Creació i gestió d'usuaris


Tasca molt recomanable, àdhuc afegiríem imprescindible, si volem treure tot el suquet possible del model d'aula Linkat. Ho podem fer manualment amb el Yast2, si tan sols tenim uns pocs usuaris que requereixin les prestacions que ofereix el servidor, ara bé quan la quantitat d'usuaris a afegir sigui elevada podeu emprar el procediment descrit per a la Linkat-1 ( alta massiva d'usuaris ), utilitzar quan estigui disponible el connector amb el GUS o bé emprar interfícies web com la de l'Ldap-account-Manager que ens oferiran un entorn de gestió d'usuaris amb moltes possibilitats, la ubiqüitat a l'hora de gestionar els usuaris entre elles.

IMPORTANT !!!

Abans d'iniciar aquesta pràctica recomanem que feu una lectura comprensiva dels seus enunciats, tingueu present que algunes de les informacions que hi surten són a títol informatiu i no cal executar-les, apuntar que les captures de pantalla es corresponent amb la revisió 2.8.0 del programari lam, amb lo que probablement existirà alguna divergència en l'aspecte de l'entorn respecte a la versió actual i recomanada, la 3.3.0, els continguts però han estat actualitzats i n'hem verificat el funcionament amb aquesta darrera revisió, en qualsevol cas si detecteu algun error no dubteu a notificar-ho.

LAM ( Ldap-account-Manager )



El programari necessari no està disponible per defecte, així doncs la lògica ens indica que haurem o hauríem d'ampliar els nostres repositoris afegint-hi si cal, que no serà el cas, el popular packman, aquesta operació la podeu dur a terme emprant les opcions pertinents del yast o bé fer via emprant el terminal. Com a root emprariem el gestor zypper per incorporar el magatzem packman, com hem vist en el mòdul precedent

servidor:~ # zypper ar http://ftp.gwdg.de/pub/linux/misc/packman/suse/11.1/ packman
Adding repository 'packman' [done]
Repository 'packman' successfully added
Enabled: Yes
Autorefresh: No
URI: http://ftp.gwdg.de/pub/linux/misc/packman/suse/11.1/


Podríem verificar ara, la disponibilitat del programari lam

servidor:~ # zypper se ldap-account
| ldap-account-manager            | Administration of LDAP user, group and hosts via Web GUI                                                   | package   
| ldap-account-manager            | Administration of LDAP user, group and hosts via Web GUI                                                   | srcpackage
| ldap-account-manager-lamdaemon  | Administration of LDAP user, group and hosts via Web GUI                                                   | package


un cop constatada, podríem procedir a la seva instal·lació.

servidor:~ # zypper --no-cd in ldap-account-manager ldap-account-manager-lamdaemon


els paquets necessaris per complimentar les dependències s'instal·larien.

Un cop finalitzada la operació ens adonaríem d'un fet força habitual a la gran majoria de distribucions GNU/Linux i no és altre que constatar que la revisió del programari en qüestió és una mica vella, així que potser serà una opció més actualitzada i recomanable instal·lar-lo des de la pàgina web del projecte o d'alguna de les seves rèpliques.

la versió instal·lada i disponible al repositori packman és la 2.6.0-0.

servidor:~ # rpm -q ldap-account-manager
ldap-account-manager-2.6.0-0.pm.0


i la que ens ofereixen a la pàgina web del projecte, la 3.3.0, així que optaríem per eliminar els rpm instal·lats prèviament i instal·laríem els nous.

Per eliminar el programari antic

servidor:~ # zypper rm ldap-account-manager ldap-account-manager-lamdaemon
servidor:~ # rm -rf /srv/www/htdocs/lam


per instal·lar les versions noves

servidor:~ # zypper in http://heanet.dl.sourceforge.net/project/lam/LAM/3.3.0/ldap-account-manager-3.3.0-0.suse.1.noarch.rpm
servidor:~ # zypper in http://mesh.dl.sourceforge.net/project/lam/LAM/3.3.0/ldap-account-manager-lamdaemon-3.3.0-0.suse.1.noarch.rpm


ens demanarà confirmació per instal·lar el programari i sense més sotracs s'enllestirà el procés. A continuació podem visitar http://servidor.intracentre/lam on rebrem l'advertiment de que ens cal activar les extensions ldap i gettext al nostre servidor web, ho fem amb:

servidor:~ # a2enmod ldap

servidor:~ # a2enmod gettext 

llistem els mòduls habilitats a l'apache

servidor:~ # a2enmod -l
authz_host actions alias auth_basic authz_groupfile authn_file authz_user autoindex cgi dir include log_config mime negotiation setenvif status userdir asis imagemap php5 authz_default ldap gettext

servidor:~ # /etc/init.d/apache2 restart
Module "gettext" is not installed, ignoring.
Check the APACHE_MODULES setting in /etc/sysconfig/apache2.
Syntax OK
Shutting down httpd2 (waiting for all children to terminate)                                                                            done
Starting httpd2 (prefork)


Continuem visitant el directori /srv/www/htdocs/lam/config/ , on copiarem els fitxers de configuració d'exemple eliminant-ne l'afegitó _sample

servidor:~ # cd /srv/www/htdocs/lam/config
  
servidor:/srv/www/htdocs/lam/config #

servidor:/srv/www/htdocs/lam/config # cp -a config.cfg_sample config.cfg
  
servidor:/srv/www/htdocs/lam/config # cp -a lam.conf_sample lam.conf



Ara ja podrem accedir a la secció de configuració emprant de clau d'accés la paraula lam, aprofitarem per canviar-la per alguna altra de més decent, fixeu-vos en la opció "Allowed hosts" perquè més endavant us permetrà restringir l'accés a la interfície des de les ip especificades.

Tornem a la pantalla precedent per accedir de nou a la configuració del lam i ara optem per l'enllaç de configuració dels perfils de servidor, la contrasenya per defecte continua essent lam, ja la canviarem, ara ens faran falta les dades del nostre servidor LDAP, desafortunadament al programari lam no li agrada tal i com està definit el nostre usuari administrador ( Administrator ) del servei LDAP, exigeix que sigui un usuari real del sistema, així les coses optarem per crear, amb l'ajuda del yast un nou usuari que com a mínim pertanyi al grup users i que podem anomenar ldapadmin, administrator o el què vulgueu.

A continuació modificarem, també amb l'ajuda del yast, la configuració del servei LDAP a la secció Network Services.
Tal i com podeu com veure a la següent captura:



On cal substituir la referència a cn=Administrator per uid=ldapadmin,ou=people o per uid=administrator,ou=people , o per l'elecció que hàgiu fet al respecte, modifiquem doncs els camps pertinents i activem els canvis. Un procediment similar seguirem per configurar la informació d'accés a nivell de client LDAP, l'objectiu és conservar la capacitat de gestió d'usuaris a traves del Yast, per assolir-lo accedirem al Yast dels clients, Yast | Network Services | Client LDAP | Configuració avançada | Paràmetres d'administració on substituirem el contingut de la casella DN de l'administrador, que per defecte hauria de ser cn=Administrator, dc=intracentre




per uid=ldapadmin,ou=people, dc=intracentre




o bé uid=administrator,ou=people, dc=intracentre segons l'elecció que hàgiu fet en el vostre cas.




Continuem configurant el lam fent les nostres eleccions en quan a idioma i d'altres. Els globus blaus us aclariran més d'un dubte. Optem doncs per

Server address *: ldap://servidor.intracentre:389
Tree suffix: dc=intracentre
List of valid users *: uid=administrator,ou=people,dc=intracentre


a la secció "tipus de comptes" segurament podeu desactivar, sinó ho requeriu, les seleccions de màquines i dominis samba, tan sols restarà modificar les entrades pertinents amb

Usuaris SUFIXE LDAP ou=people,dc=intracentre

Grups SUFIXE LDAP ou=group,dc=intracentre

Màquines SUFIXE LDAP ou=machines,dc=intracentre

Dominis SAMBA SUFIXE LDAP dc=intracentre


en podeu confirmar la coherència emprant la comanda slapcat, per exemple amb

servidor:~ # slapcat | grep ou=


i comprovant que efectivament les unitats d'organització ou són les esmentades. No us oblideu de guardar els canvis abans de retornar a la pestanya de configuració general on encara no hem acabat la feina, ens falta la part més complexa però a la vegada la que ens facilitarà més l'existència a l'hora de gestionar els usuaris.



A continuació encarem la posada en funcionament de la part corresponent al ldap-account-manager-lamdaemon, que en última instància ens permetrà crear / eliminar/ gestionar els usuaris de forma massiva, el primer pas consistirà en especificar a la Configuració de Scripts els valors pertinents



per a continuació seguint les instruccions que podeu llegir amb el navegador accedint a /usr/share/doc/ldap-account-manager-3.3.0/manual/apds02.html, el primer pas ha consistit en indicar tal i com s'aprecia a la captura prèvia els valors

Llista de servidors:servidor.intracentre

Cami al script extern:/srv/www/htdocs/lam/lib/lamdaemon.pl


ja està complimentat així que encarem el segon i editem, com a usuari root, el fitxer /etc/sudoers per afegir-hi al final del mateix l'entrada següent:

administrator ALL= NOPASSWD: /srv/www/htdocs/lam/lib/lamdaemon.pl


cosa que podem fer ràpidament executant la instrucció següent, adaptada al vostre usuari, nosaltres estem emprant a l'usuari administrator: 

servidor:~ # echo "administrator ALL= NOPASSWD: /srv/www/htdocs/lam/lib/lamdaemon.pl" >> /etc/sudoers


A continuació podem inicialitzar el sudo i de pas verificar la correcció de l'operació assumint la identitat de l'usuari administrator i comprovant quines comandes podem executar emprant sudo.

servidor:~ # su - administrator
administrator@servidor:~> sudo -l
User administrator may run the following commands on this host:
    (ALL) ALL
    (root) NOPASSWD: /srv/www/htdocs/lam/lib/lamdaemon.pl
administrator@servidor:~> exit
logout
servidor:~ #



A continuació modifiquem l'entrada PasswordAuthentication del fitxer /etc/ssh/sshd_config posant-la a yes i reiniciem els serveis afectats per les darreres actuacions.

servidor:~ # rcsshd restart
Shutting down SSH daemon                                             done
Starting SSH daemon                                                  done
servidor:~ # rcapache2 restart
Check the APACHE_MODULES setting in /etc/sysconfig/apache2.
Syntax OK
Shutting down httpd2 (waiting for all children to terminate)         done
Starting httpd2 (prefork)                                            done


Finalment accedirem al lam per emprar les eines de test que incorpora i verificar que el sistema és operatiu.



Ara ja podem accedir a la secció usuaris per afegir i treure o modificar.



L'eina més interessant però, la trobareu en la possibilitat de crear múltiples comptes partint d'un arxiu CSV amb el format adient.



A la mateixa pàgina del menú hi trobareu un fitxer CSV d'exemple i aquí un altre una mica més complert. Construir el fitxer CSV a partir de les vostres dades dels usuaris és una tasca que no hauria de presentar massa dificultats. Un cop a punt, pugem el fitxer i ens trobem amb:



En cas de problemes de formatat del nostre CSV no ho veuríem pas, fixeu-vos que el lam us genera un fitxer ldiff amb la informació "traduïda" i que per tant podríeu emprar amb les comandes ldap. Pengem el fitxer.



Ara ja és qüestió de verificar que els /home dels usuaris s'han creat i d'intentar accedir amb les seves dades des d'alguna màquina client.



Si gestionem el servei LDAP amb l'ajuda del mòdul yast pertinent ens troben que aquest empra entre d'altres un schema, /etc/openldap/schema/rfc2307bis.schema que tan sols està suportat per la versió pro del programari lam, com a resultat d'això la gestió de grups l'haurem de fer via yast