3 votes

Pavel Binar avatar

Comment configurer un serveur ldap sur ubuntu 11.04 ? (pour une utilisation avec subversion et trac)

Demandé el 3 de Mai, 2011
Quand la question a-t-elle été
3247 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai un serveur Ubuntu 11.04 sur ec2 (je mentionne ceci, car il semble que les choses aient changé dans cette version par rapport aux versions précédentes d'ubuntu, en ce qui concerne la configuration LDAP).

Je veux le configurer comme un serveur subversion avec trac, pour des dépôts privés (c'est-à-dire qu'un utilisateur doit avoir un nom d'utilisateur:mot de passe et des privilèges pour voir ou commit à svn, et pour voir ou faire des changements dans trac).

Comme je voulais m'assurer qu'il est sécurisé, j'ai d'abord choisi l'option svn+ssh, ce qui signifie que je dois créer un utilisateur linux pour chaque personne qui a besoin d'accéder à svn. Mais je n'ai pas trouvé de moyen d'utiliser les mêmes utilisateurs pour trac - ce qui signifie que je devrai créer manuellement un utilisateur dans trac pour chaque utilisateur que je crée dans la machine linux, et cela pourrait conduire à des mots de passe différents entre svn et trac - en bref : un désordre.

J'ai donc décidé d'implémenter un serveur openldap, qui donnera la possibilité d'utiliser les utilisateurs ldap pour d'autres fonctionnalités dans le futur.

Le seul guide que j'ai trouvé et qui a fonctionné pour la configuration de la partie openldap, est le suivant celui-ci (" Le Guide ").

Cependant quand je suis arrivé à la partie kerberos - j'ai eu quelques questions auxquelles je ne savais pas comment répondre, et puis j'ai eu des erreurs, donc pas de kerberos.

Quelques notes :

  • Le serveur sera finalement quelque chose comme svn.myserver.com . Cependant, il n'y a pas encore d'enregistrement DNS pour lui.

  • En tenant compte de la note précédente, j'ai utilisé la fonction svn.myserver.com lors de la configuration de openldap comme indiqué dans le guide ci-dessus (je n'ai pas fait les deux premières parties du guide, j'ai donc dû exécuter le programme sudo dpkg-reconfigure slapd pour reconfigurer, et a utilisé dc=svn,dc=myserver,dc=com partout au lieu de dc=danbishop,dc=org o svn.myserver.com au lieu de danbishop.org ).

  • Dans la partie kerberos de le guide lors de l'exécution du programme sudo apt-get install krb5-kdc krb5-admin-server on m'a posé la question suivante :

    • Le royaume - J'ai écrit SVN.MYSERVER.COM
    • Quelque chose à propos des serveurs - J'ai écrit localhost
    • Quelque chose à propos du serveur administrateur - j'ai écrit localhost

    Quand les questions ont été terminées, et qu'il a continué à configurer kerberos, il y a eu quelques File or directory not found erreurs, et un an error has occured, see log type de message. Cependant, je n'ai pas trouvé de fichier journal.

Il y a peut-être une meilleure façon de faire, et il y a peut-être une autre solution pour obtenir ce que je veux (gestion unifiée des utilisateurs pour svn, trac et d'autres applications futures), mais puisque les fonctionnalités de svn et de suivi des bogues sont censées survivre longtemps, et ne pas poser de problèmes, il est important pour moi de choisir la bonne solution, et de la configurer de la bonne façon (il y a plus d'une bonne façon, j'en suis sûr, mais je ne veux pas choisir une mauvaise façon).

Je voudrais vraiment J'aimerais avoir de l'aide à ce sujet, car cela fait quelques jours que je m'acharne sur ce problème et j'ai l'impression de perdre du temps.

Demandé el 3 de Mai, 2011 par Pavel Binar

Réponses

Trop de publicités?

0voto

Sven avatar
Sven Points 95985

Un conseil pour Kerberos : vous devez configurer correctement votre DNS avant de configurer Kerberos, sinon vous risquez de rencontrer toutes sortes de problèmes. Créez donc d'abord les entrées DNS appropriées et ne continuez pas avant que cela ne soit fait.

Cela dit, je ne pense pas vraiment que Kerberos soit nécessaire dans votre cas. C'est toujours une chose notoirement compliquée à faire fonctionner correctement et je ne pense pas que le résultat en vaille la peine. Principalement, il est utile pour fournir une solution de signature unique, donc si vous le faites bien, vous vous connectez à votre compte utilisateur (système) et "magiquement" tous les services kerberisés fonctionneront sans connexion.

Ainsi, si vous configurez votre système pour vous authentifier auprès de LDAP via PAM et que vous faites de même pour Trac, tout devrait bien se passer.

Répondu el 3 de Mai, 2011 par Sven (95985 Points )

0voto

Neon Dolphin avatar
Neon Dolphin Points 21

J'utiliserais likewise-open pour joindre le domaine et confier le kerberos. et ajouter dans le dav_svn.conf utiliser

  <Location /svn>
    DAV svn
    SVNParentPath /srv/svn
    AuthzSVNAccessFile /etc/subversion/svn.conf
    SVNPathAuthz off
    Require valid-user
    AuthName "Domain Login"
    AuthType Kerberos
    KrbMethodNegotiate off
    KrbSaveCredentials off
    KrbVerifyKDC off

dans le svn.conf ajoutez les utilisateurs que vous voulez avoir des droits sur les dépôts. Attention, mettez le nom de domaine en majuscule comme user1@DOMAIN.LOCAL. kerberos le veut comme ça

Répondu el 3 de Mai, 2011 par Neon Dolphin (21 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X