Тут показані розбіжності між вибраною ревізією та поточною версією сторінки.
Порівняння попередніх версій Попередня ревізія | Остання ревізія По сторонах наступні версії | ||
ldapmgr [2018/03/04 18:21] |
ldapmgr [2022/09/24 14:39] 127.0.0.1 зовнішнє редагування |
||
---|---|---|---|
Рядок 1: | Рядок 1: | ||
+ | ====== Управление LDAP ====== | ||
+ | ===== Важно ===== | ||
+ | |||
+ | LDAP сервер и его пользователи никак не соотносятся с локальными администраторами Ubilling. \\ | ||
+ | В статье никак не описана настройка самого LDAP. Здесь подразумевается: | ||
+ | Так же не будет никаких описаний по настройке radius авторизации на самом железе. | ||
+ | |||
+ | ===== Основное описание ===== | ||
+ | |||
+ | |||
+ | Тестовая площадка: | ||
+ | * ubuntu 16.04 | ||
+ | * slapd с поддержкой MemberOf | ||
+ | * freeradius | ||
+ | |||
+ | Модуль предназначен для управления пользователями на LDAP сервере. \\ | ||
+ | Текущий функционал: | ||
+ | - Создание\удаление пользователей | ||
+ | - Смена паролей | ||
+ | - Назначение привелегий, | ||
+ | - Создание и удаление групп влияет только на локальную БД и никак не влияет на наличие групп в самом LDAP. | ||
+ | |||
+ | Установка: | ||
+ | - Все нужные файлы лежат в docs/ | ||
+ | - Распаковать все файлы в одну папку на LDAP сервере. В моем случае это / | ||
+ | - Сделать chmod 777 / | ||
+ | - Исправить ldapmgr.ini и scripts.ini под свои реалии | ||
+ | - Сделать вызов users.php в crontab. В идеале запускать его раз в минуту | ||
+ | - Требует включеного LDAPMGR_ENABLED в [[alteriniconf|alter.ini]] | ||
+ | |||
+ | |||
+ | ===== Связка с freeradius ===== | ||
+ | |||
+ | Если вы хотите что бы LDAP пользователи могли подключаться к вашему сетевому оборудованию то выбор не велик: radius или tacacs. | ||
+ | Для себя я выбрал freeradius потому что больше с ним знаком. Вот пример как можно ограничивать доступ к управлению оборудования в зависимости от принадлежности к группе. | ||
+ | Все имена групп лишь пример, | ||
+ | * Пользователь должен принадлежать к группе radius иначе авторизация не пройдет | ||
+ | * Пользователь должен принадлежать к группе superadm или operators. От этого зависит уровень прав. | ||
+ | |||
+ | < | ||
+ | / | ||
+ | |||
+ | DEFAULT Ldap-Group != ' | ||
+ | |||
+ | DEFAULT Ldap-Group == " | ||
+ | Cisco-AVPair = " | ||
+ | dlink-Privelege-Level = 5, | ||
+ | Huawei-Exec-Privilege = 15, | ||
+ | User-Service-Type = Shell-User | ||
+ | |||
+ | DEFAULT Ldap-Group == " | ||
+ | Cisco-AVPair = " | ||
+ | dlink-Privelege-Level = 3, | ||
+ | Huawei-Exec-Privilege = 16, | ||
+ | User-Service-Type = Shell-User | ||
+ | </ |