Домен на openldap (устаревшее): различия между версиями

Материал из ALT Linux Wiki
Нет описания правки
(не показано 20 промежуточных версий 6 участников)
Строка 2: Строка 2:
   
   
'''Домен''' — группа компьютеров одной сети, имеющая единый центр и использующая единые базы данных для различных сетевых служб. В ALT Linux (модуль [http://packages.altlinux.org/en/Sisyphus/srpms/alterator-net-domain alterator-net-domain]) настрaивается домен LDAP/Kerberos, который позволяет:
'''Домен''' — группа компьютеров одной сети, имеющая единый центр и использующая единые базы данных для различных сетевых служб. В ALT Linux (модуль [http://packages.altlinux.org/en/Sisyphus/srpms/alterator-net-domain alterator-net-domain]) настрaивается домен LDAP/Kerberos, который позволяет:


* вести централизованную базу пользователей и групп
* вести централизованную базу пользователей и групп
* аутентифицировать пользователей и предоставлять им доступ к сетевым службам без повторного ввода пароля
* аутентифицировать пользователей и предоставлять им доступ к сетевым службам без повторного ввода пароля
* использовать единую базу пользователей для файлового сервера, прокси-сервера, веб-приложений (например, MediaWiki)
* использовать единую базу пользователей для файлового сервера, прокси-сервера, веб-приложений (например, MediaWiki)
* автоматически подключать файловых ресурсов с серверов, анонсированных по Zeroconf
* автоматически подключать файловые ресурсы с серверов, анонсированных по Zeroconf
* использовать тонкие клиенты, загружаемые по сети и использующие сетевые домашние каталоги
* использовать тонкие клиенты, загружаемые по сети и использующие сетевые домашние каталоги
* аутентифицировать пользователей как на ALT Linux, так и на Microsoft Windows
* аутентифицировать пользователей как на ALT Linux, так и на Microsoft Windows


== Разделы ==
== Разделы ==
Строка 21: Строка 19:
* [[Домен/Решение проблем|Решение проблем]]
* [[Домен/Решение проблем|Решение проблем]]
* [[Домен/Windows|Использование домена для аутентификации компьютеров с Windows]]
* [[Домен/Windows|Использование домена для аутентификации компьютеров с Windows]]
* [[Thunderbird|Использование домена как адресной книги Thunderbird]]


== Планы ==
== Планы ==
{{todo|
# Импорт/экспорт данных в [[Домен/Скрипты|ldap-user-tools]] и alterator-ldap-users в формате CSV <pre>Фамилия,Имя,Отчество,Логин,Пароль,E-Mail,Группа1,Группа2,...,ГруппаN</pre>
# Импорт/экспорт данных в [[Домен/Скрипты|ldap-user-tools]] и alterator-ldap-users в формате CSV <pre>Фамилия,Имя,Отчество,Логин,Пароль,E-Mail,Группа1,Группа2,...,ГруппаN</pre>
# Документирование ldap-user-tools и вызовов прочих программ и модулей alterator через alterator-cmdline здесь и в man.
# Документирование ldap-user-tools и вызовов прочих программ и модулей alterator через alterator-cmdline на altlinux.org и в man-страницах.
# <strike>Переход с nss_ldap на nss-ldapd. Адаптация alterator-auth к обоим схемам.</strike>
# <strike>Поддержка маппинга в системные группы {{altbug|24494}}</strike>
# <strike>Включение в группы по умолчанию в скриптах</strike>
# Улучшение юзабилити модулей Alterator
# Улучшение юзабилити модулей Alterator
# Исправление зависания запущенных приложений в сеансе при использовании nss-ldapd (см. [http://wiki.debian.org/LDAP/PAM] и nscd)
# Исправление зависания запущенных приложений в сеансе при использовании nss-ldapd (см. [http://wiki.debian.org/LDAP/PAM] и nscd)
# Возможность подключения к домену из Microsoft Windows и других Linux. См. [[Домен/Windows]]
# Возможность подключения к домену других Linux
# Исправление проблемы разных gid на клиентских машинах для маппирования LDAPных групп
# Исправление проблемы разных gid на клиентских машинах для маппирования LDAPных групп
}}
 
=== Управление инфраструктурой ===
 
* [[Домен/TODO|Предложения по улучшению]]


== Известные проблемы ==
== Известные проблемы ==
* gid системных групп на разных компьютерах могут различаться, что вызывает проблему назначения системных групп для пользователя
* gid системных групп на разных компьютерах могут различаться, что вызывает проблему назначения системных групп для пользователя (решается с помощью /etc/role из пакета libnss-role)
* ALT-домен для Windows выступает только как NT-домен, не Active Directory, что вызывает проблемы с аутентификацией в версиях Windows старше Windows XP
* ALT-домен для Windows выступает только как NT-домен, не Active Directory, что вызывает проблемы с аутентификацией в версиях Windows старше Windows XP
* На клиентских машинах не создаются группы на кириллице
* На общем сетевом каталоге Samba невозможно с клиентского компьютера изменить право на запись для группы (сама группа может быть сменена)
* При показе списка пользователей показываются не только пользователи, но и зарегистрированные рабочей станции (с $ на конце имени)
* Сервер домена не работает под systemd. Рекомендуется использовать sysvinit.
* Имя домена нельзя завершать .local - доменная зона DNS "local." предназначена для Zeroconf и используется в avahi-daemon. Если позарез нужно использовать домен вида "name.local", тогда остановите avahi-daemon и запретите его запуск.
См. также [[Домен/Kerberos]].
== Разное ==
* [[Домен/GSSAPI|Использование GSSAPI]]


[[Категория:Руководства]]
[[Категория:Руководства]]
[[Категория:Домен]]
[[Категория:Домен]]
{{Category navigation|title=Домен|category=Домен|sortkey={{SUBPAGENAME}}}}
{{Category navigation|title=Admin|category=Admin|sortkey={{SUBPAGENAME}}}}
[[Категория:Корпоративная инфраструктура]]
{{Category navigation|title=Корпоративная инфраструктура|category=Корпоративная инфраструктура|sortkey={{SUBPAGENAME}}}}

Версия от 17:40, 5 августа 2017

Страница описывает домен, используемый в дистрибутивах ALT Linux начиная с Альт Линукс 5.0 Ковчег.

Домен — группа компьютеров одной сети, имеющая единый центр и использующая единые базы данных для различных сетевых служб. В ALT Linux (модуль alterator-net-domain) настрaивается домен LDAP/Kerberos, который позволяет:

  • вести централизованную базу пользователей и групп
  • аутентифицировать пользователей и предоставлять им доступ к сетевым службам без повторного ввода пароля
  • использовать единую базу пользователей для файлового сервера, прокси-сервера, веб-приложений (например, MediaWiki)
  • автоматически подключать файловые ресурсы с серверов, анонсированных по Zeroconf
  • использовать тонкие клиенты, загружаемые по сети и использующие сетевые домашние каталоги
  • аутентифицировать пользователей как на ALT Linux, так и на Microsoft Windows

Разделы

Планы

  1. Импорт/экспорт данных в ldap-user-tools и alterator-ldap-users в формате CSV
    Фамилия,Имя,Отчество,Логин,Пароль,E-Mail,Группа1,Группа2,...,ГруппаN
  2. Документирование ldap-user-tools и вызовов прочих программ и модулей alterator через alterator-cmdline на altlinux.org и в man-страницах.
  3. Улучшение юзабилити модулей Alterator
  4. Исправление зависания запущенных приложений в сеансе при использовании nss-ldapd (см. [1] и nscd)
  5. Возможность подключения к домену других Linux
  6. Исправление проблемы разных gid на клиентских машинах для маппирования LDAPных групп

Управление инфраструктурой

Известные проблемы

  • gid системных групп на разных компьютерах могут различаться, что вызывает проблему назначения системных групп для пользователя (решается с помощью /etc/role из пакета libnss-role)
  • ALT-домен для Windows выступает только как NT-домен, не Active Directory, что вызывает проблемы с аутентификацией в версиях Windows старше Windows XP
  • На клиентских машинах не создаются группы на кириллице
  • На общем сетевом каталоге Samba невозможно с клиентского компьютера изменить право на запись для группы (сама группа может быть сменена)
  • При показе списка пользователей показываются не только пользователи, но и зарегистрированные рабочей станции (с $ на конце имени)
  • Сервер домена не работает под systemd. Рекомендуется использовать sysvinit.
  • Имя домена нельзя завершать .local - доменная зона DNS "local." предназначена для Zeroconf и используется в avahi-daemon. Если позарез нужно использовать домен вида "name.local", тогда остановите avahi-daemon и запретите его запуск.

См. также Домен/Kerberos.

Разное