Задать вопрос
smarteq
@smarteq
Web developer, System administrator

LDAP атрибут memberOf in OpenLdap & SAMBA

Здравствуйте уважаемые!

Без предисловий перейду к сути:
В Active Directory у объекта «пользователь» есть атрибут memberOf в котором прописаны группы, членом которых он является. Развернули LDAP сервер на базе openLDAP, прикрутили к нему Samba и оказалось что там в схеме нет такого атрибута. Скажите пожалуйста, насколько реально:

1) Добавить в схему этот атрибут пользователю и чтобы при этом не упала samba?
2) Какими автоматическими средствами в него лучше добавлять значения? Может кто-то уже делал скрипт для этого?

Заранее благодарю!

P.S. для тех кто порекомендует поставить Win2008 server — нам политики и прочее управление не особо важны, прежде всего наша цель на выходе — единая база пользователей и паролей, поэтому в общем нас такое решение устраивает, кроме вот этой проблемы.

UPDATE:
Самба в моей задаче вообще «сбоку». Я авторизовывают php-скриптом который маппит группы в ЛДАП и сопоставляет с внутренними т.к. у скрипта есть своя система разграничений доступа. Подозреваю что этот скрипт не единственное что так работает поэтому забегая вперед хочу решить проблему раз и навсегда потому что этот скрипт открытый я его могу поправить, а еще закрытые продукты бывают…
  • Вопрос задан
  • 6591 просмотр
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
@gaussgs
У самбы немного другая схема организации групп. Самба берёт группы из раздела, указанного в параметре ldap group suffix файла smb.conf:

...
ldap suffix = dc=domain,dc=tld
ldap user suffix = ou=People
ldap group suffix = ou=Group
....

Самба будет искать группы вида cn=groupname,ou=Group,dc=domain,dc=tld.

Пример ldif-файла c описанием одной группы:

dn: cn=Students,ou=DomainGroups,ou=Group,dc=domain,dc=tld
objectClass: sambaGroupMapping
objectClass: posixGroup
sambaGroupType: 2
sambaSID: S-1-5-21-1111111111-1111111111-1111111111-3003
gidNumber: 1001
cn: Students
memberUid: user999
memberUid: user998
memberUid: user997


Удобный редактор для Ldap — ldapadmin.sourceforge.net/, там же есть все необходимые шаблоны для пользователей и групп.
Ответ написан
smarteq
@smarteq Автор вопроса
Web developer, System administrator
Окей, еще уточню вопрос.
Можно-ли так сделать:

1) Создать /etc/ldap/schema/custom.schema
2) Добавить в этот файл этот атрибут memberOf
3) Заинклюдить в /etc/ldap/slapd.conf этот файл


Так можно сделать или нет?
Ответ написан
Комментировать
@le9i0nx
для старых настроек через conf
pro-ldap.ru/tr/man/slapo-memberof.5.html
www.admin-linux.fr/?p=1453
www.openldap.org/doc/admin24/overlays.html#Reverse...
под новые настройки через ldif
https://github.com/github/github-ldap/blob/master/...
костылём сбоку но удобно не надо менять данные для поля memberUid
blog.oddbit.com/2013/07/22/generating-a-membero
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы