OpenLDAP、Samba-->域管理器的OU问题

戏园子

目前找到一个添加用户组与ou的方法，就是用phpLDAPadmin的Export功能先导出ldif文件，再根据自己的需要手工编辑一下，再用ldapadd的命令导入就能添加了。

现在急需解决的问题是：用模拟的域管理器中用户登录到windows2003上后，想在windows2003上根据域中分组来实现组的权限。
在域管理器这一端，其中/etc/openldap/slapd.conf中有access的配置，但是感觉这个配置的是对ldap访问的权限设置，怎样才能在用域用户登录2003后，用这个用户建立的文件自动具有“组内查看，组外不可见，自己完全权限”的功能。

举例：
在域管理器中有两个组：group1、group2，组ID是520、521；group1中有用户user1_1、user1_2，group2中有用户user2_1、user2_2；
在2003上用user1_1登录后，建立文件file1_1，要让这个文件能被user1_2查看，而用户user2_1、user2_2不能查看。

[ 本帖最后由 戏园子 于 2007-7-5 10:52 编辑 ]

congli

我理解为,有共享文件夹:dir1及dir2,设置group1读写dir1,group2读写dir2,这样user1_1在dir1上建立的文件,group2的用户不能访问.
如理解没错,使用gidNumber属性即可.
如:
smbldap-groupadd -g 520 group1
smbldap-useradd -m -g group1 user1_1

cnchun

怎么这么费事情,累不累, 管理个window user用这么多工具。你按照默认的方式，用microsoft自带的servtools不是很好管理？为什么要修改那些目录结构，别人这么设计就是有他理由的。费事，效率低下！

这样研究没什么意义。

alvis

原帖由 cnchun 于 2007-7-5 18:54 发表
怎么这么费事情,累不累, 管理个window user用这么多工具。你按照默认的方式，用microsoft自带的servtools不是很好管理？为什么要修改那些目录结构，别人这么设计就是有他理由的。费事，效率低下！

这样研究没 ...

谢谢，你要当傻子，那是你愿意，可别把别人也拉下水

LDAP 并不是只为 SAMBA 存在的

只会吃别人嚼烂的东西，你也就只能是个在珠三角工厂里卖劳力的素质了

[ 本帖最后由 alvis 于 2007-7-5 19:07 编辑 ]

congli

LDAP确是好东西,好多地方都用她.

戏园子

原帖由 cnchun 于 2007-7-5 18:54 发表
怎么这么费事情,累不累 ...

首先采用OpenLDAP+Samba模拟的域可以用来进行异构系统的认证，其次在Linux下编程很灵活！

To 两位好人：
这两天忙于评职称的事，没有好好消化两位的帮忙。

戏园子

通过最近对LDAP的研究，特别是两位好人的帮忙，对OpenLDAP+Samba模拟域管理器有了一个比较清晰的整体认识。
但对LDAP的access的权限设置还是有些不清楚，虽然我看了OpenLDAP的官方手册中的相关部分。问题是对分组的权限设置方面的。
如图，有两个分组，windwos客户端用LDAP中的用户登录，首先需要让该用户拥有相应权限，就是将LDAP中的用户添加到windows上的用户管理中，这时需要输入LDAP的授权用户与密码，一般是root与其密码，现在不想通过root来授权，而是想让分组中的一个用户充当组管理员，组内的用户权限有组管理员来管理。
我设置的/etc/opanldap/slapd.conf的相关内容是：
access to attrs=userPassword,sambaLMPassword,sambaNTPassword
        by self write
        by anonymous auth
        by * none

access to dn="cn=Domain1,ou=Groups,dc=easy,dc=com"
        by dn="uid=user001,ou=Users,dc=easy,dc=com" write
        by self write
        by * none

access to dn="cn=Domain2,ou=Groups,dc=easy,dc=com"
        by dn="uid=user003,ou=Users,dc=easy,dc=com" write
        by self write
        by * none

access to *
        by * read
经过上面的设置，做实验失败，失败的情况是：
用户组1内的用户加入windows用户管理时提示输入授权用户与密码，这时用任何LDAP用户进行授权都可以，而不是我希望的仅仅user001有权。

[ 本帖最后由 戏园子 于 2007-7-9 13:03 编辑 ]

alvis

先看下這個，http://bbs.chinaunix.net/viewthr ... &extra=page%3D1

關鍵提示 break

alvis

關於 openldap 的心得分享（我的一个误区）


在别的讨论里总结出来点经验，怕藏得太深，特拿出来分享

access to <what> [ by <who> <access level> [ <control> ] ]+

我的误区就是在 control 上，看了不少文档，也看到过 control
但自己当初错误理解在以为 contorl 控制的是 by who ，其实他控
制的是 access to

唉，自己 BS 自己一个，slapd.access 的 man page 清清楚楚的写着

The optional field <control> controls the flow of access rule application.

自己的 E 文还是过不了关，看文档有问题

现在顿觉打通任督二脉了， what 和 who 很好解决，网上的例子网上太多了，有了这个 control，acl 好用多了

戏园子

仔细看过了alvis的经验，收获不小，谢谢。
新的问题：
1. 在Linux系统上用“ls -l”看LDAP用户的主目录，会显示用户主目录属于哪个用户和哪个组，这时系统应该会通过“某个用户”去读LDAP中的内容，研究了很久也没弄懂系统是通过“哪个用户”去读LDAP的，因为/etc/openldap/slapd.conf中的“acees to * by * read”给了所有人“读”的权限。该不会是“匿名”用户吧，如果是这样，权限设置方面好像有难度。看系统的/etc/passwd，其中有个“ldap”用户，是这个用户？如果是的话，在/etc/openldap/slapd.conf中如何设置啊？
2. 类似的，Windows客户端通过samba来访问OpenLDAP时是通过哪个用户查询LDAP内容的？

[ 本帖最后由 戏园子 于 2007-7-10 14:58 编辑 ]