work in progress

=Sissejuhatus OpenLDAP=

=Sissejuhatus tegevustikku ja süsteemi nõuded=

=OpenLDAP'i installeerimine=

Lähme root kasutaja režiimi
<pre>sudo -i</pre>

Tõmbame alla uute pakkide nimekirjad
<pre>apt-get update</pre>

Paigaldamine OpenLDAP'i ning vajaminevad utiliidid.
<pre>apt-get install slapd ldap-utils</pre>

=Serveri seadistamine=

Esmase installeerimise käigus küsitakse LDAP admini parooli, seadke see vastavalt oma soovile. Näites on kasutatud paroolina: password

Administrator password: password

Confirm password: password


Konfigureerime LDAP serveri
<pre>dpkg-reconfigure slapd</pre>

Järgnevalt küsitakse järgmised küsimused, vastake nii:

Omit OpenLDAP server configuration? No 

DNS domain name: planet.zz (sisestada tuleks enda domeeninimi)

Organization name: planet 

Administrators password: password

Confirm password: password

Database backend to use: BDB

Do you want the database to be removed when slapd is purged? No

Move old database? Yes

Allow LDAPv2 protocol? No

Järgnevalt peame muutma OpenLDAP'i konfiguratsioonifaili. Selleks peame kasutama vabalt valitud tekstiredaktorit. Näites kasutame programmi nano.

Avame faili /etc/ldap/ldap.conf

<pre>nano /etc/ldap/ldap.conf</pre>

Failis muudame konfiguratsioonifaili vastavalt näite alguses kasutatud andmetele. Seejuures algses konfiguratsioonifailis on antud read välja kommenteeritud, kindlasti kustutada # rea algusest.

<pre>
BASE dc=planet,dc=zz
URI ldap://localhost
</pre>

Algseadistus on nüüdseks valmis. Kasutaja admin koos parooliga (password) on loodud.
Teenuse töötamiseks on vaja teha OpenLDAP serveri taaslaadimine.

<pre>/etc/init.d/slapd restart</pre>

Kui kõik on õigesti seadistatud peaks tulema vastus.

<pre>
* Stopping OpenLDAP slapd [ OK ]
* Starting OpenLDAP slapd [ OK ]
</pre>

=Serveri töö kontroll=

Käsuga ''ldapsearch'' saame küsida LDAP serverist andmeid. Järgnev käsk peaks kuvama kogu meie LDAP serveri sisu:

<pre>ldapsearch -x -b dc=planet,dc=zz</pre>

Kui kõik on õigesti seadistatud peaks tulema sarnane vastus:
<pre>
# extended LDIF
#
# LDAPv3
# base <dc=planet,dc=zz> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# planet.zz
dn: dc=planet,dc=zz
objectClass: top
objectClass: dcObject
objectClass: organization
o: planet.zz
dc: planet

# admin, planet.zz
dn: cn=admin,dc=planet,dc=zz
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2
</pre>

=Kasutajate klassifitseerimine=

Täiendame enda OpenLDAP kasutajatebaasi kolme ''Organizational Unit (OU)''ga.

Kasutajate jagunemine

[[File:Ou objektid.png]]

Lisame OpenLDAP andmebaasi alampuuharu '''tudengid''', mis oma korda hargnevad '''kaugope''' ja '''paevaope''' alamorganisatsiooni osadeks

*Loome faili ''lisa_directory.ldiff''

Käsk
<pre>
nano lisa_directory.ldiff
</pre>

Lisame faili järgneva info:
<pre>
dn: ou=tudengid, dc=planet, dc=zz
objectClass: top
objectClass: organizationalUnit
ou: tudengid

dn: ou=kaugope, ou=tudengid, dc=planet, dc=zz
objectClass: top
objectClass: organizationalUnit
ou: kaugope

dn: ou=paevaope, ou=tudengid, dc=planet, dc=zz
objectClass: top
objectClass: organizationalUnit
ou: paevaope

</pre>

Impordime selle faili meie LDAP andmebaasi

<pre>
ldapadd -x -f _lisadirectory.ldiff -D "cn=admin,dc=planet,dc=zz" -W
</pre>

=Unix kasutajate ja gruppide lisamine andmebaasi=
Järgnevalt lisame LDAP andmebaasi Linux kasutajagrupid ja kasutajad. Siinkohal on tähtis ära märkida, et kasutajate ja gruppide ID-d peaksid olema valitud selliselt, et need ei läheks kokku klientarvutite enda süsteemsete kontodega - vastasel juhul tekib suur segadus ning kasutajad võivad hakkama kattuda. Järgnevalt kasutasime näites gruppide ja kasutajate ID-sid alates 10000.

Kõige pealt lisame LDAP andmebaasi grupid, selleks loome faili '''unix_groups.ldif''' ja kirjutame sinna sisse:
<pre>
dn: cn=kaugope,ou=kaugope,ou=tudengid,dc=planet,dc=zz
objectClass: posixGroup
objectClass: top
cn: kaugope
gidNumber: 10000

dn: cn=paevaope,ou=paevaope,ou=tudengid,dc=planet,dc=zz
objectClass: posixGroup
objectClass: top
cn: paevaope
gidNumber: 10001
</pre>

Failis määratud '''gidNumber''' näitab ära selle grupi ID numbri.

Seejärel loome kasutajate ldif faili nimega '''unix_users.ldif''':

<pre>
dn: uid=jaan,ou=kaugope,ou=tudengid,dc=planet,dc=zz
cn: Juhan Jaan
objectclass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
userPassword: {SSHA}zTujw0UNgI5KxbHDHtencuidfwcYN+m4
shadowLastChange: 15140
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 10000
gidNumber: 10000
homeDirectory: /home/jaan

dn: uid=peeter,ou=paevaope,ou=tudengid,dc=planet,dc=zz
cn: Peeter Paan
objectclass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
userPassword: {SSHA}IDYvmsQGxHK3samkWpExSrNW4YD0e8f9
shadowLastChange: 15140
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 10001
gidNumber: 10001
homeDirectory: /home/peeter
</pre>

Väljad '''uidNumber''' ja '''gidNumber''' näitavad ära kasutajate ja gruppide ID-d. '''userPassword''' määrab ära kasutaja parooli - siinkohal on need lisatud räsitud kujul. Parooli hashimiseks kasutasime '''slappasswd''' utiliiti, mille käima pannes küsib ta parooli ja peale sisestamist kuvab kohe räsitud parooli.

Nagu juba kombeks, impordime need failid andmebaasi:
<pre>
ldapadd -x -f unix_groups.ldif -D "cn=admin,dc=planet,dc=zz" -W
ldapadd -x -f unix_users.ldif -D "cn=admin,dc=planet,dc=zz" -W
</pre>

Kui see õnnestus, siis on meie LDAP server autentimise päringute vastuvõtmiseks. Järgnevalt tuleb seadistada Ubuntu klientarvuti kasutamaks meie LDAP serverit.

=Klientarvuti seadistamine LDAP autentimiseks=

Kõige pealt paigaldamine klientarvutile LDAP autentimise kliendi ja nsc deemoni:
<pre>apt-get install ldap-auth-client nscd</pre>
Paigaldamise keskel küsitakse meie käest informatsiooni LDAP seadistuste kohta:

LDAP server Uniform Resource Identifier: ldap://192.168.56.200/ (LDAP serveri aadress)

Distinguished name of the search base: dc=planet,dc=zz (baas DN)

LDAP version to use: 3 (LDAP versioon)

Make local root Database admin: No

Does the LDAP database require login? No

Seejärel seadistame klientmasina kasutama LDAP-i autentimiseks:
<pre>auth-client-config -t nss -p lac_ldap</pre>

Nüüd juba põhimõtteliselt peaks LDAP kliendile seadistatud olema, küll aga tuleks teha mõned lisamuudatused klientmasinale, et LDAP kasutajatel oleks rohkem õigusi masinas.

Esimene probleem on see, et kuigi kasutaja on olemas, ei ole temale loodud kodukataloogi. Selleks tuleb lisada PAM konfiguratsiooni ''mkhomedir'' moodul, mis ise loob kataloogi kui kasutajaga autenditakse. Mooduli seadistamiseks tuleb luua fail ''/usr/share/pam-configs/my_mkhomedir'' ja kirjutada sinna:
<pre>
Name: Activate PAM mkhomedir module
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0022 skel=/etc/skel
</pre>

Teine probleem on see, et kuigi LDAP kasutajal on masinale üldine ligipääs olemas, puudub tal õigus kasutada seadmeid klientmasinas (nt heli). Selleks peab kasutaja olema lisatud vastavatesse gruppidesse.

Selleks tuleb PAM group mooduli konfiguratsioonifailis ära määrata, et kõik autenditud kasutajad oleksid automaatselt mingites vaikimisi gruppides. Selleks lisame ''/etc/security/group.conf'' faili järgmise rea:
<pre>*;*;*;Al0000-2400;audio,cdrom,dialout,floppy,users</pre>

Seejärel aktiveerime PAM ''group'' mooduli sarnaselt nagu ''mkhomedir'' mooduligi. Kirjutame faili ''/usr/share/pam-configs/my_groups'' järgneva sisu:
<pre>
Name: Activate PAM group module
Default: yes
Priority: 900
Auth-Type: Primary
Auth:
required pam_group.so use_first_pass
</pre>

Muudatuste rakendamiseks käivitame utiliidi ''pam-auth-update'' - see küsib üle, millised seadistusi kasutada. Tähtis on, et "Activate PAM mkhomedir module" ja "Activate PAM group module" oleks valitud.

Nüüd peaks kasutajate autentimine täielikult töötama. Autentimise testimiseks ühendasin üle SSH LDAP serverist klientmasinasse:
<pre>
# ssh peeter@192.168.56.200
peeter@192.168.56.200's password:
Creating directory '/home/peeter'.
Welcome to Ubuntu 12.04.1 LTS (GNU/Linux 3.2.0-32-generic x86_64)

* Documentation: https://help.ubuntu.com/

System information as of Mon Jan 7 17:40:30 EET 2013

System load: 0.67 Processes: 124
Usage of /: 46.7% of 7.38GB Users logged in: 1
Memory usage: 23% IP address for eth5: 10.0.2.15
Swap usage: 3% IP address for eth4: 192.168.56.200

=> There are 3 zombie processes.

Graph this data and manage this system at https://landscape.canonical.com/

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

peeter@ubuntu:~$ groups
paevaope dialout cdrom floppy audio users
peeter@ubuntu:~$ ls
examples.desktop
</pre>

Siit on näha, et sisselogimine õnnestus ja mingid vaikimisi grupid on ka meile antud.

Nüüd tasuks aga seadistada Ubuntu graafiline liides nii, et ta sisselogimisakna juures küsiks eraldi kasutajanime, mitte ei laseks nimekirjast valida (paljude kasutajatega läheks keeruliseks). Seda saab teha järgmise käsuga:
<pre>/usr/lib/lightdm/lightdm-set-defaults --hide-users true --show-manual-login true</pre>

Ning peale klientmasina restarti peaks avanema järgmine pilt:

[[image:OpenLDAP_auth1.png|500px|Sisselogimine]]
[[image:OpenLDAP_auth2.png|500px|Sisselogituna]]

=Kirjete kustutamine LDAP andmebaasist=

<pre>
ldapdelete -D "cn=admin,dc=planet,dc=zz" -w <admin LDAP parool> "cn=Juhan Jaan,dc=planet,dc=zz"
</pre>

=Kirjete muutmine LDAP andmebaasis=

Loome faili ''muuda_kasutaja.txt''

<pre>
nano muuda_kasutaja.txt
</pre>

Lisame faili muuda_kasutaja info, mida soovime muuta
<pre>
dn: cn=Juhan Jaan,dc=planet,dc=zz
changetype: modify
replace: mail
mail: jjaan@planet.zz
-
add: title
title: Grand Poobah
-
add: jpegPhoto
jpegPhoto:< file:///tmp/jjaan.jpeg
-
delete: description
-
</pre>

Rakendame muudatused käsuga

<pre>
ldapmodify -f muuda_kasutaja.txt
</pre>

=Graafiline liides LDAP andmebaasist andmete küsimiseks (LUMA)=

Paigalda programm Luma masinasse, millel on ligipääs sinu LDAP serverile
<pre>
apt-get install luma
</pre>

Käivita programm
<pre>
luma
</pre>

Lisa OpenLDAP server järgneva seadistusega

*Server Address: <OpenLDAP Server IP>:389
*Bind As: Anonymous
*Encryption: None
*BaseDN: Automatic

Kasutaja info vaatamiseks vali vasakult menüüst '''Browse'''.

Näeme, et eelnevalt lisatud kasutaja Juhan Jaan asub õiges OU-s

[[File:OpenLDAP_auth3.png]]

=OpenLDAP serveri eemaldamine=
Eemaldamine kustutab ka konfiguratsioonifailid. Annab võimaluse otsast peale alustada. Kustutab OpenLDAP'i ja lisa utiliidid.

<pre> apt-get remove --purge slapd ldap-utils</pre>

=Kasutatud allikad=

=Autorid=

[mailto:tarmo.suurmagi@itcollege.ee Tarmo Suurmägi A31]

[mailto:taavi.sannik@itcollege.ee Taavi Sannik A31]

Uuendas: [mailto:harri.uljas@itcollege.ee Harri Uljas AK31]

File:OpenLDAP auth3.png

2013-01-07T17:02:45Z

Tsannik:

OpenLDAP Ubuntu Serveril

2013-01-07T17:02:13Z

Tsannik: /* Serveri seadistamine */

work in progress

=Sissejuhatus OpenLDAP=

=Sissejuhatus tegevustikku ja süsteemi nõuded=

=OpenLDAP'i installeerimine=

Lähme root kasutaja režiimi
<pre>sudo -i</pre>

Tõmbame alla uute pakkide nimekirjad
<pre>apt-get update</pre>

Paigaldamine OpenLDAP'i ning vajaminevad utiliidid.
<pre>apt-get install slapd ldap-utils</pre>

=Serveri seadistamine=

Esmase installeerimise käigus küsitakse LDAP admini parooli, seadke see vastavalt oma soovile. Näites on kasutatud paroolina: password

Administrator password: password

Confirm password: password


Konfigureerime LDAP serveri
<pre>dpkg-reconfigure slapd</pre>

Järgnevalt küsitakse järgmised küsimused, vastake nii:

Omit OpenLDAP server configuration? No 

DNS domain name: planet.zz (sisestada tuleks enda domeeninimi)

Organization name: planet 

Administrators password: password

Confirm password: password

Database backend to use: BDB

Do you want the database to be removed when slapd is purged? No

Move old database? Yes

Allow LDAPv2 protocol? No

Järgnevalt peame muutma OpenLDAP'i konfiguratsioonifaili. Selleks peame kasutama vabalt valitud tekstiredaktorit. Näites kasutame programmi nano.

Avame faili /etc/ldap/ldap.conf

<pre>nano /etc/ldap/ldap.conf</pre>

Failis muudame konfiguratsioonifaili vastavalt näite alguses kasutatud andmetele. Seejuures algses konfiguratsioonifailis on antud read välja kommenteeritud, kindlasti kustutada # rea algusest.

<pre>
BASE dc=planet,dc=zz
URI ldap://localhost
</pre>

Algseadistus on nüüdseks valmis. Kasutaja admin koos parooliga (password) on loodud.
Teenuse töötamiseks on vaja teha OpenLDAP serveri taaslaadimine.

<pre>/etc/init.d/slapd restart</pre>

Kui kõik on õigesti seadistatud peaks tulema vastus.

<pre>
* Stopping OpenLDAP slapd [ OK ]
* Starting OpenLDAP slapd [ OK ]
</pre>

=Serveri töö kontroll=

Käsuga ''ldapsearch'' saame küsida LDAP serverist andmeid. Järgnev käsk peaks kuvama kogu meie LDAP serveri sisu:

<pre>ldapsearch -x -b dc=planet,dc=zz</pre>

Kui kõik on õigesti seadistatud peaks tulema sarnane vastus:
<pre>
# extended LDIF
#
# LDAPv3
# base <dc=planet,dc=zz> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# planet.zz
dn: dc=planet,dc=zz
objectClass: top
objectClass: dcObject
objectClass: organization
o: planet.zz
dc: planet

# admin, planet.zz
dn: cn=admin,dc=planet,dc=zz
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2
</pre>

=Kasutajate klassifitseerimine=

Täiendame enda OpenLDAP kasutajatebaasi kolme ''Organizational Unit (OU)''ga.

Kasutajate jagunemine

[[File:Ou objektid.png]]

Lisame OpenLDAP andmebaasi alampuuharu '''tudengid''', mis oma korda hargnevad '''kaugope''' ja '''paevaope''' alamorganisatsiooni osadeks

*Loome faili ''lisa_directory.ldiff''

Käsk
<pre>
nano lisa_directory.ldiff
</pre>

Lisame faili järgneva info:
<pre>
dn: ou=tudengid, dc=planet, dc=zz
objectClass: top
objectClass: organizationalUnit
ou: tudengid

dn: ou=kaugope, ou=tudengid, dc=planet, dc=zz
objectClass: top
objectClass: organizationalUnit
ou: kaugope

dn: ou=paevaope, ou=tudengid, dc=planet, dc=zz
objectClass: top
objectClass: organizationalUnit
ou: paevaope

</pre>

Impordime selle faili meie LDAP andmebaasi

<pre>
ldapadd -x -f _lisadirectory.ldiff -D "cn=admin,dc=planet,dc=zz" -W
</pre>

=Unix kasutajate ja gruppide lisamine andmebaasi=
Järgnevalt lisame LDAP andmebaasi Linux kasutajagrupid ja kasutajad. Siinkohal on tähtis ära märkida, et kasutajate ja gruppide ID-d peaksid olema valitud selliselt, et need ei läheks kokku klientarvutite enda süsteemsete kontodega - vastasel juhul tekib suur segadus ning kasutajad võivad hakkama kattuda. Järgnevalt kasutasime näites gruppide ja kasutajate ID-sid alates 10000.

Kõige pealt lisame LDAP andmebaasi grupid, selleks loome faili '''unix_groups.ldif''' ja kirjutame sinna sisse:
<pre>
dn: cn=kaugope,ou=kaugope,ou=tudengid,dc=planet,dc=zz
objectClass: posixGroup
objectClass: top
cn: kaugope
gidNumber: 10000

dn: cn=paevaope,ou=paevaope,ou=tudengid,dc=planet,dc=zz
objectClass: posixGroup
objectClass: top
cn: paevaope
gidNumber: 10001
</pre>

Failis määratud '''gidNumber''' näitab ära selle grupi ID numbri.

Seejärel loome kasutajate ldif faili nimega '''unix_users.ldif''':

<pre>
dn: uid=jaan,ou=kaugope,ou=tudengid,dc=planet,dc=zz
cn: Juhan Jaan
objectclass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
userPassword: {SSHA}zTujw0UNgI5KxbHDHtencuidfwcYN+m4
shadowLastChange: 15140
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 10000
gidNumber: 10000
homeDirectory: /home/jaan

dn: uid=peeter,ou=paevaope,ou=tudengid,dc=planet,dc=zz
cn: Peeter Paan
objectclass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
userPassword: {SSHA}IDYvmsQGxHK3samkWpExSrNW4YD0e8f9
shadowLastChange: 15140
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 10001
gidNumber: 10001
homeDirectory: /home/peeter
</pre>

Väljad '''uidNumber''' ja '''gidNumber''' näitavad ära kasutajate ja gruppide ID-d. '''userPassword''' määrab ära kasutaja parooli - siinkohal on need lisatud räsitud kujul. Parooli hashimiseks kasutasime '''slappasswd''' utiliiti, mille käima pannes küsib ta parooli ja peale sisestamist kuvab kohe räsitud parooli.

Nagu juba kombeks, impordime need failid andmebaasi:
<pre>
ldapadd -x -f unix_groups.ldif -D "cn=admin,dc=planet,dc=zz" -W
ldapadd -x -f unix_users.ldif -D "cn=admin,dc=planet,dc=zz" -W
</pre>

Kui see õnnestus, siis on meie LDAP server autentimise päringute vastuvõtmiseks. Järgnevalt tuleb seadistada Ubuntu klientarvuti kasutamaks meie LDAP serverit.

=Klientarvuti seadistamine LDAP autentimiseks=

Kõige pealt paigaldamine klientarvutile LDAP autentimise kliendi ja nsc deemoni:
<pre>apt-get install ldap-auth-client nscd</pre>
Paigaldamise keskel küsitakse meie käest informatsiooni LDAP seadistuste kohta:

LDAP server Uniform Resource Identifier: ldap://192.168.56.200/ (LDAP serveri aadress)

Distinguished name of the search base: dc=planet,dc=zz (baas DN)

LDAP version to use: 3 (LDAP versioon)

Make local root Database admin: No

Does the LDAP database require login? No

Seejärel seadistame klientmasina kasutama LDAP-i autentimiseks:
<pre>auth-client-config -t nss -p lac_ldap</pre>

Nüüd juba põhimõtteliselt peaks LDAP kliendile seadistatud olema, küll aga tuleks teha mõned lisamuudatused klientmasinale, et LDAP kasutajatel oleks rohkem õigusi masinas.

Esimene probleem on see, et kuigi kasutaja on olemas, ei ole temale loodud kodukataloogi. Selleks tuleb lisada PAM konfiguratsiooni ''mkhomedir'' moodul, mis ise loob kataloogi kui kasutajaga autenditakse. Mooduli seadistamiseks tuleb luua fail ''/usr/share/pam-configs/my_mkhomedir'' ja kirjutada sinna:
<pre>
Name: Activate PAM mkhomedir module
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0022 skel=/etc/skel
</pre>

Teine probleem on see, et kuigi LDAP kasutajal on masinale üldine ligipääs olemas, puudub tal õigus kasutada seadmeid klientmasinas (nt heli). Selleks peab kasutaja olema lisatud vastavatesse gruppidesse.

Selleks tuleb PAM group mooduli konfiguratsioonifailis ära määrata, et kõik autenditud kasutajad oleksid automaatselt mingites vaikimisi gruppides. Selleks lisame ''/etc/security/group.conf'' faili järgmise rea:
<pre>*;*;*;Al0000-2400;audio,cdrom,dialout,floppy,users</pre>

Seejärel aktiveerime PAM ''group'' mooduli sarnaselt nagu ''mkhomedir'' mooduligi. Kirjutame faili ''/usr/share/pam-configs/my_groups'' järgneva sisu:
<pre>
Name: Activate PAM group module
Default: yes
Priority: 900
Auth-Type: Primary
Auth:
required pam_group.so use_first_pass
</pre>

Muudatuste rakendamiseks käivitame utiliidi ''pam-auth-update'' - see küsib üle, millised seadistusi kasutada. Tähtis on, et "Activate PAM mkhomedir module" ja "Activate PAM group module" oleks valitud.

Nüüd peaks kasutajate autentimine täielikult töötama. Autentimise testimiseks ühendasin üle SSH LDAP serverist klientmasinasse:
<pre>
# ssh peeter@192.168.56.200
peeter@192.168.56.200's password:
Creating directory '/home/peeter'.
Welcome to Ubuntu 12.04.1 LTS (GNU/Linux 3.2.0-32-generic x86_64)

* Documentation: https://help.ubuntu.com/

System information as of Mon Jan 7 17:40:30 EET 2013

System load: 0.67 Processes: 124
Usage of /: 46.7% of 7.38GB Users logged in: 1
Memory usage: 23% IP address for eth5: 10.0.2.15
Swap usage: 3% IP address for eth4: 192.168.56.200

=> There are 3 zombie processes.

Graph this data and manage this system at https://landscape.canonical.com/

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

peeter@ubuntu:~$ groups
paevaope dialout cdrom floppy audio users
peeter@ubuntu:~$ ls
examples.desktop
</pre>

Siit on näha, et sisselogimine õnnestus ja mingid vaikimisi grupid on ka meile antud.

Nüüd tasuks aga seadistada Ubuntu graafiline liides nii, et ta sisselogimisakna juures küsiks eraldi kasutajanime, mitte ei laseks nimekirjast valida (paljude kasutajatega läheks keeruliseks). Seda saab teha järgmise käsuga:
<pre>/usr/lib/lightdm/lightdm-set-defaults --hide-users true --show-manual-login true</pre>

Ning peale klientmasina restarti peaks avanema järgmine pilt:

[[image:OpenLDAP_auth1.png|500px|Sisselogimine]]
[[image:OpenLDAP_auth2.png|500px|Sisselogituna]]

=Kirjete kustutamine LDAP andmebaasist=

<pre>
ldapdelete -D "cn=admin,dc=planet,dc=zz" -w <admin LDAP parool> "cn=Juhan Jaan,dc=planet,dc=zz"
</pre>

=Kirjete muutmine LDAP andmebaasis=

Loome faili ''muuda_kasutaja.txt''

<pre>
nano muuda_kasutaja.txt
</pre>

Lisame faili muuda_kasutaja info, mida soovime muuta
<pre>
dn: cn=Juhan Jaan,dc=planet,dc=zz
changetype: modify
replace: mail
mail: jjaan@planet.zz
-
add: title
title: Grand Poobah
-
add: jpegPhoto
jpegPhoto:< file:///tmp/jjaan.jpeg
-
delete: description
-
</pre>

Rakendame muudatused käsuga

<pre>
ldapmodify -f muuda_kasutaja.txt
</pre>

=Graafiline liides LDAP andmebaasist andmete küsimiseks (LUMA)=

Paigalda programm Luma masinasse, millel on ligipääs sinu LDAP serverile
<pre>
apt-get install luma
</pre>

Käivita programm
<pre>
luma
</pre>

Lisa OpenLDAP server järgneva seadistusega

*Server Address: <OpenLDAP Server IP>:389
*Bind As: Anonymous
*Encryption: None
*BaseDN: Automatic

Kasutaja info vaatamiseks vali vasakult menüüst '''Browse'''.

Näeme, et eelnevalt lisatud kasutaja Juhan Jaan asub õiges OU-s

[[File:LUMA Browse.png]]

=OpenLDAP serveri eemaldamine=
Eemaldamine kustutab ka konfiguratsioonifailid. Annab võimaluse otsast peale alustada. Kustutab OpenLDAP'i ja lisa utiliidid.

<pre> apt-get remove --purge slapd ldap-utils</pre>

=Kasutatud allikad=

=Autorid=

[mailto:tarmo.suurmagi@itcollege.ee Tarmo Suurmägi A31]

[mailto:taavi.sannik@itcollege.ee Taavi Sannik A31]

Uuendas: [mailto:harri.uljas@itcollege.ee Harri Uljas AK31]

OpenLDAP Ubuntu Serveril

2013-01-07T17:02:02Z

Tsannik:

work in progress

=Sissejuhatus OpenLDAP=

=Sissejuhatus tegevustikku ja süsteemi nõuded=

=OpenLDAP'i installeerimine=

Lähme root kasutaja režiimi
<pre>sudo -i</pre>

Tõmbame alla uute pakkide nimekirjad
<pre>apt-get update</pre>

Paigaldamine OpenLDAP'i ning vajaminevad utiliidid.
<pre>apt-get install slapd ldap-utils</pre>

=Serveri seadistamine=

Esmase installeerimise käigus küsitakse LDAP admini parooli, seadke see vastavalt oma soovile. Näites on kasutatud paroolina: password

Administrator password: password

Confirm password: password


[[image:slapd1.png|300px|parooli seadistamine]]

Konfigureerime LDAP serveri
<pre>dpkg-reconfigure slapd</pre>

Järgnevalt küsitakse järgmised küsimused, vastake nii:

Omit OpenLDAP server configuration? No 

DNS domain name: planet.zz (sisestada tuleks enda domeeninimi)

Organization name: planet 

Administrators password: password

Confirm password: password

Database backend to use: BDB

Do you want the database to be removed when slapd is purged? No

Move old database? Yes

Allow LDAPv2 protocol? No

Järgnevalt peame muutma OpenLDAP'i konfiguratsioonifaili. Selleks peame kasutama vabalt valitud tekstiredaktorit. Näites kasutame programmi nano.

Avame faili /etc/ldap/ldap.conf

<pre>nano /etc/ldap/ldap.conf</pre>

Failis muudame konfiguratsioonifaili vastavalt näite alguses kasutatud andmetele. Seejuures algses konfiguratsioonifailis on antud read välja kommenteeritud, kindlasti kustutada # rea algusest.

<pre>
BASE dc=planet,dc=zz
URI ldap://localhost
</pre>

Algseadistus on nüüdseks valmis. Kasutaja admin koos parooliga (password) on loodud.
Teenuse töötamiseks on vaja teha OpenLDAP serveri taaslaadimine.

<pre>/etc/init.d/slapd restart</pre>

Kui kõik on õigesti seadistatud peaks tulema vastus.

<pre>
* Stopping OpenLDAP slapd [ OK ]
* Starting OpenLDAP slapd [ OK ]
</pre>

=Serveri töö kontroll=

Käsuga ''ldapsearch'' saame küsida LDAP serverist andmeid. Järgnev käsk peaks kuvama kogu meie LDAP serveri sisu:

<pre>ldapsearch -x -b dc=planet,dc=zz</pre>

Kui kõik on õigesti seadistatud peaks tulema sarnane vastus:
<pre>
# extended LDIF
#
# LDAPv3
# base <dc=planet,dc=zz> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# planet.zz
dn: dc=planet,dc=zz
objectClass: top
objectClass: dcObject
objectClass: organization
o: planet.zz
dc: planet

# admin, planet.zz
dn: cn=admin,dc=planet,dc=zz
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2
</pre>

=Kasutajate klassifitseerimine=

Täiendame enda OpenLDAP kasutajatebaasi kolme ''Organizational Unit (OU)''ga.

Kasutajate jagunemine

[[File:Ou objektid.png]]

Lisame OpenLDAP andmebaasi alampuuharu '''tudengid''', mis oma korda hargnevad '''kaugope''' ja '''paevaope''' alamorganisatsiooni osadeks

*Loome faili ''lisa_directory.ldiff''

Käsk
<pre>
nano lisa_directory.ldiff
</pre>

Lisame faili järgneva info:
<pre>
dn: ou=tudengid, dc=planet, dc=zz
objectClass: top
objectClass: organizationalUnit
ou: tudengid

dn: ou=kaugope, ou=tudengid, dc=planet, dc=zz
objectClass: top
objectClass: organizationalUnit
ou: kaugope

dn: ou=paevaope, ou=tudengid, dc=planet, dc=zz
objectClass: top
objectClass: organizationalUnit
ou: paevaope

</pre>

Impordime selle faili meie LDAP andmebaasi

<pre>
ldapadd -x -f _lisadirectory.ldiff -D "cn=admin,dc=planet,dc=zz" -W
</pre>

=Unix kasutajate ja gruppide lisamine andmebaasi=
Järgnevalt lisame LDAP andmebaasi Linux kasutajagrupid ja kasutajad. Siinkohal on tähtis ära märkida, et kasutajate ja gruppide ID-d peaksid olema valitud selliselt, et need ei läheks kokku klientarvutite enda süsteemsete kontodega - vastasel juhul tekib suur segadus ning kasutajad võivad hakkama kattuda. Järgnevalt kasutasime näites gruppide ja kasutajate ID-sid alates 10000.

Kõige pealt lisame LDAP andmebaasi grupid, selleks loome faili '''unix_groups.ldif''' ja kirjutame sinna sisse:
<pre>
dn: cn=kaugope,ou=kaugope,ou=tudengid,dc=planet,dc=zz
objectClass: posixGroup
objectClass: top
cn: kaugope
gidNumber: 10000

dn: cn=paevaope,ou=paevaope,ou=tudengid,dc=planet,dc=zz
objectClass: posixGroup
objectClass: top
cn: paevaope
gidNumber: 10001
</pre>

Failis määratud '''gidNumber''' näitab ära selle grupi ID numbri.

Seejärel loome kasutajate ldif faili nimega '''unix_users.ldif''':

<pre>
dn: uid=jaan,ou=kaugope,ou=tudengid,dc=planet,dc=zz
cn: Juhan Jaan
objectclass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
userPassword: {SSHA}zTujw0UNgI5KxbHDHtencuidfwcYN+m4
shadowLastChange: 15140
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 10000
gidNumber: 10000
homeDirectory: /home/jaan

dn: uid=peeter,ou=paevaope,ou=tudengid,dc=planet,dc=zz
cn: Peeter Paan
objectclass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
userPassword: {SSHA}IDYvmsQGxHK3samkWpExSrNW4YD0e8f9
shadowLastChange: 15140
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 10001
gidNumber: 10001
homeDirectory: /home/peeter
</pre>

Väljad '''uidNumber''' ja '''gidNumber''' näitavad ära kasutajate ja gruppide ID-d. '''userPassword''' määrab ära kasutaja parooli - siinkohal on need lisatud räsitud kujul. Parooli hashimiseks kasutasime '''slappasswd''' utiliiti, mille käima pannes küsib ta parooli ja peale sisestamist kuvab kohe räsitud parooli.

Nagu juba kombeks, impordime need failid andmebaasi:
<pre>
ldapadd -x -f unix_groups.ldif -D "cn=admin,dc=planet,dc=zz" -W
ldapadd -x -f unix_users.ldif -D "cn=admin,dc=planet,dc=zz" -W
</pre>

Kui see õnnestus, siis on meie LDAP server autentimise päringute vastuvõtmiseks. Järgnevalt tuleb seadistada Ubuntu klientarvuti kasutamaks meie LDAP serverit.

=Klientarvuti seadistamine LDAP autentimiseks=

Kõige pealt paigaldamine klientarvutile LDAP autentimise kliendi ja nsc deemoni:
<pre>apt-get install ldap-auth-client nscd</pre>
Paigaldamise keskel küsitakse meie käest informatsiooni LDAP seadistuste kohta:

LDAP server Uniform Resource Identifier: ldap://192.168.56.200/ (LDAP serveri aadress)

Distinguished name of the search base: dc=planet,dc=zz (baas DN)

LDAP version to use: 3 (LDAP versioon)

Make local root Database admin: No

Does the LDAP database require login? No

Seejärel seadistame klientmasina kasutama LDAP-i autentimiseks:
<pre>auth-client-config -t nss -p lac_ldap</pre>

Nüüd juba põhimõtteliselt peaks LDAP kliendile seadistatud olema, küll aga tuleks teha mõned lisamuudatused klientmasinale, et LDAP kasutajatel oleks rohkem õigusi masinas.

Esimene probleem on see, et kuigi kasutaja on olemas, ei ole temale loodud kodukataloogi. Selleks tuleb lisada PAM konfiguratsiooni ''mkhomedir'' moodul, mis ise loob kataloogi kui kasutajaga autenditakse. Mooduli seadistamiseks tuleb luua fail ''/usr/share/pam-configs/my_mkhomedir'' ja kirjutada sinna:
<pre>
Name: Activate PAM mkhomedir module
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0022 skel=/etc/skel
</pre>

Teine probleem on see, et kuigi LDAP kasutajal on masinale üldine ligipääs olemas, puudub tal õigus kasutada seadmeid klientmasinas (nt heli). Selleks peab kasutaja olema lisatud vastavatesse gruppidesse.

Selleks tuleb PAM group mooduli konfiguratsioonifailis ära määrata, et kõik autenditud kasutajad oleksid automaatselt mingites vaikimisi gruppides. Selleks lisame ''/etc/security/group.conf'' faili järgmise rea:
<pre>*;*;*;Al0000-2400;audio,cdrom,dialout,floppy,users</pre>

Seejärel aktiveerime PAM ''group'' mooduli sarnaselt nagu ''mkhomedir'' mooduligi. Kirjutame faili ''/usr/share/pam-configs/my_groups'' järgneva sisu:
<pre>
Name: Activate PAM group module
Default: yes
Priority: 900
Auth-Type: Primary
Auth:
required pam_group.so use_first_pass
</pre>

Muudatuste rakendamiseks käivitame utiliidi ''pam-auth-update'' - see küsib üle, millised seadistusi kasutada. Tähtis on, et "Activate PAM mkhomedir module" ja "Activate PAM group module" oleks valitud.

Nüüd peaks kasutajate autentimine täielikult töötama. Autentimise testimiseks ühendasin üle SSH LDAP serverist klientmasinasse:
<pre>
# ssh peeter@192.168.56.200
peeter@192.168.56.200's password:
Creating directory '/home/peeter'.
Welcome to Ubuntu 12.04.1 LTS (GNU/Linux 3.2.0-32-generic x86_64)

* Documentation: https://help.ubuntu.com/

System information as of Mon Jan 7 17:40:30 EET 2013

System load: 0.67 Processes: 124
Usage of /: 46.7% of 7.38GB Users logged in: 1
Memory usage: 23% IP address for eth5: 10.0.2.15
Swap usage: 3% IP address for eth4: 192.168.56.200

=> There are 3 zombie processes.

Graph this data and manage this system at https://landscape.canonical.com/

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

peeter@ubuntu:~$ groups
paevaope dialout cdrom floppy audio users
peeter@ubuntu:~$ ls
examples.desktop
</pre>

Siit on näha, et sisselogimine õnnestus ja mingid vaikimisi grupid on ka meile antud.

Nüüd tasuks aga seadistada Ubuntu graafiline liides nii, et ta sisselogimisakna juures küsiks eraldi kasutajanime, mitte ei laseks nimekirjast valida (paljude kasutajatega läheks keeruliseks). Seda saab teha järgmise käsuga:
<pre>/usr/lib/lightdm/lightdm-set-defaults --hide-users true --show-manual-login true</pre>

Ning peale klientmasina restarti peaks avanema järgmine pilt:

[[image:OpenLDAP_auth1.png|500px|Sisselogimine]]
[[image:OpenLDAP_auth2.png|500px|Sisselogituna]]

=Kirjete kustutamine LDAP andmebaasist=

<pre>
ldapdelete -D "cn=admin,dc=planet,dc=zz" -w <admin LDAP parool> "cn=Juhan Jaan,dc=planet,dc=zz"
</pre>

=Kirjete muutmine LDAP andmebaasis=

Loome faili ''muuda_kasutaja.txt''

<pre>
nano muuda_kasutaja.txt
</pre>

Lisame faili muuda_kasutaja info, mida soovime muuta
<pre>
dn: cn=Juhan Jaan,dc=planet,dc=zz
changetype: modify
replace: mail
mail: jjaan@planet.zz
-
add: title
title: Grand Poobah
-
add: jpegPhoto
jpegPhoto:< file:///tmp/jjaan.jpeg
-
delete: description
-
</pre>

Rakendame muudatused käsuga

<pre>
ldapmodify -f muuda_kasutaja.txt
</pre>

=Graafiline liides LDAP andmebaasist andmete küsimiseks (LUMA)=

Paigalda programm Luma masinasse, millel on ligipääs sinu LDAP serverile
<pre>
apt-get install luma
</pre>

Käivita programm
<pre>
luma
</pre>

Lisa OpenLDAP server järgneva seadistusega

*Server Address: <OpenLDAP Server IP>:389
*Bind As: Anonymous
*Encryption: None
*BaseDN: Automatic

Kasutaja info vaatamiseks vali vasakult menüüst '''Browse'''.

Näeme, et eelnevalt lisatud kasutaja Juhan Jaan asub õiges OU-s

[[File:LUMA Browse.png]]

=OpenLDAP serveri eemaldamine=
Eemaldamine kustutab ka konfiguratsioonifailid. Annab võimaluse otsast peale alustada. Kustutab OpenLDAP'i ja lisa utiliidid.

<pre> apt-get remove --purge slapd ldap-utils</pre>

=Kasutatud allikad=

=Autorid=

[mailto:tarmo.suurmagi@itcollege.ee Tarmo Suurmägi A31]

[mailto:taavi.sannik@itcollege.ee Taavi Sannik A31]

Uuendas: [mailto:harri.uljas@itcollege.ee Harri Uljas AK31]

File:OpenLDAP auth2.png

2013-01-07T17:01:05Z

Tsannik:

OpenLDAP Ubuntu Serveril

2013-01-07T17:00:42Z

Tsannik:

work in progress

=Sissejuhatus OpenLDAP=

=Sissejuhatus tegevustikku ja süsteemi nõuded=

=OpenLDAP'i installeerimine=

Lähme root kasutaja režiimi
<pre>sudo -i</pre>

Tõmbame alla uute pakkide nimekirjad
<pre>apt-get update</pre>

Paigaldamine OpenLDAP'i ning vajaminevad utiliidid.
<pre>apt-get install slapd ldap-utils</pre>

=Serveri seadistamine=

Esmase installeerimise käigus küsitakse LDAP admini parooli, seadke see vastavalt oma soovile. Näites on kasutatud paroolina: password

Administrator password: password

Confirm password: password


[[image:slapd1.png|300px|parooli seadistamine]]

Konfigureerime LDAP serveri
<pre>dpkg-reconfigure slapd</pre>

Järgnevalt küsitakse järgmised küsimused, vastake nii:

Omit OpenLDAP server configuration? No 

[[image:slapd2.png|300px|serveri configuration]]

DNS domain name: planet.zz (sisestada tuleks enda domeeninimi)

[[image:slapd3.png|300px|dns]]

Organization name: planet 

[[image:slapd4.png|300px|organisatsiooni nimi]]

Administrators password: password

[[image:slapd5.png|300px|parooli seadistamine]]

Confirm password: password

[[image:slapd6.png|300px|parool uuesti]]

Database backend to use: BDB

[[image:slapd7.png|300px|database backend]]

Do you want the database to be removed when slapd is purged? No

[[image:slapd8.png|300px|purge]]

Move old database? Yes

[[image:slapd9.png|300px|database]]

Allow LDAPv2 protocol? No

[[image:slapd10.png|300px|LDAPv2 protocol]]

Järgnevalt peame muutma OpenLDAP'i konfiguratsioonifaili. Selleks peame kasutama vabalt valitud tekstiredaktorit. Näites kasutame programmi nano.

Avame faili /etc/ldap/ldap.conf

<pre>nano /etc/ldap/ldap.conf</pre>

Failis muudame konfiguratsioonifaili vastavalt näite alguses kasutatud andmetele. Seejuures algses konfiguratsioonifailis on antud read välja kommenteeritud, kindlasti kustutada # rea algusest.

<pre>
BASE dc=planet,dc=zz
URI ldap://localhost
</pre>

Algseadistus on nüüdseks valmis. Kasutaja admin koos parooliga (password) on loodud.
Teenuse töötamiseks on vaja teha OpenLDAP serveri taaslaadimine.

<pre>/etc/init.d/slapd restart</pre>

Kui kõik on õigesti seadistatud peaks tulema vastus.

<pre>
* Stopping OpenLDAP slapd [ OK ]
* Starting OpenLDAP slapd [ OK ]
</pre>

=Serveri töö kontroll=

Käsuga ''ldapsearch'' saame küsida LDAP serverist andmeid. Järgnev käsk peaks kuvama kogu meie LDAP serveri sisu:

<pre>ldapsearch -x -b dc=planet,dc=zz</pre>

Kui kõik on õigesti seadistatud peaks tulema sarnane vastus:
<pre>
# extended LDIF
#
# LDAPv3
# base <dc=planet,dc=zz> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# planet.zz
dn: dc=planet,dc=zz
objectClass: top
objectClass: dcObject
objectClass: organization
o: planet.zz
dc: planet

# admin, planet.zz
dn: cn=admin,dc=planet,dc=zz
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2
</pre>

=Kasutajate klassifitseerimine=

Täiendame enda OpenLDAP kasutajatebaasi kolme ''Organizational Unit (OU)''ga.

Kasutajate jagunemine

[[File:Ou objektid.png]]

Lisame OpenLDAP andmebaasi alampuuharu '''tudengid''', mis oma korda hargnevad '''kaugope''' ja '''paevaope''' alamorganisatsiooni osadeks

*Loome faili ''lisa_directory.ldiff''

Käsk
<pre>
nano lisa_directory.ldiff
</pre>

Lisame faili järgneva info:
<pre>
dn: ou=tudengid, dc=planet, dc=zz
objectClass: top
objectClass: organizationalUnit
ou: tudengid

dn: ou=kaugope, ou=tudengid, dc=planet, dc=zz
objectClass: top
objectClass: organizationalUnit
ou: kaugope

dn: ou=paevaope, ou=tudengid, dc=planet, dc=zz
objectClass: top
objectClass: organizationalUnit
ou: paevaope

</pre>

Impordime selle faili meie LDAP andmebaasi

<pre>
ldapadd -x -f _lisadirectory.ldiff -D "cn=admin,dc=planet,dc=zz" -W
</pre>

=Unix kasutajate ja gruppide lisamine andmebaasi=
Järgnevalt lisame LDAP andmebaasi Linux kasutajagrupid ja kasutajad. Siinkohal on tähtis ära märkida, et kasutajate ja gruppide ID-d peaksid olema valitud selliselt, et need ei läheks kokku klientarvutite enda süsteemsete kontodega - vastasel juhul tekib suur segadus ning kasutajad võivad hakkama kattuda. Järgnevalt kasutasime näites gruppide ja kasutajate ID-sid alates 10000.

Kõige pealt lisame LDAP andmebaasi grupid, selleks loome faili '''unix_groups.ldif''' ja kirjutame sinna sisse:
<pre>
dn: cn=kaugope,ou=kaugope,ou=tudengid,dc=planet,dc=zz
objectClass: posixGroup
objectClass: top
cn: kaugope
gidNumber: 10000

dn: cn=paevaope,ou=paevaope,ou=tudengid,dc=planet,dc=zz
objectClass: posixGroup
objectClass: top
cn: paevaope
gidNumber: 10001
</pre>

Failis määratud '''gidNumber''' näitab ära selle grupi ID numbri.

Seejärel loome kasutajate ldif faili nimega '''unix_users.ldif''':

<pre>
dn: uid=jaan,ou=kaugope,ou=tudengid,dc=planet,dc=zz
cn: Juhan Jaan
objectclass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
userPassword: {SSHA}zTujw0UNgI5KxbHDHtencuidfwcYN+m4
shadowLastChange: 15140
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 10000
gidNumber: 10000
homeDirectory: /home/jaan

dn: uid=peeter,ou=paevaope,ou=tudengid,dc=planet,dc=zz
cn: Peeter Paan
objectclass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
userPassword: {SSHA}IDYvmsQGxHK3samkWpExSrNW4YD0e8f9
shadowLastChange: 15140
shadowMin: 0
shadowMax: 99999
shadowWarning: 7
loginShell: /bin/bash
uidNumber: 10001
gidNumber: 10001
homeDirectory: /home/peeter
</pre>

Väljad '''uidNumber''' ja '''gidNumber''' näitavad ära kasutajate ja gruppide ID-d. '''userPassword''' määrab ära kasutaja parooli - siinkohal on need lisatud räsitud kujul. Parooli hashimiseks kasutasime '''slappasswd''' utiliiti, mille käima pannes küsib ta parooli ja peale sisestamist kuvab kohe räsitud parooli.

Nagu juba kombeks, impordime need failid andmebaasi:
<pre>
ldapadd -x -f unix_groups.ldif -D "cn=admin,dc=planet,dc=zz" -W
ldapadd -x -f unix_users.ldif -D "cn=admin,dc=planet,dc=zz" -W
</pre>

Kui see õnnestus, siis on meie LDAP server autentimise päringute vastuvõtmiseks. Järgnevalt tuleb seadistada Ubuntu klientarvuti kasutamaks meie LDAP serverit.

=Klientarvuti seadistamine LDAP autentimiseks=

Kõige pealt paigaldamine klientarvutile LDAP autentimise kliendi ja nsc deemoni:
<pre>apt-get install ldap-auth-client nscd</pre>
Paigaldamise keskel küsitakse meie käest informatsiooni LDAP seadistuste kohta:

LDAP server Uniform Resource Identifier: ldap://192.168.56.200/ (LDAP serveri aadress)

Distinguished name of the search base: dc=planet,dc=zz (baas DN)

LDAP version to use: 3 (LDAP versioon)

Make local root Database admin: No

Does the LDAP database require login? No

Seejärel seadistame klientmasina kasutama LDAP-i autentimiseks:
<pre>auth-client-config -t nss -p lac_ldap</pre>

Nüüd juba põhimõtteliselt peaks LDAP kliendile seadistatud olema, küll aga tuleks teha mõned lisamuudatused klientmasinale, et LDAP kasutajatel oleks rohkem õigusi masinas.

Esimene probleem on see, et kuigi kasutaja on olemas, ei ole temale loodud kodukataloogi. Selleks tuleb lisada PAM konfiguratsiooni ''mkhomedir'' moodul, mis ise loob kataloogi kui kasutajaga autenditakse. Mooduli seadistamiseks tuleb luua fail ''/usr/share/pam-configs/my_mkhomedir'' ja kirjutada sinna:
<pre>
Name: Activate PAM mkhomedir module
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0022 skel=/etc/skel
</pre>

Teine probleem on see, et kuigi LDAP kasutajal on masinale üldine ligipääs olemas, puudub tal õigus kasutada seadmeid klientmasinas (nt heli). Selleks peab kasutaja olema lisatud vastavatesse gruppidesse.

Selleks tuleb PAM group mooduli konfiguratsioonifailis ära määrata, et kõik autenditud kasutajad oleksid automaatselt mingites vaikimisi gruppides. Selleks lisame ''/etc/security/group.conf'' faili järgmise rea:
<pre>*;*;*;Al0000-2400;audio,cdrom,dialout,floppy,users</pre>

Seejärel aktiveerime PAM ''group'' mooduli sarnaselt nagu ''mkhomedir'' mooduligi. Kirjutame faili ''/usr/share/pam-configs/my_groups'' järgneva sisu:
<pre>
Name: Activate PAM group module
Default: yes
Priority: 900
Auth-Type: Primary
Auth:
required pam_group.so use_first_pass
</pre>

Muudatuste rakendamiseks käivitame utiliidi ''pam-auth-update'' - see küsib üle, millised seadistusi kasutada. Tähtis on, et "Activate PAM mkhomedir module" ja "Activate PAM group module" oleks valitud.

Nüüd peaks kasutajate autentimine täielikult töötama. Autentimise testimiseks ühendasin üle SSH LDAP serverist klientmasinasse:
<pre>
# ssh peeter@192.168.56.200
peeter@192.168.56.200's password:
Creating directory '/home/peeter'.
Welcome to Ubuntu 12.04.1 LTS (GNU/Linux 3.2.0-32-generic x86_64)

* Documentation: https://help.ubuntu.com/

System information as of Mon Jan 7 17:40:30 EET 2013

System load: 0.67 Processes: 124
Usage of /: 46.7% of 7.38GB Users logged in: 1
Memory usage: 23% IP address for eth5: 10.0.2.15
Swap usage: 3% IP address for eth4: 192.168.56.200

=> There are 3 zombie processes.

Graph this data and manage this system at https://landscape.canonical.com/

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

peeter@ubuntu:~$ groups
paevaope dialout cdrom floppy audio users
peeter@ubuntu:~$ ls
examples.desktop
</pre>

Siit on näha, et sisselogimine õnnestus ja mingid vaikimisi grupid on ka meile antud.

Nüüd tasuks aga seadistada Ubuntu graafiline liides nii, et ta sisselogimisakna juures küsiks eraldi kasutajanime, mitte ei laseks nimekirjast valida (paljude kasutajatega läheks keeruliseks). Seda saab teha järgmise käsuga:
<pre>/usr/lib/lightdm/lightdm-set-defaults --hide-users true --show-manual-login true</pre>

Ning peale klientmasina restarti peaks avanema järgmine pilt:

[[image:OpenLDAP_auth1.png|500px|Sisselogimine]]
[[image:OpenLDAP_auth2.png|500px|Sisselogituna]]

=Kirjete kustutamine LDAP andmebaasist=

<pre>
ldapdelete -D "cn=admin,dc=planet,dc=zz" -w <admin LDAP parool> "cn=Juhan Jaan,dc=planet,dc=zz"
</pre>

=Kirjete muutmine LDAP andmebaasis=

Loome faili ''muuda_kasutaja.txt''

<pre>
nano muuda_kasutaja.txt
</pre>

Lisame faili muuda_kasutaja info, mida soovime muuta
<pre>
dn: cn=Juhan Jaan,dc=planet,dc=zz
changetype: modify
replace: mail
mail: jjaan@planet.zz
-
add: title
title: Grand Poobah
-
add: jpegPhoto
jpegPhoto:< file:///tmp/jjaan.jpeg
-
delete: description
-
</pre>

Rakendame muudatused käsuga

<pre>
ldapmodify -f muuda_kasutaja.txt
</pre>

=Graafiline liides LDAP andmebaasist andmete küsimiseks (LUMA)=

Paigalda programm Luma masinasse, millel on ligipääs sinu LDAP serverile
<pre>
apt-get install luma
</pre>

Käivita programm
<pre>
luma
</pre>

Lisa OpenLDAP server järgneva seadistusega

*Server Address: <OpenLDAP Server IP>:389
*Bind As: Anonymous
*Encryption: None
*BaseDN: Automatic

Kasutaja info vaatamiseks vali vasakult menüüst '''Browse'''.

Näeme, et eelnevalt lisatud kasutaja Juhan Jaan asub õiges OU-s

[[File:LUMA Browse.png]]

=OpenLDAP serveri eemaldamine=
Eemaldamine kustutab ka konfiguratsioonifailid. Annab võimaluse otsast peale alustada. Kustutab OpenLDAP'i ja lisa utiliidid.

<pre> apt-get remove --purge slapd ldap-utils</pre>

=Kasutatud allikad=

=Autorid=

[mailto:tarmo.suurmagi@itcollege.ee Tarmo Suurmägi A31]

[mailto:taavi.sannik@itcollege.ee Taavi Sannik A31]

Uuendas: [mailto:harri.uljas@itcollege.ee Harri Uljas AK31]

Skriptimiskeeled: powershelli kodutööd 2012, kevad, päevaõpe

2012-05-23T11:39:52Z

Tsannik: Lisasin kataloogi ruumikasutuse aruande skripti.

==Jaan Igamees==
Lühike jutt, mida skript teeb... bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla, bla.

[[PowerShell: Jaan Igamees, kavalskript]]

==Tambet Liiv==
Kirjutab arvutinime, loogiliste kõvaketaste arvu, nende suuruse ja vaba ruumi andmebaasi. Anmebaasi tüüp peab olema MySql. Rohkem infot skripti kohta on skriptis endas.

[[PowerShell: SQLi baasi kirjutamise skript]]

==Sander Arnus==
Skript kuvab desktopile kasutajanime, masinanime ja IP aadressid.
On võimalus pilt ette anda. Kui pilti ei anta kirjutab taustapildile. Teistkorda samale pildile kirjutades teeb tausta mustaks ja kirjutab andmed.

[[PowerShell: Desktopile info kuvamine]]

==Sander Saveli==
Skript kirjutab Microsoft Sql serverisse arvuti nime, loogiliste kõvakettaste nime, loogiliste kõvaketaste suuruse ja vaba ruumi ning kirje tegemise aja.

[[PowerShell: Microsoft SQLi baasi kirjutamise skript]]

==Oliver Naaris==

Loob XML faili, kuhu on lisatud "Masin", "Ketas", "Kokku", "Vaba", "Aeg" elemendid ning küsib masinalt arvutinime, kettanime, ketta suurust, vaba ruumi kettal ning lisab need XML elementidesse.

[[PowerShell: XML elementidesse kirjutamise skript]]

==Robert Pärn==

Loob faili, kus sees on andmed ketastest kohalikus arvutis kuupäeva järgi. Samuti tutvustab minu artikkel, kuidas panna Task Scheduler'iga tööle skript iga teatud aja järel.

[[PowerShell: Skriptide käivitamine Task Scheduleriga]]

==Jevgeni Pogodin==

Sckipt trükib välja lühikene arvuti info ja kontrollib "Plug and Play" seaded, kas seal on mingeid vead. Kui kõik on OK, siis script teavitab et kõik on korras, aga kui ta leiab mingeid seadme probleemid, siis ta trükib välja infot selle seadmete kohta ja kirjeldab, mis probleem teil on.

[[PowerShell: Plug and Play seadmete kontrollimise skript]]

==Inger Romanenko==

Skripti peab ette andma 2 parameetrit: kaust kust otsitakse ja uus kaust. Käib läbi kõik failid otsingu kaustast (ja alamkaustadest).
Loob uue kausta ja sellesse leitud laiendite nimelised alamkaustad ja kopeerib failid vastavalt laiendile kaustadesse.

[[PowerShell: Failide sorteerimine laiendi järgi]]

==Lauri Rüütli==

Skript võtab Active Directory-st kõik kasutajad kellel ei ole meilikontot ja teeb neile Exchange serverisse meilikonto.

[[PowerShell: Meilikontode loomine]]

==Priit Voodla==

Skript saadab soovitud mailiaadressile HTML-faili, milles Exchange 2007 top 15 postkasti info

[[PowerShell: Exchange 2007 suured postkastid]]

==Kermo Pajula==

Skript otsib etteantud kaustast üles logifailid, mille vanus ületab kriteeriumi ja arhiveerib need

[[PowerShell: Logifailide arhivaar]]

==Iti Liivik==
Kustutab ära prügikastist kõik failid, mida ei ole 30 päeva jooksul muudetud.

[[PowerShell: Recycle Bin'i tühjendamise skript]]

==Kristjan Rõõm==
Loob telnetühenduse mingi seadmega ning annab talle käske ette(hetkel ruuter ja cisco default conf).

[[PowerShell: Telnetühendaja]]

==Teet Saar==
Skript mis otsib mitte- või rekursiivselt faile ette antud kaustast ning kopeerib need sihtkausta (Skripti lisa-spetsiifilised omadused on kirjeldatud skripti .DESCRIPTION all).
Skript suhtleb kasutajaga gui's.

[[PowerShell: Kopeerija]]

==Mauno Pihelgas==
Monitooringuskript, mis kontrollib Active Directory teenuse toimimist. Skript pärib AD-st käsurealt etteantud kasutajakonto andmeid ja kontrollib, kas päring toimis ning tagastati korrektsed andmed. Skript on loodud monitoorimaks AD teenuse toimimist Nagiose-põhises monitooringusüsteemis NSClient++ monitooringuagendi vahendusel.

[[PowerShell: ActiveDirectory monitooringuskript]]

==Priit Lilleleht==
kui arvutis pole java 7 kausta siis tomatakse alla java ja instalitakse see.
ajutine kaust mis lootakse kustutatakse kui instal on õnnestunud.
installib java 32bit win 64bit operatsioonisüsteemile.

[[PowerShell: Java 7 install]]

==Rasmus Tetsmann==
script, mis kustutab IISist ära failide logid, mis on vanemad kui 30 päeva.

[[PowerShell: logifailide kustutaja]]

==Rauno Lehiste==
script, mis teeb sama mis wintoflash

[[Skript, mis teeb sama mis WinToFLash]]

==Tarmo Suurmägi==
Universaalne failide kustutaja, kus saab valida failitüübi või viimase muutmise kuupäeva järgi failid mida soovitakse kindlast asukohast kustutada.

[[PowerShell: Universaalne kustutamise skript]]

==Viljar Rooda==
Skript mis kontrollib kas arvutisse on instaleeritud Adobe Reader kui ei ole siis installib selle kaasa antud failist.

[[Skript, Adobe Reader kontroll ja silent install]]

==Taavi Sannik==
Skript käib kataloogis olevad failid läbid ja koostab nende faililaiendite puhul aruande ruumi kasutusest kataloogist.

[[PowerShell: kataloogi ruumikasutuse aruande skript]]

PowerShell: kataloogi ruumikasutuse aruande skript

2012-05-23T11:36:26Z

Tsannik:

<Source lang="powershell">
<#

.SYNOPSIS
Koostab faililaiendite põhjal aruande ruumi kasutusest kataloogis.

.DESCRIPTION
See skript käib ette antud kataloogi läbi ja koostab faililaiendite põhjal
aruande, kus on näidatud, kui palju on iga faililaiendiga faile ja kui palju
moodustavad need failid kataloogi kogumahust.

Tulemuseks annab skript nimekirja, kus igal objektil on järgnevad väärtused:
Extension - Faili laiend
SizeTotal - Selle laiendi poolt kasutatud ruum (baitides)
SizeUsage - Selle laiendi poolt protsentuaalselt kasutatud ruum
SizeAvg - Keskmine faili suurus (antud laiendiga)
CountTotal - Selle failaiendiga failide arv

NB! Mahukamate kataloogide puhul võib aruande koostamine natuke aega võtta.

.Example
C:\PS>.\filetype_overview.ps1 "C:\Users\" | Sort-Object CountTotal -desc | Format-Table

Loendab tulemused failide arvu järgi ja kuvab need tabeli kujul. Aruanne tehakse kataloogi "C:\Users\" põhjal.

.Example
C:\PS>.\filetype_overview.ps1 "C:\Users\" | Sort-Object SizeTotal -desc | Select-Object -First 1

Leiab kõige rohkem ruumi võtvama faililaiendi "C:\Users\" kataloogis.

.NOTES
Autor: Taavi Sannik A21
Versioon: 0.9
Viimati muudetud: 23.05.2012

.LINK
http://www.itcollege.ee

#>

param([string]$path = ".")

$total_size = 0
$results = @{}

# Kogume andmed käies kataloogi läbi
Get-ChildItem -Path $path -Recurse | ForEach {
$ext = $_.Extension

if (!$_.Length) {
return
}

# Kontrollime kas kirje selle laiendi kohta on olemas
if (!$results.ContainsKey($ext)) {
# Kui ei ole, siis lisame
$ext_oview = New-Object psobject -Property @{Extension = $ext;
SizeTotal = $_.Length;
CountTotal = 1;
SizeUsage = .0;
SizeAvg = 0;}
$results.Set_Item($ext, $ext_oview)
} else {
# Muudame olemasolevat
$ext_oview = $results.Get_Item($ext)
$ext_oview.SizeTotal += $_.Length
$ext_oview.CountTotal += 1
}

# Loeme kokku kogumahu
$total_size += $_.Length
}

$results.Values | ForEach {
# Arvutame keskmised ja protsentuaalse kasutuse
$_.SizeAvg = [System.Math]::Round($_.SizeTotal / $_.CountTotal, 0)
$_.SizeUsage = [System.Math]::Round(($_.SizeTotal / $total_size) * 100, 2)
}

# Tagastame tulemused
return $results.Values
</source>
[[Category:PowerShell]]
[[Category:Skriptimiskeeled]]

Powershell: kataloogi ruumikasutuse aruande skript

2012-05-23T11:36:08Z

Tsannik: moved Powershell: kataloogi ruumikasutuse aruande skript to PowerShell: kataloogi ruumikasutuse aruande skript: PowerShell on ikka SUURE tähega!

#REDIRECT [[PowerShell: kataloogi ruumikasutuse aruande skript]]

PowerShell: kataloogi ruumikasutuse aruande skript

2012-05-23T11:36:08Z

Tsannik: moved Powershell: kataloogi ruumikasutuse aruande skript to PowerShell: kataloogi ruumikasutuse aruande skript: PowerShell on ikka SUURE tähega!

PowerShell: kataloogi ruumikasutuse aruande skript

2012-05-23T11:35:16Z

Tsannik: Lisasin kategooriad.

2011-10-17T06:52:26Z

Tsannik: /* Taavi Sannik */ new section

= Kermo Pajula =

'''Sisu''': Koostatud juhend annab väga hea ülevaate Windows 8 NIC Teamingust. Artikkel on kasulik ning selle järgi on end väga hea ette valmistada tulevikus sellise lahenduse kasutamiseks. Kenasti on koostatud tutvustus, ajalugu ning konfigureerimine.

'''Kujundus''': Artiklit on väga hea lugeda, jutt on jälgitav. Illustreeritud on piltidega, mis on paigutatud väga õigesse kohta ning teevad asja arusaadavaks.

'''Juhendi kavaliteet''': Artikkel on kvaliteetne, selle järgi tegutsedes on võimalik asi tehtud saada. Kogu protsess on kirjeldatud samm-sammult ning piisavalt lihtsalt ja loogiliselt, et ka tavakasutaja sellest aru saaks.

'''Viitamine''': Artiklisiseselt viiteid kasutatud ei ole, kuid kuna pildid tunduvad ise tehtud ning mingeid võõraid asju ei ole kuskilt kopeeritud, siis ei ole midagi valesti. Artikli lõpus on koostatud korralik kasutatud materjalide nimekiri.

'''Eriti cool''': On ära näidatud ka juhus, kus midagi võib katki minna ning miks NIC Teaming selle vastu ülimalt efektiivne on. Nimelt kui on kokku ühendatud kaks võrkarit ja üks otsad annab, hoiab teine ühenduse üleval.

== Taavi Sannik ==

'''Sisu''': Artikkel hannab hea ülevaate NIC teamingust, sellest, miks seda tänapäeval vaja on, ja kuidas seda Windows 8 Serveris kasutada.

'''Kujundus''': Pildid võiksid olla ühe suurusega ja kuidagi rohkem tekstiga kokku seotud (võib-olla võiks olla piltidel ka mingid selgitavad viited). Muu kujundus on hea ja arusaadav.

'''Juhendi kavaliteet''': Juhend ise on kvaliteetne ja seda on võimalik kasutada.

'''Viitamine''': Puuduvad viited piltide omanikele. Ülejäänud viited on olemas.

'''Eriti meeldis''': Info selle kohta, kuidas saada hakkama ilma NIC teaminguta vanemates Windowsi versioonides.