<Précédent | Table des matières | Suivant>
1.11. Gestion des utilisateurs et des groupes
Le package ldap-utils est fourni avec suffisamment d'utilitaires pour gérer le répertoire, mais la longue chaîne d'options nécessaires peut les rendre difficiles à utiliser. Le package ldapscripts contient des scripts wrapper pour ces utilitaires que certaines personnes trouvent plus faciles à utiliser.
Installez le paquet :
sudo apt installer ldapscripts
Puis modifiez le fichier /etc/ldapscripts/ldapscripts.conf pour arriver à quelque chose de similaire à ce qui suit :
SERVER=localhost BINDDN='cn=admin,dc=example,dc=com' BINDPWDFILE="/etc/ldapscripts/ldapscripts.passwd" SUFFIX='dc=example,dc=com'
GSUFFIX='ou=Groupes' USUFFIX='ou=Personnes' MSUFFIX='ou=Ordinateurs' GIDSTART=10000 UIDSTART=10000 MIDSTART=10000
Maintenant, créez le ldapscripts.passwd fichier pour autoriser l'accès rootDN au répertoire :
sudo sh -c "echo -n 'secret' > /etc/ldapscripts/ldapscripts.passwd" sudo chmod 400 /etc/ldapscripts/ldapscripts.passwd
Remplacez « secret » par le mot de passe réel de l'utilisateur rootDN de votre base de données.
Les scripts sont maintenant prêts à vous aider à gérer votre répertoire. Voici quelques exemples d'utilisation :
• Créer un nouvel utilisateur :
exemple sudo ldapadduser george
Cela créera un utilisateur avec uid george et définissez le groupe principal de l'utilisateur (gid) sur exemple
• Modifier le mot de passe d'un utilisateur :
sudo ldapsetpasswd george
Modification du mot de passe de l'utilisateur uid=george,ou=People,dc=example,dc=com
Nouveau mot de passe:
Nouveau mot de passe (vérifier) :
• Supprimer un utilisateur :
sudo ldapdeleteuser george
• Ajouter un groupe :
sudo ldapaddgroup qa
• Supprimer un groupe :
sudo ldapdeletegroup qa
• Ajouter un utilisateur à un groupe :
sudo ldapaddusertogroup george qa
Vous devriez maintenant voir un id_membre attribut pour le qa groupe avec une valeur de george.
• Supprimer un utilisateur d'un groupe :
sudo ldapdeleteuserfromgroup george qa
La id_membre L'attribut doit maintenant être supprimé de la qa groupe.
• Le script ldapmodifyuser vous permet d'ajouter, de supprimer ou de remplacer les attributs d'un utilisateur. Le script utilise la même syntaxe que l'utilitaire ldapmodify. Par exemple:
sudo ldapmodifyuser george
# Sur le point de modifier l'entrée suivante : dn: uid=george,ou=People,dc=example,dc=com objectClass: account
objectClass : posixAccount cn : george
uid : george uidNumber : 1001
gidNumber : 1001 homeDirectory : /home/george loginShell : /bin/bash gecos : george
description : compte utilisateur
userPassword :: e1NTSEF9eXFsTFcyWlhwWkF1eGUybVdFWHZKRzJVMjFTSG9vcHk=
# Entrez vos modifications ici, terminez par CTRL-D. dn : uid=george,ou=Personnes,dc=exemple,dc=com remplacer: gecos
gecos : George Carlin
Les utilisateurs gécos devrait maintenant être "George Carlin".
• Une fonctionnalité intéressante de ldapscripts est le système de modèles. Les modèles vous permettent de personnaliser les attributs des objets utilisateur, groupe et machine. Par exemple, pour activer le utilisateur modifier le modèle /etc/ldapscripts/ldapscripts.conf en changeant:
UTEMPLATE="/etc/ldapscripts/ldapadduser.template"
Il y a échantillon modèles dans le /usr/share/doc/ldapscripts/exemples annuaire. Copiez ou renommez le
ldapadduser.template.sample dans /etc/ldapscripts/ldapadduser.template :
sudo cp /usr/share/doc/ldapscripts/examples/ldapadduser.template.sample \
/etc/ldapscripts/ldapdduser.template
Modifiez le nouveau modèle pour ajouter les attributs souhaités. Ce qui suit va créer de nouveaux utilisateurs avec un objectClass de inetOrgPerson :
dn : uid= , , objectClass : inetOrgPerson objectClass : posixAccount
cn : sn : uid :
uidNumber : gidNumber : Répertoire d'accueil : loginShell : gecos : description : Titre du compte utilisateur : Employé
Notez le option utilisée pour le sn attribut. Cela obligera ldapadduser à vous demander sa valeur.
Il y a des utilitaires dans le package qui n'ont pas été traités ici. Voici une liste complète :
ldaprénommachine5 ldapadduser6 ldapdeletuserfromgroup7 ldapdoigt8
ldapide9 ldapgid10 ldapmodifyuser11 ldaprenameuser12 lsldap13
ldapaddusertogroup14 ldapsetpasswd15 ldapinit16 ldapaddgroup17 ldapdeletegroup18
5 http://manpages.ubuntu.com/manpages/en/man1/ldaprenamemachine.1.html
6 http://manpages.ubuntu.com/manpages/en/man1/ldapadduser.1.html
7 http://manpages.ubuntu.com/manpages/en/man1/ldapdeleteuserfromgroup.1.html
8 http://manpages.ubuntu.com/manpages/en/man1/ldapfinger.1.html
9 http://manpages.ubuntu.com/manpages/en/man1/ldapid.1.html
10 http://manpages.ubuntu.com/manpages/en/man1/ldapgid.1.html
11 http://manpages.ubuntu.com/manpages/en/man1/ldapmodifyuser.1.html
12 http://manpages.ubuntu.com/manpages/en/man1/ldaprenameuser.1.html
13 http://manpages.ubuntu.com/manpages/en/man1/lsldap.1.html
14 http://manpages.ubuntu.com/manpages/en/man1/ldapaddusertogroup.1.html
15 http://manpages.ubuntu.com/manpages/en/man1/ldapsetpasswd.1.html
16 http://manpages.ubuntu.com/manpages/en/man1/ldapinit.1.html
17 http://manpages.ubuntu.com/manpages/en/man1/ldapaddgroup.1.html
18 http://manpages.ubuntu.com/manpages/en/man1/ldapdeletegroup.1.html
ldapmodifiergroupe19 ldapdeletemachine20 ldaprénomgroupe21 ldapaddmachine22 ldapmodifymachine23 ldapsetgroupeprimaire24 ldapdeleteuse25