Administración general del LDAP

Un Administrador General será aquel con privilegios de acceso vía consola a al servidor LDAP Wschebor y el frontal Apache/PWM Varela.

En caso de que ocurriesen problemas con el LDAP (ej.: de registro) se pueden consultar los archivos de logs para ver errores:

tail /var/lib/tomcat7/webapps/pwm/WEB-INF/logs/PWM.log

Como se puede ver en Cambios PWM se han realizado ciertas adaptaciones del código de PWM a las necesidades de la UdelaR.
Por lo tanto, los nuevos archivos de configuración introducidos están localizados en /var/lib/tomcat7/webapps/pwm/config.
Además se han creado un Script para el LDAP dirigido a los Administradores Generales.
A continuación se muestran ejemplos de cambios en la configuración.

Configuración de Servicios disponibles

Primero, en el fichero servicios.txt podemos agregar o quitar servicios que deseamos que sean accesibles para el usuario luego de su registro en PWM.
Por esto, quitamos una línea para eliminar el acceso al servicio Sympa:

cn=owncloud,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy
cn=redmine,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy
cn=openfire,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy

Creación de nuevos grupos LDAP

Vamos a crear otro grupo de nombre "facultades" (cn=facultades,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy).
Utilizaremos el mencionado script (Admin_LDAP.sh) para crear un grupo LDAP del tipo "Regional": #4072. Un elemento de este tipo es un...

Grupo con un grupo admins, donde solo los miembros del grupo admins y los administradores generales pueden agregar miembros a su grupo, como cci, cup, cure, etc.

Este script se localiza en /root. Para poder utilizarlo necesitamos un usuario del LDAP, que sea miembro del grupo admins.
Lo corremos, ingresamos opción y parámetros solicitados:

root@curie:~# ./Admin_LDAP.sh 
-------------------- MENU --------------------
1. Crear Grupo común (sin ACL)
2. Crear Grupo con un grupo admins, donde solo los miembros del grupo admins y los administradores pueden agregar miembros a su grupo.
3. Crear Grupo con una cuenta login, para conectarse al LDAP, para un servicio.
4. Crear Grupo con una cuenta login, para conectarse al LDAP, con un grupo admins, donde solo los miembros del grupo admins y los administradores pueden agregar miembros a su grupo.
5. Mostrar ACL's
6. Borrar ACL
7. Crear nuevo tipo de Recurso, con una cuenta login para conectarse al LDAP.
8. Crear nuevo Grupo de Recursos, junto con un grupo admins, donde solo los miembros del grupo admins y los administradores pueden agregar miembros a su grupo.
9. Solo agregar una Acl login
10. Salir.

Por ejemplo:

Ingreso opcion: 2
Bind DN: cn=andres,ou=gente,dc=interior,dc=udelar,dc=edu,dc=uy
Password: *******secreto******
OK- LOGIN
Nombre del Grupo: facultades
La referencia (to dn.base="") esta en el lugar 25

Archivo LDIF:
dn: cn=facultades,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy
objectClass: groupOfNames
objectClass: top
cn: facultades
member:

dn: cn=admins,cn=facultades,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy
objectClass: groupOfNames
objectClass: top
cn: admins
member:

adding new entry "cn=facultades,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" 

adding new entry "cn=admins,cn=facultades,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy" 

OK- CREAR GRUPOS
modifying entry "olcDatabase={1}hdb,cn=config" 

OK-ACL ADMINS MEMBER
modifying entry "olcDatabase={1}hdb,cn=config" 

OK-ACL ADMINS PASS

Introducción de nuevo dominio

Los dominios que maneja PWM son gobernados por el archivo dominios.txt.
Agregamos una la línea en este archivo para incluir un nuevo dominio en la configuración.
La idea de este ejemplo, es agregar a todos los usuarios registrados con un mail de un determinado dominio (fing.edu.uy) al grupo facultades (recientemente creado) y al zimbra.
De nuevo, para conocer la sintaxis exacta mirar Cambios PWM. Podría ser algo así:

fing.edu.uy:cn=facultades,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy:cn=zimbra,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy
Como no tengo un mail de la fing para probar, utilizamos solo para probar un mail de yahoo.es, luego lo sacamos:
yahoo.es:cn=facultades,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy:cn=zimbra,ou=grupos,dc=interior,dc=udelar,dc=edu,dc=uy
Reiniciamos Tomcat
root@curie:/var/lib/tomcat6/webapps/pwm/config# service tomcat6 restart
[ ok ] Stopping Tomcat servlet engine: tomcat6.
[ ok ] Starting Tomcat servlet engine: tomcat6.
Nos registramos en pwm con un mail de Yahoo y el usaurio andresyahoo ;)

En la sección siguiente se observan los resultados generados..

Chequeo de resultados

Como era de esperar, si nos conectamos mediante ApacheDS Studio, vemos que el usuario registrado quedó agregado al grupo facultades:

Además, es miembro del grupo Zimbra tal como indicamos:

Para los servicios iniciales que especificamos, vemos que también fue agregado como miembro, por ejemplo para Redmine:

zimbra_agregado.png (110 KB) Andrés Pías, 03/22/2015 04:42 PM

redmine_agregado.png (124 KB) Andrés Pías, 03/22/2015 04:42 PM

grupo_facultades.png (104 KB) Andrés Pías, 03/22/2015 04:42 PM