6.5 Smbldap-tools

LDAP:issa olevien käyttäjien hallintaan on olemassa hyvät työkalut. Smbldap-tools tekee kaikki käyttäjäkohtaiset asetukset LDAP:iin. Myös käyttäjien tietojen muokkaaminen jne. onnistuu näppärästi näiden työkalujen avulla.

1. Asenna paketti komennolla apt-get install smbldap-tools

2. cd /usr/share/doc/smbldap-tools/examples/

3. Siirrä tiedosto smbldap.conf oikeaan paikkaan komennolla
   
   zcat smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf

4. Siirrä tiedosto smbldap_bind.conf oikeaan paikkaan komennolla
   
   cp smbldap_bind.conf /etc/smbldap-tools/

5. Muokaa tiedosto /etc/smbldap-tools/smbldap_bind.conf seuraavaan muotoon:

   slaveDN="cn=manager,dc=test,dc=local"
   slavePw="8765"
   masterDN="cn=manager,dc=test,dc=local"
   masterPw="8765"
   

6. Katso koneen SID komennolla net getlocalsid, jolloin vastaukseksi pitäisi tulla jotain seuraavan tyyppistä: "SID for domain TEST is: S-1-5-21-1405826796-1689357678-2754701274begintex2html_deferred

7. Tässä esimerkissä halutaan erotella LDAP-käyttäjät normaaleista järjestelmän käyttäjistä. Tästä syystä luodaan hakemisto /home/ldap, jonka oikeudet on annettava komennolla chmod 2775 /home/ldap

8. Muokkaa tiedostoa /etc/smbldap-tools/smbldap.conf seuraavasti:
   
   vaihda SID oikeaksi
   
   muuta rivi ldapTLS="1" riviksi ldapTLS="0"
   
   kommentoi rivi verify="require"
   
   kommentoi rivi cafile="/etc/smbldap-tools/ca.pem"
   
   kommentoi rivi
   
   clientcert="/etc/smbldap-tools/smbldap-tools.pem"
   
   kommentoi rivi
   
   clientkey="/etc/smbldap-tools/smbldap-tools.key"
   
   vaihda suffix oikeaksi
   
   muuta rivi hash_encrypt="SSHA"
   riviksi hash_encrypt="MD5"
   
   muuta rivi userHome="/home/%U"
   riviksi userHome="/home/ldap/%U"
   
   muuta rivi userSmbHome...
   
   riviksi userSmbHome="\\testserver\homes\%U"
   
   muuta rivi userProfile...
   
   riviksi userProfile="\\testserver\profiles\%U"
   
   muuta rivi mailDomain="idealx.com" haluamaksesi domainiksi

9. Varmista, että hakemiston /etc/smbldap-tools omistajana ja ryhmänä on root

10. Muuta tiedoston /etc/smbldap-tools/smbldap.conf oikeudet komennolla
    
    chmod 0644 /etc/smbldap-tools/smbldap.conf

11. Muuta tiedoston /etc/smbldap-tools/smbldap_bind.conf oikeudet komennolla
    
    chmod 0600 /etc/smbldap-tools/smbldap_bind.conf

12. Muokkaa tiedoston /usr/sbin/smbldap-populate kohta
    
    $firstuidNumber=1000; muotoon $firstuidNumber=5000;
    
    ja kohta
    
    $firstgidNumber=1000; muotoon $firstgidNumber=5000;
    
    jotta ldap-käyttäjien uid:t ja gid:it eivät mene päällekkäin unix-käyttäjien kanssa.

13. Luo LDAP-tietokannan runko komenoolla
    
    smbldap-populate
    
    Jos tässä yhteydessä tulee virheilmoitus "failed to add entry: Already exists at /usr/sbin/smbldap-populate...", siitä ei tarvitse välittää.

14. Lisää LDAP Administarorin salasana komennolla
    
    smbldap-passwd administrator
    
    Tässä esimerkissä salasanksi laitetaan 5678

15. Varmista, että käyttäjän administrator uid on 0 komennolla
    
    smbldap-usershow administrator
    
    ja vaihda se tarvittaessa nollaksi komennolla
    
    smbldap-usermod -u 0 administrator

16. Tässä vaiheessa on syytä bootata kone

17. Testaa lisäämällä käyttäjä komennolla
    
    smbldap-useradd -m -a testuser1

18. Luo käyttäjän salasana komennolla smbldap-passwd testuser1

19. Katso käyttäjän tiedot komennolla finger testuser1

20. Jos haluat, että LDAP-kättäjät voivat ottaa SSH-yhteyden palvelimeen, on tiedostoon /etc/ssh/sshd_config lisättävä rivi UsePAM yes

(Lemaire, 2005) [4]