recensement des utilisateur en vue de plein de kestion ;) [LDAP] - Installation - Linux et OS Alternatifs
Marsh Posté le 05-01-2003 à 23:10:29
j'ai un pure-ftpd couplé à un serveur LDAP et ca roule tranquille. Mon apache s'en sers aussi pour l'authentification.
A terme je voudrais mettre mon carnet d'adresse dans mon LDAP et l'utilisé dans evolution mais j'ai pas le temps de m'en occuper...
On peut mettre aussi facilement les users unix et utiliser pam_ldap, c'est pas très dur à faire et ça marche impec (tested et approuved). Le plus chiant apres c gere les users car les scripts de base genre passwd et useradd marchent plus
Mais ne me demande pas de questions pointues, car je ne connais pas trop, je ne fais qu'utiliser LDAP en amateur...
Marsh Posté le 05-01-2003 à 23:17:49
cool, un user...
ok ... je presente le projet :
en gros .. je veux faire une base de tous les utilisateurs du servr.. pour les differnets services qui sont dessus : ssh, ftp, mail, apache(, samba un jour??)
En gro, lorsque j'ajoute un user, j'aimerai qu'en fonction des services que je lui authorise, il ai ou non un /home/X, ou si ftp qu'il ai un /home/ftp/X (mais par contre juste un /home/X le cas echeant), qu'il ait pas de shell par default si pas de ssh ... et pein de truc a la con dans le genre...
Mais le problme, c'est que j'ai hyper du mal avec les concept d'LDAP.
Je cale deja au nivo de comment definir ma structure d'arbre.
Qu'est ce que je vais devoir mettre dans mon arbre, quel structure.
Est ce que je fais un OU users avec tous mais users et des permissions vers les objets d'un OU services, ou alors je fais une OU ftp, une OU ssh ... sachant que la un meme user va etre defini plusieurs fois, avec plusieurs home.
Est ce que si je commence pr uniquement la gestion des login, pour remplacer betement /etc/passwd je pourrais modifier facilmenet le truc par la suite, genre tout retourner koi
Je sais pas si j'ai été clair.
PS: bien sur, une fois achevé, si ca l'est un jour, ca sera dispo
Marsh Posté le 06-01-2003 à 11:41:17
The_Fireball a écrit : j'ai un pure-ftpd couplé à un serveur LDAP et ca roule tranquille. Mon apache s'en sers aussi pour l'authentification. |
quels sont les principaux avantages d LDAP par rapport à une authentification normale?
Marsh Posté le 06-01-2003 à 13:04:33
alors :
tritrac : ben en fait, tout ça c faisable mais ca depend des softs. Les softs qui utilisent PAM peuvent utiliser LDAP sans pb. Apres, tout depend des schemas choisi et de comment les softs vont l'utiliser. Mais la, je ne sais pas trop, dsl
En_Sabah_Nur : je ne sais pas si on peut parler d'avantage, mais LDAP peut remplacer avantageusement NIS dans le cas d'une centralisation des users. Il apporte la replication, la couche SSL et surement d'autres trucs dont je n'ai pas la moindre idée Tu peux mettre dans un seul annuaire LDAP tes users systemes ayant le droit de se logger sur la machine, des users virtuels pour Samba et pure-ftpd par exemple, qui eux, n'auront pas "d'existence" pour la machine. Plus toujours plein d'autres trucs dont je ne sais pas
Perso, je ne fais que mumuse avec le LDAP pour l'instant, il y a plein de chose que je comprends pas bien encore et que je maitrise encore moins
Marsh Posté le 06-01-2003 à 15:34:27
The_Fireball a écrit : alors : |
merci, faudra ke je m y penche dessus un de ces quatre!
Marsh Posté le 06-01-2003 à 15:42:32
vu qu'il y a des gens interressés, qqs lien glanés par mes soins, et a partir des quels je faire faire cela:
http://xenux.danstesoreilles.com/?article=22
http://blink.homelinux.org/article/ldap-intranet.html
http://linuxfr.org/2002/11/04/10204.html
http://xeberon.net/view.php?id=92&page=0
Le dernier n'ayant d'intéret que une ois l truc en place .. donc c'est pas pour tout de suite
Marsh Posté le 06-01-2003 à 15:48:23
tiens, une question:
J'ai (entre autre) deux machines sous Linux dont l'une sert de serveur de fichier pour l'autre via NFS. Pour accèder à ses fichiers et avoir des droits cohérents sur ces deux machines, la seule solution que j'ai trouvé c'est d'avoir des /etc/passwd et /etc/groups identiques sur les deux machines.
Est-ce que le LDAP (sur lequel je ne suis jamais penché) pourrais répondre à ce genre de besoins ?
Là c'est pas grave mais si j'avais plus de machines, ça serait ingérable
Marsh Posté le 06-01-2003 à 16:03:09
vi av pam_ldap, un serveur ldap, et voili. C'est le meme principe que les NIS en gros dans ton cas. Et c'est pas dur à faire
Marsh Posté le 06-01-2003 à 16:08:12
NIS fait exactement ça je crois, et permet aussi d'avoir son répertoire home quelque soit la machine du réseau sur laquelle on se loggue. Après concretement sur les différences entre NIS et LDAP je m'y connais pas trop
Marsh Posté le 06-01-2003 à 16:10:54
ah ok ça sert à ça NIS (j'ai toujours vu l'acronyme sans jamais me demandé à quoi ça servait ).
bon, je prends un goûter et j'investigue
Marsh Posté le 06-01-2003 à 16:15:26
911GT3 a écrit : ah ok ça sert à ça NIS (j'ai toujours vu l'acronyme sans jamais me demandé à quoi ça servait ). |
MIAM
Marsh Posté le 06-01-2003 à 16:19:57
Me souvenait avoir vu une doc sur NIS sur Mandrakeuser.org
http://www.mandrakeuser.org/docs/connect/cnis.html
Au passage y a plein de très bons howto sur ce site, simples et faciles à comprendre meme quand on a pas une Mandrake
par contre y a rien sur ldap
Marsh Posté le 06-01-2003 à 16:24:39
fl0ups a écrit : NIS fait exactement ça je crois, et permet aussi d'avoir son répertoire home quelque soit la machine du réseau sur laquelle on se loggue. Après concretement sur les différences entre NIS et LDAP je m'y connais pas trop |
euh nan ca c NFS !
NIS permet a un ensemble de machines d'avoir les meme comptes users. Mais dire ça c'est limité l'utilité de NIS. NIS sert des "maps" à ses clients. Il peut donc servir des maps users, hosts, etc. En complement de NIS, on trouve souvent NFS. Grace à l'association des deux, un user peut retrouver son /home sur toutes les machines clientes NIS/NFS avec son meme login/passwd.
Actuellement, la mode et les pb de performance/securité font qu'on remplace NIS par LDAP pour le cas présenté
Marsh Posté le 06-01-2003 à 16:32:01
oui mais il faut quand même NIS, et pas NFS tout seul, si?
Marsh Posté le 06-01-2003 à 16:34:08
tout depend de ce que tu veux faire.
Che zmoi j'ai trois pc dont un serveur NFS et j'ai pas de NIS ni de LDAP pour les users (flemme inside). Et pourtant je monte les ressources partagés sur les deux autes pc, dont mon /home. C'est juste plus chiant au niveau des droits des fichiers, comme le précise 911
Le NFS marche tout seul comme le NIS. C'est en couplant leux deux qu'on obtient la possibilité de se connecter partout et de retrouver son /home.
Marsh Posté le 06-01-2003 à 16:59:49
j'ai lu un peu. ça a part l'air sorcier à mettre en place même si je sens la mal la migration sans douleur (mon serveur est sans interfaces clav/souris/écran, ça va puer).
Pour ceux qui ont testé: y a un moyen élégant de 'synchroniser' les /etc/passwd et autres sur la machine locale pour un cas de défaillance de serveur ? (genre pas définir ma machine comme un serveur NIS secondaire )
(Désolé pour la dérive de topic )
Marsh Posté le 06-01-2003 à 19:53:39
euh .. on pourrai rester sur LDAP pliz .. GT deja content, je pensais que plein de monde connaissait LDAP
Marsh Posté le 06-01-2003 à 20:51:37
Bon ... petite etat sur mes recherches ... j'ai un probleme concernant la definition de l'arbre, et j'aimerai savoir ce que vous en pensez ...
|
En attribuant des sortes de droit (je sais pas comment ca se passe) genre trictrac a droit au shell au ftp pas apache et pas mail etc ...
Du coup chaque utilisateur aurait un seul home que je defini en fonction de ce que je lui met comme droit, et qqun qui a juste les mail je lui mettrait comme home /home/mail/login
L'appli cherchant a authentifier un utilisateur cherche l'utilisateur dans l'OU users et verifie que les droits sont bon.
|
En disans a chaque appli dans quelle OU aller chercher les uers autorisés.
Probleme dans ce cas la: moi par ex j'aurais quatre home différent en fonction de ce que je fais
M'enfin j'ai peut etre rien compris a comment ca marchait, c'est pas du tout impossible ca.
Marsh Posté le 06-01-2003 à 21:01:48
hola, faut pas t'emballer, n'oublie pas que les softs peuvent dépendre d'un schema précis, et que tu ne vas pas pouvoir faire ce que tu veux à moins de les modifier.
Je te conseille de commencer par mater les docs sur pam_ldap et comment remplacer /etc/passwd, /etc/shadow, /etc/group par un server LDAP. Tu devrais avoir un bon aperçu de ce que tu peux faire. De plus, un user ssh se doit d'avoir un compte valide sur la machine, de meme qu'un shell valide. Et puis, pourquoi vouloir plusieurs homes ? Note que j'ai pas tout compris ce que tu veux faire...
Marsh Posté le 06-01-2003 à 21:19:59
oki ... c'est bon, je vais deja faire ca ..je vais faire une authentification avec pam_ldap
Il y a ca dans un viueux LM
Marsh Posté le 05-01-2003 à 15:54:31
Ben voila, j'ai recensé plein de site, j'en ai lu plein ... mais je comprend rien
J'ai un petit projet en tete que je devoilerai plus tard et qui s'appuyerai sur ce protocole ... de ce fait j'aimerai recensé les personnes ici qui utilisent un serveur LDAP pour savoir si j'aurai de l'aide ici.
Merci