Wiki de FedeRez

Outils pour utilisateurs

Outils du site

Piste :
admin:services:ldap

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
admin:services:ldap [2014/05/18 14:37] – [Provider (master)] correction de liens vers webldap-deploy bertrand.bonnefoy-claudetadmin:services:ldap [2020/03/17 00:19] (Version actuelle) toadjaune
Ligne 1: Ligne 1:
 +<WRAP center round alert>
 +Cette documentation est obsolète, le LDAP est désormais géré via Re2o.
 +</WRAP>
 +
 [[:admin|< retour à la page de l'administration technique]] [[:admin|< retour à la page de l'administration technique]]
  
Ligne 31: Ligne 35:
  
 [[https://github.com/FedeRez/webldap-deploy/blob/master/conf/sync/provider.ldif|provider.ldif]] [[https://github.com/FedeRez/webldap-deploy/blob/master/conf/sync/provider.ldif|provider.ldif]]
- 
-=== Compte syncrepl === 
  
 Les consumers se connectent au provider avec un compte qui à l'accès complet à l'arbre en lecture seule ([[https://github.com/FedeRez/webldap-deploy/blob/master/conf/sync/syncuser.ldif|syncuser.ldif]]) Les consumers se connectent au provider avec un compte qui à l'accès complet à l'arbre en lecture seule ([[https://github.com/FedeRez/webldap-deploy/blob/master/conf/sync/syncuser.ldif|syncuser.ldif]])
Ligne 38: Ligne 40:
 ==== Consumer (slave) ==== ==== Consumer (slave) ====
  
-[[https://github.com/FedeRez/webldap-deploy/blob/master/migrations/syncrepl/consumer.ldif|consumer.ldif]]+[[https://github.com/FedeRez/webldap-deploy/blob/master/conf/sync/consumer.ldif|consumer.ldif]]
  
 Avec le paramètre ''type=refreshAndPersist'', les entrées sont récupérées du provider en temps réel. Cela est fait en TLS pour rendre le transfert confidentiel, d'où l'utilisation des noms de domaine dans la configuration. Avec le paramètre ''type=refreshAndPersist'', les entrées sont récupérées du provider en temps réel. Cela est fait en TLS pour rendre le transfert confidentiel, d'où l'utilisation des noms de domaine dans la configuration.
Ligne 89: Ligne 91:
 ===== TLS ===== ===== TLS =====
  
-Ajouter ''openssl'' au groupe ''ssl-cert''.+Ajouter ''openldap'' au groupe ''ssl-cert''.
  
 Pour créer la chaîne : Pour créer la chaîne :
Ligne 102: Ligne 104:
   olcTLSCertificateKeyFile: /etc/ssl/private/federez.key   olcTLSCertificateKeyFile: /etc/ssl/private/federez.key
  
 +===== SSH =====
 +
 +L'accès aux serveurs est géré par [[admin:services:NSS]] qui utilise le serveur LDAP.  Pour donner l'accès aux serveurs à un utilisateur déjà inscrit avec [[admin:services:webldap|webldap]], suivre les étapes suivantes.
 +
 +==== Ajouter des attributs au compte ====
 +
 +Dans ''uid=prenom.nom,ou=users,dc=federez,dc=net'', ajouter les attributs :
 +
 +  objectClass: netFederezUser
 +  objectClass: posixAccount
 +  objectClass: shadowAccount
 +  homeDirectory: /home/<user>
 +  loginShell: /bin/bash
 +  netFederezUID: <user>
 +  uidNumber: <uid>
 +  gidNumber: <gid>
 +  shadowMax: 99999
 +  shadowMin: 0
 +  shadowWarning: 7
 +
 +  * ''<uid>'' et ''<gid>'' doivent être supérieurs à 10000 et pas déjà utilisés (vérifier avec ''getent passwd'' et ''getent group'').  De préférence, utiliser le même numéro pour les deux.
 +  * ''<user>'' est le nom d'utilisateur
 +
 +==== Créer un groupe POSIX ====
 +
 +Créer ''cn=<user>,ou=posix,ou=groups,dc=federez,dc=net'' avec les attributs suivants :
 +
 +  dn: cn=<user>,ou=posix,ou=groups,dc=federez,dc=net
 +  objectClass: posixGroup
 +  cn: <group>
 +  gidNumber: <gid>
 +  memberUid: username
 +
 +  * ''<group>'' doit être de préférence identique à ''<user>''
 +
 +==== Autoriser l'accès SSH ====
 +
 +Dans ''cn=ssh,ou=accesses,ou=groups,dc=federez,dc=net'', ajouter le membre :
 +
 +  uniqueMember: uid=prenom.nom,ou=users,dc=federez,dc=net
  
admin/services/ldap.1400416633.txt.gz · Dernière modification : 2014/05/18 14:37 de bertrand.bonnefoy-claudet
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki