2575
Comment:
|
4534
|
Deletions are marked like this. | Additions are marked like this. |
Line 57: | Line 57: |
TODO | Aprendo la voce {{{ou=Hackers}}} possiamo vedere la lista utenti già esistenti. {{attachment:07-user_list.png|Lista degli utenti|}} Ogni utente è una voce LDAP con i seguenti campi: {{attachment:08-user_fields.png|I campi LDAP di un utente|}} Quelli in grasseto identificano il tipo di entry LDAP * {{{inetOrgPerson}}} * {{{organizationalPerson}}} * {{{person}}} * {{{top}}} e sono attributi che hanno un'utilità interna allo schema LDAP che stiamo usando. I seguenti sono attributi qualificanti per l'utente: * {{{cn}}} * {{{sn}}} * {{{mail}}} * {{{uid}}} * {{{userPassword}}} Solitamente, {{{cn}}}, {{{sn}}} e {{{uid}}} hanno lo stesso valore, ma il campo ''importante'' è {{{uid}}}. Per aggiungere qualcun* possiamo cliccare su {{{ou=Hackers}}} col tasto destro e selezionare "New Entry". {{attachment:06-new_user.png|Nuovo utente|}} {{attachment:09-new_user_from_template_base.png|Scegliamo il template|}} Dobbiamo aggiungere tutti i campi elencati in grassetto sopra. In alternativa possiamo clonare un utente e modicare i suoi dati. {{attachment:10-new_user_from_template_from_existing_user.png|Usiamo un utente esistente per crearne uno nuovo|}} In questo caso avremo la lista di campi necessari a LDAP già popolata {{attachment:11-new_user_from_template_from_existing_user_provided_fields.png|La lista di campi|}} Per terminare dobbiamo scegliere un {{{uid}}} non esistente {{attachment:12-new_user_from_template_from_existing_user_modify_uid.png|Diamo un nome al nuovo utente|}} Se abbiamo clonato un nuovo utente, ricordiamoci di '''aprire''' la voce del nuovo utente creato e modificare le voci * {{{cn}}} * {{{sn}}} * {{{mail}}} * {{{userPassword}}} Che altrimenti resterebbero uguali a quelle dell'utente clonato. L'ultimo campo, la password, ha una modalità di modifica dedicata (tasto destro sul campo {{{userPassword}}} > Edit Value With > Password Editor) |
Gestione utenze e permessi in LDAP
I servizi offerti da zaphoda sono tutti linkati ad un'unico LDAP, presente sulla macchina stessa. In attesa che phi sia completo, e renda quindi più semplice la gestione delle utenze, possiamo operare a mano.
Io non sono riuscito a far funzionare correttamente ldapvi (editor di ldap simile a vi), e ricorro quindi ad una applicazione ad interfaccia grafica: ApacheDirectoryStudio
Per installarlo su debian:
sudo apt install apacheds
Per usarlo, dato che LDAP è bindato solo in localhost, bisogna fare un forward locale con ssh. Io uso localmente la porta 10389 per parlare alla 389 (porta di LDAP) su localhost di zaphoda:
ssh -L 10389:localhost:389 mio_utente@abbiamoundominio.org -N -f
Si possono omettere -N -f, e il processo ssh non andrà in background.
Possiamo adesso usare ApacheDirectoryStudio parlando con ldap sul nostro localhost:10389.
Configurazione ApacheDirectoryStudio
Dal menu in alto a sinistra, andiamo su File > New
Selezioniamo LDAP Browser > LDAP Connection
Chiamiamo la connessione come vogliamo, ad esempio zaphoda-localhost e specifichiamo i seguenti parametri di connessione:
Hostname: locahost
Port: 10389 (o la porta su cui scegliamo di fare il bind locale nel passo precedente di ssh)
Encryption method: Use StartTLS extension
Clicchiamo Next e andiamo al pannello di inserimento delle credenziali del'utente root (quindi facciamo attenzione)
User: cn=root,dc=unit,dc=macaomilano,dc=org (Nell'immagine l'utente è diverso )
Password: ***************************************
Clicchiamo su Finish. A questo punto nel pannello in basso a sinistra dovremmo vedere la nostra connessione LDAP creata con nome zaphoda-localhost. Doppio click e ci connettiamo. Se appaiono errori di certificato TLS è abbastanza normale perché LDAP presenta un certificato TLS per un nome diverso da localhost. Continuiamo e dovremmo ottenere questa lista nel pannello di sinistra in alto:
Aggiunta utente
Aprendo la voce ou=Hackers possiamo vedere la lista utenti già esistenti.
Ogni utente è una voce LDAP con i seguenti campi:
Quelli in grasseto identificano il tipo di entry LDAP
inetOrgPerson
organizationalPerson
person
top
e sono attributi che hanno un'utilità interna allo schema LDAP che stiamo usando. I seguenti sono attributi qualificanti per l'utente:
cn
sn
mail
uid
userPassword
Solitamente, cn, sn e uid hanno lo stesso valore, ma il campo importante è uid.
Per aggiungere qualcun* possiamo cliccare su ou=Hackers col tasto destro e selezionare "New Entry".
Dobbiamo aggiungere tutti i campi elencati in grassetto sopra.
In alternativa possiamo clonare un utente e modicare i suoi dati.
In questo caso avremo la lista di campi necessari a LDAP già popolata
Per terminare dobbiamo scegliere un uid non esistente
Se abbiamo clonato un nuovo utente, ricordiamoci di aprire la voce del nuovo utente creato e modificare le voci
cn
sn
mail
userPassword
Che altrimenti resterebbero uguali a quelle dell'utente clonato. L'ultimo campo, la password, ha una modalità di modifica dedicata (tasto destro sul campo userPassword > Edit Value With > Password Editor)
Aggiunta ai gruppi
TODO