6.5 Smbldap-tools

LDAP:issa olevien käyttäjien hallintaan on olemassa hyvät työkalut. Smbldap-tools tekee kaikki käyttäjäkohtaiset asetukset LDAP:iin. Myös käyttäjien tietojen muokkaaminen jne. onnistuu näppärästi näiden työkalujen avulla.

  1. Asenna paketti komennolla apt-get install smbldap-tools

  2. cd /usr/share/doc/smbldap-tools/examples/

  3. Siirrä tiedosto smbldap.conf oikeaan paikkaan komennolla

    zcat smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf

  4. Siirrä tiedosto smbldap_bind.conf oikeaan paikkaan komennolla

    cp smbldap_bind.conf /etc/smbldap-tools/

  5. Muokaa tiedosto /etc/smbldap-tools/smbldap_bind.conf seuraavaan muotoon:

    slaveDN="cn=manager,dc=test,dc=local"
    slavePw="8765"
    masterDN="cn=manager,dc=test,dc=local"
    masterPw="8765"
    

  6. Katso koneen SID komennolla net getlocalsid, jolloin vastaukseksi pitäisi tulla jotain seuraavan tyyppistä: "SID for domain TEST is: S-1-5-21-1405826796-1689357678-2754701274begintex2html_deferred

  7. Tässä esimerkissä halutaan erotella LDAP-käyttäjät normaaleista järjestelmän käyttäjistä. Tästä syystä luodaan hakemisto /home/ldap, jonka oikeudet on annettava komennolla chmod 2775 /home/ldap

  8. Muokkaa tiedostoa /etc/smbldap-tools/smbldap.conf seuraavasti:

    vaihda SID oikeaksi

    muuta rivi ldapTLS="1" riviksi ldapTLS="0"

    kommentoi rivi verify="require"

    kommentoi rivi cafile="/etc/smbldap-tools/ca.pem"

    kommentoi rivi

    clientcert="/etc/smbldap-tools/smbldap-tools.pem"

    kommentoi rivi

    clientkey="/etc/smbldap-tools/smbldap-tools.key"

    vaihda suffix oikeaksi

    muuta rivi hash_encrypt="SSHA"
    riviksi hash_encrypt="MD5"

    muuta rivi userHome="/home/%U"
    riviksi userHome="/home/ldap/%U"

    muuta rivi userSmbHome...

    riviksi userSmbHome="\\testserver\homes\%U"

    muuta rivi userProfile...

    riviksi userProfile="\\testserver\profiles\%U"

    muuta rivi mailDomain="idealx.com" haluamaksesi domainiksi

  9. Varmista, että hakemiston /etc/smbldap-tools omistajana ja ryhmänä on root

  10. Muuta tiedoston /etc/smbldap-tools/smbldap.conf oikeudet komennolla

    chmod 0644 /etc/smbldap-tools/smbldap.conf

  11. Muuta tiedoston /etc/smbldap-tools/smbldap_bind.conf oikeudet komennolla

    chmod 0600 /etc/smbldap-tools/smbldap_bind.conf

  12. Muokkaa tiedoston /usr/sbin/smbldap-populate kohta

    $firstuidNumber=1000; muotoon $firstuidNumber=5000;

    ja kohta

    $firstgidNumber=1000; muotoon $firstgidNumber=5000;

    jotta ldap-käyttäjien uid:t ja gid:it eivät mene päällekkäin unix-käyttäjien kanssa.

  13. Luo LDAP-tietokannan runko komenoolla

    smbldap-populate

    Jos tässä yhteydessä tulee virheilmoitus "failed to add entry: Already exists at /usr/sbin/smbldap-populate...", siitä ei tarvitse välittää.

  14. Lisää LDAP Administarorin salasana komennolla

    smbldap-passwd administrator

    Tässä esimerkissä salasanksi laitetaan 5678

  15. Varmista, että käyttäjän administrator uid on 0 komennolla

    smbldap-usershow administrator

    ja vaihda se tarvittaessa nollaksi komennolla

    smbldap-usermod -u 0 administrator

  16. Tässä vaiheessa on syytä bootata kone

  17. Testaa lisäämällä käyttäjä komennolla

    smbldap-useradd -m -a testuser1

  18. Luo käyttäjän salasana komennolla smbldap-passwd testuser1

  19. Katso käyttäjän tiedot komennolla finger testuser1

  20. Jos haluat, että LDAP-kättäjät voivat ottaa SSH-yhteyden palvelimeen, on tiedostoon /etc/ssh/sshd_config lisättävä rivi UsePAM yes

(Lemaire, 2005) [4]

Lauri Laukkarinen 2006-03-23