LDAP (oud)

From A-Eskwiki
(Redirected from LDAP)
Jump to: navigation, search

Lightweight Directory Access Protocol (LDAP) is het protocol waarmee de square-service OpenLDAP accountinformatie bechikbaar maakt over het netwerk. Hierdoor kunnen gebruikers op alle computers met hetzelfde account inloggen en worden bijvoorbeeld wachtwoordwijzigingen direct doorgevoerd.

Configuratie

De webinterface van OpenLDAP is na inloggen voor Sysop te bereiken op https://secure.a-eskwadraat.nl/phpldapadmin/. Na de ht-authenticatie kun je inloggen met cn=admin,dc=a-eskwadraat,dc=nl en het rootwachtwoord. Met de webinterface kunnen in noodgevallen alle attributen van alle gebruikers aangepast worden. De gebruikelijke manier om dit te doen is met ac en gerelateerde scripts.

De OpenLDAP-configuratie staat in /etc/ldap/slapd.conf.

Entiteiten

Standaard

Een standaardgebruiker van ons systeem bestaat in LDAP uit de volgende classes: top, person, organizationalPerson, inetOrgPerson, posixAccount, shadowAccount, sambaSamAccount.

Uitleg bij bijzondere attributen:

  • cn: Common Name
  • uid: username
  • uidNumber: numerical user id
  • gidNumber: numerical group id van primaire group van deze gebruiker
  • sambaSID: Samba Identifier, voor iedere gebruiker uniek
  • sambaAcctFlags: string die kan bestaan uit diverse letters die de status van een account aangeven, bijv [UD]. (D=disabled,U=user account,W=workstation account,X=password never expires)
  • shadowExpire*: aantal dagen waarna het account verloopt (zie ook shadowLastChange en shadowMax)
  • shadowMax*: aantal dagen waarna het password gewijzigd moet worden
  • shadowMin*: aantal dagen dat de gebruiker moet wachten met het opnieuw wijzigen van het password na de laatste wijziging
  • shadowLastChange*: moment waarop het password voor het laatste gewijzigd is (geteld in dagen na 1 januari 1970)
  • shadowInActive*: aantal dagen nadat het password verlopen is waarna het account gedisabled wordt

Attributen met een sterretje erbij zijn optioneel.

aesAccount

Mensje-, commissie- en bestuursaccounts hebben een extra class aesAccount, met de volgende attributen:

  • lastKeyLogin: moment waarop voor het laatst met een ssh-key werd ingelogd.
  • lastPasswordLogin: moment waarop voor het laatst met een wachtwoord werd ingelogd.
  • memberId: het A–Eskwadraatlidnummer; alleen bedoeld voor mensjes.

Het memberId wordt gevraagd bij het aanmaken van een account met ac. Dit attribuut is bedoeld om hippe koppelingen te maken tussen websiteleden en gebruikers op het systeem. Zo kunnen mensen nu hun systeemwachtwoord gebruiken om op de website in te loggen.

ldap op vm

Gebruik het commando authconfig-tui!

Retrieved from "https://mediawiki.a-eskwadraat.nl/wiki/index.php?title=LDAP_(oud)&oldid=996"