| 1 | = LDAP backend = |
| 2 | |
| 3 | Alle Syn-3 gebruikers staan opgeslagen in de ldap database. Deze gebruikers hebben echter geen shell. Het is ook nog steeds mogelijk om gewoon shell users aan te maken met useradd. Dit staat los van elkaar. |
| 4 | |
| 5 | Het hele systeem is echter wel aangepast, zodat pam en nsswitch ook ldap aware zijn. |
| 6 | |
| 7 | == LDAP basis gegevens == |
| 8 | |
| 9 | * Base: '''dc=syn-3''' |
| 10 | * Root DN: '''cn=Manager,dc=syn-3''' |
| 11 | * Root wachtwoord: Lees deze file uit: '''/etc/webint/LDAP_MASTER_PASSWD''' |
| 12 | * User DN: '''uid=''username'',ou=Users,dc=syn-3''' |
| 13 | * Hostname: '''ldap-master''' en '''ldap-slave'''. Gebruik altijd deze hostnames want die worden door de SCC ingesteld in de /etc/hosts file. |
| 14 | |
| 15 | === LDAP beheer tools === |
| 16 | |
| 17 | Om users en groepen toe te voegen en te verwijderen kun je gebruik maken van de smbldap* commandos. Dit zijn versies die het gebruikers beheer op de juiste manier uitvoeren en ook rekening houden met samba. (en windows clients) |
| 18 | |
| 19 | {{{ |
| 20 | [Syn-3] root@darkstar.example.net /etc/postinst.d# smbldap |
| 21 | smbldap-groupadd smbldap-groupmod smbldap-passwd smbldap-useradd smbldap-userinfo smbldap-usershow |
| 22 | smbldap-groupdel smbldap-groupshow smbldap-populate smbldap-userdel smbldap-usermod smbldap_tools.pm |
| 23 | }}} |
| 24 | |
| 25 | Sommige van deze commando's werken nogal onduidelijk en krikky! |
| 26 | |
| 27 | == Users == |
| 28 | |
| 29 | Met getent krijg je een overzicht van alle unix+ldap users: |
| 30 | {{{ |
| 31 | [Syn-3] root@darkstar.example.net ~# getent passwd |
| 32 | root:x:0:0::/root:/bin/bash |
| 33 | bin:x:1:1:bin:/bin: |
| 34 | ... |
| 35 | Administrator:x:0:512:Netbios Domain Administrator:/home/users/Administrator:/bin/false |
| 36 | mailadmin:x:500:512:System User:/home/mailadmin:/bin/bash |
| 37 | nobody:x:999:514:nobody:/dev/null:/bin/false |
| 38 | test:x:1002:513:System User:/home/users/test:/bin/bash |
| 39 | test2:x:1004:513:System User:/home/users/test2:/bin/bash |
| 40 | }}} |
| 41 | |
| 42 | Deze geeft dus een combinatie van de users uit /etc/passwd en die uit ldap. |
| 43 | |
| 44 | De UID range is als volgt ingedeeld: |
| 45 | * 0 t/m 499 zijn vaste standaard unix users die reeds aanwezig zijn. |
| 46 | * 500 t/m 980 zijn unix users die met '''useradd''' worden gemaakt. |
| 47 | * 1000 en verder zijn Syn-3 LDAP gebruikers, aangemaakt via de '''SCC.''' |
| 48 | |
| 49 | == Groepen == |
| 50 | |
| 51 | Groepen werken ongeveer op dezelfde manier: |
| 52 | {{{ |
| 53 | [Syn-3] root@darkstar.example.net ~# getent group |
| 54 | root::0:root |
| 55 | bin::1:root,bin,daemon |
| 56 | ... |
| 57 | qmail:x:56: |
| 58 | jannie:x:116: |
| 59 | Domain Admins:x:512:Administrator |
| 60 | Domain Users:x:513:geert,test,test2 |
| 61 | Domain Guests:x:514: |
| 62 | Domain Computers:x:515: |
| 63 | Internet:x:516: |
| 64 | Windows VPN - pptp:x:520: |
| 65 | mijngroep:x:1002: |
| 66 | }}} |
| 67 | |
| 68 | Indeling van de GID range is als volgt: |
| 69 | * 0 t/m 99 zijn vaste standaard unix groepen die reeds aanwezig zijn. |
| 70 | * 100 t/m 399 zijn unix users die met '''groupadd''' worden aagemaakt. |
| 71 | * 500 t/m 999 zijn Syn-3 LDAP systeem groepen. Deze maak je in de postinstaller aan met '''smbldap-groupadd''' en kunnen niet door de systeembeheerder verwijderd worden. |
| 72 | * 1000 en verder zijn Syn-3 LDAP groepen die door de administrator met de '''SCC''' aangemaakt zijn. |
| 73 | |
| 74 | Het aanmaken van extra groepen doe je door in de post installer zoiets te doen: |
| 75 | {{{ |
| 76 | if ! getent group "SVN read access" &> /dev/null; then |
| 77 | smbldap-groupadd -g 540 "SVN read access" || exit 1; |
| 78 | fi |
| 79 | }}} |
| 80 | |
| 81 | '''Zorg dat je zeker weet dat de GID niet in gebruik is door andere pakketjes! ''' Zie de lijst hieronder. |
| 82 | |
| 83 | == Gereserveerde groepen en GIDs == |
| 84 | |
| 85 | * 512 Domain Admins |
| 86 | * 515 Domain Computers |
| 87 | * 514 Domain Guests |
| 88 | * 513 Domain Users |
| 89 | * 516 Internet |
| 90 | * 520 Windows VPN - pptp |
| 91 | * 530 SugarCRM |
| 92 | * 540 SVN read access |
| 93 | * 541 SVN write access |
| 94 | * 542 Trac access |
| 95 | |
| 96 | Werk deze lijst bij aub! |
| 97 | |
| 98 | Als je een nieuwe service of webapplicatie hebt die authenitate doet, maak dan een nieuwe gereserveerde groep aan en zorg er voor dat er op group lidmaatschap gecontroleerd word! Zo kan de systeembeheerder eenvoudig toegang geven of weigeren voor deze applicatie. |
| 99 | |
| 100 | = LDAP tree indeling = |
| 101 | |
| 102 | De tree is als volgt ingedeeld...(moet nog) |
| 103 | |
| 104 | = Authenticatie backends = |
| 105 | |
| 106 | De opzet van Syn-3 is zo gemaakt dat men gebruik kan maken van allerlei diensten met behulp van 1 inlognaam en password. Er zijn een aantal authenticatie services die allemaal in de LDAP database kijken. Deze kun je dus gebruiken als je een nieuwe applicatie hebt die user logins moet doen. |
| 107 | |
| 108 | We hebben de volgende backends: |
| 109 | * Openldap - (duh) Je kan uiteraard rechstreeks tegen de ldap server authenticaten. |
| 110 | * Radius - Je moet lid zijn van groep 520 Windows VPN - pptp. (Misschien moeten we dit ooit nog van naam veranderen?) |
| 111 | * Cyrus-sasl - Gebruikt voor cyrus-imap server, maar kan ook door andere services gebruikt worden. Geen groups-check. |
| 112 | * Pam - Bepaalde services zoals cups en sshd kunnen rechstreeks tegen PAM authenticaten. (Die op zijn beurt met ldap praat) |
| 113 | * Samba - Samba kan als PDC aanmeld server gebruikt worden voor Windows clients. |
| 114 | |
| 115 | = Automatisch aanmaken extra gegevens = |
| 116 | |
| 117 | Mailboxen, openxhchange accounts etc worden automatisch aangemaakt door de verschillende modules in de SCC. |
| 118 | |
| 119 | Je ziet dit ook terug in de logmelding na het aanmaken van een gebruiker. |
| 120 | |
| 121 | De file userman.php in iedere SCC module is hier verantwoordelijk voor: |
| 122 | {{{ |
| 123 | [Syn-3] root@darkstar.example.net ~# ls /usr/webint/htdocs/*/userman.php -l |
| 124 | -rwxr-xr-x 1 root root 498 Sep 11 18:01 /usr/webint/htdocs/examplemodule/userman.php* |
| 125 | -rwxr-xr-x 1 root root 682 Sep 11 18:01 /usr/webint/htdocs/mail/userman.php* |
| 126 | -rwxr-xr-x 1 root root 1954 Sep 11 18:01 /usr/webint/htdocs/openxchange/userman.php* |
| 127 | -rwxr-xr-x 1 root root 670 Sep 11 18:01 /usr/webint/htdocs/samba/userman.php* |
| 128 | }}} |
| 129 | |
| 130 | |
| 131 | Zodra er een nieuwe user toegevoegd is word er een syncronisatie slag uitgevoerd tegen de ldap server. Deze syncronisatie slag kan de systeembeheerder ook handmatig uitvoeren, mocht er een user op een andere manier zijn toegevoegd. Dit kan voorkomen als je meerdere syn3 servers hebt, of een externe ldap server. |
| 132 | |
| 133 | Bij het syncroniseren kijkt de SCC welke users zich in LDAP bevinden, en welke users zich in de afzonderlijke modules bevinden. Hierna worden de destbetreffende users in de modules worden aangemaakt en verwijderd. Het verwijderen gaat uit veiligheids overwegingen niet automatisch! De Administrator moet hiervoor op de speciale 'opschonen' knop drukken. |
| 134 | |
| 135 | |
| 136 | |