opuntia.biz » OpenLDAP

Aggiungere/modificare utenti ad un PDC realizzato con Samba e OpenLDAP

BoB — Mon, 19 Apr 2010 07:55:35 +0000

Aggiungere un utente:

… come “Administrator”
smbldap-useradd -N “Nome” -S “Cognome” -P -a -m -c “Nome Cognome” username_assegnato -s /bin/bash -g “Domain Admins” -u 500 Administrator

… come utente normale
smbldap-useradd -N “Nome” -S “Cognome” -P -a -m -c “Nome Cognome” username_assegnato

Aggiungere un gruppo all’utente:

Aggiungere l’utente “username_asegnato” al gruppo “Amministratori” (oltre al gruppo principale di appartenenza)
smbldap-usermod -G “Domain Admins” username_assegnato

Vedere chi appartiene ad un determinato gruppo:

smbldap-groupshow “Domain Admins”

Ottenere una lista degli utenti presenti sul sistema:

smbldap-userlist

Postfix e LDAP-aliases

BoB — Mon, 22 Feb 2010 15:24:30 +0000

Molto spesso risulta comodo gestire gli aliases di posta elettronica direttamente tramite LDAP.
Assunto che gli aliases di posta elettronica siano stati migrati da un precedente sistema tramite lo script migrate-aliases e che all’interno dell’albero LDAP sia stata creata la UO “Aliases” …
Queste sono le modifiche da apportare:

/etc/postfix/main.conf

alias_maps = hash:/etc/aliases, ldap:/etc/postfix/ldap-aliases.cf

/etc/postfix/ldap-aliases.conf

server_host = 127.0.0.1
search_base = ou=Aliases, dc=math, dc=unipa, dc=it
bind_dn = cn=admin, dc=math, dc=unipa, dc=it
bind_pw = AtavacroN
query_filter = (&(objectClass=nisMailAlias)(cn=%u))
result_attribute = rfc822MailMember
#result_format = %s
scope = sub
#cache = yes
bind = yes

Script per la creazione di un utente tramite CPU(Change Password Utility)/OpenLDAP

BoB — Wed, 17 Feb 2010 13:10:06 +0000

#!/bin/sh
#
# Nome utente …
echo -e “Immettere nome utente: \c “
read USER_NAME
#
# Password utente
echo -e “Introdurre password: \c “
read PASSWORD
#
# Oggetto dell’email
SUBJECT=”Creazione account utente”
#
# Invia l’email all’utente appena creato …
EMAIL=$USER_NAME
#
# Aggiunge l’utente all’albero LDAP
/usr/sbin/cpu useradd –password=$PASSWORD $USER_NAME –makehome –directory=/home/$USER_NAME –skel=/etc/skel/ –shell=/sbin/nologin –gid=100
#
# Testo dell’email da inviare all’utente
EMAILMESSAGE=”/tmp/emailmessage.txt”
echo “Gentile utente” $USER_NAME”,”> $EMAILMESSAGE
echo “si comunica che il suo account e’ stato attivato. Il suo indirizzo di posta e’: “$USER_NAME”@server.it” >>$EMAILMESSAGE
echo “Si ricorda che la password (che deve essere tenuta nascosta) e’: ” $PASSWORD >>$EMAILMESSAGE
echo “Cordiali saluti.” >>$EMAILMESSAGE
echo ” ” >>$EMAILMESSAGE
echo “Area ICT – server.it” >>$EMAILMESSAGE
echo ” ” >>$EMAILMESSAGE
echo “– Questo messaggio e’ stato generato automaticamente dal sistema –” >>$EMAILMESSAGE
#
# Invia l’email di comunicazione creazione account all’utente
/bin/mail -s “$SUBJECT” “$EMAIL” $EMAILMESSAGEITADMIN
echo “si comunica che l’account dell’utente ‘”$USER_NAME”‘ e’ stato attivato. E’ stato attivato, altresi’, l’indirizzo di posta: “$USER_NAME”@server.it” >>$EMAILMESSAGEITADMIN
echo “Si ricorda che per l’inserimento dei dati telefonici all’interno della rubrica centralizzata e’ necessario utilizzare PHPldapADMIN.” >>$EMAILMESSAGEITADMIN
echo “Cordiali saluti.” >>$EMAILMESSAGEITADMIN
echo ” ” >>$EMAILMESSAGEITADMIN
echo “Il vostro umile ed indefesso servo – server.it” >>$EMAILMESSAGEITADMIN
echo ” ” >>$EMAILMESSAGEITADMIN
echo “– Questo messaggio e’ stato generato automaticamente dal sistema –” >>$EMAILMESSAGEITADMIN
#
# Invia l’email di comunicazione creazione account all’amministratore di sistema
/bin/mail -s “$SUBJECT” area-ict@localhost < $EMAILMESSAGEITADMIN
# Aggiunge l’utente all’albero LDAP
#/usr/sbin/cpu useradd –password=$PASSWORD $USER_NAME –makehome –directory=/home/$USER_NAME –skel=/etc/skel/ –shell=/sbin/nologin –gid=100

Aggungere un utente su un server LDAP

BoB — Wed, 17 Feb 2010 09:14:40 +0000

Dopo avere installato, configurato ed abbondantemente testato un server LDAP sorge generalmente un “piccolo” problema: per aggiungere un utente fino ad oggi siamo stati abituati a digitare …

useradd nome utente

Con questo comando, però, aggiungiamo un utente al sistema.
Per aggiungere un utente all’albero LDAP abbiamo diverse scelte. Possiamo farlo via web (PHPldapAdmin) e da shell (utilizzando il comando ldapadd).
In quest’ultimo caso, però, dovremmo creare una struttura ldif, cosa che magari non è di immediato utilizzo.
Siccome Linux=semplicità …
La soluzione si chiama: CPU (Change Password Utility) !!!
Basterà scaricare da qui la versione più adatta alla propria distribuzione Linux (per CentOS io ho sempre utilizzato questo rpm) e digitare il comando:

rpm -Uvh cpu-1.4.3-0.2.el4.rf.i386.rpm

Una volta effettuata l’installazione potremo aggiungere un nuovo utente digitando il comando:

cpu useradd –password=passowrd_utente nome_utente –makehome –directory=/home/nome_utente –skel=/etc/skel/ –shell=/sbin/nologin –exec=/root/mandamail.sh –gid=100 –firstname=”Utente” –lastname=”Fittizio”

dove:
–password = password dell’utente
–makehome = crea la home dell’utente
–directory = home directory dell’utente
–skel = quando viene creata la home directory di un nuovo utente, viene inizializzata con i file dalla directory /etc/skel . L’amministratore di sistema può creare dei file in /etc/skel che daranno un ambiente di default per gli utenti. Ad esempio può creare un file /etc/skel/.profile che imposta la variabile d’ambiente EDITOR ad un editor facile da usare.
–shell = shell di default del nuovo utente
–exec = file batch da eseguire alla creazione del nuovo utente
–gid = gruppo di afferenza dell’utente
–firstname/–lastname = dati dell’utente

CPU può essere finemente parametrizzato tramite il file /etc/cpu.conf
Ecco un esempio del file …

# See cpu.conf(5) for documentation

[GLOBAL]
DEFAULT_METHOD = ldap
CRACKLIB_DICTIONARY = /usr/lib/cracklib_dict

[LDAP]
LDAP_HOST = 127.0.0.1
LDAP_PORT = 389
# Can also use LDAP_URI = ldaps://localhost:389 for TLS support
BIND_DN = cn=admin,dc=ldap,dc=server,dc=it
BIND_PASS = password_amministrazione_ldap_server
USER_BASE = ou=People,dc=ldap,dc=server,dc=it
# replace account with inetOrgPerson if you want first or last name
GROUP_BASE = ou=group,dc=ldap,dc=server,dc=it
USER_OBJECT_CLASS = account,posixAccount,shadowAccount,top
GROUP_OBJECT_CLASS = posixGroup,top
USER_FILTER = (objectClass=posixAccount)
GROUP_FILTER = (objectClass=posixGroup)
USER_CN_STRING = uid
GROUP_CN_STRING = cn
SKEL_DIR = /etc/skel
DEFAULT_SHELL = /sbin/nologin
HOME_DIRECTORY = /home
MAX_UIDNUMBER = 10000
MIN_UIDNUMBER = 2000
MAX_GIDNUMBER = 10000
MIN_GIDNUMBER = 100
ID_MAX_PASSES = 1000
USERGROUPS = yes
USERS_GID = 100
RANDOM = “false”
PASSWORD_FILE = “/etc/passfile”
SHADOW_FILE = “/etc/shadowfile”
HASH = “md5″
#ADD_SCRIPT = “contrib/postaddscript.sh”
#DEL_SCRIPT = “foo”
SHADOWLASTCHANGE = 11192
SHADOWMAX = 99999
SHADOWWARING = 7
SHADOWEXPIRE = -1
SHADOWFLAG = 134538308
SHADOWMIN = -1
SHADOWINACTIVE = -1

[PASSWD]
# Broken
GROUP = 1000
HOME = /home
INACTIVE = -1
#EXPIRE =
SHELL = /bin/bash
SKEL = /etc/skel
COMMENT = “Default Gecos”
PASSWORD = /etc/passwd
SHADOW = /etc/shadow

Attivare un servizio di replica di un server LDAP

BoB — Thu, 11 Feb 2010 10:01:38 +0000

Dati due server:
- il server principale (MASTER) con indirizzo ip 192.168.1.10
- il server di backup (SLAVE) con indirizzo ip 192.168.1.20
per potere duplicare l’albero LDAP dal server MASTER al server SLAVE occorre configurare adeguatamente il file slapd.conf

-+-+-+-+-+-+-+-+-+-+-+-+–+-+-+-+-+-+-+-+-+-+-+-+-
slapd.conf – MASTER (192.168.1.10)

….
….
# Replica del database
overlay syncprov
….
….
-+-+-+-+-+-+-+-+-+-+-+-+–+-+-+-+-+-+-+-+-+-+-+-+-

-+-+-+-+-+-+-+-+-+-+-+-+–+-+-+-+-+-+-+-+-+-+-+-+-
slapd.conf – SLAVE (192.168.1.20)

….
….
rootdn “cn=admin,dc=intranet,dc=server,dc=it”

syncrepl rid=001
provider=ldap://192.168.1.10
tls_reqcert=allow
type=refreshAndPersist
retry=”60 +”
searchbase=”dc=intranet,dc=server,dc=it”
filter=”(objectClass=*)”
scope=sub
attrs=”*”
schemachecking=off
bindmethod=simple
binddn=”cn=admin,dc=intranet,dc=server,dc=it”
credentials=password_ldap
….
….
-+-+-+-+-+-+-+-+-+-+-+-+–+-+-+-+-+-+-+-+-+-+-+-+-

Permettere all’utente di cambiare la password in sistema con LDAP

BoB — Mon, 30 Nov 2009 14:33:41 +0000

Creare il file: /etc/openldap/slapd.access.conf
Aggiungere al file: /etc/openldap/slapd.access.conf le seguenti righe …

access to attrs=userPassword
by dn=”cn=admin,dc=dominio,dc=com” write
by self write
by anonymous auth
by * none

access to dn.base=”" by * read

access to *
by dn=”cn=admin,dc=dominio,dc=com” write
by * read

Editare il file /etc/openldap/slapd.conf ed aggiungere la seguente riga:

include /etc/openldap/slapd.access.conf