Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
project:ldap [2017/04/10 16:44] dron |
project:ldap [2017/05/03 09:05] (current) licho [Instalace 389 ldap serveru] |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| ====== Instalace 389 ldap serveru ====== | ====== Instalace 389 ldap serveru ====== | ||
| - | 389 ldap server je reinkarnace ldap serveru původně vyvíjeného jako Netscape directory server viz. [1]. | + | 389 ldap server je reinkarnace ldap serveru původně vyvíjeného jako Netscape directory server viz [1]. |
| ===== Instalace ===== | ===== Instalace ===== | ||
| - | Před vlastní instalací je potřeba provést pár přípravných kroků, především správně doplnit ''/etc/hosts'' soubor (v praxi samozřejmě i dns), aby správně fungoval minimálně lokální resolving. | + | Před vlastní instalací je potřeba provést pár přípravných kroků. Především je velmi vhodné mít funkční dns resolving hostname serveru. Pokud budeme používat ldap lokálně, tak je potřeba zajistit alespoň lokální resolving. To obnáší i správně doplnit ''/etc/hosts'' soubor. |
| <code bash> | <code bash> | ||
| Line 268: | Line 268: | ||
| firewall-cmd --zone=public --permanent --add-service=ldap | firewall-cmd --zone=public --permanent --add-service=ldap | ||
| firewall-cmd --zone=public --permanent --add-port=9830/tcp | firewall-cmd --zone=public --permanent --add-port=9830/tcp | ||
| + | firewall-cmd --reload | ||
| </code> | </code> | ||
| ====== Správa uživatelů ====== | ====== Správa uživatelů ====== | ||
| - | Java GUI, TODO | + | 389 server disponuje jednoduchým Java GUI (ok, fuj, ale lepší než drátem do oka...). Klient jde spouštět na jiném stroji, se serverem komunikuje po management portu. |
| + | |||
| + | Předpokládám, že se ldap.labka.cz resolvuje korektně (mimo labku ohackováno editací /etc/hosts a připojení přes vpn) | ||
| + | |||
| + | <code bash> | ||
| + | 389-console -a http://ldap.labka.cz:9830 | ||
| + | </code> | ||
| + | |||
| + | ===== Best practices ===== | ||
| + | |||
| + | Klidně ještě diskutujme, ale momentálně jsem to vymyslel takto: | ||
| + | |||
| + | * Všichni uživatelé jsou v ''ou=People,dc=labka,dc=cz'' | ||
| + | * Všichni uživatelé mají posix rozšíření, uid od 10000 dále, gid stejné jako uid | ||
| + | * Všechny skupiny jsou jsou v ''ou=Groups,dc=labka,dc=cz'' | ||
| + | * Všechny skupiny mají posix rozšíření, gidNumber od 20000 dále | ||
| + | |||
| + | ===== Zabezpečení ===== | ||
| + | |||
| + | TODO | ||
| + | * Vyřešit CA | ||
| + | * naimportovat certifikáty | ||
| + | * zapnout ldaps | ||
| + | * vyřešit co může číst anonymní user | ||
| + | |||
| + | ===== Používání ===== | ||
| + | |||
| + | TODO | ||
| + | |||
| + | <code bash> | ||
| + | ldapsearch -x -b "dc=labka,dc=cz" | ||
| + | </code> | ||
| ===== Links ===== | ===== Links ===== | ||