1.11. Benutzer- und Gruppenverwaltung
Das ldap-utils-Paket enthält genügend Dienstprogramme zum Verwalten des Verzeichnisses, aber die lange Liste der benötigten Optionen kann deren Verwendung erschweren. Das ldapscripts-Paket enthält Wrapper-Skripte für diese Dienstprogramme, die für manche Benutzer einfacher zu verwenden sind.
Installieren Sie das Paket:
sudo apt install ldapscripts
Bearbeiten Sie dann die Datei /etc/ldapscripts/ldapscripts.conf um zu etwas Ähnlichem zu gelangen:
SERVER=localhost BINDDN='cn=admin,dc=example,dc=com' BINDPWDFILE="/etc/ldapscripts/ldapscripts.passwd" SUFFIX='dc=example,dc=com'
GSUFFIX='ou=Gruppen' USUFFIX='ou=Personen' MSUFFIX='ou=Computer' GIDSTART=10000 UIDSTART=10000 MIDSTART=10000
Erstellen Sie nun die ldapscripts.passwd Datei, um RootDN-Zugriff auf das Verzeichnis zu ermöglichen:
sudo sh -c "echo -n 'secret' > /etc/ldapscripts/ldapscripts.passwd" sudo chmod 400 /etc/ldapscripts/ldapscripts.passwd
Ersetzen Sie „secret“ durch das tatsächliche Passwort für den rootDN-Benutzer Ihrer Datenbank.
Die Skripte sind jetzt bereit, um Sie bei der Verwaltung Ihres Verzeichnisses zu unterstützen. Hier sind einige Beispiele für deren Verwendung:
• Erstellen Sie einen neuen Benutzer:
sudo ldapadduser george Beispiel
Dadurch wird ein Benutzer mit UID erstellt george und setzen Sie die primäre Gruppe (gid) des Benutzers auf Beispiel
• Ändern Sie das Passwort eines Benutzers:
sudo ldapsetpasswd george
Passwort für Benutzer uid=george,ou=People,dc=example,dc=com ändern
Neues Kennwort:
Neues Passwort (bestätigen):
• Einen Benutzer löschen:
sudo ldapdeleteuser george
• Eine Gruppe hinzufügen:
sudo ldapaddgroup qa
• Eine Gruppe löschen:
sudo ldapdeletegroup qa
• Einen Benutzer zu einer Gruppe hinzufügen:
sudo ldapaddusertogroup george qa
Sie sollten jetzt ein sehen Mitglieds-ID Attribut für die qa Gruppe mit einem Wert von george.
• Einen Benutzer aus einer Gruppe entfernen:
sudo ldapdeleteuserfromgroup george qa
Das Mitglieds-ID Das Attribut sollte nun aus dem entfernt werden qa Gruppe.
• Mit dem Skript ldapmodifyuser können Sie die Attribute eines Benutzers hinzufügen, entfernen oder ersetzen. Das Skript verwendet dieselbe Syntax wie das Dienstprogramm ldapmodify. Zum Beispiel:
sudo ldapmodifyuser george
# Bin dabei, den folgenden Eintrag zu ändern: dn: uid=george,ou=People,dc=example,dc=com objectClass: account
objectClass: posixAccount cn: george
uid: george uidNumber: 1001
gidNumber: 1001 homeDirectory: /home/george loginShell: /bin/bash gecos: george
Beschreibung: Benutzerkonto
userPassword:: e1NTSEF9eXFsTFcyWlhwWkF1eGUybVdFWHZKRzJVMjFTSG9vcHk=
# Geben Sie hier Ihre Änderungen ein und schließen Sie mit STRG-D ab. dn: uid=george,ou=People,dc=example,dc=com ersetzen: gecos
gecos: George Carlin
Die des Benutzers gekos sollte nun „George Carlin“ heißen.
• Eine nette Funktion von ldapscripts ist das Vorlagensystem. Mit Vorlagen können Sie die Attribute von Benutzer-, Gruppen- und Maschinenobjekten anpassen. Zum Beispiel, um das zu aktivieren Benutzer Vorlage bearbeiten /etc/ldapscripts/ldapscripts.conf Ändern:
UTEMPLATE="/etc/ldapscripts/ldapadduser.template"
Es gibt Sample Vorlagen in der /usr/share/doc/ldapscripts/examples Verzeichnis. Kopieren oder umbenennen
Datei ldapadduser.template.sample nach /etc/ldapscripts/ldapadduser.template:
sudo cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \
/etc/ldapscripts/ldapdduser.template
Bearbeiten Sie die neue Vorlage, um die gewünschten Attribute hinzuzufügen. Im Folgenden werden neue Benutzer mit der Objektklasse inetOrgPerson erstellt:
dn: uid= , , Objektklasse: inetOrgPerson Objektklasse: posixAccount
cn: SN: uid:
uidNumber: gidNumber: HomeDirectory: loginShell: gecos: Beschreibung: Titel des Benutzerkontos: Mitarbeiter
Beachten Sie die Option, die für die verwendet wird sn Attribut. Dadurch werden Sie von ldapadduser nach dem Wert gefragt.
Das Paket enthält Dienstprogramme, die hier nicht behandelt wurden. Hier ist eine vollständige Liste:
ldaprenamemachine5 ldapadduser6 ldapdeleteuserfromgroup7 Fingerabdruck8
blöd9 ldapgid10 ldapmodifyuser11 ldaprenameuser12 lsldap13
ldapaddusertogroup14 ldapsetpasswd15 ldapinit16 ldapaddgroup17 ldapdeletegroup18
5 http://manpages.ubuntu.com/manpages/en/man1/ldaprenamemachine.1.html
6 http://manpages.ubuntu.com/manpages/en/man1/ldapadduser.1.html
7 http://manpages.ubuntu.com/manpages/en/man1/ldapdeleteuserfromgroup.1.html
8 http://manpages.ubuntu.com/manpages/en/man1/ldapfinger.1.html
9 http://manpages.ubuntu.com/manpages/en/man1/ldapid.1.html
10 http://manpages.ubuntu.com/manpages/en/man1/ldapgid.1.html
11 http://manpages.ubuntu.com/manpages/en/man1/ldapmodifyuser.1.html
12 http://manpages.ubuntu.com/manpages/en/man1/ldaprenameuser.1.html
13 http://manpages.ubuntu.com/manpages/en/man1/lsldap.1.html
14 http://manpages.ubuntu.com/manpages/en/man1/ldapaddusertogroup.1.html
15 http://manpages.ubuntu.com/manpages/en/man1/ldapsetpasswd.1.html
16 http://manpages.ubuntu.com/manpages/en/man1/ldapinit.1.html
17 http://manpages.ubuntu.com/manpages/en/man1/ldapaddgroup.1.html
18 http://manpages.ubuntu.com/manpages/en/man1/ldapdeletegroup.1.html
ldapmodifygroup19 ldapdeletemachine20 ldaprenamegroup21 ldapaddmachine22 ldapmodifymachine23 ldapsetprimarygroup24 ldapdeleteuser25