Инструкция по управлению пользователями LDAP

Материал из DvoWiki
Перейти к: навигация, поиск

Инструкция по управлению пользователями LDAP

Введение

Здесь описывается процесс управления пользовательскими аккаунтами в службе катклогов OpenLDAP. В качестве утилиты для администрирования рассматривается phpldapadmin. Целью создания этой подветки является поддержка единой учётной записи пользователя. Данную учётную запись ппредполагаетсся использовать для доступа к различным службам сети. В качестве уникального идентификатора пользователя (uid) было принято использовать адрес электронной почты.

Статья про LDAP на wikipedia

Описание LDAP каталога

Ниже описано дерево LDAP для подветки пользователей (в скобках указан DN узла):

  • Корень организации ДВО РАН (dc=dvo,dc=ru)
    • Ветка ИАПУ (ou=iacp,dc=dvo,dc=ru)
      • Группы (ou=groups,ou=iacp,dc=dvo,dc=ru)
      • Машины (ou=machines,...)
      • Пользователи (ou=users,...)
        • Аппарат управления (ou=managment_dep,...)
          • ...
        • Научный департамент (ou=science_dep,...)
          • ...
        • Научно вспомогательные подразделения (ou=science_aux_dep,...)
          • ...
        • Базовые кафедры (ou=base_pulpits)
          • ...

Иерархия подразделений для ветки пользователей взята из http://iacp.dvo.ru/russian/structure/structure.html. Такая структура каталога призвана отражать организационную структуру института.

Перенос пользователей из линейной структуры в иерархическую

Для обеспечения минимальной задержки в работе сервисов при переходе на LDAP, было решено автоматически внести всех пользователей, зарегестрированных на почтовом домене mail.dvo.ru в LDAP каталог. Все учётные записи помеещны в линейной (plain) форме в ветку ou=users,ou=iacp,dc=dvo,dc=ru. Так как для автоматичекого их отнесения к какой-либо из подчинённых подветок недостаточно имеющейся на данный момент информации, то размещения их в подчинённые поддиректории должно выполняться вручную. Ниже описан процесс переноса с использованиеп phpldapadmin.

Допустим мы хотим переместить тестового пользователя test_user в поддиректорию лаборатории 64. Для этого необходимо провести серию следующих действий.

Найти пользователя в списке.

User adm.jpg

Выбрать перемещение данной записи.


User adm2.jpg


Нажать на иконку дляя обзора директорий. И выбрать ту директорию, в которую будет перемещена данная запись.


User adm3.jpg


User adm4.jpg

Обязательно отметить флажок для удаления записи из её текущей директории.

User adm5.jpg

User adm6.jpg

Внешние ссылки

Обзор LDAP на wikipedia.ru

LDAP account manager - средсво поддержания информации о пользователях

PHP LDAP admin - средство для управления деревом LDAP общего назначения.