The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"LDAP авторизация на UBUNTU 9.04"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Открытые системы на рабочей станции (Public)
Изначальное сообщение [ Отслеживать ]

"LDAP авторизация на UBUNTU 9.04"  +/
Сообщение от Начинающий Убунтовод email on 06-Окт-09, 08:55 
Вообщем начну с предыстории.

Есть офис порядка 1000 машин. Встала необходимость перехода всех на LINUX. Это связанно с тем что на 1000 компов винду закупать сильно дорого, особенно учитывая, что организация бюджетная.

Почитав в интернете про все дистрибутивы Linux остоновился именно на Ubuntu  как самую простую в управлении и дружелюбную для пользователя.

Я сам в Unuix  системах не силен, магу пару простеньких серверов поднять(почта, www, ftp, шлюз и тд)Ничего глобального я не побывал делать. В связи с этим у меня могут возникать очень дурацкие вопросы, за которые заранее прошу прощения.

Теперь суть.

Настраиваю связку LDAP Сервера и Ldap клиента. Сервер LDAP поднять под FreeBSD. С поднятием почти проблем не возникало. Сервер работает и отвечает на запросы об авторизации.
Проблема возникла при попытке привязать убунту к этому серверу. В Pam.d  в конфигах авторизации я прописал подгрузку библиотеки ldap. Nsswitch.conf тоже настроил. Ldap.conf  тоже вроде бы верно настроил, но по нему тоже потом задам пару вопросов.
В командной строке авторизация проходит. А вот графическая оболочка ругается на то что нет домашней директории пользователя.

Как можно заставить автоматически при авторизации нового пользователя через LDAP, что бы создавалась домашняя папка пользователя с соответствующими правами?


Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "LDAP авторизация на UBUNTU 9.04"  +/
Сообщение от NiGeR on 06-Окт-09, 10:38 
>[оверквотинг удален]
>в конфигах авторизации я прописал подгрузку библиотеки ldap. Nsswitch.conf тоже настроил.
>Ldap.conf  тоже вроде бы верно настроил, но по нему тоже
>потом задам пару вопросов.
>В командной строке авторизация проходит. А вот графическая оболочка ругается на то
>что нет домашней директории пользователя.
>
>Как можно заставить автоматически при авторизации нового пользователя через LDAP, что бы
>создавалась домашняя папка пользователя с соответствующими правами?
>
>

http://github.com/tonnerre/pam-mkhomedir

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "LDAP авторизация на UBUNTU 9.04"  +/
Сообщение от Rodger (??) on 06-Окт-09, 12:52 
>>[оверквотинг удален]
>>в конфигах авторизации я прописал подгрузку библиотеки ldap. Nsswitch.conf тоже настроил.
>>Ldap.conf  тоже вроде бы верно настроил, но по нему тоже
>>потом задам пару вопросов.
>>В командной строке авторизация проходит. А вот графическая оболочка ругается на то
>>что нет домашней директории пользователя.
>>
>>Как можно заставить автоматически при авторизации нового пользователя через LDAP, что бы
>>создавалась домашняя папка пользователя с соответствующими правами?
>>

инсталишь libnss-ldap и libpam-ldap
в /etc/ldap.conf
настраиваешь что тебе нужно и будет тебе счастье...

на 7.04 нужно будет потенцевать с бубном, 8.04 устанавливали способ описано выше. на 9.04 не пробывали.. т.к. нету установленной

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "LDAP авторизация на UBUNTU 9.04"  +/
Сообщение от Warhead Wardick on 07-Окт-09, 20:47 
>>[оверквотинг удален]
>>Как можно заставить автоматически при авторизации нового пользователя через LDAP, что бы
>>создавалась домашняя папка пользователя с соответствующими правами?
>http://github.com/tonnerre/pam-mkhomedir

Ответ правильный но не полный!
Вначале надо задать аффтару вопрос - а нужно ли это делать?
Все таки не виндовс, в юниксах принято поднять NFS-server, экспортировать с него /home а на клиентах - монтировать. Тут у нас в деревенском univerity campus'е ~15К активных аккаунтов так сервят и ничего, все довольны. (придётся правда повозится со стартовыми скриптами в ~ - но это совсем другая история :)


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "LDAP авторизация на UBUNTU 9.04"  +/
Сообщение от начинающий on 07-Окт-09, 22:33 
>Вначале надо задать аффтару вопрос - а нужно ли это делать?
>Все таки не виндовс, в юниксах принято поднять NFS-server, экспортировать с него
>/home а на клиентах - монтировать. Тут у нас в деревенском
>univerity campus'е ~15К активных аккаунтов так сервят и ничего, все довольны.
>(придётся правда повозится со стартовыми скриптами в ~ - но это
>совсем другая история :)

Нужно или нет - это ситуация рулит. Есть свои преимущества и там и там.
А если по nfs хомяка раздавать, так ещё, если по уму, и керберос надо настраивать (иначе безопасность нулевая). А это тоже трафик, да и керберос не всем нравится.
У меня тоже /home по nfs раздается с керберос аутентификацией. Но клиентов только пару сотен. Пока не тормозит.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "LDAP авторизация на UBUNTU 9.04"  +/
Сообщение от Rodger (??) on 08-Окт-09, 08:14 
>А если по nfs хомяка раздавать, так ещё, если по уму, и
>керберос надо настраивать (иначе безопасность нулевая). А это тоже трафик, да
>и керберос не всем нравится.
>У меня тоже /home по nfs раздается с керберос аутентификацией. Но клиентов
>только пару сотен. Пока не тормозит.

у нас раздается Home тоже на NFS + еще и OPT
установил OpenOffice на 1 машине где разрешена запись в опт и на всех обновилось.. в общем удобно... керберос не осилил... что то там мутно все.. а права на уровне ACL раздаються

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "LDAP авторизация на UBUNTU 9.04"  +/
Сообщение от Начинающий Убунтовод on 11-Окт-09, 22:51 
Вот еще один вопрос нарисовался, когда в nsswitch.conf прописываешь искать учетки в лдап, это убивает возможность устанавливать пакеты через графичиский интерфейс.

Может кто аськой поделится? Из тех кто настраивал когда либо Лдап сервер со связкой с убунту. буду крайне признателен в помощи. Либо вот моя ася: 175171883

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "LDAP авторизация на UBUNTU 9.04"  +/
Сообщение от Rodger (??) on 12-Окт-09, 10:40 
>Вот еще один вопрос нарисовался, когда в nsswitch.conf прописываешь искать учетки в
>лдап, это убивает возможность устанавливать пакеты через графичиский интерфейс.
>
>Может кто аськой поделится? Из тех кто настраивал когда либо Лдап сервер
>со связкой с убунту. буду крайне признателен в помощи. Либо вот
>моя ася: 175171883

cat /etc/nsswitch.conf
passwd:         files ldap
group:          files ldap
shadow:         files ldap

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

все работает на ура...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "LDAP авторизация на UBUNTU 9.04"  +/
Сообщение от Начинающий Убунтовод email on 14-Окт-09, 08:49 
>[оверквотинг удален]
>
>protocols:      db files
>services:       db files
>ethers:         db files
>rpc:            
>db files
>
>netgroup:       nis
>
>все работает на ура...

Спасибо, я просто  ldap files  ставил.(Так в мане было)

Ещё вопрос, при связке с nfs сервером, не будет сеть нагружена? если каталог каждого пользователя может достигать 3 гига.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "LDAP авторизация на UBUNTU 9.04"  +/
Сообщение от Rodger (??) on 15-Окт-09, 09:21 
>Ещё вопрос, при связке с nfs сервером, не будет сеть нагружена? если
>каталог каждого пользователя может достигать 3 гига.

ну у нас на около 100 пользователей... на хомяках размер от 10 метров до 10 гиг. +opt еще на nfs, raid 10, два гигабитных интерфейса (1 недавно поставили).
пока работает 1 интрефейс.. загрузка в пике порядка 14-18Мбайт/с

проблема там в другом... бывает зависает фокса.. или офис.
если с ноги перегрузят комп.
но пользователям сделаны файлы что бы при их запуске убивались .lock файлы...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "LDAP авторизация на UBUNTU 9.04"  +/
Сообщение от Начинающий Убунтовод email on 15-Окт-09, 11:33 
>[оверквотинг удален]
>
>ну у нас на около 100 пользователей... на хомяках размер от 10
>метров до 10 гиг. +opt еще на nfs, raid 10, два
>гигабитных интерфейса (1 недавно поставили).
>пока работает 1 интрефейс.. загрузка в пике порядка 14-18Мбайт/с
>
>проблема там в другом... бывает зависает фокса.. или офис.
>если с ноги перегрузят комп.
>но пользователям сделаны файлы что бы при их запуске убивались .lock файлы...
>

А если на самбе все сделать? Тоесть домашние каталоги раздовать через самбу? А права доступа на каталог брать с лдап? Так вроде бы многие делают. В чем там подводные камни и как реалезовать такую схему.  Есть куча манов, но порой всплывают некоторые неточности или вопросы по непонятным моментам.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "LDAP авторизация на UBUNTU 9.04"  +/
Сообщение от Rodger (??) on 15-Окт-09, 16:23 
>А если на самбе все сделать? Тоесть домашние каталоги раздовать через самбу?

Пробывали, но что то не очень понравилось... или не разобрались....

>А права доступа на каталог брать с лдап? Так вроде бы
>многие делают.

ldap + acl


>В чем там подводные камни и как реалезовать такую
>схему.  Есть куча манов, но порой всплывают некоторые неточности или
>вопросы по непонятным моментам.

ну группы и пользователи хранятся в ldap
через acl делаем доступ к папкам и все такое.. в общем и все...
да все крутиться на ext3 и nfs3

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "LDAP авторизация на UBUNTU 9.04"  +/
Сообщение от начинающий on 15-Окт-09, 21:21 
>А если на самбе все сделать? Тоесть домашние каталоги раздовать через самбу?
>А права доступа на каталог брать с лдап? Так вроде бы
>многие делают. В чем там подводные камни и как реалезовать такую
>схему.  Есть куча манов, но порой всплывают некоторые неточности или
>вопросы по непонятным моментам.

Самба тоже себя достаточно хорошо зарекомендовала. Использовать её вместо nfs, я думаю, имеет смысл, если большинство клиентов вендовых.
Небольшая проблема при монтирования домашних каталогов по самбе в том, что монтирование нужно проводить от имени самого пользователя с указанием его самбового (вендового) пароля. Для этого его нужно либо спросить, либо держать на диске вне домашенго каталога.

nfs по производительности не уступает. Основна проблема для /home - проблема безопасности - кто угодно может такой же доступ, который даётся владельцу. Эта проблема обычно решается посредством керберос.
Ещё один плюс в пользу керберос - достаточно держать единую базу паролей как для юниксовых и для вендовых (самбовских) пользователей.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "LDAP авторизация на UBUNTU 9.04"  +/
Сообщение от новичок (??) on 28-Янв-10, 11:45 
>[оверквотинг удален]
>
>ну у нас на около 100 пользователей... на хомяках размер от 10
>метров до 10 гиг. +opt еще на nfs, raid 10, два
>гигабитных интерфейса (1 недавно поставили).
>пока работает 1 интрефейс.. загрузка в пике порядка 14-18Мбайт/с
>
>проблема там в другом... бывает зависает фокса.. или офис.
>если с ноги перегрузят комп.
>но пользователям сделаны файлы что бы при их запуске убивались .lock файлы...
>

вопрос от начинающего любителя linux, при такой конфигурации как написано, не возникает ли "торможение" из-за работы жестких дисков, другими словами, успевают ли диски за запросами от всех пользователей?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру