la_vecchia_wiki_moinmoin/Come_aggiungere_un_utente_ad_LDAP.html

86 lines
22 KiB
HTML
Raw Permalink Normal View History

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=utf-8">
<title>Come aggiungere un utente ad LDAP</title>
<link rel="stylesheet" type="text/css" media="all" charset="utf-8" href="acaro/css/common.css">
<link rel="stylesheet" type="text/css" media="screen" charset="utf-8" href="acaro/css/screen.css">
<link rel="stylesheet" type="text/css" media="print" charset="utf-8" href="acaro/css/print.css">
<style type="text/css">
ul.pagetitle{
display: inline;
margin: 0;
padding: 0;
font-size: 1.5em;
}
li.pagetitle{
display: inline;
margin: 0;
}
td.noborder {
border: 0;
}
</style>
</head>
<body>
<table>
<tr>
<td class="noborder">
<img src="logo.png" width="85" height="85">
</td>
<td class="noborder">
<ul class="pagetitle">
<li class="pagetitle"><a class="backlink">Come aggiungere un utente ad LDAP</a>
</ul>
<br><br>
[<a href="FrontPage.html">FrontPage</a>]
</td>
</tr>
</table>
<hr>
<div id="page">
<div dir="ltr" id="content" lang="en"><span class="anchor" id="top"></span>
<span class="anchor" id="line-1-8"></span><p class="line867">
<h1 id="Gestione_utenze_e_permessi_in_LDAP">Gestione utenze e permessi in LDAP</h1>
<span class="anchor" id="line-2-5"></span><span class="anchor" id="line-3-2"></span><span class="anchor" id="line-4-2"></span><p class="line867">
<h2 id="Usando_Phi">Usando Phi</h2>
<span class="anchor" id="line-5-2"></span><span class="anchor" id="line-6-1"></span><p class="line874">Non è ancora completo ma per ora offre un'interfaccia a linea di comando testata e funzionante. <span class="anchor" id="line-7-1"></span><span class="anchor" id="line-8-1"></span><p class="line874">Se invece preferisci continuare ad usare un'interfaccia grafica leggi sotto. <span class="anchor" id="line-9-1"></span><span class="anchor" id="line-10-1"></span><p class="line867">
<h3 id="Tunnel_SSH">Tunnel SSH</h3>
<span class="anchor" id="line-11-1"></span><span class="anchor" id="line-12"></span><p class="line874">Siccome LDAP non è esposto pubblicamente su Internet occorre accedervi da localhost tramite un tunnel SSH <span class="anchor" id="line-13"></span><span class="anchor" id="line-14"></span><p class="line867"><span class="anchor" id="line-15"></span><span class="anchor" id="line-16"></span><pre><span class="anchor" id="line-1"></span>ssh -L 10389:localhost:389 mio_utente@zaphoda.unit -N -f</pre><span class="anchor" id="line-17"></span><span class="anchor" id="line-18"></span><p class="line862">In questo modo LDAP sarà accessibile in locale sulla porta <tt>10389</tt> <span class="anchor" id="line-19"></span><span class="anchor" id="line-20"></span><p class="line867"><strong>TODO:</strong> Altra pagina della wiki su come configurare ssh per accedere al server nuovo <span class="anchor" id="line-21"></span><span class="anchor" id="line-22"></span><p class="line867">
<h3 id="Installazione">Installazione</h3>
<span class="anchor" id="line-23"></span><span class="anchor" id="line-24"></span><p class="line862">Scarica Phi dal relativo <a class="https" href="https://git.abbiamoundominio.org/unit/phi">repository git</a>: <span class="anchor" id="line-25"></span><span class="anchor" id="line-26"></span><p class="line867"><span class="anchor" id="line-27"></span><span class="anchor" id="line-28"></span><span class="anchor" id="line-29"></span><pre><span class="anchor" id="line-1-1"></span>git clone https://git.abbiamoundominio.org/unit/phi
<span class="anchor" id="line-2"></span>cd phi</pre><span class="anchor" id="line-30"></span><span class="anchor" id="line-31"></span><p class="line874">Crea un virtual environment (opzionale) <span class="anchor" id="line-32"></span><span class="anchor" id="line-33"></span><p class="line867"><span class="anchor" id="line-34"></span><span class="anchor" id="line-35"></span><span class="anchor" id="line-36"></span><pre><span class="anchor" id="line-1-2"></span>virtualenv --python=/usr/bin/python3 env
<span class="anchor" id="line-2-1"></span>source env/bin/activate</pre><span class="anchor" id="line-37"></span><span class="anchor" id="line-38"></span><p class="line874">E lancia il setup vero e proprio (se non stai usando il virtual environment assicurarti di lanciarlo con python3) <span class="anchor" id="line-39"></span><span class="anchor" id="line-40"></span><p class="line867"><span class="anchor" id="line-41"></span><span class="anchor" id="line-42"></span><pre><span class="anchor" id="line-1-3"></span>python setup.py install</pre><span class="anchor" id="line-43"></span><span class="anchor" id="line-44"></span><p class="line867">
<h3 id="Configurazione">Configurazione</h3>
<span class="anchor" id="line-45"></span><span class="anchor" id="line-46"></span><p class="line862">Apri il file <tt>real.yml</tt> con un editor di testo e cambia il campo <tt>port</tt> in <tt>10389</tt> e quello <tt>password</tt> con la password di root di LDAP <span class="anchor" id="line-47"></span><span class="anchor" id="line-48"></span><span class="anchor" id="line-49"></span><p class="line867"><span class="anchor" id="line-50"></span><span class="anchor" id="line-51"></span><span class="anchor" id="line-52"></span><span class="anchor" id="line-53"></span><span class="anchor" id="line-54"></span><span class="anchor" id="line-55"></span><span class="anchor" id="line-56"></span><span class="anchor" id="line-57"></span><span class="anchor" id="line-58"></span><span class="anchor" id="line-59"></span><span class="anchor" id="line-60"></span><span class="anchor" id="line-61"></span><pre><span class="anchor" id="line-1-4"></span>ldap:
<span class="anchor" id="line-2-2"></span> host: localhost
<span class="anchor" id="line-3"></span> port: 10389
<span class="anchor" id="line-4"></span>
<span class="anchor" id="line-5"></span> encryption: TLSv1.2 # Can either be None or TLSv1.2. Default: None
<span class="anchor" id="line-6"></span> ciphers: "HIGH"
<span class="anchor" id="line-7"></span>
<span class="anchor" id="line-8"></span> username: cn=root,dc=unit,dc=macaomilano,dc=org
<span class="anchor" id="line-9"></span> password: la_mia_password_di_root
<span class="anchor" id="line-10"></span>
<span class="anchor" id="line-11"></span> base_dn: dc=unit,dc=macaomilano,dc=org</pre><span class="anchor" id="line-62"></span><span class="anchor" id="line-63"></span><p class="line867">
<h3 id="Utilizzo">Utilizzo</h3>
<span class="anchor" id="line-64"></span><span class="anchor" id="line-65"></span><p class="line874">Creare un nuovo utente: <span class="anchor" id="line-66"></span><span class="anchor" id="line-67"></span><p class="line867"><span class="anchor" id="line-68"></span><span class="anchor" id="line-69"></span><pre><span class="anchor" id="line-1-5"></span>src/phicli adduser luther_blisset</pre><span class="anchor" id="line-70"></span><span class="anchor" id="line-71"></span><p class="line874">Verranno chiesti diversi campi, premendo invio vengono lasciati i valori di default <span class="anchor" id="line-72"></span><span class="anchor" id="line-73"></span><p class="line867"><span class="anchor" id="line-74"></span><span class="anchor" id="line-75"></span><span class="anchor" id="line-76"></span><span class="anchor" id="line-77"></span><span class="anchor" id="line-78"></span><span class="anchor" id="line-79"></span><pre><span class="anchor" id="line-1-6"></span>Common name: [luther_blisset] Luther
<span class="anchor" id="line-2-3"></span>Last name: [luther_blisset] Blisset
<span class="anchor" id="line-3-1"></span>Mail: [luther_blisset@localhost] luther_blisset@autisitci.org
<span class="anchor" id="line-4-1"></span>Password:
<span class="anchor" id="line-5-1"></span>Retype password: </pre><span class="anchor" id="line-80"></span><span class="anchor" id="line-81"></span><p class="line874">Aggiungerlo ai gruppi Wiki e Git: <span class="anchor" id="line-82"></span><span class="anchor" id="line-83"></span><p class="line867"><span class="anchor" id="line-84"></span><span class="anchor" id="line-85"></span><span class="anchor" id="line-86"></span><pre><span class="anchor" id="line-1-7"></span>src/phicli addtogroup luther_blisset WikiUsers
<span class="anchor" id="line-2-4"></span>src/phicli addtogroup luther_blisset GitUsers</pre><span class="anchor" id="line-87"></span><span class="anchor" id="line-88"></span><span class="anchor" id="line-89"></span><p class="line874">E abbiamo finito. <span class="anchor" id="line-90"></span><span class="anchor" id="line-91"></span><span class="anchor" id="line-92"></span><p class="line867">
<h2 id="Usando_Apache_Directory_Studio_.28vecchio_metodo.29">Usando Apache Directory Studio (vecchio metodo)</h2>
<span class="anchor" id="line-93"></span><span class="anchor" id="line-94"></span><p class="line874">I servizi offerti da zaphoda sono tutti linkati ad un'unico LDAP, presente sulla macchina stessa. <span class="anchor" id="line-95"></span>In attesa che <a class="https" href="https://git.abbiamoundominio.org/unit/phi">phi</a> sia completo, e renda quindi più semplice la gestione delle utenze, possiamo operare a mano. <span class="anchor" id="line-96"></span><span class="anchor" id="line-97"></span><p class="line862">Io non sono riuscito a far funzionare correttamente <tt>ldapvi</tt> (editor di ldap simile a <tt>vi</tt>), e ricorro quindi ad una applicazione ad interfaccia grafica: <a class="https" href="https://directory.apache.org/studio/">ApacheDirectoryStudio</a> <span class="anchor" id="line-98"></span><span class="anchor" id="line-99"></span><p class="line874">Per installarlo su debian: <span class="anchor" id="line-100"></span><span class="anchor" id="line-101"></span><p class="line867"><tt>sudo&nbsp;apt&nbsp;install&nbsp;apacheds</tt> <span class="anchor" id="line-102"></span><span class="anchor" id="line-103"></span><p class="line874">Per usarlo, dato che LDAP è bindato solo in localhost, bisogna fare un forward locale con ssh. Io uso localmente la porta 10389 per parlare alla 389 (porta di LDAP) su localhost di zaphoda: <span class="anchor" id="line-104"></span><span class="anchor" id="line-105"></span><p class="line867"><tt>ssh&nbsp;-L&nbsp;10389:localhost:389&nbsp;mio_utente@abbiamoundominio.org&nbsp;-N&nbsp;-f</tt> <span class="anchor" id="line-106"></span><span class="anchor" id="line-107"></span><span class="anchor" id="line-108"></span><p class="line862">Si possono omettere <tt>-N&nbsp;-f</tt>, e il processo ssh non andrà in background. <span class="anchor" id="line-109"></span><span class="anchor" id="line-110"></span><span class="anchor" id="line-111"></span><p class="line862">Possiamo adesso usare <a class="nonexistent" href="./ApacheDirectoryStudio.html">ApacheDirectoryStudio</a> parlando con ldap sul nostro <tt>localhost:10389</tt>. <span class="anchor" id="line-112"></span><span class="anchor" id="line-113"></span><p class="line867">
<h3 id="Configurazione_ApacheDirectoryStudio">Configurazione ApacheDirectoryStudio</h3>
<span class="anchor" id="line-114"></span><span class="anchor" id="line-115"></span><p class="line862">Dal menu in alto a sinistra, andiamo su File &gt; New <span class="anchor" id="line-116"></span><span class="anchor" id="line-117"></span><p class="line867"><img alt="Main menu" class="attachment" src="attachments/Come_aggiungere_un_utente_ad_LDAP/01-menu.png" title="Main menu" /> <span class="anchor" id="line-118"></span><span class="anchor" id="line-119"></span><p class="line862">Selezioniamo LDAP Browser &gt; LDAP Connection <span class="anchor" id="line-120"></span><span class="anchor" id="line-121"></span><p class="line867"><img alt="Creiamo una nuova connessione LDAP" class="attachment" src="attachments/Come_aggiungere_un_utente_ad_LDAP/02-new_menu.png" title="Creiamo una nuova connessione LDAP" /> <span class="anchor" id="line-122"></span><span class="anchor" id="line-123"></span><p class="line862">Chiamiamo la connessione come vogliamo, ad esempio <tt>zaphoda-localhost</tt> e specifichiamo i seguenti parametri di connessione: <span class="anchor" id="line-124"></span><span class="anchor" id="line-125"></span><p class="line867"><tt>Hostname:&nbsp;locahost</tt> <span class="anchor" id="line-126"></span><span class="anchor" id="line-127"></span><p class="line867"><tt>Port:&nbsp;10389</tt> (o la porta su cui scegliamo di fare il bind locale nel passo precedente di ssh) <span class="anchor" id="line-128"></span><span class="anchor" id="line-129"></span><p class="line867"><tt>Encryption&nbsp;method:&nbsp;Use&nbsp;StartTLS&nbsp;extension</tt> <span class="anchor" id="line-130"></span><span class="anchor" id="line-131"></span><span class="anchor" id="line-132"></span><p class="line867"><img alt="Parametri di connesione" class="attachment" src="attachments/Come_aggiungere_un_utente_ad_LDAP/03-new_ldap_conn.png" title="Parametri di connesione" /> <span class="anchor" id="line-133"></span><span class="anchor" id="line-134"></span><p class="line862">Clicchiamo Next e andiamo al pannello di inserimento delle credenziali del'utente root (<strong>quindi facciamo attenzione</strong>) <span class="anchor" id="line-135"></span><span class="anchor" id="line-136"></span><p class="line867"><tt>User:&nbsp;cn=root,dc=unit,dc=macaomilano,dc=org</tt> (Nell'immagine l'utente è diverso <img alt=":D" height="16" src="/moin_static1911/acaro/img/biggrin.png" title=":D" width="16" /> ) <span class="anchor" id="line-137"></span><span class="anchor" id="line-138"></span><p class="line867"><tt>Password:&nbsp;***************************************</tt> <span class="anchor" id="line-139"></span><span class="anchor" id="line-140"></span><p class="line867"><img alt="Credenziali di connessione" class="attachment" src="attachments/Come_aggiungere_un_utente_ad_LDAP/04-new_ldap_conn_creds.png" title="Credenziali di connessione" /> <span class="anchor" id="line-141"></span><span class="anchor" id="line-142"></span><p class="line862">Clicchiamo su Finish. A questo punto nel pannello in basso a sinistra dovremmo vedere la nostra connessione LDAP creata con nome <tt>zaphoda-localhost</tt>. Doppio click e ci connettiamo. Se appaiono errori di certificato TLS è abbastanza normale perché LDAP presenta un certificato TLS per un nome diverso da <tt>localhost</tt>. Continuiamo e dovremmo ottenere questa lista nel pannello di sinistra in alto: <span class="anchor" id="line-143"></span><span class="anchor" id="line-144"></span><p class="line867"><img alt="Lista di utenti e gruppi" class="attachment" src="attachments/Come_aggiungere_un_utente_ad_LDAP/05-left_view.png" title="Lista di utenti e gruppi" /> <span class="anchor" id="line-145"></span><span class="anchor" id="line-146"></span><p class="line867">
<h3 id="Aggiunta_utente">Aggiunta utente</h3>
<span class="anchor" id="line-147"></span><span class="anchor" id="line-148"></span><p class="line862">Aprendo la voce <tt>ou=Hackers</tt> possiamo vedere la lista utenti già esistenti. <span class="anchor" id="line-149"></span><span class="anchor" id="line-150"></span><p class="line867"><img alt="Lista degli utenti" class="attachment" src="attachments/Come_aggiungere_un_utente_ad_LDAP/07-user_list.png" title="Lista degli utenti" /> <span class="anchor" id="line-151"></span><span class="anchor" id="line-152"></span><p class="line874">Ogni utente è una voce LDAP con i seguenti campi: <span class="anchor" id="line-153"></span><span class="anchor" id="line-154"></span><p class="line867"><img alt="I campi LDAP di un utente" class="attachment" src="attachments/Come_aggiungere_un_utente_ad_LDAP/08-user_fields.png" title="I campi LDAP di un utente" /> <span class="anchor" id="line-155"></span><span class="anchor" id="line-156"></span><p class="line874">Quelli in grasseto identificano il tipo di entry LDAP <span class="anchor" id="line-157"></span><span class="anchor" id="line-158"></span><ul><li><p class="line891"><tt>inetOrgPerson</tt> <span class="anchor" id="line-159"></span></li><li><p class="line891"><tt>organizationalPerson</tt> <span class="anchor" id="line-160"></span></li><li><p class="line891"><tt>person</tt> <span class="anchor" id="line-161"></span></li><li><p class="line891"><tt>top</tt> <span class="anchor" id="line-162"></span><span class="anchor" id="line-163"></span></li></ul><p class="line874">e sono attributi che hanno un'utilità interna allo schema LDAP che stiamo usando. <span class="anchor" id="line-164"></span>I seguenti sono attributi qualificanti per l'utente: <span class="anchor" id="line-165"></span><span class="anchor" id="line-166"></span><ul><li><p class="line891"><tt>cn</tt> <span class="anchor" id="line-167"></span></li><li><p class="line891"><tt>sn</tt> <span class="anchor" id="line-168"></span></li><li><p class="line891"><tt>mail</tt> <span class="anchor" id="line-169"></span></li><li><p class="line891"><tt>uid</tt> <span class="anchor" id="line-170"></span></li><li><p class="line891"><tt>userPassword</tt> <span class="anchor" id="line-171"></span><span class="anchor" id="line-172"></span></li></ul><p class="line862">Solitamente, <tt>cn</tt>, <tt>sn</tt> e <tt>uid</tt> hanno lo stesso valore, ma il campo <em>importante</em> è <tt>uid</tt>. <span class="anchor" id="line-173"></span><span class="anchor" id="line-174"></span><p class="line862">Per aggiungere qualcun* possiamo cliccare su <tt>ou=Hackers</tt> col tasto destro e selezionare "New Entry". <span class="anchor" id="line-175"></span><span class="anchor" id="line-176"></span><p class="line867"><img alt="Nuovo utente" class="attachment" src="attachments/Come_aggiungere_un_utente_ad_LDAP/06-new_user.png" title="Nuovo utente" /> <span class="anchor" id="line-177"></span><img alt="Scegliamo il template" class="attachment" src="attachments/Come_aggiungere_un_utente_ad_LDAP/09-new_user_from_template_base.png" title="Scegliamo il template" /> <span class="anchor" id="line-178"></span><span class="anchor" id="line-179"></span><p class="line874">Dobbiamo aggiungere tutti i campi elencati in grassetto sopra. <span class="anchor" id="line-180"></span><span class="anchor" id="line-181"></span><p class="line874">In alternativa possiamo clonare un utente e modicare i suoi dati. <span class="anchor" id="line-182"></span><span class="anchor" id="line-183"></span><p class="line867"><img alt="Usiamo un utente esistente per crearne uno nuovo" class="attachment" src="attachments/Come_aggiungere_un_utente_ad_LDAP/10-new_user_from_template_from_existing_user.png" title="Usiamo un utente esistente per crearne uno nuovo" /> <span class="anchor" id="line-184"></span><span class="anchor" id="line-185"></span><p class="line874">In questo caso avremo la lista di campi necessari a LDAP già popolata <span class="anchor" id="line-186"></span><span class="anchor" id="line-187"></span><p class="line867"><img alt="La lista di campi" class="attachment" src="attachment
<h3 id="Aggiunta_ai_gruppi">Aggiunta ai gruppi</h3>
<span class="anchor" id="line-203"></span><span class="anchor" id="line-204"></span><p class="line874">A questo punto possiamo aggiungere il nostro utente ai gruppi. Ci sono 5 gruppi esistenti. <span class="anchor" id="line-205"></span><span class="anchor" id="line-206"></span><p class="line867"><img alt="I gruppi su zaphoda" class="attachment" src="attachments/Come_aggiungere_un_utente_ad_LDAP/13-groups_list.png" title="I gruppi su zaphoda" /> <span class="anchor" id="line-207"></span><span class="anchor" id="line-208"></span><p class="line874">Quelli di interesse sono <span class="anchor" id="line-209"></span><span class="anchor" id="line-210"></span><ul><li><p class="line891"><tt>GitUsers</tt> per accedere a git.abbiamoundominio.org <span class="anchor" id="line-211"></span></li><li><p class="line891"><tt>IRCUsers</tt> per usare il quasselcore di abbiamoundominio.org <span class="anchor" id="line-212"></span></li><li><p class="line891"><tt>WikiUsers</tt> per avere accesso in scrittura a questa wiki <span class="anchor" id="line-213"></span><span class="anchor" id="line-214"></span></li></ul><p class="line874">Per aggiungere un utente ad un gruppo, selezioniamo il gruppo in questione <span class="anchor" id="line-215"></span><span class="anchor" id="line-216"></span><p class="line867"><img alt="Gli utenti nel gruppo WikiUsers" class="attachment" src="attachments/Come_aggiungere_un_utente_ad_LDAP/14-users_in_group.png" title="Gli utenti nel gruppo WikiUsers" /> <span class="anchor" id="line-217"></span><span class="anchor" id="line-218"></span><p class="line862">Tasto destro su members &gt; New Value e aggiungiamo la stringa che identifica il nostro utente. Ad esempio <span class="anchor" id="line-219"></span><span class="anchor" id="line-220"></span><p class="line867"><tt>uid=pinco,dc=unit,dc=macaomilano,dc=org</tt> <span class="anchor" id="line-221"></span><span class="anchor" id="line-222"></span><p class="line874">E abbiamo finito. <span class="anchor" id="line-223"></span><span class="anchor" id="bottom"></span></div>
</div>
<hr>
Ultimo cambiamento: 12-10-2020
</body>
</html>