Користувальницькькі налаштування

Налаштування сайту


ldapmgr

Розбіжності

Тут показані розбіжності між вибраною ревізією та поточною версією сторінки.

Посилання на цей список змін

Порівняння попередніх версій Попередня ревізія
Попередня ревізія
ldapmgr [2018/03/04 18:21]
ldapmgr [2023/06/19 15:13] (поточний)
borisov
Рядок 1: Рядок 1:
 +====== Управління LDAP  ======
  
 +===== Важливо =====
 +
 +LDAP сервер і його користувачі ніяк не співвідносяться з локальними адміністраторами Ubilling. \\
 +У статті ніяк не описано налаштування самого LDAP. Тут мається на увазі: що сервер уже налаштований і має якусь структуру груп, заповнені dc та інше. \\
 +Так само не буде ніяких описів з налаштування radius авторизації на самому залізі.
 +
 +===== Основний опис =====
 +
 +
 +Тестовий майданчик:
 +  * ubuntu 16.04
 +  * slapd із підтримкою MemberOf
 +  * freeradius
 +
 +Модуль призначений для управління користувачами на LDAP сервері. \\
 +Поточний функціонал:
 +  - Створення\видалення користувачів
 +  - Зміна паролів
 +  - Призначення привілеїв, через приналежність до тих чи інших груп
 +  - Створення та видалення груп впливає тільки на локальну БД і ніяк не впливає на наявність груп у самомуLDAP.
 +
 +Встановлення:
 +  - Усі потрібні файли лежать у docs/ldapmgr. Файли з розширенням ldif це шаблони
 +  - Розпакувати всі файли в одну папку на LDAP-сервері. У моєму випадку це /opt/ldap_scripts
 +  - Зробити chmod 777 /opt/ldap_scripts/*
 +  - Виправити ldapmgr.ini і scripts.ini під свої реалії
 +  - Зробити виклик users.php у crontab. В ідеалі запускати його раз на хвилину
 +  - Вимагає ввімкненого LDAPMGR_ENABLED у [[alteriniconf|alter.ini]]
 +
 +
 +===== Зв'язка з freeradius =====
 +
 +Якщо ви хочете, щоб LDAP користувачі могли підключатися до вашого мережевого обладнання, то вибір не великий: radius або tacacs.
 +Для себе я вибрав freeradius тому що більше з ним знайомий. Ось приклад, як можна обмежувати доступ до управління обладнання залежно від приналежності до групи.
 +Усі імена груп лише приклад, ви можете використовувати будь-які зручні вам назви.
 +  * Користувач повинен належати до групи radius інакше авторизація не пройде
 +  * Користувач повинен належати до групи superadm або operators. Від цього залежить рівень прав.
 +
 +<code>
 +/etc/freeradius# cat users
 +
 +DEFAULT Ldap-Group != 'radius', Auth-Type := Reject
 +
 +DEFAULT Ldap-Group == "superadm"
 + Cisco-AVPair = "shell:priv-lvl=15",
 + dlink-Privelege-Level = 5,
 + Huawei-Exec-Privilege = 15,
 + User-Service-Type = Shell-User
 +
 +DEFAULT Ldap-Group == "operators"
 + Cisco-AVPair = "shell:priv-lvl=1",
 + dlink-Privelege-Level = 3,
 + Huawei-Exec-Privilege = 16,
 + User-Service-Type = Shell-User
 +</code>