Problemas com administração de ldap pelo ldapadmin

[Dedao]

Ola a todos. Agora q o fórum de ldap foi criado, vou incomodar muito por aqui ......bom, estou com dificuldades de administrar o ldap + samba (pdc) atraves do ldapadmin. Não consegui encontrar quase nada de documentaçao sobre ele. Será que alguem poderia me indicar algum link ?


[]'s, Renato

[Laedrus]

Po amigo, documentação em inglês é mais fácil de achar, mas hoje mesmo acabei de implementar LDAP+NFS para autenticação remota e usei o PHPLDAPADMIN, se for essa a interface que usa talvez possa te dar uma luz, pois tive que muitas vezes aumentar o loglevel para máximo, como eu li num artigo : one week of pain and suffering with LDAP.

vou até marcar rodízio pra comemorar, mas manda aí, qual é o galho?

[Dedao]

Ola Laedrus. Desisti do LdapAdmin por alguns motivos e falta de documentação. Vou testar mesmo o PHPLdapAdmin....Agora, sobre outras dúvidas, é o seguinte. Estou começando agora com esse negocio de openldap, então ainda não tenho muito conhecimento do funcionamento e administração. Ja fiz alguns testes, e consegui "instalar" o openldap em dois testes que eu simulei. O único problema é o seguinte.

1 - O ldap possui muitas opções de configurações. Eu fico um pouco confuso na hora de configurá-lo, criação de schemas, como criar o db.ldif...etc.... Gostaria de saber se existe alguma configuração "básica e padrão" no hora de instalar o openldap. Tipo, as opções de configurações que em 90% dos casos eu vou ter que usar para que o openldap funcione.

2 - Tenho uma rede com 30 estações windows que acessam dados através do samba. Nesta rede também roda squid, postfix, apache, vsftpd etc. Qual seria a melhor forma de impelementar openldap aqui ? Digo, que tipo de configuração.

3 - Tenho algumas dúvidas depois de iimplementar o openldap. Por exemplo, eu intalei o openldap, funcionou tudo, mas e agora, o que eu faço ??...Digo, que cuidados eu tenho q ter para administrar o openldap, o que eu tenho q monitorar depois q esta tudo rodando ?

[]'s, Renato

[Laedrus]

"criação de schemas, como criar o db.ldif."

Isso vc só precisa fazer uma vez, para criar o DB principal, e a conta do Admin, feito isso, instale o PHPLDAPADMIN e seja feliz, porque a notação do LDAP é o que chamo de "brainfuck", mas com a interface é bem funcional.

O pessoal geralmente usa o LDAP pra unificar as contas de usuário, de alguns serviços que citou já ouvi falar, como o samba, e o vstpd e apache, se não me engano o squid também.

geralmente isso é feito por módulos, e às vezes com alguns Daemons, lhe falarei do que precisei fazer e os problemas que encontrei, porque por enquanto é o que sei, mas isso pode resumir alguns dos problemas que você pode passar também.

Usei o LDAP para unificar a base de dados de usuários, e num laboratório Linux, os usuários poderem usar suas contas em qualquer máquina, se logam no LDAP, e montam o seu home na máquina que for.

o que precisei, principalmente dois módulos, que fazem a autenticação, eles são especificados em /etc/pam.d/ (em todos os serviços que usarem a autenticação)

(guarde esse diretório, será extremamente útil quando você for configurar a autenticação, geralmente se dá por aí)

especifiquei o módulo pam_ldap.so nos arquivos login, gdm ssh, enfim o que eu queria autenticar por LDAP. O módulo é pam_ldap (pam_ldap.so) procure esse arquivo, se estiver em /etc/security é que já está instalado.

outra coisa que vai precisar é o daemon NSS, ele pega outras informações necessárias no LDAP(no meu caso pelo menos, como gid, uid), ficou incrível, porque criamos o grupo e o usuário no LDAP, e o NSS importou o usuário e grupo, enquanto o usuário estava logado, as permissões do home dele eram dele, e o grupo, sendo que nenhum dos dois existia na máquina local, maravilha.

pra configurar o NSS vc edita o arquivo /etc/nsswitch.conf

ele tem algo como o seguinte(o que é relevante você tem que usar o bom senso de acordo com o serviço)

passwd: files
group: files
shadow: files

isso pra mim ficou:


passwd: files ldap
group: files ldap
shadow: files ldap

ou seja, ele procura o usuário em passwd e shadow, se não achar, procura no LDAP, sim, é na ordem que se escreve, se inverter a ordem ele primeiro procura no LDAP.

configurado isso, inicie o daemon /etc/init.d/nssd start

de acordo com a implementação que você quiser, alguém com certeza já fez, e tem anotado as opções, você vai ter que alterar o /etc/pam.d/<serviço> que você quiser logar com o LDAP, mas uma coisa que vi ser padrão é adicionar o modulo pam_ldap.so no arquivo login USANDO A OPÇÃO use_first_password, se você não fizer isso, ele pergunta duas senhas, uma pro sistema, e outra pro LDAP, com essa opção, ele tenta a mesma senha no outro serviço.

respondendo as outraws perguntas, geralmente o pessoal usa o LDAP pra centralizar o gerenciamento de usuários para os vários serviços, você pode encontrar uma documentação decente nos redbooks da IBM, e leve fé no google amigo, achei muita coisa boa lá, nego implementando até SHFS (sistema de arquivos por SSH) com LDAP.

mas vamos ver no que mais posso ajudar, qq coisa posta aí!

[Laedrus]

outra coisa importante que esqueci de dizer, você cria o banco de dados dc=teste,dc=com,dc=br

no /etc/ldap/slapd.conf do servidor vc configura a conta admin desse banco, não precisa de LDIF se me lembro direito.

vc configura usuário e senha lá.

dica: vc pode usar a senha em hash, tipo

{MD5} SALKJDLASJDLKSJALKDJLASJASLDK

para não escrever em texto corrido, se não me engano isso vale pra outros algoritmos como SSHA e etc.

[Dedao]

cara, brigadao, ja deu pra tirar algumas dúvidas mesmo...pelo q eu notei, 90% das situações em que as pessoas usam openldap eh basicamente para centralizar base de dados, ou em alguns casos para consultas a base de dados....

[]'s, Renato