[openldap] Sto Per Impazzire

[jhonsilver]

Buongiorno a tutti...

come avrete capito dal titolo ho bisogno di una mano per cofigurare un server OpenLdap su Fedora Core 4, l'ho già installato, ho iniziato la configurazione del file "slapd.conf".

Una volta avviato il servizio, viene eseguito un controllo sul file di configurazione e risulta tutto ok...a questo punto vorrei inserire qualcosa tramite il file LDIF e mi chiede una certa ObjectClass che dovrei inserire...ma non ho trovato da nessuna parte cosa sia...ovunque mi parla dei file LDIF, ho solo trovato esempi di files senza nessuna spiegazione... <_<

[Lorenz]

Premesso che sull'argomento la mia competenza è molto prossima allo zero, credo sarebbe utile sapere che devi farci col server ldap se possibile...

[jhonsilver]

Mi serve come database per gestire gli utenti ed i vari privilegi di accesso...

[archim3de]

Sinceramente non ho mai configurato ldap... non saprei proprio dove e come aiutarti se non con la segnalazione delle tonnellate di link a documentazione sul web

Ma non puoi semplicemente configurare samba in modo da operare come controller di dominio?

[jhonsilver]

Il problema è che per il software che stiamo scrivendo, abbiamo bisogno di utlizzare un server LDAP per gestire le autenticazioni...utilizzando un database particolare per il trattamento di dati geospaziali...abbiamo bisogno di usare LDAP..

Comunque penso di aver capito il problema...appena lo risolvo, posto la soluzione...grazie a tutti comunque...

[jhonsilver]

Posto la soluzione del problema perchè potebbe essere utile a qualcun'altro...

ipotizziamo di dover configurare ldap per il dominio jhonsilver.it (non esiste... ).

Tutto il funzionamento di ldap si basa su un file di configurazione, che viene controllato ogni volta che il servizio viene fatto partire. Questo file si chiama slapd.conf e dentro troveremo un sacco di parametri da configurare, da qui possiamo stabilire quali anche gli accessi ed i permessi le voci principali da configurare sono:

Database			  bdb   (Tipo di database che utilizza ldap)
suffix					"dc=jhonsilver,dc=it" (impostiamo il nome del dominio)
rootdn				  "cn=Admin,dc=jhonsilver,dc=it" (impostiamo il nome utente principale)
rootpw				   password 
defaultaccess		write (tipo di accesso)
lastmod				 on  (non è fondamentale, tiene traccia di quando è stata fatta l'ultima modifica)

un'altra cosa che possiamo inserire è una definizione degli accessi che hanno tutti con le stringhe

access to *
by dn="cn=Admin,dc=sysgroup,dc=it" write
by * read

Qui sopra noi diciamo a ldap che l'utente Admin ha accesso a tutto in modalita di scrittura, mentre tutti gli altri solo in lettura. (mi pare che comunque sia abbastanza intuitivo... )

Con queste poche configurazioni possiamo tranquillamente far partire il nostro server...

a questo punto vorremmo ovviamente inserire altri utenti...possiamo farlo in due modi, usare un'interfaccia GUI (es. l'ottimo Jxplorer "Open Source") oppure affidarci alla nostra casa tastiera e scrivere un file con estensione ldif, una specie di script che inserisce tutto ciò che serve nel nostro database...io inizialmente avevo optato per la seconda, ma poi mi sono arreso per motivi di tempo...

Sotto scriverò un file ldif per caricare nel nostro database: la descrizione dell'organizzazione (azienda), un gruppo ed un utente:

dn: dc=jhonsilver,dc=it
objectClass: top
objectClass: dcObject
objectClass: organization
o: jhonsilver S.r.l
dc: jhonsilver
structuralObjectClass: organization
creatorsName: cn=Admin
modifiersName: cn=Admin
createTimestamp: 20060706121100Z
modifyTimestamp: 20060706121100Z

dn: ou=Users,dc=jhonsilver,dc=it
objectClass: organizationalUnit
objectClass: top
ou: Users

dn: uid=boari,ou=Users,dc=jhonsilver,dc=it
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: person
objectClass: top
cn: boari
gidNumber: 10000
homeDirectory: /home/boari
sn: Boari
uid: boari
uidNumber: 10001
userPassword:: e21kNX0rNk1IMzhUVHd1K3M3dzNVaG1xaTdnPT0=

- Il primo blocco non è essenziale, è solo una sorta di descrizione per dire che il nodo principale è legato ad una certa azienda...infatti sfrutta l'objectclass "organizzation" che ti consente di inserire una serie di proprietà per definire una descrizione più approfondita.

- il secondo blocco è indispensabile quando si devono dividere i diversi utenti in gruppi ben definiti, in questo caso definiamo il gruppo Users sfruttando la objectclass organizationalUnit che ci consente di inserire dati relativi al gruppo (jxplorer viene in aiuto evidenziando quelli obbligatori)

- nel terzo blocco definiamo l'utente boari (cioè io... ) sfruttando le classi inetOrgPerson ed organizationalPerson per defnire i parametri che ci servono...

PS: Sicuramente ci sarànno errori di battitura clamorosi...chiedo scusa in anticipo...

[Lorenz]

Grazie per le delucidazioni.

[archim3de]

chiaro...

chissà che presto non serviranno anche a me queste informazioni