Benutzer- und Gruppenverwaltung aus dem Ubuntu Server Guide von OnWorks

Zum Inhalt

1.11. Benutzer- und Gruppenverwaltung

Das ldap-utils-Paket enthält genügend Dienstprogramme zum Verwalten des Verzeichnisses, aber die lange Liste der benötigten Optionen kann deren Verwendung erschweren. Das ldapscripts-Paket enthält Wrapper-Skripte für diese Dienstprogramme, die für manche Benutzer einfacher zu verwenden sind.

Installieren Sie das Paket:

sudo apt install ldapscripts

Bearbeiten Sie dann die Datei /etc/ldapscripts/ldapscripts.conf um zu etwas Ähnlichem zu gelangen:

SERVER=localhost BINDDN='cn=admin,dc=example,dc=com' BINDPWDFILE="/etc/ldapscripts/ldapscripts.passwd" SUFFIX='dc=example,dc=com'

GSUFFIX='ou=Gruppen' USUFFIX='ou=Personen' MSUFFIX='ou=Computer' GIDSTART=10000 UIDSTART=10000 MIDSTART=10000

Erstellen Sie nun die ldapscripts.passwd Datei, um RootDN-Zugriff auf das Verzeichnis zu ermöglichen:

sudo sh -c "echo -n 'secret' > /etc/ldapscripts/ldapscripts.passwd" sudo chmod 400 /etc/ldapscripts/ldapscripts.passwd

Ersetzen Sie „secret“ durch das tatsächliche Passwort für den rootDN-Benutzer Ihrer Datenbank.

Die Skripte sind jetzt bereit, um Sie bei der Verwaltung Ihres Verzeichnisses zu unterstützen. Hier sind einige Beispiele für deren Verwendung:

• Erstellen Sie einen neuen Benutzer:

sudo ldapadduser george Beispiel

Dadurch wird ein Benutzer mit UID erstellt george und setzen Sie die primäre Gruppe (gid) des Benutzers auf Beispiel

• Ändern Sie das Passwort eines Benutzers:

sudo ldapsetpasswd george

Passwort für Benutzer uid=george,ou=People,dc=example,dc=com ändern

Neues Kennwort:

Neues Passwort (bestätigen):

• Einen Benutzer löschen:

sudo ldapdeleteuser george

• Eine Gruppe hinzufügen:

sudo ldapaddgroup qa

• Eine Gruppe löschen:

sudo ldapdeletegroup qa

• Einen Benutzer zu einer Gruppe hinzufügen:

sudo ldapaddusertogroup george qa

Sie sollten jetzt ein sehen Mitglieds-ID Attribut für die qa Gruppe mit einem Wert von george.

• Einen Benutzer aus einer Gruppe entfernen:

sudo ldapdeleteuserfromgroup george qa

Das Mitglieds-ID Das Attribut sollte nun aus dem entfernt werden qa Gruppe.

• Mit dem Skript ldapmodifyuser können Sie die Attribute eines Benutzers hinzufügen, entfernen oder ersetzen. Das Skript verwendet dieselbe Syntax wie das Dienstprogramm ldapmodify. Zum Beispiel:

sudo ldapmodifyuser george

# Bin dabei, den folgenden Eintrag zu ändern: dn: uid=george,ou=People,dc=example,dc=com objectClass: account

objectClass: posixAccount cn: george

uid: george uidNumber: 1001

gidNumber: 1001 homeDirectory: /home/george loginShell: /bin/bash gecos: george

Beschreibung: Benutzerkonto

userPassword:: e1NTSEF9eXFsTFcyWlhwWkF1eGUybVdFWHZKRzJVMjFTSG9vcHk=

# Geben Sie hier Ihre Änderungen ein und schließen Sie mit STRG-D ab. dn: uid=george,ou=People,dc=example,dc=com ersetzen: gecos

gecos: George Carlin

Die des Benutzers gekos sollte nun „George Carlin“ heißen.

• Eine nette Funktion von ldapscripts ist das Vorlagensystem. Mit Vorlagen können Sie die Attribute von Benutzer-, Gruppen- und Maschinenobjekten anpassen. Zum Beispiel, um das zu aktivieren Benutzer Vorlage bearbeiten /etc/ldapscripts/ldapscripts.conf Ändern:

UTEMPLATE="/etc/ldapscripts/ldapadduser.template"

Es gibt Sample Vorlagen in der /usr/share/doc/ldapscripts/examples Verzeichnis. Kopieren oder umbenennen

Datei ldapadduser.template.sample nach /etc/ldapscripts/ldapadduser.template:

sudo cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \

/etc/ldapscripts/ldapdduser.template

Bearbeiten Sie die neue Vorlage, um die gewünschten Attribute hinzuzufügen. Im Folgenden werden neue Benutzer mit der Objektklasse inetOrgPerson erstellt:

dn: uid= , , Objektklasse: inetOrgPerson Objektklasse: posixAccount

cn: SN: uid:

uidNumber: gidNumber: HomeDirectory: loginShell: gecos: Beschreibung: Titel des Benutzerkontos: Mitarbeiter

Beachten Sie die Option, die für die verwendet wird sn Attribut. Dadurch werden Sie von ldapadduser nach dem Wert gefragt.

Das Paket enthält Dienstprogramme, die hier nicht behandelt wurden. Hier ist eine vollständige Liste:

ldaprenamemachine5 ldapadduser6 ldapdeleteuserfromgroup7 Fingerabdruck8

blöd9 ldapgid10 ldapmodifyuser11 ldaprenameuser12 lsldap13

ldapaddusertogroup14 ldapsetpasswd15 ldapinit16 ldapaddgroup17 ldapdeletegroup18