В проекте мне нужно использовать базу данных пользователей, которая хранится на LDAP на основе Mac Server, чтобы создать почтовый сервер с использованием postfix + courier и самбы. Можете ли вы сказать мне, сделал ли кто-нибудь это или это возможно (теоретически должно быть). Если вы мне подскажете, я буду вам благодарен до конца своих дней :)
заранее спасибо
Кажется, что постфикс, Курьер, и Самба все поддерживают извлечение информации о пользователе из LDAP.
Вам необходимо знать базу поиска LDAP сервера OS X (вы можете найти ее в Server Admin -> Модуль Open Directory на боковой панели -> Обзор на панели инструментов) - обычно это полное доменное имя сервера в LDAPspeak. (например, macserver.example.com будет dc = macserver, dc = example, dc = com); учетные записи пользователей будут находиться в cn = users, searchbase (например, cn = users, dc = macserver, dc = example, dc = com).
Сопоставление атрибутов пользователя должно быть довольно простым, поскольку OS X следует стандарту unix (RFC 2307). Если вам действительно нужно посмотреть на атрибуты LDAP пользователя, чтобы выяснить, как настроить службы, используйте Workgroup Manager, включите его вкладку «Все записи» и инспектор в настройках приложения (это настройки в меню Workgroup Manager, а не Вкладка настроек на панели инструментов); включив этот параметр, выберите пользователя, затем выберите вкладку «Инспектор» справа и найдите атрибуты «Собственный» (также известный как dsAttrTypeNative), чтобы увидеть, как записи пользователей хранятся в LDAP (примечание: вы можете немного упростить представление, щелкнув кнопку «Параметры» и отключив все, кроме «Показывать собственные атрибуты»).
Самая большая проблема, с которой вы, вероятно, столкнетесь, заключается в том, что по умолчанию OS X Open Directory не хранит пароли пользователей в «стандартной» форме (форма шифрования unix в записи пользователя в LDAP), поэтому у вас могут возникнуть проблемы с настройкой Courier и Samba для проверки паролей пользователей. OD обычно аутентифицирует пользователей через Kerberos или сервер паролей на основе SASL. Если вы можете понять, как настроить Kerberos (и клиентское программное обеспечение / конфигурация его поддерживает), вы в хорошей форме. Я сомневаюсь, что Courier или Samba знают, как пройти аутентификацию с помощью службы паролей, но я могу ошибаться (и если да, то я хотел бы знать об этом - пожалуйста, оставьте комментарий с указателем на дополнительную информацию!).
Если ни один из них не возможен, другой вариант - настроить сервер для аутентификации через привязку LDAP (т.е. они проверяют пароли пользователей, пытаясь использовать пароль для аутентификации соединения LDAP с сервером OD) - по возможности избегайте этого, потому что это 'потребовал бы, чтобы пароли отправлялись в виде открытого текста как с клиента на сервер Linux, так и с сервера Linux на сервер OD LDAP (использование SSL может избежать этой проблемы для IMAP и LDAP, но не для SMB; также недавние клиенты SMB откажутся отправлять пароли открытым текстом). (И я не знаю, поддерживает ли это Courier или Samba.)
Наконец, вы можете хранить пароли пользователей в зашифрованной форме (для этого есть опция в Workgroup Manager, на вкладке Advanced для пользователей) - избегайте этого даже больше, потому что это означает, что пароли не зашифрованы между клиентом и сервером Linux (если вы не использовать SSL), и также уязвим для атаки по словарю со стороны любого, у кого есть доступ для чтения к домену LDAP.