LPS:IdM/LDAP
Z HelpDesk
< LPS:IdM
LDAP
Instalace:
- popsána v http://home.zcu.cz/~valtri/instalace_ldapu.txt
- naimportovat "kostřičky" (preambule z service/ldap3)
- zarezervovat loginy podle ZCU Exclude Resource Accounts LDAP (ZCU Exclude Resource Accounts LDAP portal)
IdM:
- na IdM třeba CA certifikáty v tomcatím keystore, např.:
cd $JAVA_HOME/jre/lib/security keytool -list -v -keystore ./cacerts -storepass changeit keytool -import -file /etc/ldap/security/zcu-ca.crt -trustcacerts -keystore ./cacerts -storepass changeit keytool -list -v -keystore ./cacerts -storepass changeit
- všechny ostatní CA jsem z toho keystore vydusil
Data
Viz také Uživatel:Borik/LDAP.
Bacha: povolování některých atributů by mělo být podle celých objectClass předpisů...
| SLUŽBA | ODKUD | CO | SSL, GSSAPI |
|---|---|---|---|
| SafeQ [obal] | tisk.civ.zcu.cz (TODO) | uidNumber, gidNumber, sqDepartment, memberUid | ano (aktuálně simpleauth, SafeQAdministrator) |
| WebKDC [indy] | webs.zcu.cz, webz.zcu.cz | memberUid (memberof?) | ano |
| Grouper [ISS,aragorn] | aeneas.civ.zcu.cz |
admin konta: uid=*_adm |
ano (aktualne simpleauth, SafeQAdministrator) |
| kalendář [wimmer] | webmail.zcu.cz |
jméno/heslo: po SSL, potřeba pro některé klienty |
ano (aktuálně simpleauth, harryp, sogo) |
| klienti pošty | (všichni) | jméno, email | ne (SSL můžem požadovat, GSSAPI asi ne) |
| IPT [petrovic] | ZČU telefony | údaje do adresáře | ne (TODO: ověřit) |
| IS [knykles] | ZČU IS stroje | jméno, login (TODO: objectClass?) | anonymně |
| Weby FEK [eckhardt] | webs.zcu.cz, webz.zcu.cz | jméno, příjmení, telefony podle loginu/emailu | ? |
| Weby | ? | primární telefon | anonymně |
TODO:
- nástroj na chroustání logů rozdělit na LDAP/LDAP portál
- analýza i podle jednotlivých atributů (a jak na '*')
- SSL/neSSL, ZČU/neZČU
překopat tuhle wiki (místo položky/identity/systémy asi nějaký seznam řádků...)
