Ссылка с правильными камментами
Содержание
– Apache2
– PHP5
– LDAP
– NSS
– PAM
– Samba
Скрипты GOsA предназначены для удобного администрирования каталога на основе Open LDAP. Данный проект позволяет наглядно визуализировать объекты, находящиеся в LDAP-каталоге. Причем отображение объектов происходит только в том случае, если в их описании присутствует какой либо из специальных классов, зарегистрированных в схеме gosa. Такой подход не позволяет использовать какие либо другие проекты, работающие с LDAP-каталогом, без существенной их модификации. Соответственно, если планируется использовать базу LDAP только для администрирования пользовательских аккаунтов в локальной сети и для интергации с Samba, то лучшей админки просто не найти. Если же в дальнейшем планируется использовать какие либо еще приложения, например, Open Xchange, то использование Gosa – непреемлимо.
в файле /etc/httpd2/conf/sites-available/default.conf в строчке servername прописываем доменное имя разрешенное в DNS. в данном случаи gosa.office.etersoft.ru
В этом же файле делаем после модуля
пишем Include conf/addon.d/conf.gosa
В самом же файле (/etc/httpd2/conf/addon.d/gosa.conf) раскаменчиваем нужное...
стартуем сервис
Вот эти установлены были в итоге
некоторые модули могут не устанавливаться, а может они и не нужны ))
В php.ini меняем значение на приведенные ниже:
Тестим на работоспособность, запускаем в браузере страничку gosa.office.etersoft.ru и gosa.office.etersoft.ru/gosa/
При запуске веб-интерфейса могут возникнуть проблемы с phpinfo()
решается она закоменчивание в php.ini строчки disabled, или тому подобное, в которой собственно и есть эта функция. Также стоит сменить значение в safe_mode = Off и safe_mode_gid = Off
Затем в php.ini правим строчку allow_call_time_pass_reference =Off на On
И наконец ставим пакет perl-Crypt-Smb Hash
Также следует установить
правим /etc/openldap/slapd.conf (со вкусом и знанием дела)
вот таким он стал в итоге
файл /etc/openldap/slapd-hdb-db01.conf
Дальше запускаем service slapd start
Создаем два файла в корне
admin.ldif
и administrator.ldif
дальше выполняем команды
Первая команда необходимо для того чтобы удалить уже созданную группу, она появилась при установке пакета самбы.
Замечания:
Выше приведенные два файла ldif работают у меня через раз. Поэтому я пришел к выводу, что лучше использовать свои:
Теперь в поисковике (browser) набираем gosa.office.etersoft.ru/gosa
и следуем по шагам, не пугаемся немецкого, на второй страничке язык можно сменить на русский.
но для начало в консоле вбиваем предложенную команду echo «здесь должен быть какой-то текст»
на одной из страниц будет предложено ввести имя админа, вводим cn=administrator,dc=office,dc=etersoft,dc=ru и пароль.
На странице проверок схем проверка может не пройти, поэтому выбираем не проверять схемы.
дальше настраиваем как нравиться и по вкусу.
и один из последних шагов – создать учетную запись Сис.Админа ГОсы, создаем и продолжаем дальше идти по пунктам.
в конце будет создан файл gosa.conf, его нужно сохранить в /etc/gosa/
и после прописать пару команд для его защиты
жмем дальше и попадаем в меня приветствия, где вводит логин и пароль сис.админа госы и попадаем в оболочку.
Вместе с nss_ldap поставиться nscd. Не забываем запустить это сервис.
Далее редактируем в /etc/nss_ldap.conf
вот так он выглядит у меня, это рабочий вариант с анонимной аутентефикацией. Это вариант плох тем, что в этом случаи можно устроить бруд-форс атаку (это плохо, но как вариант :) )
Затем делаем ссылку на этот файл, т.к. он содержит уже описание для pam_ldap
Настройка pam для pam_ldap очень проста – Вам надо лишь добавить строки, начинающиеся с '>' в файл /etc/pam.d/system-auth
Вот мой вариант того же файла, который был чуть изменен в процессе исправлений. В остальных файлах все по описанию.
Это относиться к первому варианту.
Заметьте, что создание домашних каталогов не работает с sshd из ALT Linux Master 2.4.
Возможно это будет работать (в Сизифе точно работает), если pam_mkhomedir вызывать на стадии account:
Эта строка должна быть первой (!), если account-строк несколько .
Теперь Вам необходимо отдельно настроить sshd (из-за того что он использует pam_userpass) и xscreensaver (из-за того что он использует <PAMROOT>/system-auth-user_first_pass)
Файл /etc/pam.d/sshd
Файл /etc/pam.d/system-auth-use_first_pass
Смена паролей в ldap
Замените Ваш /etc/pam.d/passwd на следующий файл.
Заметьте, что если Вы не указали rootbinddn в файле /etc/ldap.conf или не создали файл /etc/ldap.secret (в Sisyphus он называется pam_ldap.secret),
содержащий пароль rootbinddn, то Вы не сможете менять пароли от пользователя root (вам прийдется ввести пароль пользователя для этого).
Однако, это не так страшно, если Вы используете ldapadd или gq для управления директорией с пользователями.
Примечание: если /etc/pam.d/passwd имеет следующий вид:
то менять ничего не требуется – для изменения пароля будут иcпользованы настройки, сделанные в /etc/pam.d/system-auth.
Запускаем nscd
Если при service nscd status он пишет что не запускается или тому подобное, то после исправления файла стоит останавливать сервис вручную, принудительно (например через top)
Есть еще один вариант конфигурирование файла nss_ldap (например для того чтобы избежать бруд-форс атаку), но в нем есть свои недочеты. Это касается того что рут, в консоли не может менять пароль пользователя из ЛДАП (возможно это связано с тем, что я менял файл system-auth), а все остальное может: passwd локального пользователя, su, id....
Для этого надо раскоменнтить в файле nss_ldap.conf строчку rootbinddb, занести сюда какого-нибудь пользователя, например cn=manager,dc=office,dc=etersoft,dc=ru. В файл /etc/ldap.secret записать пароль (mode 600, это для защиты)
Потом в slapd.conf в access to attrs=userPassword добавить by «cn=manager,dc=office,dc=etersoft,dc=ru» read. (это можно посмотреть в slapd который выше, т.к. там это уже есть)
Потом неплохо бы его добавить в лдап,
ldapadd ... (см. выше)
В случае, если использован будет первый вариант, то система будет менее безопасна, зато можно все менять.
конфиг nss_ldap с аутентефикацией rootbinddn
NSS – диспетчер имен, расширение для glibc, позволяющее резолвить имена из разных источников (files, dns, nis, nisplus, ldap).
Для того, чтобы заставить его работать с nss_ldap, необходимо изменить /etc/nsswitch.conf следующим образом.
Замените обычные строки с passwd, shadow и group на эти.
Примечание: Учтите, что если вы установите ldap в первым в списке, то некоторые статически слинкованные (rpm, sh, vi) программы будут выпадать с segfault.
Подробнее смотрите файл /usr/share/doc/nss_ldap-220/README.ALT
Продолжение по ссылке: