наслідування GID та прав групи

[vanessa]

на тічого такого, звичайна собі файлпомойка + пошта. але....
маємо невеличкий офіс. по останьома підрахунк було 18 компів. десь така сама кількість користувачів. Осі, вже різні в основонму вінда але вже є частина лінуксів. ще один нюанс: окільки ми вроді маємо відношення до ІТ то є певна ротація компів, тобто є 18 робочих місць і ще у будь-який момент може бути підключений новий комп для інсталяції ПЗ, перевірки чи усунення проблем. внутрішня мереда розділена на 3 сегменти
1) 192.168.1.0/24 - відділ програмістів - тут сама більша ротація ПК
2) 192.168.2.0/24 - бугалтерія - тут компи міняються тільки тоді, коли виходять з ладу.
3) 192.168.3.0/24 - наладчики - тут компи міняються рідше ніж у програмістів але частіше ніж у бугалтерії.
все це обєднує сервер у якого  4 мережевих карти
eth0 - 1Gb - зрозуміло, програмістам
eth2 - старенька, але працююча RTL8029 - дивиться в інтернет
eth3 - RTL-8139 - дивиться в мережу бухгалтерів
eth4 - також RTL-8139 - двивиться до наладчиків.
задача, будь-який працівник може підійти до будь якого компа, залогінитись із своїм логіном і паролем (неважливо, яка ОС) отримати доступ до сервера і своїх файлів і прицювати із встановленими програмами та перевіряти пошту по протоколу IMAP4.
окрім того група працівників мають по другому, службовому, логіну для вивонання адміністативних задач.
ще програмістам потрібно SVN.
структура файлопомойки
1) хомяки - кожен користувач бачить тільки свій, відповідно  юзер - RW всі- deny admin - RW
2) publіс - оце точно файлопомойка, всі - RW
3) media - тут зберігається музика, відео та фото. всі - RW
4) install - зрозуміло, це для дистрибутивіт. всі - RO, група install - RW

ОС на сервері - дебіан etch.

Що зроблено
1) PDC - на вікнах які входять в домен користувачі можуть логінитись і отримувати доступ до файлопомойки за наведеною вище схемою
2) MTA - Postfix+Spamassasin+amavis_new+clamav  - поштаходить добре,спам і віруси потроху фільтруються. списки користувачів -  /etc/password та  /etc/aliases
3) MDA - Cyrus-imap паролі користувачів - /etc/sasldb. що ще незроблено - захичений IMAP. поки воно в середині то наче й нестрашно, що паролі нешифровані, а от як випустити його через eth2 навулицю то хотілося б трохи зашифруватись.
4) NFS - для доступу лінуксами до файлопомойки.

там ще є SQUID щоб веб юзати він працює в режимі прозорого проксі + банерорізалка . можливо це варто й переробити, тобто щоб він не був прозорим а з автонастройкою клієнтів.

у будь якому випадку у мене зараз три різних бази користувачів: samba, юніксові та sasldb із паролями.
хотілось би їх об'єднати.

і ще мені незовсім зрозуміло що робити із лінуксовими машинами на предмет того, щоб могли логінитись користувачі із сервера.

[pvl]

я рекомендую LDAP.
1. Налагодити самбу на роботу з лдап. тобто паролі користувачів і настройки користувачів зберігаються в лдап.
2. Налагодити цируса на роботу з лдап. тобто паролі користувачів і настройки користувачів зберігаються в лдап.
3. Можна прибрати нфс - замінити на самбу.
4. На лінуксах встановити пам-лдап і nss-лдап. тобто користувачі будуть входити по паролям з лдапу і на всіх компах у користувача будуть однакові ІДи.
5. Для автоматичного монтовування самбових ресурсів можна використати pam_mount.
Висновок: користувач матиме однаковий пароль для віндовс, лінукс і внутрішньої пошти і внутрішнього джабер тощо.

[vanessa]

якесь воно мені незрозуміле, може б хто на пальцях пояснив що то за звір, LDAP бо опеннет не допомага. там рецепти такого плану: щоб зробити те і те, виправте ці файли. Я спробував, деяких файлів взагалі не знайшов...

[pvl]

почитайте
http://uk.wikipedia.org/wiki/LDAP
http://ru.wikipedia.org/wiki/LDAP
коли я кажу про ЛДАП я маю на увазі openldap (www.openldap.org) - вільну реалізацію ЛДАП

для дебіану нічого не пораджу - зараз сам тільки буду ставити

[vanessa]

Я зараз оце читаю і намагаюся повторити. може пан допоможе, якщо гагно цю річ знає ? Може ми це питання в більш тісному спілкуванні обговоримо ? я постукаю в жабер ?

[pvl]

сьогодні я тільки в форумі - радо вам допоможу
пишіть як буде щось незрозуміле
в джабері буду з понеділка

[vanessa]

1) як скласти базу ? я хочу робити дерево по структурі організації тобто має бути щось таке
ou=devel,o=rabica,c=ua - це типу для програмістів
ou=asutp,o=rabica,c=ua  - це для наладчиків
ou=buhg,o=rabica,c=ua - це для бухгалтерів

значить параметер
sufix= "o=rabica,c=ua"
у файлі /etc/ldap.conf
що писати в rootdn= "cn=admin,o=rabica,c=ua" ? чи "cn=admin,ou=devel,o=rabica,c=ua" ?

далі треба б зробити *.ldif  файл. я поки-що не хочу переносити існуючі /etc/password та /etc/shadow, хочу створити з нуля і от мені незрозуміло як відштовхуючись від цього прикладу створити його.

2) якийсь back-end клієнт. щоб можна було подивитися що зараз у базі ?

[pvl]

спершу налаштуйте openldap - не поспішайте підключати інші програми

1. демон openldap - slapd конфіг його в /etc/openldap/slapd.conf ( хоча в дебіані може і не так - перевірте )
/etc/ldap.conf - це має бути конфіг nss-ldap або pam-ldap поки не чіпайте його

2. суфікс dc=rabica,dc=ua або o=rabica,c=ua
rootdn - cn=top,o=rabica,c=ua ( можна admin, manager - це некритично )
пароль задайте простий для початку

3. налаштуйте сервер щоб слухав unix сокет, на localhost порт 389 (без SSL/TLS ), а мережевий 636 (з шифруванням) - бо розумники поставлять tcpdump і перехоплять паролі
найпростіше - додати в командний рядок -h 'ldap://127.0.0.1 ldaps://IP-зовнішній ldapi:///'

4. для переносу є утиліта - smbldap-tools - рекомендую. налаштуйте її, вона створить вам ldiff на основі ваших файлів  а ви далі відредагуєте як вам треба.

5. рекомендую phpldapadmin

6. для початку спробуйте простіший варіант:
ou=users
ou=groups
ou=hosts
...
а користувачів розділите по групам

[Praporshic]

Останній час у LDAP лазив давненько, але там 100% підходять документашки що описують процес на BSD, Slackware, Fedora (у RHEL прийнято трохи інакше) та так званий "generic". І доки PAL у відпустці - пораджу для керування тим зоопарком gosa - доволі зручна веб-пика. Для роботи з поштою зручно користуватись Kolab.

[vanessa]

так, самбу поки-що не чіпаємо, тільки резервуємо місце. зараз налаштовувати буду юніксових вхід та пошту.

[vanessa]

так, добрався до переносу груп. за допомогою скрипта згенерувава group.ldif на основі мого /etc/group тільки там, звісно купа різних груп, частина із яких мені не потрібні. Питання: які потрібні обов'язково ?
от я думаю що групи daemon, kmem (це що за група ?), dialout, fax (ми не відправляємо поки-що факси із компа), floppy (вже забули що це таке), tape (більшість навіть незнає що це таке), www-data (апач тільки на сервері) та ще декілька непотрібні. коротше файл group.ldif в причепі.
друге питання по /etc/hosts. у мене bind + dhcp гарно працюють то чи воно мені потрібно? хоча з іншого боку компи, які реєструються в домені віндовс пивинні кудись записуватись. ну не до коричтувачів же їх писати, як це зараз працює, компи записуються із символом $ в кінці в /etc/password

[pvl]

1.
я у себе не переносив жодної групи. у /etc/nsswitch.conf прописав

Код: [Вибрати]

group:        files ldap
тобто групи беруться з /etc/group і з лдап.

2.
я не раджу використовувати лдап як заміну чи додаток bind + dhcp. у мене в /etc/nsswitch.conf

Код: [Вибрати]

hosts:        files dns
ou=hosts використовується для іншого. а саме для Windows Workstation (отих користувачів з $).

3. ви вже встановили smbldap-tools (http://en.wikipedia.org/wiki/Smbldap-Tools)? ці утиліти дуже допомагають в роботі з лдап.

[vanessa]

налаштовував TSL згенерував сертифікати і ключі, скопіював, прописав у slapd.conf де вони лежать. Як тепер перевірити чи воно працює чи ні ?

[vanessa]

продовжую мучити LDAP нашаштовував за цим рецептом вхід із віддалених машин. не пускає, тільки набираю логін, а він зразу говорить що Incorect login пароля навіть не питає.


не розумію, конфігурація клієнтів повинна б бути в /etc/ldap/ldap.conf це я на сторінці SYNOPSIS в man ldap.conf прочитав. але встановлення пакунків libpam-ldap та libnss-ldap додає  файли відповідно pam_ldap.conf та libnss-ldap.conf  то де воно параметри шукає ?