Changes between Initial Version and Version 1 of SynUsers


Ignore:
Timestamp:
08/08/08 00:10:42 (16 years ago)
Author:
trac
Comment:

--

Legend:

Unmodified
Added
Removed
Modified
  • SynUsers

    v1 v1  
     1= LDAP backend =
     2
     3Alle Syn-3 gebruikers staan opgeslagen in de ldap database. Deze gebruikers hebben echter geen shell. Het is ook nog steeds mogelijk om gewoon shell users aan te maken met useradd. Dit staat los van elkaar.
     4
     5Het hele systeem is echter wel aangepast, zodat pam en nsswitch ook ldap aware zijn.
     6
     7== LDAP basis gegevens ==
     8
     9 * Base: '''dc=syn-3'''
     10 * Root DN: '''cn=Manager,dc=syn-3'''
     11 * Root wachtwoord: Lees deze file uit: '''/etc/webint/LDAP_MASTER_PASSWD'''
     12 * User DN: '''uid=''username'',ou=Users,dc=syn-3'''
     13 * Hostname: '''ldap-master''' en '''ldap-slave'''. Gebruik altijd deze hostnames want die worden door de SCC ingesteld in de /etc/hosts file.
     14
     15=== LDAP beheer tools ===
     16
     17Om users en groepen toe te voegen en te verwijderen kun je gebruik maken van de smbldap* commandos. Dit zijn versies die het gebruikers beheer op de juiste manier uitvoeren en ook rekening houden met samba. (en windows clients)
     18
     19{{{
     20[Syn-3] root@darkstar.example.net /etc/postinst.d# smbldap
     21smbldap-groupadd   smbldap-groupmod   smbldap-passwd     smbldap-useradd    smbldap-userinfo   smbldap-usershow
     22smbldap-groupdel   smbldap-groupshow  smbldap-populate   smbldap-userdel    smbldap-usermod    smbldap_tools.pm
     23}}}
     24
     25Sommige van deze commando's werken nogal onduidelijk en krikky!
     26
     27== Users ==
     28
     29Met getent krijg je een overzicht van alle unix+ldap users:
     30{{{
     31[Syn-3] root@darkstar.example.net ~# getent passwd
     32root:x:0:0::/root:/bin/bash
     33bin:x:1:1:bin:/bin:
     34...
     35Administrator:x:0:512:Netbios Domain Administrator:/home/users/Administrator:/bin/false
     36mailadmin:x:500:512:System User:/home/mailadmin:/bin/bash
     37nobody:x:999:514:nobody:/dev/null:/bin/false
     38test:x:1002:513:System User:/home/users/test:/bin/bash
     39test2:x:1004:513:System User:/home/users/test2:/bin/bash
     40}}}
     41
     42Deze geeft dus een combinatie van de users uit /etc/passwd en die uit ldap.
     43
     44De UID range is als volgt ingedeeld:
     45 * 0 t/m 499 zijn vaste standaard unix users die reeds aanwezig zijn.
     46 * 500 t/m 980 zijn unix users die met '''useradd''' worden gemaakt.
     47 * 1000 en verder zijn Syn-3 LDAP gebruikers, aangemaakt via de '''SCC.'''
     48
     49== Groepen ==
     50
     51Groepen werken ongeveer op dezelfde manier:
     52{{{
     53[Syn-3] root@darkstar.example.net ~# getent group
     54root::0:root
     55bin::1:root,bin,daemon
     56...
     57qmail:x:56:
     58jannie:x:116:
     59Domain Admins:x:512:Administrator
     60Domain Users:x:513:geert,test,test2
     61Domain Guests:x:514:
     62Domain Computers:x:515:
     63Internet:x:516:
     64Windows VPN - pptp:x:520:
     65mijngroep:x:1002:
     66}}}
     67
     68Indeling van de GID range is als volgt:
     69 * 0 t/m 99 zijn vaste standaard unix groepen die reeds aanwezig zijn.
     70 * 100 t/m 399 zijn unix users die met '''groupadd''' worden aagemaakt.
     71 * 500 t/m 999 zijn Syn-3 LDAP systeem groepen. Deze maak je in de postinstaller aan met '''smbldap-groupadd''' en kunnen niet door de systeembeheerder verwijderd worden.
     72 * 1000 en verder zijn Syn-3 LDAP groepen die door de administrator met de '''SCC''' aangemaakt zijn.
     73
     74Het aanmaken van extra groepen doe je door in de post installer zoiets te doen:
     75{{{
     76if ! getent group "SVN read access" &> /dev/null; then
     77 smbldap-groupadd -g 540 "SVN read access" || exit 1;
     78fi
     79}}}
     80
     81'''Zorg dat je zeker weet dat de GID niet in gebruik is door andere pakketjes! ''' Zie de lijst hieronder.
     82
     83== Gereserveerde groepen en GIDs ==
     84
     85 * 512 Domain Admins
     86 * 515 Domain Computers
     87 * 514 Domain Guests
     88 * 513 Domain Users
     89 * 516 Internet
     90 * 520 Windows VPN - pptp
     91 * 530 SugarCRM
     92 * 540 SVN read access
     93 * 541 SVN write access
     94 * 542 Trac access
     95
     96Werk deze lijst bij aub!
     97
     98Als je een nieuwe service of webapplicatie hebt die authenitate doet, maak dan een nieuwe gereserveerde groep aan en zorg er voor dat er op group lidmaatschap gecontroleerd word! Zo kan de systeembeheerder eenvoudig toegang geven of weigeren voor deze applicatie.
     99
     100= LDAP tree indeling =
     101
     102De tree is als volgt ingedeeld...(moet nog)
     103
     104= Authenticatie backends =
     105
     106De opzet van Syn-3 is zo gemaakt dat men gebruik kan maken van allerlei diensten met behulp van 1 inlognaam en password. Er zijn een aantal authenticatie services die allemaal in de LDAP database kijken. Deze kun je dus gebruiken als je een nieuwe applicatie hebt die user logins moet doen.
     107
     108We hebben de volgende backends:
     109 * Openldap - (duh) Je kan uiteraard rechstreeks tegen de ldap server authenticaten.
     110 * Radius - Je moet lid zijn van groep 520 Windows VPN - pptp. (Misschien moeten we dit ooit nog van naam veranderen?)
     111 * Cyrus-sasl - Gebruikt voor cyrus-imap server, maar kan ook door andere services gebruikt worden. Geen groups-check.
     112 * Pam - Bepaalde services zoals cups en sshd kunnen rechstreeks tegen PAM authenticaten. (Die op zijn beurt met ldap praat)
     113 * Samba - Samba kan als PDC aanmeld server gebruikt worden voor Windows clients.
     114
     115= Automatisch aanmaken extra gegevens =
     116
     117Mailboxen, openxhchange accounts etc worden automatisch aangemaakt door de verschillende modules in de SCC.
     118
     119Je ziet dit ook terug in de logmelding na het aanmaken van een gebruiker.
     120
     121De file userman.php in iedere SCC module is hier verantwoordelijk voor:
     122{{{
     123[Syn-3] root@darkstar.example.net ~# ls /usr/webint/htdocs/*/userman.php -l
     124-rwxr-xr-x  1 root root  498 Sep 11 18:01 /usr/webint/htdocs/examplemodule/userman.php*
     125-rwxr-xr-x  1 root root  682 Sep 11 18:01 /usr/webint/htdocs/mail/userman.php*
     126-rwxr-xr-x  1 root root 1954 Sep 11 18:01 /usr/webint/htdocs/openxchange/userman.php*
     127-rwxr-xr-x  1 root root  670 Sep 11 18:01 /usr/webint/htdocs/samba/userman.php*
     128}}}
     129
     130
     131Zodra er een nieuwe user toegevoegd is word er een syncronisatie slag uitgevoerd tegen de ldap server. Deze syncronisatie slag kan de systeembeheerder ook handmatig uitvoeren, mocht er een user op een andere manier zijn toegevoegd. Dit kan voorkomen als je meerdere syn3 servers hebt, of een externe ldap server.
     132
     133Bij het syncroniseren kijkt de SCC welke users zich in LDAP bevinden, en welke users zich in de afzonderlijke modules bevinden. Hierna worden de destbetreffende users in de modules worden aangemaakt en verwijderd. Het verwijderen gaat uit veiligheids overwegingen niet automatisch! De Administrator moet hiervoor op de speciale 'opschonen' knop drukken.
     134
     135
     136