Export to PDFDifferences
This shows you the differences between two versions of the page.
|
amres_aai_wiki:ldap_direktorijum [2011/11/08 11:52] marina |
amres_aai_wiki:ldap_direktorijum [2013/10/29 11:43] (current) marina |
||
|---|---|---|---|
| Line 5: | Line 5: | ||
| OpenLDAP je besplatna, //open source// implementacija LDAP protokola, objavljena pod OpenLDAP //Public Licence// licencom. | OpenLDAP je besplatna, //open source// implementacija LDAP protokola, objavljena pod OpenLDAP //Public Licence// licencom. | ||
| - | // | + | \\ |
| ===== Instalacija OpenLDAP direktorijuma ===== | ===== Instalacija OpenLDAP direktorijuma ===== | ||
| Uputstvo za instalaciju OpenLDAP softvera možete pogledati na http://www.eduroam.amres.ac.rs/rs/institucije-uputstva.html, u okviru uputstva za instalaciju FreeRADIUS softvera. | Uputstvo za instalaciju OpenLDAP softvera možete pogledati na http://www.eduroam.amres.ac.rs/rs/institucije-uputstva.html, u okviru uputstva za instalaciju FreeRADIUS softvera. | ||
| + | |||
| + | \\ | ||
| ===== Konfigurisanje OpenLDAP direktorijuma ===== | ===== Konfigurisanje OpenLDAP direktorijuma ===== | ||
| Line 18: | Line 20: | ||
| Osim osnovnih podešavanja, u //**slapd.conf**// fajlu mogu se konfigurisati liste za kontrolu pristupa //Access Control List// ACL kojima se definišu privilegije različitih korisnika nad LDAP direktorijumom. ACL konfiguracija je jako moćna ali zahteva razumevanje. Uputstvo za konfiguraciju osnovnih ACL preuzmite ovde {{:amres_aai_wiki:openldap:konfiguracija_acl_na_openldap.pdf|Upustvo za konfiguraciju ACL}}. | Osim osnovnih podešavanja, u //**slapd.conf**// fajlu mogu se konfigurisati liste za kontrolu pristupa //Access Control List// ACL kojima se definišu privilegije različitih korisnika nad LDAP direktorijumom. ACL konfiguracija je jako moćna ali zahteva razumevanje. Uputstvo za konfiguraciju osnovnih ACL preuzmite ovde {{:amres_aai_wiki:openldap:konfiguracija_acl_na_openldap.pdf|Upustvo za konfiguraciju ACL}}. | ||
| + | |||
| + | \\ | ||
| ===== Unos inicijalnog LDAP stabla ===== | ===== Unos inicijalnog LDAP stabla ===== | ||
| Line 48: | Line 52: | ||
| {{:amres_aai_wiki:openldap:ldap_stablo.gif|}} | {{:amres_aai_wiki:openldap:ldap_stablo.gif|}} | ||
| - | + | \\ | |
| + | |||
| ===== Pristup LDAP direktorijumu ===== | ===== Pristup LDAP direktorijumu ===== | ||
| Line 64: | Line 69: | ||
| **2.** Korišćenjem nekog LDAP //browser// softvera poput //Apache Directory Studio//, koji možete preuzeti na http://directory.apache.org/studio/. | **2.** Korišćenjem nekog LDAP //browser// softvera poput //Apache Directory Studio//, koji možete preuzeti na http://directory.apache.org/studio/. | ||
| - | **3.** Korišćenjem aplikacije za administriranje LDAPa koju je spremio AMRES/RCUB tim. Uputstva za preuzimanje i instalaciju aplikacije pogledajte na ... | + | **3.** Korišćenjem aplikacije za administriranje LDAPa koju je spremio AMRES/RCUB tim. Uputstva za preuzimanje i instalaciju aplikacije pogledajte na [[amres_aai_wiki:aplikacije_za_odrzavanje_ldap-a|stranici]]. |
| Naša preporuka je da za pregled, unos i brisanje korisničkih identiteta koristite AMRES/RCUB aplikaciju za administriranje LDAPa obzirom da je jednostavna za korišćenje i ne zahteva poznavanje LDAP direktorijuma. Ukoliko ste glavni administrator LDAP direktorijuma, savetujemo da takođe korisitite i //Apache Directory Studio// koji omogućava kompletan uvid u podatke u LDAP direktorijumu i manipulaciju sa njima. | Naša preporuka je da za pregled, unos i brisanje korisničkih identiteta koristite AMRES/RCUB aplikaciju za administriranje LDAPa obzirom da je jednostavna za korišćenje i ne zahteva poznavanje LDAP direktorijuma. Ukoliko ste glavni administrator LDAP direktorijuma, savetujemo da takođe korisitite i //Apache Directory Studio// koji omogućava kompletan uvid u podatke u LDAP direktorijumu i manipulaciju sa njima. | ||
| + | \\ | ||
| Line 80: | Line 86: | ||
| Potrebno je da pripremite fajl sa nalozima korisnika koje želite da uvezete u LDAP direktorijum. Fajl treba da bude u CSV formatu (//Comma Separated Values//), tako da su: | Potrebno je da pripremite fajl sa nalozima korisnika koje želite da uvezete u LDAP direktorijum. Fajl treba da bude u CSV formatu (//Comma Separated Values//), tako da su: | ||
| - | * u prvom redu kompletan naziv institucije i domen institucije razdvojeni zarezima | + | * u prvom redu kompletan naziv institucije (opciono) i domen institucije razdvojeni zarezima. Ukoliko ne navedete naziv institucije, onda se u osobi mora nalaziti atribut o. |
| * u drugom redu nazivi atributa podataka koje želite da uvezete (po rsEdu šemi) razdvojeni zarezima | * u drugom redu nazivi atributa podataka koje želite da uvezete (po rsEdu šemi) razdvojeni zarezima | ||
| * svaki naredni red predstavlja jednu osobu sa odgovarajućim vrednostima atributa takođe razdvojeni zarezima | * svaki naredni red predstavlja jednu osobu sa odgovarajućim vrednostima atributa takođe razdvojeni zarezima | ||
| Line 108: | Line 114: | ||
| -- **minimalan set atributa** -- | -- **minimalan set atributa** -- | ||
| - | U prethodnim primerima je ujedno naveden i minimalni set atributa koji mora postojati za svakog korisnika. Ukoliko nisu navedeni,na osnovu postojećih vrednosti, biće kreirani i atributi //cn//, //eduPersonPrincipalName// i //rsEduPersonScopedAffiliation//. | + | U prethodnim primerima je ujedno naveden i minimalni set atributa koji mora postojati za svakog korisnika. Ukoliko nisu navedeni,na osnovu postojećih vrednosti, biće kreirani i sledeći atributi: |
| + | * //o// - preuzimanjem imena institucije navedenog u prvom redu csv fajla | ||
| + | * //cn// - spajanjem vrednosti //givenName// i //sn// atributa navedenim u osobi | ||
| + | * //eduPersonPrincipalName// - spajanjem //uid// atributa navedenog u osobi i domena institucije navedenog u prvom redu csv fajla | ||
| + | * //rsEduPersonScopedAffiliation// - spajanjem //rsEduPersonAffiliation// atributa navedenog u osobi i domena institucije navedenog u prvom redu csv fajla | ||
| Ukoliko određeni korisnik nema neki od atributa, za taj atribut treba ostaviti prazno polje, tj. dva zareza jedan do drugog. | Ukoliko određeni korisnik nema neki od atributa, za taj atribut treba ostaviti prazno polje, tj. dva zareza jedan do drugog. | ||
| Line 126: | Line 136: | ||
| **2. Kreiranje ldif fajla** | **2. Kreiranje ldif fajla** | ||
| - | Preuzmite program za kreiranje ldif fajla {{:amres_aai_wiki:openldap:csvparser.rar|csvparser.rar}}. | + | Ukoliko imate podatke o korisnicima smeštene u neki .csv fajl, imate dostupnu [[http://openmaven.rcub.bg.ac.rs/nexus/content/repositories/releases/rs/ac/bg/rcub/ldapadmin/csvparser/csvparser/2.0.0/csvparser-2.0.0.jar|aplikaciju]] pomoću koje te podatke možete prebaciti u LDAP direktorijum. |
| Po preuzimanju, fajl otpakujte i smestite na proizvoljnu lokaciju na serveru gde je instaliran LDAP direktorijum. Na istoj lokaciji treba da se nalazi i CSV fajl koji ste prethodno pripremili. Neophodno je da je na serveru instalirana Java. | Po preuzimanju, fajl otpakujte i smestite na proizvoljnu lokaciju na serveru gde je instaliran LDAP direktorijum. Na istoj lokaciji treba da se nalazi i CSV fajl koji ste prethodno pripremili. Neophodno je da je na serveru instalirana Java. | ||
| Line 132: | Line 142: | ||
| Program pokrenite komandom: | Program pokrenite komandom: | ||
| - | //**java –jar csvParser.jar**// | + | //**java -jar csvparser-2.0.0.jar**// |
| - | Nakon izvršavanja kreiraće se //**napravi.ldif**// fajl, a nalozi osoba koji nisu kreirani zbog nedostatka nekog od obaveznih atributa biće navedeni u //**error.log**/// fajlu. | + | Nakon izvršavanja kreiraće se sledeći faljovi: |
| + | |||
| + | * //**users.ldif**// - idenititeti osoba ispravno konvertovani u ldif fajl | ||
| + | * //**inactive.ldif**// - identiteti osoba koji nemaju mail adresu. Ovi identiteti su odvojeni u poseban fajl jer se ovaj atribut zahteva za optimalno korišćenje ldap korisničke aplikacije. Ovi identiteti su u inactive.ldif fajlu pripremljeni tako da se uvoz radi u UnactivePeople granu, sa idejom da se posle dodavanja email adrese korisnika korišćenjem administratorske ldap aplikacije identitet može aktivirati i prebaciti u People granu. Ukoliko ne želite da koristite AMRES/RCUB ldap aplikaciju i želite da identitete bez mailova uvezete kao aktivne u People granu, pre uvoza inactive.ldif fajla u ldap string "ou=UnactivePeople" zameniti sa stringom "ou=People" što možete jednostavno uraditi u bilo kom tekstualnom editoru. | ||
| + | * //**error.log**// - sadrži spisak osoba čiji identiteti nisu kreirani zato što ne postoje svi obavezne atributi, kao i listu atributa koji nedostaju | ||
| Nakon ovoga, dobijeni ldif fajl možete uvesti u LDAP direktorijum pokretanjem komande: | Nakon ovoga, dobijeni ldif fajl možete uvesti u LDAP direktorijum pokretanjem komande: | ||
| - | **ldapadd -f novo.ldif -D //korisnicko-ime// -w //lozinka//** | + | **ldapadd -f users.ldif -D //korisnicko-ime// -w //lozinka//** |
| gde su //**korisnicko-ime**// i //**lozinka**// parametri ldap administratorskog naloga koji ste uneli u slapd.conf. | gde su //**korisnicko-ime**// i //**lozinka**// parametri ldap administratorskog naloga koji ste uneli u slapd.conf. | ||
| + | Važno: neki od ldap browsera poput Apache Directory Studio nepravilno unose specijalna slova srpskog alfabeta, pa je neophodno uvoz uraditi iz komandne linije na način opisan iznad | ||
