Вход:  Пароль:  
FreeSource: AndrewShan/gosa ...
Free Source | Каталог | Изменения | НовыеКомментарии | Пользователи | Регистрация |

GOsa

Полезные ссылки
Freesource
Ссылка с правильными камментами
Основа LDAP и GOsa
Настройка Самбы
Содержание
Apache2
PHP5
LDAP
NSS
PAM
Using_nss_ldap
Samba


Скрипты GOsA предназначены для удобного администрирования каталога на основе Open LDAP?. Данный проект позволяет наглядно визуализировать объекты, находящиеся в LDAP-каталоге. Причем отображение объектов происходит только в том случае, если в их описании присутствует какой либо из специальных классов, зарегистрированных в схеме gosa. Такой подход не позволяет использовать какие либо другие проекты, работающие с LDAP-каталогом, без существенной их модификации. Соответственно, если планируется использовать базу LDAP только для администрирования пользовательских аккаунтов в локальной сети и для интергации с Samba, то лучшей админки просто не найти. Если же в дальнейшем планируется использовать какие либо еще приложения, например, Open Xchange, то использование Gosa – непреемлимо.


Установка Apache 2?


в файле /etc/httpd2/conf/sites-available/default.conf в строчке servername прописываем доменное имя разрешенное в DNS. в данном случаи gosa.office.etersoft.ru


В этом же файле делаем после модуля

пишем Include conf/addon.d/conf.gosa


В самом же файле (/etc/httpd2/conf/addon.d/gosa.conf) раскаменчиваем нужное...

стартуем сервис


Устанавливаем PHP5


Вот эти установлены были в итоге

некоторые модули могут не устанавливаться, а может они и не нужны ))


В php.ini меняем значение на приведенные ниже:


Тестим на работоспособность, запускаем в браузере страничку gosa.office.etersoft.ru и gosa.office.etersoft.ru/gosa/


При запуске веб-интерфейса могут возникнуть проблемы с phpinfo()
решается она закоменчивание в php.ini строчки disabled, или тому подобное, в которой собственно и есть эта функция. Также стоит сменить значение в safe_mode = Off и safe_mode_gid = Off


Затем в php.ini правим строчку allow_call_time_pass_reference =Off на On


И наконец ставим пакет perl-Crypt-Smb Hash?


Установка LDAP



Также следует установить


правим /etc/openldap/slapd.conf (со вкусом и знанием дела)
вот таким он стал в итоге


файл /etc/openldap/slapd-hdb-db01.conf



Дальше запускаем service slapd start


Создаем два файла в корне


admin.ldif


и administrator.ldif

дальше выполняем команды

Первая команда необходимо для того чтобы удалить уже созданную группу, она появилась при установке пакета самбы.


Замечания:
Выше приведенные два файла ldif работают у меня через раз. Поэтому я пришел к выводу, что лучше использовать свои:



Теперь в поисковике (browser) набираем gosa.office.etersoft.ru/gosa
и следуем по шагам, не пугаемся немецкого, на второй страничке язык можно сменить на русский.
но для начало в консоле вбиваем предложенную команду echo «здесь должен быть какой-то текст»
на одной из страниц будет предложено ввести имя админа, вводим cn=administrator,dc=office,dc=etersoft,dc=ru и пароль.
На странице проверок схем проверка может не пройти, поэтому выбираем не проверять схемы.
дальше настраиваем как нравиться и по вкусу.
и один из последних шагов – создать учетную запись Сис.Админа ГОсы, создаем и продолжаем дальше идти по пунктам.
в конце будет создан файл gosa.conf, его нужно сохранить в /etc/gosa/
и после прописать пару команд для его защиты



жмем дальше и попадаем в меня приветствия, где вводит логин и пароль сис.админа госы и попадаем в оболочку.


Установка nss_ldap и pam_ldap

Во время следующих настроек советую держать 2–3 консоли под логином рут.



Вместе с nss_ldap поставиться nscd. Не забываем запустить это сервис.


Далее редактируем в /etc/nss_ldap.conf


вот так он выглядит у меня, это рабочий вариант с анонимной аутентефикацией. Это вариант плох тем, что в этом случаи можно устроить бруд-форс атаку (это плохо, но как вариант :) )


Затем делаем ссылку на этот файл, т.к. он содержит уже описание для pam_ldap


Настройка PAM для работы с pam_ldap


Настройка pam для pam_ldap очень проста – Вам надо лишь добавить строки, начинающиеся с '>' в файл /etc/pam.d/system-auth

Вот мой вариант того же файла, который был чуть изменен в процессе исправлений. В остальных файлах все по описанию.


Это относиться к первому варианту.
Заметьте, что создание домашних каталогов не работает с sshd из ALT Linux Master 2.4.
Возможно это будет работать (в Сизифе точно работает), если pam_mkhomedir вызывать на стадии account:

> account required /lib/security/pam_mkhomedir.so skel=/etc/skel.ru_RU.KOI8-R/ umask=0077

Эта строка должна быть первой (!), если account-строк несколько .


Теперь Вам необходимо отдельно настроить sshd (из-за того что он использует pam_userpass) и xscreensaver (из-за того что он использует <PAMROOT>/system-auth-user_first_pass)


Файл /etc/pam.d/sshd


Файл /etc/pam.d/system-auth-use_first_pass


Смена паролей в ldap


Замените Ваш /etc/pam.d/passwd на следующий файл.

Заметьте, что если Вы не указали rootbinddn в файле /etc/ldap.conf или не создали файл /etc/ldap.secret (в Sisyphus он называется pam_ldap.secret),
содержащий пароль rootbinddn, то Вы не сможете менять пароли от пользователя root (вам прийдется ввести пароль пользователя для этого).
Однако, это не так страшно, если Вы используете ldapadd или gq для управления директорией с пользователями.


Примечание: если /etc/pam.d/passwd имеет следующий вид:

то менять ничего не требуется – для изменения пароля будут иcпользованы настройки, сделанные в /etc/pam.d/system-auth.


Запускаем nscd

Если при service nscd status он пишет что не запускается или тому подобное, то после исправления файла стоит останавливать сервис вручную, принудительно (например через top)


Есть еще один вариант конфигурирование файла nss_ldap (например для того чтобы избежать бруд-форс атаку), но в нем есть свои недочеты. Это касается того что рут, в консоли не может менять пароль пользователя из ЛДАП (возможно это связано с тем, что я менял файл system-auth), а все остальное может: passwd локального пользователя, su, id....
Для этого надо раскоменнтить в файле nss_ldap.conf строчку rootbinddb, занести сюда какого-нибудь пользователя, например cn=manager,dc=office,dc=etersoft,dc=ru. В файл /etc/ldap.secret записать пароль (mode 600, это для защиты)
Потом в slapd.conf в access to attrs=userPassword добавить by «cn=manager,dc=office,dc=etersoft,dc=ru» read. (это можно посмотреть в slapd который выше, т.к. там это уже есть)
Потом неплохо бы его добавить в лдап,

ldapadd ... (см. выше)


В случае, если использован будет первый вариант, то система будет менее безопасна, зато можно все менять.
конфиг nss_ldap с аутентефикацией rootbinddn


Использование nss_ldap


NSS – диспетчер имен, расширение для glibc, позволяющее резолвить имена из разных источников (files, dns, nis, nisplus, ldap).


Для того, чтобы заставить его работать с nss_ldap, необходимо изменить /etc/nsswitch.conf следующим образом.
Замените обычные строки с passwd, shadow и group на эти.



Примечание: Учтите, что если вы установите ldap в первым в списке, то некоторые статически слинкованные (rpm, sh, vi) программы будут выпадать с segfault.


Подробнее смотрите файл /usr/share/doc/nss_ldap-220/README.ALT


Samba


Продолжение по ссылке:
http://freesource.info/wiki/AndrewShan/sambagosa


 
Файлов нет. [Показать файлы/форму]
Комментарии [Скрыть комментарии/форму]