Использование групп хранимых в ldap-сервере

Материал из rrv-wiki
Перейти к навигации Перейти к поиску

Введение

Для того чтобы монтировать по cifs сетевые папки хранимые на SAMBA-сервере который выступает в роли PDC и хранит информацию о пользователях на ldap-сервере требуется синхронизовать uid и gid локального пользователя и uid и gid пользователя на SAMBA-сервере.

Из соображений безопасности мы не будем брать uid-пользователя и пароль с LDAP-сервера, а будем по необходимости создавать пользователей на требуемых компьютерах. А вот списки групп будем брать с LDAP-сервера, т.к. политики основаны на группах (gid). Таким образом мы получим, требуемый функционал управляемый на одном LDAP-сервере.

Настроим LDAP-аутентификацию групп

  • Скопируем файл сертификата с сервера 192.168.0.2:/usr/local/etc/openldap/ssl/ca.cert в локальную папку /etc/openldap/cacerts.
  • Добавим или заменим следующие строчки в файл /etc/ldap.conf
##host 127.0.0.1
host 192.168.0.3
##base dc=example,dc=com
base dc=fm-reklama,dc=ru
uri ldaps://192.168.0.3/
#uri ldaps://127.0.0.1/
port 636
nss_base_group          ou=groups,dc=fm-reklama,dc=ru?one
  • Затем добавим следующие строчки в файл /etc/openldap/ldap.conf
       BASE        dc=fm-reklama,dc=ru
       URI         ldaps://192.168.0.3
       TLS_CACERT  /etc/openldap/cacerts/ca.cert
       TLS_REQCERT never

Обратите внимание, что мы используем не основной ldap-сервер, а вторичный, т.к. на основной сервер невозможно подключится удаленно (так настроено).

  • Поправим файл /etc/nsswitch.conf добавим слово ldap к строчке:
group:      files

чтобы получилось: 

group:      files ldap

Все, проверяем: 

#getent group

Мы должны увидеть и локальные группы и группы с ldap-сервера.

Источник — https://i-rrv.ru/wiki/index.php?title=Использование_групп_хранимых_в_ldap-сервере&oldid=85