hier eingebunden werden nur weiß ich noch nicht recht wie. :ugly:
Können AD und LDAP zusammen existieren und erkeln ? Denke eher nicht, oder?

Grüße
Chris

Sam Fisher
25.07.09, 09:30
Hallo !
Hi, also dein Verwaltungstool kenne ich nicht. Ich habe eine ähnliche Konstelation bei mir laufen (Debian, Samba, LDAP, ... ) aber ich verwalte die User mit dem Kommandozeilentool smbldap*. Diese sollten auch in den openSUSE-Paketquellen zu finden sein. Aber achtung, unter 10.3 hatten die Packete davon noch einen Fehler unter den Packetabhänigkeiten. Den muss man händisch ausbessern.

Probiere mal diese Tool, Sie waren ganz praktisch.


Jetzt muß ich aber noch einige Konfigurationen an Samba und vielleicht noch am LDAP machen wo ich noch nicht recht durchsteige.
Auch würde mich interessieren ob hier noch jemand den LAM im Einsatz hat und wir uns austauschen könnten?
Naja, das ist die eigeltniche Kernaufgabe. Das installierne über YAST sollte nicht das Problem darstellen. Bei SAMBA muss du in der smb.conf angeben wie und wo die user zu finden sind.

BSP von meinem Server:

# Einstellungen für LDAP und Domänen-Controller
security = user
encrypt passwords = true
passdb backend = ldapsam:ldap://192.168.1.230:389
domain logons = yes

ldap admin dn = cn=ldapadmin,dc=e-c-o,dc=net
ldap suffix = ou=dc,ou=at,dc=e-c-o,dc=net
ldap passwd sync = yes
ldap machine suffix = ou=smbComputers
ldap User suffix = ou=smbUser
ldap Group suffix = ou=smbGroup
ldap ssl = off

add machine script = /usr/sbin/smbldap-useradd -w -i "%u"
add user script = /usr/sbin/smbldap-useradd -m "%u"
ldap delete dn = Yes
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

idmap backend = ldap:ldap://192.168.1.230:389
idmap uid = 10000-20000
idmap gid = 10000-20000


Nur so als BSP. Musste halt für deine Bedürfnisse anpassen. ;)

Kurzinfo: bestehendes System aus diversen Servern UNIX, Linux und Win2003 auf welche über AD accounted wird. Jetzt soll der LDAP hier eingebunden werden nur weiß ich noch nicht recht wie.
Können AD und LDAP zusammen existieren und erkeln ? Denke eher nicht, oder?

Klar können beide nebeneinander im Netzwerk laufen. Du kannst ja auch 2 Webserver laufen lassen. Beide Dienste alleine beeinflussen sich ohne angestoßen zu werden nicht.

Aber ich glaube du brauchst in diesem Setup gar kein LDAP. Ich gehe davon aus, dass du alle User zentral verwalten willst. Wenn du das AD hast gehe ich davon aus, dass die User dort bereits existieren. Dann musst du die ja nicht noch mal im LDAP eintragen. Du kannst deinem SAMBA sagen, dass es einfach die User aus dem AD hohlen soll. (winbind) Dann hast du keine REdundanten User. Für alles was du dann noch an extra-Usern brauchst sollte die Samba-Accountdatenbank reichen.

Oder habe ich dich falsch verstanden?

crazychris
26.07.09, 10:05
Du kannst deinem SAMBA sagen, dass es einfach die User aus dem AD hohlen soll. (winbind) Dann hast du keine REdundanten User.

Also eigentlich stimmt das was du sagst, aber einen LDAP wollten wir damit alle (Win,UNIX,Linux User) zentral geführt und verwaltet werden können.

Wie genau hole ich die User aus AD und gebe sie meinem LDAP bekannt ?
Du schreibst winbind aber damit habe ich bisher noch nichts zu tun, wie geht das?

Chris

Sam Fisher
26.07.09, 20:10
Hallo,
deinem LDAP gibst du es gar nicht bekannt. Der Dienst winbind fragt das AD ab und alle User werden dort gewartet.

Google einfahc nach winbind und active directory. Ergibt tausende gute Treffer.
Viele Grüße
Sam

crazychris
27.07.09, 15:10
Ja aber woher weiß das winbindd auf welchem Server das AD läuft, ist in meinem Fall auf einer WindowsServer2003 Kiste.
Das müsste doch in einer Conf oder so definiert sein, oder sucht winbindd nach allen AD die er im Lokalen Netzwerk findet?

chris

Sam Fisher
27.07.09, 15:30
Hi, hier findest du ein Howto das du adaptieren kannst. http://www.markuswalther.org/blog/?p=15

Viele Grüße
Sam