Original geschrieben von pixel
Hi@all,
Nun möchte ich einen einfachen Test machen mit lediglich einem Usern.
1.: Welche Objekte brauche ich hierzu zwingend?
2.: Ich denke ein Container für die User und eine für die Gruppen, richtig?
3.: Füge ich dann alle Linux-Gruppen in den LDAP hinzu?
4.: Und zu guter letzt, welche Objekteigenschaften (Attribute) sind für die OU der Gruppen bzw. User (also die Container-Objecte) sowie für die
5.: Blattobjekte der User bzw.
6.: Gruppen mindestens! notwendig um
7.: einen Login hinzubekommen?
Gruß Pixel
1.: posixAccount und Account ab openldap2.1 Bei führen Versionen ist account nicht zwingend, verstösst aber gegen Grundregeln.
2.: Kannst Du, musst Du aber nicht. Du kannst auf vielerlei Arten aufteilen, nach Funktionen (verwaltung, erste-etage, vorstand), nach region (brd, ddr, amiland), oder eben auch nach logischen Einheiten (people, accounts, groups, hardware) es bleiben lassen, oder auch mischen.
3.: Kannst Du machen, musst Du nicht. Denke daran, dass Du Dich sicher noch als root anmelden können möchtest auch wenn der ldap nicht läuft. In der nsswitch.conf steht ja auch die Liste der Auth.-quellen.
4.:
Code:
dn: ou=accounts,dc=my-org,dc=my-toplevel
objectClass: organizationalunit
ou: accounts
description: Benutzer
5.:
Code:
dn: uid=testuser4,ou=accounts,dc=my-org,dc=my-toplevel
objectClass: posixAccount
objectClass: account
uid: testuser4
uidNumber: 1003
cn: testuser4
loginShell: /bin/bash
gidNumber: 100
homeDirectory: /home/users/testuser4
6.:
Code:
dn: cn=daus,ou=groups,dc=my-org,dc=my-toplevel
cn: daus
objectClass: posixGroup
gidNumber: 4711
7.: Die Einträge in der nsswitch fehlen noch. Suche nach nsswitch.conf.
Daneben noch die Einträge nach Bedarf in den pam.d/serviceXY, etwa sshd, imap etc.
mamue
Lesezeichen