Если вы когда-нибудь сталкивались с администрированием LDAP, то вы знаете, какая это непростая задача. Действительно, работа с LDAP из командной строки у многих пользователей отбивает желание хотя бы попробовать разобраться с этой полезной во многих отношениях штуковиной. Однако, если осмотреться вокруг, то можно найти несколько утилит, делающих вашу жизнь в мире LDAP проще. Одной из лучших, по мнению автора, является 389 Directory Server для Fedora и Red Hat Enterprise Linux. 389 Directory Server весьма мощный инструмент, предоставляющий возможности по управлению пользователями, группами и серверами средствами графического пользовательского интерфейса.
Не заморачивайтесь насчёт того, что 389 Directory Server разрабатывался как «приложение уровня предприятия». Это вовсе не означает, что его невозможно развернуть и использовать в небольших организациях. Вообще, размер здесь не имеет значения. В этом руководстве вы увидите, как можно легко управлять вашими LDAP-данными при помощи 389 Directory Server.
Установка
Для того, чтобы 389 Directory Server заработал, в системе должна быть установлена Java. Для многих на этом условии всё и заканчивается... но не в этот раз! Одна-единственная команда установит 389 Directory Server и всё, что нужно для его работы. Всего пять простых шагов и у вас будет установлен 389 DS:
- откройте терминал
- зарегистрируйтесь в системе суперпользователем
- дайте команду yum install fedora-ds
- разрешите установить все зависимости
- наблюдайте, как происходят чудеса!
Верите вы в это или нет, но вышеперечисленные шаги — это всё, что нужно, чтобы установить ваш 389DS. Теперь, когда сервер установлен, перейдём к его конфигурированию.
Конфигурирование
Конфигурирование 389 Directory Server не представляет особых трудностей. Однако, прежде, чем вы начнёте, убедитесь, что знаете следующее:
- полностью-определённое имя сервера (FQDN)
- ID администратора
- имя домена домен
- номер порта сервера
- идентификатор сервера каталога
- корректный DN суффикс каталога
Имейте ввиду, что даже если вы не планируете использование вашего LDAP-сервера за пределами локальной сети, он всё равно должен иметь FQDN. Если для того, чтобы удовлетворить это условие, вам необходимо переименовать ваш сервер, то сделайте это прежде, чем начнёте запускать сценарии конфигурирования 389DS.
Например, в моей сети все хосты имеют имя домена wallen.local. Таким образом, имена хостов в моей сети выглядят так: ubuntu.wallen.local, fedora.wallen.local, mac.wallen.local и им подобные. Мой LDAP-сервер расположен на компьютере fedora.wallen.local.
Итак, имея всю необходимую информацию в руках, вернитесь в ваш терминал и от имени суперпользователя дайте команду setup-ds-admin.pl. Этот скрипт задаст вам несколько вопросов, собирая информацию, необходимую для настройки сервера. После завершения работы скрипта вы можете запустить консоль администратора при помощи команды 389-console.
Администрирование
После того, как вы дадите вышеописанную команду, запустится графическая оболочка и предложит вам войти в систему, введя id администратора, пароль, URL и порт сервера, которые задали на стадии конфигурации. После ввода данных нажмите ОК и вы окажетесь в административной консоли.
После входа в систему, вы увидите окно, похожее на то, что изображено выше. В правой части окна вы увидите общую информацию о вашем сервере, а в левой — навигационное дерево вашего каталога. Развернув это дерево, вы увидите ветку Server Group, после разворачивания которой вы увидите ветки Administration Server и Directory Server.Щёлкните по любой из них и вы увидите общую информацию о выбранной ветке. При помощи двойного клика по любой из веток вы попадёте в окно администрирования выбранного сервера. Если же вы хотите приступить к администрированию LDAP-данных, то двойным кликом по Directory Server запустите утилиту Directory Server Administration:
В появившемся окне выберите закладку Directory. В открывшейся закладке кликом правой кнопки вызывается меню создания новых объектов.
Возможно, сперва вам понадобится создать Organizational Unit. Чтобы это сделать, сначала выберите каталог (в моем примере это wallen), а затем, вызвав правым кликом в любом пустом месте контекстное меню, выберите New > Organizational Unit. В появившемся окне вам нужно выбрать группу, имя и, возможно, описание, телефон, факс, псевдоним и адрес. После заполенения всех полей нажмите ОК и новый OU будет создан.
Теперь давайте добавим группу в только что созданный OU. Щёлкните правой кнопкой по только что созданному OU и в появившемся меню выберите New > Group. В появившемся окне задайте имя новой группы, описание и нажмите ОК.
Теперь, если вы щёлкните по каталогу (wallen в моём примере), то в правой части окна вы увидите только что созданный OU. Если же в левой части вы выберите этот OU, то в правой части вы увидите новую группу. Теперь давайте добавим нового пользователя в нашу свежесозданную группу.
Процесс создания нового пользователя почти такой же, как и создания группы. Выберите в левой панели OU, затем в правой панели щёлкните по группе, в которую хотите добавить нового пользователя, правой кнопкой. В появившемся меню выберите New > User. В появившемся окне ввдеите всю необходимую информацию и нажмите ОК.
Таким же образом создайте нужные вам OU, пользователи, группы. Также, вы можете изменять любую информацию в созданных объектах. Предположим, вам нужно добавить к объекту POSIX-атрибуты, поскольку пользователь, который представляет этот объект, входит в систему из Linux. Найдите нужного пользователя, щёлкните по нём правой кнопкой и в контекстном меню щёлкните Properties.
В открывшемся окне перейдите в раздел POSIX, поставьте птицу «Enable Posix User Attributes», введите необходимую информацию в поля и нажмите ОК. Теперь объект пользователя имеет установленные POSIX-атрибуты.
Ну как, просто? Значительно проще, чем использование утилит из командной строки. Не верите? Давайте посмотрим, как добавляется новый пользователь при помощи утилитыldapadd. Для начала необходимо создать ldiff-файл, содержащий информацию о новом пользователе. Выглядит это примерно так (я привожу очень простой пример!):
dn: cn=Olivia Dunham,ou=people,dc=wallen,dc=local cn: Olivia Dunham objectClass: person sn: Dunham
И теперь, когда файл готов, необходимо воспользоваться командой, запущенной от имени суперпользователя:
ldapadd -x -D cn=admin,dc=wallen,dc=local -W -f user.ldif
А теперь представьте себе, что таким образом вам нужно внести информацию о большой организации. Вдобавок, изменение данных при помощи утилиты ldapmodify выглядит ещё сложнее и отберёт у вас немалое количество времени и сил.
В заключение
389 Directory Server делает администрирование LDAP настолько простым, что им может практически заниматься кто угодно. Конечно, в этой статье мы рассмотрели очень-очень мало. Зато теперь вы можете, как минимум, установить 389 DS и начать осваивать его, администрируя данные вашего LDAP-сервера. А ведь LDAP является для многих чем-то заоблачным и сложным для понимания. Автор считает, что 389 Directory Server в силах изменить эту ситуацию к лучшему!
По мотивам Linux.Com