[ug-czosug] Re: Solaris 10 s vý? a LDAP autentikace

Tomas Heran tomas.heran na sun.com
Pátek Říjen 27 08:19:45 PDT 2006 

Dobry den!

> Zdar
> 
> mohl byste m? n?kdo mírn? nakopnout správným sm?rem, ne? to budu muset
> nastudovat celé od za?átku.
> 
> Lze n?jak jednodu?e zapnout ov??ování u?ivatel? Solarisovské stanice
> proti standardnímu LDAPu (OpenLDAP)? Jde mi o toto:

OpenLDAP neni bohuzel oficialne podporovan, ale "melo by to
fungovat"(TM). Zalezi na funkcionalite, kterou budete potrebovat.

> 
> 1. Existuje n?jaký nástroj, kterým se to základn? nakonfiguruje? N?co
> jako authconfig v Redhat linuxu?

Jak uz odpovidal MC, v Solarisu je program ldapclient(1M), pomoci
ktereho nakonfigurujete klientskou stanici pro naming v LDAPu.

Jako nejjednodussi test muzete pouzit nasledujici postup:

$ ldapclient manual -a defaultSearchBase=<base_dn> \
	-a defaultServerList=<ip_vaseho_ldap_serveru>
	
<base_dn> je vetsinou odvozena od domenoveho jmena, takze napr. pro
domenu pokus.sun.com bude <base_dn> "dc=pokus,dc=sun,dc=com" (dc znaci
domain component).

Pro autentizaci uzivatelu ocekava Solarisi Native LDAP client (tak
rikame v Solarisu te casti, ktera se stara o name service data v LDAPu)
uzivatelska data v kontejneru, ktery ma objectClass
"organizationalUnit", atribut ou je People a dn je:
"ou=People,dc=pokus,dc=sun,dc=com".

V tomto kontejneru jsou pak takovehle zaznamy:

# u_th_1, people, thtest.sun.com
dn: uid=pokus,ou=people,dc=pokus,dc=sun,dc=com
cn: pokus
uidNumber: 1009
gidNumber: 1
homeDirectory: /export/home/pokus
loginShell: /usr/bin/bash
objectClass: posixAccount
objectClass: shadowAccount
objectClass: account
objectClass: top
uid: u_th_1
shadowLastChange: 13101
shadowFlag: 0

To bylo velmi zjednodusene receno - schema, ktere Solaris Native LDAP
client ocekava, je RFC-2307 (http://www.faqs.org/rfcs/rfc2307.html),
resp. RFC-2307bis (byval to draft, bohuzel mu vsak vyprsela platnost,
takze je celkem slozite ho i najit.)

Pekny dokument o konfiguraci name services (a PAM) pro LDAP je zde:
http://www.genunix.org/wiki/index.php/Native_LDAP_Product_Support_Document

> 
> 2. Jsou pot?ebné knihovny (pam, ...) sou?ástí systému, nebo to musím
> p?ekládat ze zdroják??

Vse je pripraveno, nic neni potreba donahravat, natoz kompilovat.

> 
> 3. Je v tom rozdíl mezi solatis 10 a nejnov?j?ími buildy opensolarisu?
> 

V soucasne chvili je jediny rozdil v tom, ze pred par tydny byl
"commitovan" kod, ktery umoznuje, aby se mohl Solaris Native LDAP Client
prihlasovat k LDAP serveru pomoci Kerberosu.

<Reklama>
Nicmene, v soucasne dobe horecne pracujeme na vylepseni konfigurace
Native LDAP clientu, automatickem vyhledavani directory serveru atd.
Projekt ma kodove oznaceni Duckwater a vice si muzete precist na
http://www.opensolaris.org/os/project/duckwater/

Dalsi projekty napr. pripravuji podporu pro MS Active Directory Server,
kdy pocitac se Solarisem bude umet fungovat jako "naming client" v cistem
MS ADS prostredi.
</Reklama>

Tomas
 
 
This message posted from opensolaris.org

Další informace o konferenci ug-czosug