Re: LDAP-User können sich nicht im kdm anmelden
Hallo, Am Montag, 23. Oktober 2006 19:28 schrieb Rudi Effe: Am Montag 23 Oktober 2006 16:33 schrieb Thorsten Schmidt: Der Fehler ist: Es ist ein schwerer Fehler aufgetreten Sehen sie bitte in den Protokolldateien von KDM nach weiteren Informationen oder benachrichtigen sie ihren Systemverwalter Hallo Thorsten, vermutlich klappt zwar die Authentifizierung, aber KDE findet kein Homeverzeichnis, in das es Session-Dateien schreiben könnte. Melde dich einfach mal mit einem leichterem Desktop an und kontrolliere, ob der User ein Homeverzeichnis hat. Ja - hat er. Daher startet ja auch der KDE nachdem er vom xdm gestartet wurde. Bis dene Thorsten
LDAP-User können sich nicht im kdm anmelden
Hallo, wir haben vor kurzem unseren Terminalserver (etch) auf LDAP umgestellt. Die Umstellung hat auch teilweise funktioniert, d.h. LDAP-User können sich z.B. per ssh anmelden und per X-Forwarding xclock starten. Ärgerlicherweise weigert sich der KDM die Benutzer anzumelden. Der Fehler ist: Es ist ein schwerer Fehler aufgetreten Sehen sie bitte in den Protokolldateien von KDM nach weiteren Informationen oder benachrichtigen sie ihren Systemverwalter In der messages steht dazu: Oct 23 15:52:13 alpha kdm: 192.168.0.208:0[7080]: getpwnam(jan) failed. Oct 23 15:52:53 alpha kdm_greet[7083]: Can't write to core Oct 23 15:52:53 alpha kdm: 192.168.0.208:0[7080]: Abnormal termination of greeter for display 192.168.0.208:0, code 1, signal 0 Bei lokalen - nicht-ldap-usern - treten keine Probleme auf - Ebenso wenn ich xdm verwende... Woran könnte das liegen? Google gibt zu der Meldung nicht wirklich was her... Danke, Bis dene Thorsten
Re: LDAP-User können sich nicht im kdm anmelden
Am Montag 23 Oktober 2006 16:33 schrieb Thorsten Schmidt: Der Fehler ist: Es ist ein schwerer Fehler aufgetreten Sehen sie bitte in den Protokolldateien von KDM nach weiteren Informationen oder benachrichtigen sie ihren Systemverwalter Hallo Thorsten, vermutlich klappt zwar die Authentifizierung, aber KDE findet kein Homeverzeichnis, in das es Session-Dateien schreiben könnte. Melde dich einfach mal mit einem leichterem Desktop an und kontrolliere, ob der User ein Homeverzeichnis hat. LG
Re: passwd + shadow + smbpasswd = ldap
Thorsten Schmidt schrieb: zur Zeit suche ich ein Tool, das in der Lage ist, eine alte Accountdatenbank die aus den Dateien passwd,shadow,smbpasswd besteht nach ldap zu migrieren. Die smbldap-tools können dies anscheinend mit unix-Accounts machen. Dies reicht aber leider nicht. Zudem können sie sogn. pwdump Accounts importieren - um was handelt es sich hier eigentlich? Wisst ihr evtl. wie ich am besten meine alten Daten migriere? Vielleicht hilft dir ja das hier weiter: http://de.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#pdbeditthing Habt das tool noch nie benutzt, aber laut Beschreibung kann es dir vielleicht weiterhelfen. Grüße Marc -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Nettes LDAP-Tutorial
Orlando Rose [EMAIL PROTECTED] wrote: Am Montag, 16. Oktober 2006 19:54 schrieb Torsten Flammiger: um es kurz zu formulieren: es gibt keines, weder für Etch noch für sonst eine Distribution. Aber 2 Dinge helfen: 1. Zeit 2. Geduld Leider, aber wenn's dann mal läuft kann man sich doppelt freuen (z. Z. nur als Addressbuch genutzt) Mir haben u.a. folgende Seiten geholfen (neben der lokalen Doku und google): http://www.openldap.org/doc/ http://www.tldp.org/HOWTO/LDAP-HOWTO/index.html http://www.linuxnetmag.com/de/issue9/m9ldap_adressbuch1.html http://www.ende-der-vernunft.org/?cat=35 ff Ulrich -- wenn's schnell geht hab' ich immer Geduld
Re: passwd + shadow + smbpasswd = ldap
Thorsten Schmidt wrote: zur Zeit suche ich ein Tool, das in der Lage ist, eine alte Accountdatenbank die aus den Dateien passwd,shadow,smbpasswd besteht nach ldap zu migrieren. Die smbldap-tools können dies anscheinend mit unix-Accounts machen. Hmm, ich dachte die wären nur zur Verwalten der Accounts. Dies reicht aber leider nicht. Zudem können sie sogn. pwdump Accounts importieren - um was handelt es sich hier eigentlich? Ein Programm, um die Passwörter aus der Registry zu extrahieren. Schau dir mal http://us1.samba.org/samba/ftp/pwdump/README an. Wisst ihr evtl. wie ich am besten meine alten Daten migriere? Mit den migrationtools (apt-cache show migrationtools;) HTH und Gruß, Michel -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Nettes LDAP-Tutorial
Am Montag, 16. Oktober 2006 19:54 schrieb Torsten Flammiger: um es kurz zu formulieren: es gibt keines, weder für Etch noch für sonst eine Distribution. Aber 2 Dinge helfen: 1. Zeit 2. Geduld stimmt :-) dann weiss man auch was man gemacht hat Warscheinlich wird jetzt der ein oder andere Zeitgenosse laut aufschreien und Dir den ein oder anderen Link präsentieren... Dieses Posting mag gleichermassen sinnfrei erscheinen, aber ich bin einfach (aber nicht resignierend) zu obigem Schluss gekommen ;) so als Zeitgenosse ;-) hier mal ein Link der mir sehr geholfen hat http://www.idealx.com/content/view/184/169/lang,en/ Gruß Torsten -- Mit freundlichen Gruessen Orlando Rose
Re: [OT] Samba mit Ldap-Backend startet nicht mehr.
Thorsten Schmidt wrote: [2006/10/16 19:22:22, 1] passdb/pdb_ldap.c:ldapsam_getsampwnam(1400) ldapsam_getsampwnam: Duplicate entries for this user [root] Failing. count=2 [2006/10/16 19:22:22, 1] passdb/pdb_ldap.c:ldapsam_getsampwnam(1400) ldapsam_getsampwnam: Duplicate entries for this user [root] Failing. count=2 -^^^ Setze ich hier passdb backend = tdbsam funktioniert alles. Wo könnte das Problem sein? Ein paar Zeilen weiter oben? Eventuell? HTH und Gruß, Michel -- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Nettes LDAP-Tutorial
Thorsten Schmidt schrieb: Hallo, Moin Moin ich suche derzeit ein nettes Tutorial (am besten eine Schritt-für-Schritt Anleitung) zur Installation von LDAP auf Etch. Ich möchte gerne: - Einen PDC für WinXP betreiben - User und Gruppen im ldap Verwalten - Usern im Ldap erlauben sich per PAM an anderen Diensten anzumelden. ich habs mal mit dem Tutorial gemacht http://samba-ldap.de/ is recht net aufgebaut aber 100% Perfekt isses net musst danach noch bissal nacharbeiten aber Übung macht ja den Meister ;) Ich würde gerne ldap verwenden, da dies im Netzwerk einfach replizierbar und auch relativ sauber als Account-Datenbank als andere Workstations eignet. Ich habe es bislang mit http://www.nomis52.net/?section=docspage=samldap - leider erlaubt eine solche Installation nicht das Aufnehmen von Workstations in die Domäne oder das Anmelden der Nutzer über PAM (irgendwie funktioniert das nicht). Zudem kommt, dass ich mit ldap bislang keine Erfahrung habe und sich die Anleitung auf Sarge bezieht - Etch wäre günstiger. Habt ihr da was? Bis dene Thorsten Gruß Philipp signature.asc Description: OpenPGP digital signature
Re: Nettes LDAP-Tutorial
Orlando Rose schrieb: Am Montag, 16. Oktober 2006 19:54 schrieb Torsten Flammiger: um es kurz zu formulieren: es gibt keines, weder für Etch noch für sonst eine Distribution. Aber 2 Dinge helfen: 1. Zeit 2. Geduld stimmt :-) dann weiss man auch was man gemacht hat eben Warscheinlich wird jetzt der ein oder andere Zeitgenosse laut aufschreien und Dir den ein oder anderen Link präsentieren... Dieses Posting mag gleichermassen sinnfrei erscheinen, aber ich bin einfach (aber nicht resignierend) zu obigem Schluss gekommen ;) so als Zeitgenosse ;-) hier mal ein Link der mir sehr geholfen hat http://www.idealx.com/content/view/184/169/lang,en/ das schaut recht passabel aus! Und aktuell ist es auch noch: Respekt Torsten
passwd + shadow + smbpasswd = ldap
Hallo, zur Zeit suche ich ein Tool, das in der Lage ist, eine alte Accountdatenbank die aus den Dateien passwd,shadow,smbpasswd besteht nach ldap zu migrieren. Die smbldap-tools können dies anscheinend mit unix-Accounts machen. Dies reicht aber leider nicht. Zudem können sie sogn. pwdump Accounts importieren - um was handelt es sich hier eigentlich? Wisst ihr evtl. wie ich am besten meine alten Daten migriere? Bis dene Thorsten
Re: [OT] Samba mit Ldap-Backend startet nicht mehr.
Hallo, Am Dienstag, 17. Oktober 2006 09:19 schrieb Michelino Caroselli: Thorsten Schmidt wrote: [2006/10/16 19:22:22, 1] passdb/pdb_ldap.c:ldapsam_getsampwnam(1400) ldapsam_getsampwnam: Duplicate entries for this user [root] Failing. count=2 [2006/10/16 19:22:22, 1] passdb/pdb_ldap.c:ldapsam_getsampwnam(1400) ldapsam_getsampwnam: Duplicate entries for this user [root] Failing. count=2 -^^ ^ Setze ich hier passdb backend = tdbsam funktioniert alles. Wo könnte das Problem sein? Ein paar Zeilen weiter oben? Eventuell? Ich habe ldap inzwischen neu bevölkert und nun läuft alles ;) Bis dene Thorsten
Re: libnss-ldap findet keine Nutzer
Udo Mueller [EMAIL PROTECTED] writes: Genau, und wenn das Auto nicht anspringt, eben aussteigen, wieder einsteigen und es fährt wieder... Nein. Würdest du #375077 lesen, dann würdest du feststellen, dass dieser Bug sich erst beim Hochfahren des Systems bemerkbar macht. libnss-ldap kann wegen zu alter initscripts in kein temporäres Verzeichnis schreiben und sucht endlos nach dem LDAP-Server, der aber noch längst nicht gestartet ist. Unterbrechen kann man das zwar mit STRG-C, allerdings legt dann udevd keine Devices an... slapd zieht den nscd mit sich. Daher ist es wichtig, nach Änderungen selbigen zu restarten. Aber das muss nicht mittels reboot geschehen. Was du nicht sagst... ;-) -- Grüße, | http://www.korber.org +++ mailto:[EMAIL PROTECTED] Thomas |Linux User Group Ingolstadt: http://www.lug-in.de PGP-ID: 0x4603A0E3 | A4B3 BA2A DDC8 B771 8084 CD4D BE14 5C3E 4603 A0E3
Re: libnss-ldap findet keine Nutzer
Hallo Thomas, * Thomas Korber schrieb [16-10-06 08:24]: Udo Mueller [EMAIL PROTECTED] writes: Genau, und wenn das Auto nicht anspringt, eben aussteigen, wieder einsteigen und es fährt wieder... Nein. Würdest du #375077 lesen, dann würdest du feststellen, dass dieser Bug sich erst beim Hochfahren des Systems bemerkbar macht. libnss-ldap kann wegen zu alter initscripts in kein temporäres Verzeichnis schreiben und sucht endlos nach dem LDAP-Server, der aber noch längst nicht gestartet ist. Unterbrechen kann man das zwar mit STRG-C, allerdings legt dann udevd keine Devices an... In Bezug auf udevd gebe ich dir Recht. Aber wo ist der Bezug zu $SUBJECT? ;) Mit freundlichen Grüßen Udo Müller -- ComputerService Udo Müller Tel.: 0441-36167578 Schöllkrautweg 16 Fax.: 0441-36167579 26131 Oldenburg [EMAIL PROTECTED] Mobil: 0162-4365411 signature.asc Description: Digital signature
Re: libnss-ldap findet keine Nutzer
Udo Mueller [EMAIL PROTECTED] writes: In Bezug auf udevd gebe ich dir Recht. Aber wo ist der Bezug zu $SUBJECT? ;) Ich wollte dem OP das tragische Ereignis ersparen, eine funktionierende Authentifizierung per LDAP im laufenden System zu haben und dann beim nächsten Neustart in die Röhre zu gucken. Außerdem passt libnss-ldap findet keine Nutzer dann ebenfalls irgendwie. :^) -- Grüße, | http://www.korber.org +++ mailto:[EMAIL PROTECTED] Thomas |Linux User Group Ingolstadt: http://www.lug-in.de PGP-ID: 0x4603A0E3 | A4B3 BA2A DDC8 B771 8084 CD4D BE14 5C3E 4603 A0E3
Nettes LDAP-Tutorial
Hallo, ich suche derzeit ein nettes Tutorial (am besten eine Schritt-für-Schritt Anleitung) zur Installation von LDAP auf Etch. Ich möchte gerne: - Einen PDC für WinXP betreiben - User und Gruppen im ldap Verwalten - Usern im Ldap erlauben sich per PAM an anderen Diensten anzumelden. Ich würde gerne ldap verwenden, da dies im Netzwerk einfach replizierbar und auch relativ sauber als Account-Datenbank als andere Workstations eignet. Ich habe es bislang mit http://www.nomis52.net/?section=docspage=samldap - leider erlaubt eine solche Installation nicht das Aufnehmen von Workstations in die Domäne oder das Anmelden der Nutzer über PAM (irgendwie funktioniert das nicht). Zudem kommt, dass ich mit ldap bislang keine Erfahrung habe und sich die Anleitung auf Sarge bezieht - Etch wäre günstiger. Habt ihr da was? Bis dene Thorsten
[OT] Samba mit Ldap-Backend startet nicht mehr.
Hallo, leider startet mein Samba auf etch nicht mehr. Der Fehler ist: [2006/10/16 19:22:22, 0] smbd/server.c:main(847) smbd version 3.0.23c started. Copyright Andrew Tridgell and the Samba Team 1992-2006 [2006/10/16 19:22:22, 1] passdb/pdb_ldap.c:ldapsam_getsampwnam(1400) ldapsam_getsampwnam: Duplicate entries for this user [root] Failing. count=2 [2006/10/16 19:22:22, 1] passdb/pdb_ldap.c:ldapsam_getsampwnam(1400) ldapsam_getsampwnam: Duplicate entries for this user [root] Failing. count=2 [2006/10/16 19:22:22, 0] services/services_db.c:svcctl_init_keys(420) init_services_keys: key lookup failed! (WERR_ACCESS_DENIED) [2006/10/16 19:22:22, 0] smbd/server.c:main(960) ERROR: failed to setup guest info. Die smb.conf sagt: passdb backend = ldapsam:ldap://127.0.0.1 # passdb backend = tdbsam ldap suffix =ou=samba,dc=schule ldap machine suffix =ou=machines ldap user suffix = ou=users ldap group suffix =ou=groups ldap admin dn=cn=admin,dc=schule ldap delete dn = no enable privileges = yes Setze ich hier passdb backend = tdbsam funktioniert alles. Wo könnte das Problem sein? Bis dene Thorsten.
Re: Nettes LDAP-Tutorial
On 15:11 Mo 16 Okt, Thorsten Schmidt wrote: Hallo, ich suche derzeit ein nettes Tutorial (am besten eine Schritt-für-Schritt Anleitung) zur Installation von LDAP auf Etch. um es kurz zu formulieren: es gibt keines, weder für Etch noch für sonst eine Distribution. Aber 2 Dinge helfen: 1. Zeit 2. Geduld Warscheinlich wird jetzt der ein oder andere Zeitgenosse laut aufschreien und Dir den ein oder anderen Link präsentieren... Dieses Posting mag gleichermassen sinnfrei erscheinen, aber ich bin einfach (aber nicht resignierend) zu obigem Schluss gekommen ;) Gruß Torsten
Re: Nettes LDAP-Tutorial
Hallo, Am Montag, 16. Oktober 2006 19:54 schrieb Torsten Flammiger: On 15:11 Mo 16 Okt, Thorsten Schmidt wrote: Hallo, ich suche derzeit ein nettes Tutorial (am besten eine Schritt-für-Schritt Anleitung) zur Installation von LDAP auf Etch. um es kurz zu formulieren: es gibt keines, weder für Etch noch für sonst eine Distribution. Aber 2 Dinge helfen: 1. Zeit 2. Geduld Warscheinlich wird jetzt der ein oder andere Zeitgenosse laut aufschreien und Dir den ein oder anderen Link präsentieren... Dieses Posting mag gleichermassen sinnfrei erscheinen, aber ich bin einfach (aber nicht resignierend) zu obigem Schluss gekommen ;) Btw... warum in die Ferne schweifen. /usr/share/doc/smbldap-utils/README.Debian.gz ist ganz nett - und auf Etch zugeschnitten ;) Bis dene Thorsten
Re: libnss-ldap findet keine Nutzer
Hallo Thorsten, * Thorsten Schmidt schrieb [13-10-06 00:05]: Meine nsswitch.conf passwd: compat ldap group: compat ldap shadow: compat ldap Soweit korrekt. in /usr/share/libnss-ldap/ldap.conf ist gesetzt: Bearbeite /etc/libnss-ldap.conf host 127.0.0.1 base ou=users,dc=schule binddn cn=nss,dc=schule bindpw (geheim) Für nss reicht anon bind, d.h. die beiden bind* Optionen entfernen. Desweiteren solltest du noch die nss_base setzen. dn: cn=Hugo Heinrich,ou=users,dc=schule Also entsprechend: nss_base_passwd ou=users,dc=schule?one nss_base_shadow ou=users,dc=schule?one nss_base_groups ou=groups,dc=schule?one Letzteres nur, sofern du die Gruppen auch im LDAP verwalten willst. Dafür muss du den Zweig jedoch noch anlegen. Mit freundlichen Grüßen Udo Müller -- ComputerService Udo Müller Tel.: 0441-36167578 Schöllkrautweg 16 Fax.: 0441-36167579 26131 Oldenburg [EMAIL PROTECTED] Mobil: 0162-4365411 signature.asc Description: Digital signature
Re: libnss-ldap findet keine Nutzer
Thorsten Schmidt [EMAIL PROTECTED] writes: leider habe ich derzeit das Problem, dass libnss-ldap auf Etch keine Benutzer findet, d.h. getent passwd gibt nur die /etc/passwd aus. (OpenLDAP läuft hier einfach lokal) (Btw. Aus Sicherheitsgründen habe ich cn=nss,dc=schule nur Leserechte gegeben) Etch? Wenn du Svens und Udos Hinweise befolgt hast, dann schau dir mal Bug #375077 an. Workaround: auf meinem Etch-Testsystem habe ich die initscripts aus unstable installiert, weil sonst die Kiste beim Booten hängen bleibt. Der Fehler besteht darin, dass die aktuellen initscripts in Etch kein temporäres Verzeichnis anlegen, in das das libnss-ldap-Initscript reinschreiben möchte und deswegen bis zum Sanktnimmerleinstag auf der Suche nach dem LDAP-Server ist... -- Grüße, | http://www.korber.org +++ mailto:[EMAIL PROTECTED] Thomas |Linux User Group Ingolstadt: http://www.lug-in.de PGP-ID: 0x4603A0E3 | A4B3 BA2A DDC8 B771 8084 CD4D BE14 5C3E 4603 A0E3
Re: libnss-ldap findet keine Nutzer
Hallo, Am Sonntag, 15. Oktober 2006 12:31 schrieb Thomas Korber: Thorsten Schmidt [EMAIL PROTECTED] writes: leider habe ich derzeit das Problem, dass libnss-ldap auf Etch keine Benutzer findet, d.h. getent passwd gibt nur die /etc/passwd aus. (OpenLDAP läuft hier einfach lokal) (Btw. Aus Sicherheitsgründen habe ich cn=nss,dc=schule nur Leserechte gegeben) Etch? Wenn du Svens und Udos Hinweise befolgt hast, dann schau dir mal Bug #375077 an. Workaround: auf meinem Etch-Testsystem habe ich die initscripts aus unstable installiert, weil sonst die Kiste beim Booten hängen bleibt. Der Fehler besteht darin, dass die aktuellen initscripts in Etch kein temporäres Verzeichnis anlegen, in das das libnss-ldap-Initscript reinschreiben möchte und deswegen bis zum Sanktnimmerleinstag auf der Suche nach dem LDAP-Server ist... Das Problem war, dass ich in /usr/share/libnss-ldap/ldap.conf und nicht in /etc/libnss-ldap.conf gearbeitet habe... Bis dene, Thorsten
Re: libnss-ldap findet keine Nutzer
Hallo, Am Sonntag, 15. Oktober 2006 04:02 schrieb Sven Hartge: Thorsten Schmidt [EMAIL PROTECTED] wrote: leider habe ich derzeit das Problem, dass libnss-ldap auf Etch keine Benutzer findet, d.h. getent passwd gibt nur die /etc/passwd aus. (OpenLDAP läuft hier einfach lokal) (Btw. Aus Sicherheitsgründen habe ich cn=nss,dc=schule nur Leserechte gegeben) Meine nsswitch.conf passwd: compat ldap group: compat ldap shadow: compat ldap (...) in /usr/share/libnss-ldap/ldap.conf ist gesetzt: Wie kommst du auf die Idee, das dies die Konfig-Datei ist? Was hindert dich, die Datei in /etc zu editieren? ich habe einfach mit dpkg -L libnss-ldap nachgesehen, welche Dateien zum Paket gehören. Dies war die einzige, die nach einer config-Datei aussah. Bis dene Thorsten
Re: libnss-ldap findet keine Nutzer
Thorsten Schmidt [EMAIL PROTECTED] writes: Das Problem war, dass ich in /usr/share/libnss-ldap/ldap.conf und nicht in /etc/libnss-ldap.conf gearbeitet habe... Schon klar, aber hast du schon mal neu gebootet? -- Grüße, | http://www.korber.org +++ mailto:[EMAIL PROTECTED] Thomas |Linux User Group Ingolstadt: http://www.lug-in.de PGP-ID: 0x4603A0E3 | A4B3 BA2A DDC8 B771 8084 CD4D BE14 5C3E 4603 A0E3
Re: libnss-ldap findet keine Nutzer
Hallo Thomas, * Thomas Korber schrieb [15-10-06 16:35]: Thorsten Schmidt [EMAIL PROTECTED] writes: Das Problem war, dass ich in /usr/share/libnss-ldap/ldap.conf und nicht in /etc/libnss-ldap.conf gearbeitet habe... Schon klar, aber hast du schon mal neu gebootet? Genau, und wenn das Auto nicht anspringt, eben aussteigen, wieder einsteigen und es fährt wieder... slapd zieht den nscd mit sich. Daher ist es wichtig, nach Änderungen selbigen zu restarten. Aber das muss nicht mittels reboot geschehen. Mit freundlichen Grüßen Udo Müller -- ComputerService Udo Müller Tel.: 0441-36167578 Schöllkrautweg 16 Fax.: 0441-36167579 26131 Oldenburg [EMAIL PROTECTED] Mobil: 0162-4365411 signature.asc Description: Digital signature
Re: libnss-ldap findet keine Nutzer
Thorsten Schmidt [EMAIL PROTECTED] wrote: leider habe ich derzeit das Problem, dass libnss-ldap auf Etch keine Benutzer findet, d.h. getent passwd gibt nur die /etc/passwd aus. (OpenLDAP läuft hier einfach lokal) (Btw. Aus Sicherheitsgründen habe ich cn=nss,dc=schule nur Leserechte gegeben) Meine nsswitch.conf passwd: compat ldap group: compat ldap shadow: compat ldap (...) in /usr/share/libnss-ldap/ldap.conf ist gesetzt: Wie kommst du auf die Idee, das dies die Konfig-Datei ist? Was hindert dich, die Datei in /etc zu editieren? S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
libnss-ldap findet keine Nutzer
Hallo, leider habe ich derzeit das Problem, dass libnss-ldap auf Etch keine Benutzer findet, d.h. getent passwd gibt nur die /etc/passwd aus. (OpenLDAP läuft hier einfach lokal) (Btw. Aus Sicherheitsgründen habe ich cn=nss,dc=schule nur Leserechte gegeben) Meine nsswitch.conf passwd: compat ldap group: compat ldap shadow: compat ldap (...) in /usr/share/libnss-ldap/ldap.conf ist gesetzt: host 127.0.0.1 base ou=users,dc=schule binddn cn=nss,dc=schule bindpw (geheim) ldapsearch -b ou=users,dc=schule -D cn=nss,dc=schule -x -W liefert Enter LDAP Password: # extended LDIF # # LDAPv3 # base ou=users,dc=schule with scope subtree # filter: (objectclass=*) # requesting: ALL # # users, schule dn: ou=users,dc=schule ou: users objectClass: organizationalUnit objectClass: top # lusers, users, schule dn: cn=lusers,ou=users,dc=schule cn: lusers gidNumber: 5000 objectClass: posixGroup objectClass: top # Hugo Heinrich, users, schule dn: cn=Hugo Heinrich,ou=users,dc=schule givenName: Hugo sn: Heinrich cn: Hugo Heinrich uid: hheinrich uidNumber: 5010 userPassword:: e01ENX1tWjlnOUMyNk9qdktPRDN6Sk83V1VRPT0= gidNumber: 5000 homeDirectory: /home/hh objectClass: inetOrgPerson objectClass: posixAccount objectClass: top # search result search: 2 result: 0 Success # numResponses: 4 # numEntries: 3 Was könnte hier kaputt sein? Bis dene Thorsten
Re: libnss-ldap findet keine Nutzer
Hallo, Am Freitag, 13. Oktober 2006 00:05 schrieb Thorsten Schmidt: Hallo, leider habe ich derzeit das Problem, dass libnss-ldap auf Etch keine Benutzer findet, d.h. getent passwd gibt nur die /etc/passwd aus. (OpenLDAP läuft hier einfach lokal) (Btw. Aus Sicherheitsgründen habe ich cn=nss,dc=schule nur Leserechte gegeben) Hat sich erledigt. Warum gibt es eigentlich /etc/libnss-ldap.conf und /usr/share/libnss-ldap/ldap.conf ? Bis dene Thorsten
Re: aktuelles ldap-query-Pr ogramm für Mutt
On 20:56 Fri 15 Sep, Torsten Flammiger wrote: On 22:11 Thu 14 Sep, Torsten Flammiger wrote: Hallo zusammen, kennt- oder hat jemand von Euch ein anderes oder aktuelleres Script für den Mutt im Einsatz als das vom 31.12.1999 ? (URL: ftp://ftp.mutt.org/pub/mutt/contrib/mutt_ldap_query.+) nach Rücksprache mit dem Packetmaintainer stellte sich heraus, das das Packet lbdb aktuell in Version 0.32 von seiner Website erhältlich ist _UND_ eine aktuellere Version des Query-Scripts mutt_ldap_query enthält, welches mehrere Emailadressen pro Kontakt findet: http://www.spinnaker.de/debian/lbdb.html Ich habe es ausprobiert (nur das Script), und es funktioniert. Torsten
Re: aktuelles ldap-query-Pr ogramm für Mutt
* Torsten Flammiger [EMAIL PROTECTED]: kennt- oder hat jemand von Euch ein anderes oder aktuelleres Script für den Mutt im Einsatz als das vom 31.12.1999 ? (URL: ftp://ftp.mutt.org/pub/mutt/contrib/mutt_ldap_query.+) Versuche doch mal lbdb. Ich hatte das vor einiger Zeit mal im Einsatz. Kai -- * http://www.glorybox.de/ PGP 1024D/594D4132 B693 5073 013F 7F56 5DCC D9C2 E6B5 448C 594D 4132
Re: aktuelles ldap-query-Pr ogramm für Mutt
am Fri, dem 15.09.2006, um 11:30:41 +0200 mailte Kai Weber folgendes: * Torsten Flammiger [EMAIL PROTECTED]: kennt- oder hat jemand von Euch ein anderes oder aktuelleres Script für den Mutt im Einsatz als das vom 31.12.1999 ? (URL: ftp://ftp.mutt.org/pub/mutt/contrib/mutt_ldap_query.+) Versuche doch mal lbdb. Ich hatte das vor einiger Zeit mal im Einsatz. lbdb fragt LDAP ab? Zur Frage: ich hab mir einen kleinen Wrapper für ldapsearch geschrieben, daß es da was fertiges gibt, wußte ich gar nicht. Andreas -- Andreas Kretschmer Kontakt: Heynitz: 035242/47215, D1: 0160/7141639 (mehr: - Header) GnuPG-ID: 0x3FFF606C, privat 0x7F4584DA http://wwwkeys.de.pgp.net -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: aktuelles ldap-query-P rogramm für Mutt
Hallo Andreas, Andreas Kretschmer, 15.09.2006 (d.m.y): lbdb fragt LDAP ab? apt-cache show lbdb sagt u.a.: At the moment the following modules are supported: [..] - m_ldap (query some LDAP server) Die Homepage von lbdb ist http://www.spinnaker.de/lbdb/. Zur Frage: ich hab mir einen kleinen Wrapper für ldapsearch geschrieben, daß es da was fertiges gibt, wußte ich gar nicht. Man lernt nie aus. ;-) Gruss, Christian Schmidt -- Wie man sein Kind nicht nennen sollte: R. Schossen signature.asc Description: Digital signature
Re: aktuelles ldap-query-Pr ogramm für Mutt
On 12:27 Fri 15 Sep, Christian Schmidt wrote: Hallo Andreas, Andreas Kretschmer, 15.09.2006 (d.m.y): lbdb fragt LDAP ab? apt-cache show lbdb sagt u.a.: At the moment the following modules are supported: [..] - m_ldap (query some LDAP server) Die Homepage von lbdb ist http://www.spinnaker.de/lbdb/. werd ich mir mal zu Gemüte führen, Danke Zur Frage: ich hab mir einen kleinen Wrapper für ldapsearch geschrieben, daß es da was fertiges gibt, wußte ich gar nicht. Man lernt nie aus. ;-) besser ist das, sonst wirds zu langweilig :-) Torsten
Re: aktuelles ldap-query-Pr ogramm für Mutt
On 22:11 Thu 14 Sep, Torsten Flammiger wrote: Hallo zusammen, kennt- oder hat jemand von Euch ein anderes oder aktuelleres Script für den Mutt im Einsatz als das vom 31.12.1999 ? (URL: ftp://ftp.mutt.org/pub/mutt/contrib/mutt_ldap_query.+) Das Ding funktioniert soweit eigentlich ganz gut, hat aber das gleiche Manko, wie die Abfrage aus dem Thundebird: Multivalue-Attribute werden nicht berücksichtigt bzw. es wird nur der Index 0 zurück geliefert. Vor 7 Jahren mag es noch die Regel gewesen zu sein, das jemand nur 1 Emailadresse hatte; heute schaut das anders aus. ALSO: ich habe mir das lbdb auch noch angesehen. Darin ist sogar eine aktuellere Version von mutt_ldap_query enthalten aber auch hier Fehlanzeige. Es findet nur den ersten Wert eines Multivalue- Attributes. Nach einem Blick in den Quellcode ist mir auch klar warum. Der Author verwendet Scalare anstatt Listen (Arrays) beim auslesen aus dem Verzeichnis. Ich habe deshalb mal ein STARK vereinfachtes Perlscript geschrieben, welches mir die gewünschte Funktionalität bietet. Natürlich bietet es keine Konfigurationsdatei und man kann es bezüglich des Filters und der Attribute noch flexibilisieren, aber es tut :-) Verzeiht die überlangen Zeilen code #!/usr/bin/perl -w use strict; use Getopt::Long; use Net::LDAP; my @email; my @results; my ($ldap,$entry,$mesg,$sn,$givenName,$mail); my $arg= shift @ARGV; # keine Fehlerprüfung Anpassen my $ldap_server= ''; my $ldap_search_base = ''; my $ldap_bind_dn = ''; my $ldap_bind_password = ''; my $filter = '((objectClass=*)(|(sn=' . $arg . '*)(givenName=' . $arg . '*)(mail=' . $arg . '*)))'; ## End Config $ldap = Net::LDAP-new($ldap_server, Port = 389, Debug = 3) or die $@; $ldap-bind($ldap_bind_dn, password= $ldap_bind_password); $mesg = $ldap-search( base = $ldap_search_base, filter = $filter, attrs = ['sn','givenName','mail'] ) or die $@; $mesg-code die Search failed. LDAP server returned an error : , $mesg-code, , description: , $mesg-error; my @entries = $mesg-entries; foreach $entry (@entries) { @email = $entry-get_value(mail); $sn= $entry-get_value(sn); $givenName = $entry-get_value(givenName); foreach(@email) { push(@results, $_ . \t . $givenName . . $sn . \n); } } $ldap-unbind(); # die Statusmeldung landet in der Statusleiste des Mutt # danach kommen die Resultate in das Ergebnisfenster print LDAP query: found , scalar(@results), \n, @results; /code signature.asc Description: Digital signature
aktuelles ldap-query-Progra mm für Mutt
Hallo zusammen, kennt- oder hat jemand von Euch ein anderes oder aktuelleres Script für den Mutt im Einsatz als das vom 31.12.1999 ? (URL: ftp://ftp.mutt.org/pub/mutt/contrib/mutt_ldap_query.+) Das Ding funktioniert soweit eigentlich ganz gut, hat aber das gleiche Manko, wie die Abfrage aus dem Thundebird: Multivalue-Attribute werden nicht berücksichtigt bzw. es wird nur der Index 0 zurück geliefert. Vor 7 Jahren mag es noch die Regel gewesen zu sein, das jemand nur 1 Emailadresse hatte; heute schaut das anders aus. Gruß Torsten signature.asc Description: Digital signature
Re: mod_python, python-ldap und SSL/TLS
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Jan Kohnert schrieb: Hallo, ich nochmal, Nur wenn ich das Ganze unter mod_python im Web ausfuehre, Bringt er mir einen TLS Negotiation failure. (so das log vom slapd). Ohne TLS funktioniert es auch da prima, aber ich moechte nun einmal eine verschluesselte Verbindung, die ja sonst auch ueberall prima funktioniert. OK, es hat sich geklaert. Das Problem lag wohl darin, das der Apache auf eine andere Openssl-Version gelinkt war. Manchmal nert sowas, aber naja, wir lernen daraus: ein konsistentes System sollte halt nur eine libssl haben. ;) Trotzdem danke fuers Lesen, und vielleicht hilfts es ja anderen, die spaeter mal vor einem solchen Problem stehen. MfG Jan -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFFBogyZRp6KEAo/3oRAqSEAKDMzEcNKijWQOLSXOcH6sYxRSKHiACfX5rP nhpUoVNA3IEKKoNetHRI3Uw= =eVuK -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
mod_python, python-ldap und SSL/TLS
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hallo, nun muss ich doch tatsachlich auch mal eine Frage stellen und bin mir direkt nicht sicher, ob ich da hier richtig bin. Ist vielleicht etwas zu speziell, aber ich hoffe, es gibt hier ein paar Leute, die mein Hirn erhellen koennen. Folgendes Problem: Ich habe ein kleines Python-Script geschrieben, dass u.a. einen SSL-Connect auf den LDAP-Server und dann ein simple_bind versucht. import ldap connect = ldap.initialize(ldaps://127.0.0.1:636) user = blahbla pass = geheim connect.simple_bind(user, pass) connect.unbind() Das laesst sich nun als beliebiger User prima ausfuehren und gibt das gewuenschte Ergebniss. Nur wenn ich das Ganze unter mod_python im Web ausfuehre, Bringt er mir einen TLS Negotiation failure. (so das log vom slapd). Ohne TLS funktioniert es auch da prima, aber ich moechte nun einmal eine verschluesselte Verbindung, die ja sonst auch ueberall prima funktioniert. Das ist das Log auf apache (PythonDebug On) File test.py, line 52, in change_ldap connect.simple_bind(user, old_pw) File /usr/lib/python2.4/site-packages/ldap/ldapobject.py, line 169, in simple_bind return self._ldap_call(self._l.simple_bind,who,cred,EncodeControlTuples(serverctrls),EncodeControlTuples(clientctrls)) File /usr/lib/python2.4/site-packages/ldap/ldapobject.py, line 94, in _ldap_call result = func(*args,**kwargs) SERVER_DOWN: {'info': 'error:140740BF:SSL routines:SSL23_CLIENT_HELLO:no protocols available', 'desc': Can't contact LDAP server} Ist das ein Bug/Feature? Oder uebersehe ich einfach irgendwas? Ach so, die mod_python Einbindung: IfModule mod_mime.c AddHandler mod_python .py /IfModule PythonHandler mod_python.publisher PythonDebug On TIA, MfG Jan -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFFBYa0ZRp6KEAo/3oRAggsAKCF8Kq5FVZYAUNP6B79TQAIz8KXfACfcDaJ Otmpg4L7GWfAAdBIf8Fa0D0= =ljj/ -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
LDAP und Evolution
Hallo, ich bin mittlerweile am verzweifeln. Ich versuche verzweifelt, daß sich Evolution am LDAP - Server anmeldet, aber mit meinem Benutzernamen scheitert die Anmeldung und als Admin kann ich mich zwar anmelden, jedoch sehe ich keinen Adressbucheintrag. Also: Die Benutzerverwaltung funktioniert mit LDAP. Ich kann mich sowohl lokal als auch remote als Nutzer anmelden. Ich gehe mal davon aus, daß damit der LDAP - Server funktioniert. Beim Aufsetzen des Servers hielt ich mich an die Links von Ralph Brugger Message-ID: [EMAIL PROTECTED]. Hier noch meine access-Regeln in der slapd.conf ,[ /etc/ldap/slapd.conf ] | access to attrs=userPassword | by self write | by anonymous auth | by dn=cn=admin,dc=meine,dc=domäne write | by * none | | access to dn.children=ou=adressen,dc=meine,dc=domäne | by dn=cn=admin,dc=meine,dc=domäne write | by self write | by * read | | access to dn.base= | by * auth | by * read | | access to * | by dn=cn=admin,dc=meine,dc=domäne write | by users read | by self write | by * read | | access to attr=objectClass | by anonymous auth | by * search | | access to attr=entry,subschemaSubentry,objectClasses | by anonymous auth | by * read ` Diese Regeln habe ich mir aus diversen Howtos zusammen getragen. Vielleicht kann mir ja jemand einen Schubs in die richtige Richtung geben. Ciao Alfred -- Ich werde nie begreifen, wie aus so netten Kindern später einmal Zahnärzte werden können. Erich Kästner
Re: Probleme ldap als Addressbuch zu nutzen
Hermann Kaiser [EMAIL PROTECTED] wrote: On Aug 24, 2006, at 11:14 PM, Ulrich Fürst wrote: Bisher lauscht LDAP nur auf localhost. Ich hätte das aber auch gerne auf 192.168.2.2 finde da aber keine Möglichkeit. schau mal unter /etc/default/slapd nach. # slapd normally serves ldap only on all TCP-ports 389. slapd can also # service requests on TCP-port 636 (ldaps) and requests via unix # sockets. # Example usage: # SLAPD_SERVICES=ldap://127.0.0.1:389/ ldaps:/// ldapi:/// SLAPD_SERVICES ist wohl in Deiner /etc/ldap/slapd.conf gesetzt. Stimmt, Danke! Die Datei hatte ich irgendwie nicht gefunden/nicht dort vermutet :-/ Ulrich
Re: Probleme ldap als Addressbuch zu nutzen
Sorry für die PM Paul! Da sich die Mail nicht im meinem gesendet Ordner befindet (da verschwinden immer wieder welche und ich weiß noch nicht warum...) hier einfach nochmal neu. Paul Muster [EMAIL PROTECTED] wrote: Ulrich Fürst schrieb: Lesen kann ich das auch (über anonyme abfrage). Nur ich schaff's nicht da auch per GUI was hineinzuschreiben (bzw. kopieren, weil's schneller geht und für den späteren Einsatz ja auch sinnig ist - ich will ja auch mal was ändern oder ergänzen). Gut, dann verrate mal die ACLs, die du in der slapd.conf festgelegt hast, und deine Baumstruktur. access to attrs=userPassword by dn=cn=admin,dc=fuerst,dc=priv write by anonymous auth by * write by * none O.k. hier bringt mein * write nichts, da es ja nur um die userPasswordänderung geht. Probiert habe ich Kommandozeile, kaddressbook, luma (jeweils auch als root - aber das ist wohl unabhängig davon?) Ja. Unter welchem User der Client auf dem Client läuft, ist dem Server auf dem Server völlig egal. Wichtig ist, als wen der Client sich beim Server vorstellt, bindet. O.k. Dann melden sich wahrscheinlich die (fehlkonfigurierten) GUI falsch an. Was für einen User sucht er? Ich tippe mal auf einen sasl-user? Den muss ich dann erst mal anlegen? Muss der genauso heißen wie der normale user? Also wenn ich als ulrich auf dem Computer eingeloggt bin, muss dann der sasl-user auch ulrich heißen, oder ist das beliebig? Bei mir sind die LDAP-User im LDAP eingepflegt und melden sich als uid=user,ou=users,dc=domain an. Also sollte ich für jeden User der auf LDAP zugreifen können soll einen LDAP-User anlegen, analog zu meinem admin-Eintrag (der hat ein Passwort und über den kann ich auch per Kommandozeile hinzufügen, ändern, usw. ) Ulrich
Re: Probleme ldap als Addressbuch zu nutzen
Erst falsch, dann unvollständig! Hier noch ein finaler Versuch, die Mail hier richtig raus zu bekommen: Paul Muster [EMAIL PROTECTED] wrote: Gut, dann verrate mal die ACLs, die du in der slapd.conf festgelegt hast, access to attrs=userPassword by dn=cn=admin,dc=fuerst,dc=priv write by anonymous auth by * write by * none access to dn.base= by * read Die obigen Regeln sind (bis auf die dn-Einträge) original. Den hier hab ich versuchsweise dazu gefügt: access to * by dn=cn=admin,dc=fuerst,dc=priv write by * write und deine Baumstruktur. -- primus (Rechnername) |_ dc=fuerst,dc=priv |_cn=admin |_ou=addressbook |_cn=Ulrich Fürst Ulrich
Re: Probleme ldap als Addressbuch zu nutzen
On Aug 24, 2006, at 11:14 PM, Ulrich Fürst wrote: Ulrich Fürst [EMAIL PROTECTED] wrote: Was mir noch nicht klar ist: Bisher lauscht LDAP nur auf localhost. Ich hätte das aber auch gerne auf 192.168.2.2 finde da aber keine Möglichkeit. Ulrich schau mal unter /etc/default/slapd nach. # slapd normally serves ldap only on all TCP-ports 389. slapd can also # service requests on TCP-port 636 (ldaps) and requests via unix # sockets. # Example usage: # SLAPD_SERVICES=ldap://127.0.0.1:389/ ldaps:/// ldapi:/// SLAPD_SERVICES ist wohl in Deiner /etc/ldap/slapd.conf gesetzt. ciao, Hermann
Re: Probleme ldap als Addressbuch zu nutzen
Ulrich Fürst [EMAIL PROTECTED] wrote: O.k. Dann melden sich wahrscheinlich die (fehlkonfigurierten) GUI falsch an. Ich habe (auch die Links weiter oben im Thread gelesen), und bin dann (über irgendeinen Link) auf http://www.ende-der-vernunft.org/?cat=35 gestoßen. Hier wird auch Luma verwendet und folglich auch konfiguriert. Da ich hier den Vergleich hatte, hab ich meinen Fehler gefunden. Falscher Bind (als $user anstatt uid=$user,dc=fuerst,dc=priv) war schuld. Nun funktioniert das erst mal und auch mit kaddressbook. Was mir noch nicht klar ist: Bisher lauscht LDAP nur auf localhost. Ich hätte das aber auch gerne auf 192.168.2.2 finde da aber keine Möglichkeit. Ulrich
Re: Einfache LDAP-Konfiguration
Hi Ralph Brugger, on 21.08.2006 you wrote: Meine LDAP Konfiguration kann ich dir ggf auch mailen. Um ehrlich zu sein, Interesse hätte ich daran ebenfalls. Gäbe es die Möglichkeit, Deine Konfiguration als Beispiel in Deine Linksammlung aufzunehmen? Würde mir auch unheimlich helfen, mal mit LDAP klar zu kommen. Ciao Alfred -- Diese Message wurde erstellt mit freundlicher Unterstützung eines frei- laufenden Pinguins aus artgerechter Freilandhaltung. Sie ist garantiert frei von Micro$oft'schen Viren.
Re: Einfache LDAP-Konfiguration
Patrick Kowalzick schrieb: Vielen Dank an alle für eure Antworten. Ich werde dann doch versuchen einen LDAP aufzusetzten. Mal sehen ob das klappt. Scheint ja eine Vernünftige - aber nicht triviale Lösung zu sein :). @Ralph: gute Linksammlung! Hallo, ich glaube diese Seiten http://www.ende-der-vernunft.org/?p=948 http://helpdesk.ibs-aachen.de/?p=27 haben mir damals auch etwas weitergeholfen. (Mein) Thunderbird kann leider (noch) nicht ins LDAP-Verzeichniss schreiben, nur lesen. Ich verwende auf dem Client (Win) ldapadmin http://ldapadmin.sourceforge.net/ zum Verwalten der Datenbank. Mike -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Probleme ldap als Addressbuch zu nutzen
Ich habe jetzt nochmals versucht endlich mein Adressbuch unabhängig von der nutzenden Anwendung zu machen und ein ldap-Dienst zu nutzen. Der läuft auch erst mal. Nach http://www.onlamp.com/pub/a/onlamp/2003/03/27/ldap_ab.html hab ich es immerhin geschafft auch einen Eintrag da hinein zu bekommen :-) Lesen kann ich das auch (über anonyme abfrage). Nur ich schaff's nicht da auch per GUI was hineinzuschreiben (bzw. kopieren, weil's schneller geht und für den späteren Einsatz ja auch sinnig ist - ich will ja auch mal was ändern oder ergänzen). Probiert habe ich Kommandozeile, kaddressbook, luma (jeweils auch als root - aber das ist wohl unabhängig davon?) Was funktioniert ist (als user oder root): ldapsearch -x -b 'ou=addressbook, dc=fuerst, dc=priv' '(objectclass=*)' # extended LDIF # # LDAPv3 # base ou=addressbook, dc=fuerst, dc=priv with scope sub # filter: (objectclass=*) # requesting: ALL # # addressbook, fuerst.priv dn: ou=addressbook,dc=fuerst,dc=priv objectClass: top objectClass: organizationalUnit ou: addressbook [...] # search result search: 2 result: 0 Success # numResponses: 3 # numEntries: 2 ldapsearch -b 'ou=addressbook, dc=fuerst, dc=priv' '(objectclass=*)' SASL/DIGEST-MD5 authentication started Please enter your password: ldap_sasl_interactive_bind_s: Internal (implementation specific) error (80) additional info: SASL(-13): user not found: no secret in database Was für einen User sucht er? Ich tippe mal auf einen sasl-user? Den muss ich dann erst mal anlegen? Muss der genauso heißen wie der normale user? Also wenn ich als ulrich auf dem Computer eingeloggt bin, muss dann der sasl-user auch ulrich heißen, oder ist das beliebig? vermutung ich muss dazu auch den saslauthd starten. /vermutung Da ist als Default pam eingestellt und von sasldb wird abgeraten (in der man-page). Woher kommen dann die Passwörter, weil saslpasswd2 schreibt ja in eine sasldb!? Auch Links sind willkommen, Ulrich P.S. fehlende Info liefere ich natürlich prompt nach...
Re: Probleme ldap als Addressbuch zu nutzen
Ulrich Fürst schrieb: Ich habe jetzt nochmals versucht endlich mein Adressbuch unabhängig von der nutzenden Anwendung zu machen und ein ldap-Dienst zu nutzen. Der läuft auch erst mal. Nach http://www.onlamp.com/pub/a/onlamp/2003/03/27/ldap_ab.html hab ich es immerhin geschafft auch einen Eintrag da hinein zu bekommen :-) Spricht irgendwas dagegen, die deutschen Howtos zum Thema zu nutzen? :-) http://www.linuxnetmag.com/de/issue9/m9ldap_adressbuch1.html http://www.pro-linux.de/t_office/openldap-adressbuch.html Lesen kann ich das auch (über anonyme abfrage). Nur ich schaff's nicht da auch per GUI was hineinzuschreiben (bzw. kopieren, weil's schneller geht und für den späteren Einsatz ja auch sinnig ist - ich will ja auch mal was ändern oder ergänzen). Gut, dann verrate mal die ACLs, die du in der slapd.conf festgelegt hast, und deine Baumstruktur. Probiert habe ich Kommandozeile, kaddressbook, luma (jeweils auch als root - aber das ist wohl unabhängig davon?) Ja. Unter welchem User der Client auf dem Client läuft, ist dem Server auf dem Server völlig egal. Wichtig ist, als wen der Client sich beim Server vorstellt, bindet. Was für einen User sucht er? Ich tippe mal auf einen sasl-user? Den muss ich dann erst mal anlegen? Muss der genauso heißen wie der normale user? Also wenn ich als ulrich auf dem Computer eingeloggt bin, muss dann der sasl-user auch ulrich heißen, oder ist das beliebig? Bei mir sind die LDAP-User im LDAP eingepflegt und melden sich als uid=user,ou=users,dc=domain an. mfG Paul -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einfache LDAP-Konfiguration
Vielen Dank an alle für eure Antworten. Ich werde dann doch versuchen einen LDAP aufzusetzten. Mal sehen ob das klappt. Scheint ja eine Vernünftige - aber nicht triviale Lösung zu sein :). @Ralph: gute Linksammlung! Viele Grüße, Patrick -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einfache LDAP-Konfiguration
Hi Patrick, Vielen Dank an alle für eure Antworten. Ich werde dann doch versuchen einen LDAP aufzusetzten. Mal sehen ob das klappt. Scheint ja eine Vernünftige - aber nicht triviale Lösung zu sein :). @Ralph: gute Linksammlung! :) Danke. Meine LDAP Konfiguration kann ich dir ggf auch mailen. Ebenso die Konfiguration des Horde Adressbuchs, wenn das für dich relevant ist. Mit Thunderbird ist wie bei den meisten E-Maik Clients LDAP ja nur lesbar. Da ich Horde eh als Webmail Frontend nutze und mir gut gefällt, fand ich die Lösung die Adressen damit zu pflegen ganz praktisch. Grüße, Ralph -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Einfache LDAP-Konfiguration
Hallo alle, ich verwende für meine eMail-Verwaltung einen IMAP-server. Das finde ich eigentlich sehr gut, da ich mich nicht auf einen eMail-Client festlege. Soetwas möchte ich auch gerne für meine Kontakt-Verwaltung machen. Das Einzige was ich bisher gefunden habe, ist es, einen LDAP-Server aufzusetzten. Irgendwie macht das aber den Eindruck, daß ich dabei mit Kanonen auf Spatzen schiesse.. Daher: Wie macht ihr das mit der Verwaltung der Kontakte, wenn diese unabhängig vom eMail-Client sein soll? Viele Grüße, Patrick -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einfache LDAP-Konfiguration
Am Sonntag, den 20.08.2006, 21:03 +0200 schrieb Patrick Kowalzick: ich verwende für meine eMail-Verwaltung einen IMAP-server. Das finde ich eigentlich sehr gut, da ich mich nicht auf einen eMail-Client festlege. Soetwas möchte ich auch gerne für meine Kontakt-Verwaltung machen. Das Einzige was ich bisher gefunden habe, ist es, einen LDAP-Server aufzusetzten. Also ich habe das gerade mit LDAP realisiert. Du hast schon recht, das ist oversized. Aber es ist auch eine gute Möglichkeit was zu lernen. Wenn es erstmal funktioniert, ist das mit Ldap echt super. Allerdings muss man sich etwas einlesen und es ist beim ersten mal nicht trivial. Ich muss mal demnächst zusammenkritzeln, wie ich das realisiert habe. Greetz, Andre
Re: Einfache LDAP-Konfiguration
On 20.08.06 21:03:48, Patrick Kowalzick wrote: Irgendwie macht das aber den Eindruck, daß ich dabei mit Kanonen auf Spatzen schiesse.. Daher: Wie macht ihr das mit der Verwaltung der Kontakte, wenn diese unabhängig vom eMail-Client sein soll? Hmm, ich mache meine (zugegebenermassen _sehr_ bescheidene) Kontaktverwaltung mit abook. Damit bin ich auch unabhaengig vom EMail-Client, allerdings abhaengig von nem Terminal, Webfrontend muesste man sich erst zusammenschrauben. Generell wuerde ich da einfach mal schauen was es so als Standalone Anwendungen gibt. Andreas -- You have the power to influence all with whom you come in contact. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Einfache LDAP-Konfiguration
Andre Timmermann [EMAIL PROTECTED] wrote: Wenn es erstmal funktioniert, ist das mit Ldap echt super. Allerdings muss man sich etwas einlesen und es ist beim ersten mal nicht trivial. Ich muss mal demnächst zusammenkritzeln, wie ich das realisiert habe. Wenn Du's zusammen hast würd ich mir das gerne mal durchlesen. Ich habe das nämlich schon mehrfach (nach vielen verschiedenen HowTos) versucht - erfolglos versteht sich :-( Ulrich P.S. Wobei es wohl daran liegt, dass ich irgendwie die Grundlagen nicht wirklich durchschaue...
Re: Einfache LDAP-Konfiguration
Hallo Patrick, ich verwende für meine eMail-Verwaltung einen IMAP-server. Das finde ich eigentlich sehr gut, da ich mich nicht auf einen eMail-Client festlege. Soetwas möchte ich auch gerne für meine Kontakt-Verwaltung machen. Das Einzige was ich bisher gefunden habe, ist es, einen LDAP-Server aufzusetzten. Daher: Wie macht ihr das mit der Verwaltung der Kontakte, wenn diese unabhängig vom eMail-Client sein soll? Ob das richtig unabhängig hinhaut kann ich dir nicht so 100% sagen, denn die LDAP Schemas sind ja nicht zwingendermaßen gleich. Ich setze hier folgendes ein: - Server mit Debian Stable, Courier IMAP, Apache 2, OpenLDAP Als LDAP Clients - Thunderbird unter Ubuntu und Windows - Horde auf dem Server mit Webmail und Adressbuch - Ein Perl Script für LDAP - Palm Die Adressen pflege ich mit Horde Adressbuch über den Webserver auf dem Server. Horde lässt hier beliebige Schemas mit freier Feldzuordnung zu. In Thunderbird sind die Felder statisch zugeordnet, so dass sich das MozillaSchema als Grundlage anbietet. Das Perl Script für den Export der Adressen auf den PALM ist auch recht gut konfigurierbar. Auf meiner Linksammlung: Ich bin damals mit diesen Artikeln weitergekommen. Das ist nun schon gut drei Jahre her. Bislang bin ich mit der Lösung immer zufrieden gewesen. Horde ist nicht so leicht einzurichten, aber es lohnt sich, wenn du das auch als Webmail verwenden willst. Adressbuch in einem LDAP-Server speichern http://www.linuxnetmag.com/de/issue9/m9ldap_adressbuch1.html Building an LDAP Server on Linux, Part 1-3 http://www.enterprisenetworkingplanet.com/netsysm/article.php/3088441 http://www.enterprisenetworkingplanet.com/netsysm/article.php/3095841 http://www.enterprisenetworkingplanet.com/netsysm/article.php/10954_3107321_2 Building an Address Book with OpenLDAP http://www.onlamp.com/pub/a/onlamp/2003/03/27/ldap_ab.html Zum Mozilla LDAP Schema: https://bugzilla.mozilla.org/show_bug.cgi?id=116692 HTH, Ralph -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
ja, im LDAP befinden sich nur normale User und Gruppen. Ich habe gerade noch einmal getestet, was passiert, wenn ich den zentralen LDAP einfach nur abschalte. Dann habe ich diese Verzoegerung nicht. Die tritt nur auf, wenn ich an meinem Client das Netzwerkkabel ziehe. könnte evt. auch mit der Namensauflösung zusammen hängen. Arbeitest Du mit Nameserver oder über /e/hosts? Mit DNS-Server. und Du hast den LDAP Server mit Hostname oder FQDN eingetragen? Dann ist es wohl eher ein DNS-Timeout, auf welches Dein Client wartet. Der LDAP wird mit vollem Namen angesprochen. Aber vielleicht noch eine Frage zum Verstaendnis: Ich war immer der Meinung, wenn ein lokaler Account gefunden wurde, wird der LDAP nicht mehr bemueht. Dem ist wohl nicht so, oder? Schoene Gruesse Gordon -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Gordon Grubert wrote: ja, im LDAP befinden sich nur normale User und Gruppen. Ich habe gerade noch einmal getestet, was passiert, wenn ich den zentralen LDAP einfach nur abschalte. Dann habe ich diese Verzoegerung nicht. Die tritt nur auf, wenn ich an meinem Client das Netzwerkkabel ziehe. könnte evt. auch mit der Namensauflösung zusammen hängen. Arbeitest Du mit Nameserver oder über /e/hosts? Mit DNS-Server. und Du hast den LDAP Server mit Hostname oder FQDN eingetragen? Dann ist es wohl eher ein DNS-Timeout, auf welches Dein Client wartet. Der LDAP wird mit vollem Namen angesprochen. Und diesen hast Du in der /e/hosts zu stehen? Wenn nicht, wartet Dein System auf den Timeout der DNS Abfrage. Wenn doch, schau Dir mal die Werte für 'time limit' und 'bind_time limit' in der ldap.conf an. Aber vielleicht noch eine Frage zum Verstaendnis: Ich war immer der Meinung, wenn ein lokaler Account gefunden wurde, wird der LDAP nicht mehr bemueht. Dem ist wohl nicht so, oder? Hängt von den Einträgen in der nsswitch.conf, etc. ab. Gruss Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Gordon Grubert wrote: ja, im LDAP befinden sich nur normale User und Gruppen. Ich habe gerade noch einmal getestet, was passiert, wenn ich den zentralen LDAP einfach nur abschalte. Dann habe ich diese Verzoegerung nicht. Die tritt nur auf, wenn ich an meinem Client das Netzwerkkabel ziehe. könnte evt. auch mit der Namensauflösung zusammen hängen. Arbeitest Du mit Nameserver oder über /e/hosts? Mit DNS-Server. und Du hast den LDAP Server mit Hostname oder FQDN eingetragen? Dann ist es wohl eher ein DNS-Timeout, auf welches Dein Client wartet. hth Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Hallo Marc, ich habe dies und ein paar andere Moeglichkeiten einmal ausprobiert und prinzipiell funktioniert es auch. Aber wenn ich z.B. das Netzwerkkabel ziehe (der LDAP-Server ist nicht lokal), dann kann sich root zwar einloggen, aber zwischen Passwort-Abfrage und erfolgreichem Login vergeht schon eine ganze Weile. Auch Kommandos wie top, w etc. benoetigen eine ganze Menge mehr Zeit. Kann man dies irgendwie verhindern? Da bin ich leider etwas überfragt. Zur Verzögerung der Passwortabfrage fällt mir überhaupt nix ein. Bei Befehlen wie top und w, die ja user Information aus LDAP abfragen, kann ich mir Vorstellen, dass die teilweise nach usern suchen, die in LDAP stecken. Du hast nur normale Benutzer-Accounts in LDAP, nicht irgendwelche System-Accounts, oder? ja, im LDAP befinden sich nur normale User und Gruppen. Ich habe gerade noch einmal getestet, was passiert, wenn ich den zentralen LDAP einfach nur abschalte. Dann habe ich diese Verzoegerung nicht. Die tritt nur auf, wenn ich an meinem Client das Netzwerkkabel ziehe. Dennoch vielen Dank. Schoene Gruesse Gordon -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Hallo Martin, Aber wenn ich z.B. das Netzwerkkabel ziehe (der LDAP-Server ist nicht lokal), dann kann sich root zwar einloggen, aber zwischen Passwort-Abfrage und erfolgreichem Login vergeht schon eine ganze Weile. Auch Kommandos wie top, w etc. benoetigen eine ganze Menge mehr Zeit. Tja, ohne nscd hängt dann nsswitch in der LDAP-Abfrage für die ID. Für solche Szenarien, LDAP, NIS u.ä., ist nscd entworfen worden, um den Server von ständigen Abfragen zu entlasten. Ich weiss. Allerdings verhindert der nscd das sich Änderungen auf dem Server sofort auf die Clients auswirken. Aus genau diesem Grund habe ich ihn nicht im Einsatz. Aber vielen Dank fuer den Tip. Schoene Gruesse Gordon -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Gordon Grubert wrote: ich habe dies und ein paar andere Moeglichkeiten einmal ausprobiert und prinzipiell funktioniert es auch. Aber wenn ich z.B. das Netzwerkkabel ziehe (der LDAP-Server ist nicht lokal), dann kann sich root zwar einloggen, aber zwischen Passwort-Abfrage und erfolgreichem Login vergeht schon eine ganze Weile. Auch Kommandos wie top, w etc. benoetigen eine ganze Menge mehr Zeit. Kann man dies irgendwie verhindern? Eigentlich nur mit dem nscd und da funktioniert das auch nur bedingt. ls muss halt die UIDs auflösen, um den Namen des Users anzuzeigen. Das kannst du nur durch die entsprechenden Parameter beseitigen. z.B. ls -n Dann siehst du natürlich keine Usernamen. Allerdings solltest du dich fragen, warum du so viel Arbeit da rein steckst, die Arbeit mit defektem LDAP Server machen zu können. Lieber die Zeit in einen redundanten LDAP Server stecken und dann auch ohne Probleme einen vom netz nehmen können. Wir setzen das seit einiger Zeit ein und es funktioniert tadellos. -- Ihre Systemadministration - Patrick Cornelissen Be 4, Zi 3 -- Tel: 7773 [EMAIL PROTECTED] www.math.uni-bonn.de/support -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Hallo Patrick, Allerdings solltest du dich fragen, warum du so viel Arbeit da rein steckst, die Arbeit mit defektem LDAP Server machen zu können. Lieber die Zeit in einen redundanten LDAP Server stecken und dann auch ohne Probleme einen vom netz nehmen können. Wir setzen das seit einiger Zeit ein und es funktioniert tadellos. dies laeuft bei mir auch schon seit fast einem Jahr (bis jetzt ohne Probleme). Ich denke aber an Situationen, bei denen der Client derart defekt ist, dass er z.B. kein Netzwerk hat. Weiterhin moechte ich auch Laptops in die LDAP-Umgebung einbinden, die - solange im Haus sind - ueber LDAP betrieben werden sollen und unterwegs einen lokalen Account nutzen. Schoene Gruesse Gordon -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Gordon Grubert wrote: dies laeuft bei mir auch schon seit fast einem Jahr (bis jetzt ohne Probleme). Ich denke aber an Situationen, bei denen der Client derart defekt ist, dass er z.B. kein Netzwerk hat. Weiterhin moechte ich auch Laptops in die LDAP-Umgebung einbinden, die - solange im Haus sind - ueber LDAP betrieben werden sollen und unterwegs einen lokalen Account nutzen. Wenn man immer files ldap nimmt sollte(tm) das eigentlich ohne ldap funktionieren. Allerdings überschreibt das lokale Setting dann immer das ldap. Anders wirst du das aber nicht hinkriegen. Ausser du generierst die lokalen Dateien sehr häufig. Nimmst du ldap zuerst wirst du immer auf den Timeout warten müssen. Ist halt die Frage was schlimmer ist. -- Ihre Systemadministration - Patrick Cornelissen Be 4, Zi 3 -- Tel: 7773 [EMAIL PROTECTED] www.math.uni-bonn.de/support -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
dies laeuft bei mir auch schon seit fast einem Jahr (bis jetzt ohne Probleme). Ich denke aber an Situationen, bei denen der Client derart defekt ist, dass er z.B. kein Netzwerk hat. Weiterhin moechte ich auch Laptops in die LDAP-Umgebung einbinden, die - solange im Haus sind - ueber LDAP betrieben werden sollen und unterwegs einen lokalen Account nutzen. Wenn man immer files ldap nimmt sollte(tm) das eigentlich ohne ldap funktionieren. So habe ich es. Es geht ja auch ohne LDAP; man darf eben nur nicht das Netzwerkkabel am Client ziehen. Schoene Gruesse Gordon -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Gordon Grubert schrieb: dies laeuft bei mir auch schon seit fast einem Jahr (bis jetzt ohne Probleme). Ich denke aber an Situationen, bei denen der Client derart defekt ist, dass er z.B. kein Netzwerk hat. Weiterhin moechte ich auch Laptops in die LDAP-Umgebung einbinden, die - solange im Haus sind - ueber LDAP betrieben werden sollen und unterwegs einen lokalen Account nutzen. ... So habe ich es. Es geht ja auch ohne LDAP; man darf eben nur nicht das Netzwerkkabel am Client ziehen. Also müssen die leute mit Laptops mit Kabel herumlaufen? ;-) -- Ihre Systemadministration - Patrick Cornelissen Be 4, Zi 3 -- Tel: 7773 [EMAIL PROTECTED] www.math.uni-bonn.de/support signature.asc Description: OpenPGP digital signature
Re: ldap und root
Klemens Kittan schrieb: Hi, ich habe schon seit zwei Jahren die Userverwaltung auf LDAP umgestellt. Es funktioniert auch sehr gut, bis eines Tages die LDAP-Server nicht mehr erreichbar waren. Ich wollte mich mit dem lokalen User root einloggen und nachsehen was los ist. Leider konnte ich mich als root nicht einloggen. Daraufhin habe ich im Internet gesucht und leider keine Antwort bekommen. Die PAM-Module habe ich mehrfach geprüft. Wenn der LDAP-Server erreichbar ist habe ich keine Probleme mit den lokalen wie mit den Accounts aus LDAP. Hat jemand einähnliches Problem? Ich habe jetzt zwei Tage mit der nsswitch.conf experimentiert und keinen Erfolg gehabt. Das System ist sarge mit dem Kernel 2.6.8-2-386. Hier meine nsswitch .conf: passwd: compat passwd_compat: ldap shadow: files group: files ldap hosts: files dns networks:files protocols:files services: files ethers: files rpc: files automount: files ldap netgroup: ldap Klemens Hallo. Du solltest dir mal die Datei /etc/init.d/libnss-ldap ansehen. Dort wird durch löschen oder erzeugen der Datei /var/lib/libnss-ldap/bind_policy_soft entschieden wie auf den Ausfall des Ldap-Server reagiert wird. Um dein Problem zu lösen must du das Löschen der Datei /var/lib/libnss-ldap/bind_policy_soft verhindern. CU Marcel
Re: ldap und root
Hallo Gordon, Gordon Grubert wrote: Hallo Marc, ich habe dies und ein paar andere Moeglichkeiten einmal ausprobiert und prinzipiell funktioniert es auch. Aber wenn ich z.B. das Netzwerkkabel ziehe (der LDAP-Server ist nicht lokal), dann kann sich root zwar einloggen, aber zwischen Passwort-Abfrage und erfolgreichem Login vergeht schon eine ganze Weile. Auch Kommandos wie top, w etc. benoetigen eine ganze Menge mehr Zeit. Kann man dies irgendwie verhindern? Da bin ich leider etwas überfragt. Zur Verzögerung der Passwortabfrage fällt mir überhaupt nix ein. Bei Befehlen wie top und w, die ja user Information aus LDAP abfragen, kann ich mir Vorstellen, dass die teilweise nach usern suchen, die in LDAP stecken. Du hast nur normale Benutzer-Accounts in LDAP, nicht irgendwelche System-Accounts, oder? ja, im LDAP befinden sich nur normale User und Gruppen. Ich habe gerade noch einmal getestet, was passiert, wenn ich den zentralen LDAP einfach nur abschalte. Dann habe ich diese Verzoegerung nicht. Die tritt nur auf, wenn ich an meinem Client das Netzwerkkabel ziehe. könnte evt. auch mit der Namensauflösung zusammen hängen. Arbeitest Du mit Nameserver oder über /e/hosts? Gruss Reinhold -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
ja, im LDAP befinden sich nur normale User und Gruppen. Ich habe gerade noch einmal getestet, was passiert, wenn ich den zentralen LDAP einfach nur abschalte. Dann habe ich diese Verzoegerung nicht. Die tritt nur auf, wenn ich an meinem Client das Netzwerkkabel ziehe. könnte evt. auch mit der Namensauflösung zusammen hängen. Arbeitest Du mit Nameserver oder über /e/hosts? Mit DNS-Server. Schoene Gruesse Gordon -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Gordon Grubert schrieb: ich habe dies und ein paar andere Moeglichkeiten einmal ausprobiert und prinzipiell funktioniert es auch. Aber wenn ich z.B. das Netzwerkkabel ziehe (der LDAP-Server ist nicht lokal), dann kann sich root zwar einloggen, aber zwischen Passwort-Abfrage und erfolgreichem Login vergeht schon eine ganze Weile. Auch Kommandos wie top, w etc. benoetigen eine ganze Menge mehr Zeit. Kann man dies irgendwie verhindern? Da bin ich leider etwas überfragt. Zur Verzögerung der Passwortabfrage fällt mir überhaupt nix ein. Bei Befehlen wie top und w, die ja user Information aus LDAP abfragen, kann ich mir Vorstellen, dass die teilweise nach usern suchen, die in LDAP stecken. Du hast nur normale Benutzer-Accounts in LDAP, nicht irgendwelche System-Accounts, oder? Ansonsten kann ich leider nur meine Aussage wiederholen: bei mir läuft mit meinen Einstellungen alles glatt, ob mit oder ohne LDAP. Der läuft zwar lokal, ich habe ihn aber zum Testen ausgeschaltet. Alles läuft ohne irgendwelche Verzögerungen (top, w, getent passwd). Grüße Marc -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
On Fri, Aug 04, 2006 at 06:08:28PM +0200, Gordon Grubert wrote: Aber wenn ich z.B. das Netzwerkkabel ziehe (der LDAP-Server ist nicht lokal), dann kann sich root zwar einloggen, aber zwischen Passwort-Abfrage und erfolgreichem Login vergeht schon eine ganze Weile. Auch Kommandos wie top, w etc. benoetigen eine ganze Menge mehr Zeit. Tja, ohne nscd hängt dann nsswitch in der LDAP-Abfrage für die ID. Für solche Szenarien, LDAP, NIS u.ä., ist nscd entworfen worden, um den Server von ständigen Abfragen zu entlasten. Allerdings verhindert der nscd das sich Änderungen auf dem Server sofort auf die Clients auswirken. -- Nicht Absicht unterstellen, wenn auch Dummheit ausreicht! pgptBqgRVEu23.pgp Description: PGP signature
Re: ldap und root
auth [success=1 default=ignore] pam_unix.so auth required pam_ldap.so use_first_pass auth required pam_permit.so The third line is needed, so success=1 can skip over one module and still has a module to jump to. Without that, PAM segfaults! - If you want to use the pam_check_host_attr feature, make sure pam_unix.so doesn't provide a valid account via the Name Service Switch (NSS), which overrides your LDAP configuration. Don't use ldap for shadow in /etc/nsswitch.conf, just use shadow: files. For PAM, use something like the following: # Try local /etc/shadow first and skip LDAP on success account [success=1 default=ignore] pam_unix.so account required pam_ldap.so account required pam_permit.so Das habe ich ausprobiert. Nur funktioniert ein login damit nicht. Weder lokale noch LDAP-User können sich einloggen. Klemens -- Klemens Kittan Systemadministrator Uni-Potsdam, Inst. f. Informatik August-Bebel-Str. 89 14482 Potsdam Tel.: +49-331-977/3125 Fax.: +49-331-977/3122 eMail : [EMAIL PROTECTED] gpg --recv-keys --keyserver wwwkeys.de.pgp.net 6EA09333 pgpyJXl5dp1AQ.pgp Description: PGP signature
Re: ldap und root
Klemens Kittan schrieb: auth [success=1 default=ignore] pam_unix.so auth required pam_ldap.so use_first_pass auth required pam_permit.so The third line is needed, so success=1 can skip over one module and still has a module to jump to. Without that, PAM segfaults! - If you want to use the pam_check_host_attr feature, make sure pam_unix.so doesn't provide a valid account via the Name Service Switch (NSS), which overrides your LDAP configuration. Don't use ldap for shadow in /etc/nsswitch.conf, just use shadow: files. For PAM, use something like the following: # Try local /etc/shadow first and skip LDAP on success account [success=1 default=ignore] pam_unix.so account required pam_ldap.so account required pam_permit.so Das habe ich ausprobiert. Nur funktioniert ein login damit nicht. Weder lokale noch LDAP-User können sich einloggen. Hmm. Ich habe exakt die genannten Einstellungen bei uns in commen-auth bzw. commen-account. Das funktioniert tadellos -- mit und ohne LDAP. Marc -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
auth [success=1 default=ignore] pam_unix.so auth required pam_ldap.so use_first_pass auth required pam_permit.so The third line is needed, so success=1 can skip over one module and still has a module to jump to. Without that, PAM segfaults! - If you want to use the pam_check_host_attr feature, make sure pam_unix.so doesn't provide a valid account via the Name Service Switch (NSS), which overrides your LDAP configuration. Don't use ldap for shadow in /etc/nsswitch.conf, just use shadow: files. For PAM, use something like the following: # Try local /etc/shadow first and skip LDAP on success account [success=1 default=ignore] pam_unix.so account required pam_ldap.so account required pam_permit.so Hmm. Ich habe exakt die genannten Einstellungen bei uns in commen-auth bzw. commen-account. Das funktioniert tadellos -- mit und ohne LDAP. Ich habe soeben genau diese Einstellungen in die common-auth bzw. common-account eingetragen. Jetzt ist es mir nicht möglich mich einzuloggen. Weder als LDAP-User noch als lokaler root. Kannst du bei dir nocheinmal schauen ob du wirklich diese Einstellungen nimmst? Und wie sieht deine nsswitch.conf aus? Klemens -- Klemens Kittan Systemadministrator Uni-Potsdam, Inst. f. Informatik August-Bebel-Str. 89 14482 Potsdam Tel.: +49-331-977/3125 Fax.: +49-331-977/3122 eMail : [EMAIL PROTECTED] gpg --recv-keys --keyserver wwwkeys.de.pgp.net 6EA09333 pgpKKb4tHUh4x.pgp Description: PGP signature
Re: ldap und root
Klemens Kittan schrieb: Ich habe soeben genau diese Einstellungen in die common-auth bzw. common-account eingetragen. Jetzt ist es mir nicht möglich mich einzuloggen. Weder als LDAP-User noch als lokaler root. Kannst du bei dir nocheinmal schauen ob du wirklich diese Einstellungen nimmst? Ich sehe gerade, dass ich noch ne Option habe in common-auth: nullok_secure. Das wird allerdings nur für logins ohne Passwort genutzt, wenn ich es richtig verstehe. Meine pam Einstellungen: common-auth: auth [success=1 default=ignore] pam_unix.so nullok_secure authrequiredpam_ldap.so use_first_pass authrequiredpam_permit.so common-account: account [success=1 default=ignore] pam_unix.so account requiredpam_ldap.so account requiredpam_permit.so common-password: password sufficient pam_ldap.so use_first_pass use_authtok password requiredpam_unix.so nullok obscure min=4 max=8 md5 common-session: session optionalpam_ldap.so session requiredpam_unix.so Und wie sieht deine nsswitch.conf aus? nsswitch.conf: passwd: files ldap group: files ldap shadow: files ldap hosts: files dns wins Zu guter letzt der Vollständigkeit halber noch pam_ldap.conf: host 127.0.0.1 base meine dn ldap_version 3 rootbinddn mein ldap admin pam_password crypt nss_base_passwd ou=Users,meine dn?one nss_base_shadow ou=Users,meine dn?one nss_base_passwd ou=Computers,meine dn?one nss_base_shadow ou=Computers,meine dn?one nss_base_group ou=Groups,meine dn?one und libnss-ldap.conf: host 127.0.0.1 base meine dn ldap_version 3 rootbinddn mein ldap admin pam_password crypt nss_base_passwd ou=Users,meine dn?one nss_base_shadow ou=Users,meine dn?one nss_base_passwd ou=Computers,meine dn?one nss_base_shadow ou=Computers,meine dn?one nss_base_group ou=Groups,meine dn?one ssl no Ich hoffe, dass dir das weiterhilft. Grüße Marc -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Hallo Marc, Ich habe soeben genau diese Einstellungen in die common-auth bzw. common-account eingetragen. Jetzt ist es mir nicht möglich mich einzuloggen. Weder als LDAP-User noch als lokaler root. Kannst du bei dir nocheinmal schauen ob du wirklich diese Einstellungen nimmst? Meine pam Einstellungen: common-auth: ... common-account: ... common-password: ... common-session: ... nsswitch.conf: ... ich habe dies und ein paar andere Moeglichkeiten einmal ausprobiert und prinzipiell funktioniert es auch. Aber wenn ich z.B. das Netzwerkkabel ziehe (der LDAP-Server ist nicht lokal), dann kann sich root zwar einloggen, aber zwischen Passwort-Abfrage und erfolgreichem Login vergeht schon eine ganze Weile. Auch Kommandos wie top, w etc. benoetigen eine ganze Menge mehr Zeit. Kann man dies irgendwie verhindern? Schoene Gruesse Gordon -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
ldap und root
Hi, ich habe schon seit zwei Jahren die Userverwaltung auf LDAP umgestellt. Es funktioniert auch sehr gut, bis eines Tages die LDAP-Server nicht mehr erreichbar waren. Ich wollte mich mit dem lokalen User root einloggen und nachsehen was los ist. Leider konnte ich mich als root nicht einloggen. Daraufhin habe ich im Internet gesucht und leider keine Antwort bekommen. Die PAM-Module habe ich mehrfach geprüft. Wenn der LDAP-Server erreichbar ist habe ich keine Probleme mit den lokalen wie mit den Accounts aus LDAP. Hat jemand einähnliches Problem? Ich habe jetzt zwei Tage mit der nsswitch.conf experimentiert und keinen Erfolg gehabt. Das System ist sarge mit dem Kernel 2.6.8-2-386. Hier meine nsswitch .conf: passwd: compat passwd_compat: ldap shadow: files group: files ldap hosts: files dns networks:files protocols:files services: files ethers: files rpc: files automount: files ldap netgroup: ldap Klemens pgpRser3X2Ta3.pgp Description: PGP signature
Re: ldap und root
Hallo Klemens, * Klemens Kittan schrieb [03-08-06 13:55]: Ich wollte mich mit dem lokalen User root einloggen und nachsehen was los ist. Leider konnte ich mich als root nicht einloggen. Hast du die Dateien in /etc/pam.d geprüft. IIRC hatte ich da auch mal Probleme, weil ich die Sortierung von pam_ldap und pam_unix verkehrt hatte. Siehe meine common-* auf http://www.cs-ol.de/upload/pam-common.tar.gz Daraufhin habe ich im Internet gesucht und leider keine Antwort bekommen. Die PAM-Module habe ich mehrfach geprüft. Wenn der LDAP-Server erreichbar ist habe ich keine Probleme mit den lokalen wie mit den Accounts aus LDAP. Hat jemand einähnliches Problem? Ich habe jetzt zwei Tage mit der nsswitch.conf experimentiert und keinen Erfolg gehabt. Weil es daran wahrscheinlich nicht liegt. Hier meine nsswitch .conf: passwd: compat Bei mir: passwd:compat ldap passwd_compat: ldap Fehlt bei mir. shadow: files Bei mir: shadow:files ldap HTH Mit freundlichen Grüßen Udo Müller -- ComputerService Udo Müller Tel.: 0441-36167578 Schöllkrautweg 16 Fax.: 0441-36167579 26135 Oldenburg [EMAIL PROTECTED] Mobil: 0162-4365411 signature.asc Description: Digital signature
Re: ldap und root
Am Donnerstag, 3. August 2006 13:55 schrieb Klemens Kittan: Hi, ich habe schon seit zwei Jahren die Userverwaltung auf LDAP umgestellt. Es funktioniert auch sehr gut, bis eines Tages die LDAP-Server nicht mehr erreichbar waren. Ich wollte mich mit dem lokalen User root einloggen und nachsehen was los ist. Leider konnte ich mich als root nicht einloggen. Daraufhin habe ich im Internet gesucht und leider keine Antwort bekommen. Die PAM-Module habe ich mehrfach geprüft. Wenn der LDAP-Server erreichbar ist habe ich keine Probleme mit den lokalen wie mit den Accounts aus LDAP. Hat jemand einähnliches Problem? Ich habe jetzt zwei Tage mit der nsswitch.conf experimentiert und keinen Erfolg gehabt. Das System ist sarge mit dem Kernel 2.6.8-2-386. Hier meine nsswitch .conf: die sieht ok aus. Wichtig ist, das deine pam-config (login/ssh oder in common-*) noch pam_unix.so mit drin hat und pam_ldap.so nicht required ist sondern höchstens sufficient. -- Markus Schulz Kreuzigt mich - aber Debian ist einfach deppensicher. Es lässt Deppen gegen eine Wand von Schwierigkeiten klatschen und langsam abtropfen. Wer die Tür findet, darf mitspielen - und so sieht das Spielzeug dann eben aus: Gut gepflegt. -- Joerg Rossdeutscher
Re: ldap und root
Hallo Klemens, welche settings hast Du denn in /etc/pam.d/[account|auth|passwd|ssh]? Stimmt die Reihenfolge, sind die controls erfüllt (sufficient, required)? UIDs bis zu einem bestimmten Wert sollten allerdings sowieso vom LDAP getrennt sein, 'minuid' in /etc/ldap.conf, wenn ich mich recht erinnere. Martin Klemens Kittan wrote: Hi, ich habe schon seit zwei Jahren die Userverwaltung auf LDAP umgestellt. Es funktioniert auch sehr gut, bis eines Tages die LDAP-Server nicht mehr erreichbar waren. Ich wollte mich mit dem lokalen User root einloggen und nachsehen was los ist. Leider konnte ich mich als root nicht einloggen. Daraufhin habe ich im Internet gesucht und leider keine Antwort bekommen. Die PAM-Module habe ich mehrfach geprüft. Wenn der LDAP-Server erreichbar ist habe ich keine Probleme mit den lokalen wie mit den Accounts aus LDAP. Hat jemand einähnliches Problem? Ich habe jetzt zwei Tage mit der nsswitch.conf experimentiert und keinen Erfolg gehabt. Das System ist sarge mit dem Kernel 2.6.8-2-386. Hier meine nsswitch .conf: passwd: compat passwd_compat: ldap shadow: files group: files ldap hosts: files dns networks:files protocols:files services: files ethers: files rpc: files automount: files ldap netgroup: ldap Klemens -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
welche settings hast Du denn in /etc/pam.d/[account|auth|passwd|ssh]? hier meine PAM-Module: common-account account sufficient pam_unix.so account sufficient pam_ldap.so account requiredpam_deny.so common-auth authrequiredpam_env.so authsufficient pam_unix.so likeauth nullok authsufficient pam_ldap.so use_first_pass authrequiredpam_deny.so common-session session requiredpam_limits.so session requiredpam_unix.so session optionalpam_ldap.so common-password passwordsufficient pam_unix.so nullok obscure min=4 max=8 md5 passwordsufficient pam_ldap.so use_authtok passwordrequiredpam_deny.so Mit diesen Einstellungen funktioniert die Userverwaltung bestens, nur nicht wen der LDAP-Server mal nicht erreichbar ist. Klemens pgpDFkBh0cxq9.pgp Description: PGP signature
Re: ldap und root
Wichtig ist, das deine pam-config (login/ssh oder in common-*) noch pam_unix.so mit drin hat und pam_ldap.so nicht required ist sondern höchstens sufficient. Die PAM-Module habe ich gerade gepostet, kannst ja mal drüber sehen. KLemens pgpD9xF9JRkl0.pgp Description: PGP signature
Re: ldap und root
Hast du die Dateien in /etc/pam.d geprüft. IIRC hatte ich da auch mal Probleme, weil ich die Sortierung von pam_ldap und pam_unix verkehrt hatte. Siehe meine common-* auf http://www.cs-ol.de/upload/pam-common.tar.gz Die habe ich überprüft, wenn ich die Reihenfolge vertausche, dann habe ich auch Probleme wenn der LDAP-Server erreichbar ist. Bei mir: passwd:compat ldap Ich benutze Netzgruppen, um die User einzuschränken (wer darf sich wo einloggen). Deshalb verwende ich passwd_compat: ldap. Das funktioniert auch sehr gut. Ist ein User nicht in der entsprechenden Netzgruppe kann er sich auf dem Rechner nicht einloggen. Klemens pgpSjEiKfWIrw.pgp Description: PGP signature
Re: ldap und root
Noch mal zum Verständnis: dass Du Dich nicht einloggen kannst bedeutet was: - Der Login-Versuch endet nach Eingabe von UID/pass, falls erforderlich, recht spontan mit 'Permission denied' - Die Login-Session nimmt gar kein UID/passwd entgegen und terminiert nach einger Zeit (60s) - Die Login-Session nimmt UID/passwd entgegen und terminiert nach einger Zeit (60s) Martin Klemens Kittan wrote: welche settings hast Du denn in /etc/pam.d/[account|auth|passwd|ssh]? hier meine PAM-Module: common-account account sufficient pam_unix.so account sufficient pam_ldap.so account requiredpam_deny.so common-auth authrequiredpam_env.so authsufficient pam_unix.so likeauth nullok authsufficient pam_ldap.so use_first_pass authrequiredpam_deny.so common-session session requiredpam_limits.so session requiredpam_unix.so session optionalpam_ldap.so common-password passwordsufficient pam_unix.so nullok obscure min=4 max=8 md5 passwordsufficient pam_ldap.so use_authtok passwordrequiredpam_deny.so Mit diesen Einstellungen funktioniert die Userverwaltung bestens, nur nicht wen der LDAP-Server mal nicht erreichbar ist. Klemens -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ldap und root
Klemens Kittan schrieb: ich habe schon seit zwei Jahren die Userverwaltung auf LDAP umgestellt. Es funktioniert auch sehr gut, bis eines Tages die LDAP-Server nicht mehr erreichbar waren. Ich wollte mich mit dem lokalen User root einloggen und nachsehen was los ist. Leider konnte ich mich als root nicht einloggen. Daraufhin habe ich im Internet gesucht und leider keine Antwort bekommen. Die PAM-Module habe ich mehrfach geprüft. Wenn der LDAP-Server erreichbar ist habe ich keine Probleme mit den lokalen wie mit den Accounts aus LDAP. Schau dir mal /usr/share/doc/libpam-ldap/README.Debian an, da steht: --- libpam-ldap for Debian -- - Be very careful when you use sufficient pam_ldap.so in Debian's /etc/pam.d/common-* files: Some services can place other required PAM-modules after the includes, which will be ignored if pam_ldap.so succeeds. As a workaround, use something like the following construct: # Check local authentication first, so root can still login # while LDAP is down. auth [success=1 default=ignore] pam_unix.so auth required pam_ldap.so use_first_pass auth required pam_permit.so The third line is needed, so success=1 can skip over one module and still has a module to jump to. Without that, PAM segfaults! - If you want to use the pam_check_host_attr feature, make sure pam_unix.so doesn't provide a valid account via the Name Service Switch (NSS), which overrides your LDAP configuration. Don't use ldap for shadow in /etc/nsswitch.conf, just use shadow: files. For PAM, use something like the following: # Try local /etc/shadow first and skip LDAP on success account [success=1 default=ignore] pam_unix.so account required pam_ldap.so account required pam_permit.so - Ich denke, das könnte weiterhelfen. Grüße Marc -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Thunderbird und LDAP Adressbuch
Hallo, Ich weiß, es ist etwas OT, aber in der Mozilla Newsgroup kann mir anscheinend keiner weiterhelfen ... Ich verwende etch, Thunderbird als MUA, wobei ich anstatt des Standard-Adressbuches ein LDAP Adressbuch verwende. Am Server läuft openLDAP (slapd) auf sarge. Mein Problem: Wenn ich eine e-mail an einen Kontakt senden will, der zwei e-mail Adresssen hat, so werden in der Regel, also bei Verwendung des lokalen Adressbuches (aka Personal Address Book), beide e-mail Adressen mittels Auto-completion angezeigt. Ist der Kontakt jedoch in einem LDAP Adressbuch gespeichert, so wird nur die primäre Adresse angezeigt. Klicke ich aber im LDAP Adressbuch auf den Kontakt (vcard), so ist bei diesem korrekterweise auch die zweite e-mail Adresse eingetragen. Das Verhalten stört jedoch, da ich von allen meinen Kontakten zwei e-mail Adressen habe und diese beiden auch regelmäßig benötige. Zuerst dachte ich an ein falsches Mapping der LDAP Attribute zu den Thunderbird/Mozilla Attributen, aber das scheidet aus, da ja die zweite Adresse vorhanden ist, jedoch nur wenn ich durch einen Doppelklick die vcard anschaue. Ein normaler LDAP Adressbuch-Eintrag schaut auf dem Server wie folgt aus: dn:cn=Gerald Holl,ou=privatestuff,dc=domain,dc=com objectClass: top objectClass: inetOrgPerson objectClass: mozillaOrgPerson objectClass: mozillaAddressBookEntry cn: Gerald Holl givenName: Gerald sn: Holl uid: tGAaejjs2 mail: [EMAIL PROTECTED] mozillaSecondEmail: [EMAIL PROTECTED] Vielleicht weiß jemand Rat :) Vielen Dank, Gerald -- http://holl.co.at -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Ldap und adduser
Am Mittwoch 21 Juni 2006 22:49 schrieb Jörg Sommer: Hallo Markus, Markus Boas [EMAIL PROTECTED] wrote: Hallo Liste meine OpenLdap installation funktioniert jetzt halbwegs. Nur hab ich ein Problem, das apt-get keine User mehr anlegen kann weil adduser nicht gegen Ldap schreiben kann. Useradd konnte ich durch cpu useradd ersetzen. Aber wie mach ich das mit adduser? Ich selbst kann kein Perl und der letze ldap-patch gegen adduser ist aus dem Jahre 2003, sprich nicht mehr brauchbar. Weiß jemand weiter? Kann man PAM nicht dahingehend konfigurieren, dass das normale passwd und useradd mit LDAP funktionieren? Das ja, das hab ich ja auch hinbekommen, nur verwenden die .deb Pakete leider adduser. Sprich ich muss die Aufrufe von adduser umbiegen. Da adduser nicht nach ldap schreiben kann. Gruß Markus Schöne Grüße, Jörg. -- Geld allein macht nicht glücklich, aber es ist besser in einem Taxi zu weinen, als in der Straßenbahn. (Marcel Reich-Ranicki)
Re: Ldap und adduser
Hallo Markus, - original Nachricht Von: Markus Boas [EMAIL PROTECTED] Am Mittwoch 21 Juni 2006 22:49 schrieb Jörg Sommer: Hallo Markus, Markus Boas [EMAIL PROTECTED] wrote: Hallo Liste meine OpenLdap installation funktioniert jetzt halbwegs. Nur hab ich ein Problem, das apt-get keine User mehr anlegen kann weil adduser nicht gegen Ldap schreiben kann. Useradd konnte ich durch cpu useradd ersetzen. Aber wie mach ich das mit adduser? Ich selbst kann kein Perl und der letze ldap-patch gegen adduser ist aus dem Jahre 2003, sprich nicht mehr brauchbar. Weiß jemand weiter? Kann man PAM nicht dahingehend konfigurieren, dass das normale passwd und useradd mit LDAP funktionieren? Das ja, das hab ich ja auch hinbekommen, nur verwenden die .deb Pakete leider adduser. Sprich ich muss die Aufrufe von adduser umbiegen. Da adduser nicht nach ldap schreiben kann. vielleicht hilft Dir hiervon etwas weiter: http://radom.org/lostfound.php?id=179 http://www.hbg-bremen.de/~roland/code/adduser.xhtml hth Reinhold
Re: Ldap und adduser
Markus Boas schreibt: Am Mittwoch 21 Juni 2006 22:49 schrieb Jörg Sommer: Hallo Markus, Markus Boas [EMAIL PROTECTED] wrote: Hallo Liste meine OpenLdap installation funktioniert jetzt halbwegs. Nur hab ich ein Problem, das apt-get keine User mehr anlegen kann weil adduser nicht gegen Ldap schreiben kann. [...] Kann man PAM nicht dahingehend konfigurieren, dass das normale passwd und useradd mit LDAP funktionieren? Das ja, das hab ich ja auch hinbekommen, nur verwenden die .deb Pakete leider adduser. Sprich ich muss die Aufrufe von adduser umbiegen. Da adduser nicht nach ldap schreiben kann. Warum sollen die Systemkonten, die bei der Paketinstallation angelegt werden, überhaupt ins LDAP-Verzeichnis? Warum läßt Du die Pakete diese Systemkonten nicht lokal anlegen? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Ldap und adduser
Hallo Markus, Markus Boas [EMAIL PROTECTED] wrote: Am Mittwoch 21 Juni 2006 22:49 schrieb Jörg Sommer: Markus Boas [EMAIL PROTECTED] wrote: Hallo Liste meine OpenLdap installation funktioniert jetzt halbwegs. Nur hab ich ein Problem, das apt-get keine User mehr anlegen kann weil adduser nicht gegen Ldap schreiben kann. Useradd konnte ich durch cpu useradd ersetzen. Aber wie mach ich das mit adduser? Ich selbst kann kein Perl und der letze ldap-patch gegen adduser ist aus dem Jahre 2003, sprich nicht mehr brauchbar. Weiß jemand weiter? Kann man PAM nicht dahingehend konfigurieren, dass das normale passwd und useradd mit LDAP funktionieren? Das ja, das hab ich ja auch hinbekommen, nur verwenden die .deb Pakete leider adduser. Sprich ich muss die Aufrufe von adduser umbiegen. Da adduser nicht nach ldap schreiben kann. Läuft der adduser-Aufruf nicht auch durch PAM? Ich dachte, das war so. Na dann wird das nichts. Schöne Grüße, Jörg. -- Nicht was du bist, ist es was dich ehrt, wie du bist bestimmt den Wert. Wünsche hat man oft und viel, nur wer lernt erreicht sein Ziel. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Ldap und adduser
Am Donnerstag 22 Juni 2006 10:13 schrieb Andreas Vögele: Markus Boas schreibt: Am Mittwoch 21 Juni 2006 22:49 schrieb Jörg Sommer: Hallo Markus, Markus Boas [EMAIL PROTECTED] wrote: Hallo Liste meine OpenLdap installation funktioniert jetzt halbwegs. Nur hab ich ein Problem, das apt-get keine User mehr anlegen kann weil adduser nicht gegen Ldap schreiben kann. [...] Kann man PAM nicht dahingehend konfigurieren, dass das normale passwd und useradd mit LDAP funktionieren? Das ja, das hab ich ja auch hinbekommen, nur verwenden die .deb Pakete leider adduser. Sprich ich muss die Aufrufe von adduser umbiegen. Da adduser nicht nach ldap schreiben kann. Warum sollen die Systemkonten, die bei der Paketinstallation angelegt werden, überhaupt ins LDAP-Verzeichnis? Warum läßt Du die Pakete diese Systemkonten nicht lokal anlegen? Würde ich schon gern, aber ist mir nicht gelungen das so zu konfigurieren. Möglich das man das über die nsswitch mit regeln kann. Nur ist da mein Wissen etwas dürftig.
Re: Ldap und adduser
Am Donnerstag 22 Juni 2006 10:08 schrieb Reinhold Plew: Hallo Markus, - original Nachricht Von: Markus Boas [EMAIL PROTECTED] Am Mittwoch 21 Juni 2006 22:49 schrieb Jörg Sommer: Hallo Markus, Markus Boas [EMAIL PROTECTED] wrote: Hallo Liste meine OpenLdap installation funktioniert jetzt halbwegs. Nur hab ich ein Problem, das apt-get keine User mehr anlegen kann weil adduser nicht gegen Ldap schreiben kann. Useradd konnte ich durch cpu useradd ersetzen. Aber wie mach ich das mit adduser? Ich selbst kann kein Perl und der letze ldap-patch gegen adduser ist aus dem Jahre 2003, sprich nicht mehr brauchbar. Weiß jemand weiter? Kann man PAM nicht dahingehend konfigurieren, dass das normale passwd und useradd mit LDAP funktionieren? Das ja, das hab ich ja auch hinbekommen, nur verwenden die .deb Pakete leider adduser. Sprich ich muss die Aufrufe von adduser umbiegen. Da adduser nicht nach ldap schreiben kann. vielleicht hilft Dir hiervon etwas weiter: http://radom.org/lostfound.php?id=179 http://www.hbg-bremen.de/~roland/code/adduser.xhtml Den zweiten Link kannte ich, für mich schaut das mehr nach einer Idee aus als nach was schon brauchbarem. Das erste werd ich morgen ausprobieren, das schaut richtig gut aus. Danke hth Reinhold
Re: Probleme mit LDAP-Authentifizierung
Markus Schulz schrieb: Am Dienstag, 20. Juni 2006 15:07 schrieb Thomas Guenther: Hallo, [...] Bin ich auf dem Sarge-System root und wechsle nach user2, geht das sofort und ohne Probleme. Und auch ein Netzwerksniffen brachte wohl, weil du die rootbinddn in der ldap.conf gesetzt hast + ldap.secret. Ja, exakt. [...] Wie sehen die üblichen verdächtigen denn aus? /etc/ldap/ldap.conf --ldap.conf--- host ldap-system ip base dc=x,dc=y,dc=de ldap_version 3 binddn cn=nssldap,ou=dsa,dc=x,dc=y,dc=de bindpw pwd f. nssldap nss_base_passwd dc=x,dc=y,dc=de?sub nss_base_shadow dc=x,dc=y,dc=de?sub nss_base_group dc=x,dc=y,dc=de?one ssl no pam_password crypt -- /etc/libnss-ldap.conf ---libnss-ldap.conf--- host ldap-system ip uri ldap://iit005.uni-duisburg.de/ base dc=x,dc=y,dc=de ldap_version 3 binddn cn=nssldap,ou=dsa,dc=x,dc=y,dc=de bindpw pwd f. nssldap nss_base_passwd dc=x,dc=y,dc=de?sub nss_base_shadow dc=x,dc=y,dc=de?sub nss_base_group ou=Groups,dc=x,dc=y,dc=de?one pam_filter objectclass=posixAccount use_sasl off -- -pam_ldap.conf- host ldap-system ip base dc=x,dc=y,dc=de ldap_version 3 rootbinddn cn=nssldap,ou=dsa,dc=x,dc=y,dc=de scope sub scope one scope base pam_filter objectclass=posixAccount pam_password crypt --- -nsswitch.conf- passwd: files ldap group: files ldap shadow: files ldap hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc:db files #netgroup: nis --- /etc/pam.d/common-auth (oder wo auch immer du ldap eingetragen hast) ---common-auth--- auth sufficient pam_ldap.so auth required pam_unix.so try_first_pass - ---common-account--- account sufficient pam_ldap.so account required pam_unix.so ---common-password-- password sufficient pam_ldap.so password required pam_unix.so In jedem Fall den slapd auf LogLevel 256 setzen und anschauen was da genau ankommt. Damit siehst du jedes Query auf die Ldap Datenbank. Ist schon. Hier mal der Teil mit der Anmeldung vom CLIENT bis zum Zeitpunkt, als das Passwort für den User eingegeben wurde und eine erneute Passworteingabe erwartet wurde: Jun 20 10:02:44 iit005 slapd[7759]: conn=24810 fd=38 ACCEPT from IP=client ip:32915 (IP=0.0.0.0:389) Jun 20 10:02:44 iit005 slapd[7778]: conn=24810 op=0 BIND dn=cn=nssldap,ou=dsa,dc=x,dc=y,dc=de method=128 Jun 20 10:02:44 iit005 slapd[7778]: conn=24810 op=0 BIND dn=cn=nssldap,ou=dsa,dc=x,dc=y,dc=de mech=SIMPLE ssf=0 Jun 20 10:02:44 iit005 slapd[7778]: conn=24810 op=0 RESULT tag=97 err=0 text= Jun 20 10:02:44 iit005 slapd[7762]: conn=24810 op=1 SRCH base=dc=x,dc=y,dc=de scope=2 deref=0 filter=((objectClass=posixAccount)(\ uid=user1)) Jun 20 10:02:44 iit005 slapd[7762]: conn=24810 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= Jun 20 10:02:44 iit005 slapd[7761]: conn=24810 op=2 SRCH base=ou=Groups,dc=x,dc=y,dc=de scope=1 deref=0 filter=((objectClass=posi\ xGroup)(|(memberUid=user1)(uniqueMember=uid=user1,ou=users,dc=x,dc=y,dc=de))) Jun 20 10:02:44 iit005 slapd[7761]: conn=24810 op=2 SRCH attr=gidNumber Jun 20 10:02:44 iit005 slapd[7761]: = bdb_equality_candidates: (uniqueMember) index_param failed (18) Jun 20 10:02:44 iit005 slapd[7761]: conn=24810 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text= Jun 20 10:02:44 iit005 slapd[21337]: conn=24810 op=3 SRCH base=ou=Groups,dc=x,dc=y,dc=de scope=1 deref=0 filter=((objectClass=pos\ ixGroup)(uniqueMember=cn=group1,ou=groups,dc=x,dc=y,dc=de)) Jun 20 10:02:44 iit005 slapd[21337]: conn=24810 op=3 SRCH attr=gidNumber Jun 20 10:02:44 iit005 slapd[21337]: = bdb_equality_candidates: (uniqueMember) index_param failed (18) Jun 20 10:02:44 iit005 slapd[21337]: conn=24810 op=3 SEARCH RESULT tag=101 err=0 nentries=0 text= Jun 20 10:02:44 iit005 slapd[7759]: conn=24811 fd=42 ACCEPT from IP=client ip:32916 (IP=0.0.0.0:389) Jun 20 10:02:44 iit005 slapd[7778]: conn=24811 op=0 BIND dn=cn=nssldap,ou=dsa,dc=x,dc=y,dc=de method=128 Jun 20 10:02:44 iit005 slapd[7778]: conn=24811 op=0 BIND dn=cn=nssldap,ou=dsa,dc=x,dc=y,dc=de mech=SIMPLE ssf=0 Jun 20 10:02:44 iit005 slapd[7778]: conn=24811 op=0 RESULT tag=97 err=0 text= Jun 20 10:02:44 iit005 slapd[7762]: conn=24811 op=1 SRCH base=dc=x,dc=y,dc=de scope=0 deref=0 filter=(uid=user1) Jun 20 10:02:44 iit005 slapd[7762]: conn=24811 op=1 SEARCH RESULT tag=101 err=0
Re: Probleme mit LDAP-Authentifizierung
Hallo, Thomas Guenther schrieb: [...] /etc/ldap/ldap.conf --ldap.conf--- host ldap-system ip base dc=x,dc=y,dc=de ldap_version 3 binddn cn=nssldap,ou=dsa,dc=x,dc=y,dc=de bindpw pwd f. nssldap nss_base_passwd dc=x,dc=y,dc=de?sub nss_base_shadow dc=x,dc=y,dc=de?sub nss_base_group dc=x,dc=y,dc=de?one Diese drei Zeilen bitte... ssl no pam_password crypt -- [...] -pam_ldap.conf- host ldap-system ip base dc=x,dc=y,dc=de ldap_version 3 rootbinddn cn=nssldap,ou=dsa,dc=x,dc=y,dc=de hier einfügen. Damit der Pam-Dienst (pam_ldap) auch die Daten zu dem Nutzer finden kann. Ist denn dein nss_base_* wirklich die korrekte Position? Meist nennt man die entsprechenden Pfade in der Art:(komplette Zeile) nss_base_passwdou=Users,dc=example,dc=com?one scope sub scope one scope base Was soll das? Entweder nur einmal festlegen oder garnicht ;) Kannst du getrost weglassen. pam_filter objectclass=posixAccount pam_password crypt Ansonsten sieht das Setup ok aus. In jedem Fall den slapd auf LogLevel 256 setzen und anschauen was da genau ankommt. Damit siehst du jedes Query auf die Ldap Datenbank. Ist schon. Hier mal der Teil mit der Anmeldung vom CLIENT bis zum Zeitpunkt, als das Passwort für den User eingegeben wurde und eine erneute Passworteingabe erwartet wurde: Jun 20 10:02:44 iit005 slapd[7759]: conn=24810 fd=38 ACCEPT from IP=client ip:32915 (IP=0.0.0.0:389) Jun 20 10:02:44 iit005 slapd[7778]: conn=24810 op=0 BIND dn=cn=nssldap,ou=dsa,dc=x,dc=y,dc=de method=128 Jun 20 10:02:44 iit005 slapd[7778]: conn=24810 op=0 BIND dn=cn=nssldap,ou=dsa,dc=x,dc=y,dc=de mech=SIMPLE ssf=0 Jun 20 10:02:44 iit005 slapd[7778]: conn=24810 op=0 RESULT tag=97 err=0 text= Jun 20 10:02:44 iit005 slapd[7762]: conn=24810 op=1 SRCH base=dc=x,dc=y,dc=de scope=2 deref=0 filter=((objectClass=posixAccount)(\ uid=user1)) Jun 20 10:02:44 iit005 slapd[7762]: conn=24810 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= Jun 20 10:02:44 iit005 slapd[7761]: conn=24810 op=2 SRCH base=ou=Groups,dc=x,dc=y,dc=de scope=1 deref=0 filter=((objectClass=posi\ xGroup)(|(memberUid=user1)(uniqueMember=uid=user1,ou=users,dc=x,dc=y,dc=de))) also doch ou=users. Jun 20 10:02:44 iit005 slapd[7761]: conn=24810 op=2 SRCH attr=gidNumber Jun 20 10:02:44 iit005 slapd[7761]: = bdb_equality_candidates: (uniqueMember) index_param failed (18) Jun 20 10:02:44 iit005 slapd[7761]: conn=24810 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text= nentries=1 - also gefunden. Jun 20 10:02:44 iit005 slapd[21337]: conn=24810 op=3 SRCH base=ou=Groups,dc=x,dc=y,dc=de scope=1 deref=0 filter=((objectClass=pos\ ixGroup)(uniqueMember=cn=group1,ou=groups,dc=x,dc=y,dc=de)) Jun 20 10:02:44 iit005 slapd[21337]: conn=24810 op=3 SRCH attr=gidNumber Jun 20 10:02:44 iit005 slapd[21337]: = bdb_equality_candidates: (uniqueMember) index_param failed (18) Jun 20 10:02:44 iit005 slapd[21337]: conn=24810 op=3 SEARCH RESULT tag=101 err=0 nentries=0 text= Gruppe nicht gefunden? Fehlen die oder falsche Position? Libnss-ldap.conf eventuell anpassen bzgl. nss_base_group. Jun 20 10:02:44 iit005 slapd[7759]: conn=24811 fd=42 ACCEPT from IP=client ip:32916 (IP=0.0.0.0:389) Jun 20 10:02:44 iit005 slapd[7778]: conn=24811 op=0 BIND dn=cn=nssldap,ou=dsa,dc=x,dc=y,dc=de method=128 Jun 20 10:02:44 iit005 slapd[7778]: conn=24811 op=0 BIND dn=cn=nssldap,ou=dsa,dc=x,dc=y,dc=de mech=SIMPLE ssf=0 Jun 20 10:02:44 iit005 slapd[7778]: conn=24811 op=0 RESULT tag=97 err=0 text= Jun 20 10:02:44 iit005 slapd[7762]: conn=24811 op=1 SRCH base=dc=x,dc=y,dc=de scope=0 deref=0 filter=(uid=user1) Jun 20 10:02:44 iit005 slapd[7762]: conn=24811 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text= Hier such pam_ldap und die Base sieht falsch aus, kein ou=users,... zu sehen. Er findet daher auch nichts. Bin mir grad nicht sicher wie die numerischen Codes für scope=0,.. aussehen. Sprich ob er auch rekursiv in diesem Falle sucht. Besser aber den korrekten Zweig wie oben beschrieben in der pam_ldap.conf angeben. (hier wartet das System auf das Passwort, der folgende Abschnitt zeigt die Reaktion nach der Passworteingabe) Jun 20 10:03:16 iit005 slapd[21337]: conn=24812 op=4 SRCH base=dc=x,dc=y,dc=de scope=2 deref=0 filter=((objectClass=shadowAccount\ )(uid=user1)) Jun 20 10:03:16 iit005 slapd[21337]: conn=24812 op=4 SRCH attr=uid userPassword shadowLastChange shadowMax shadowMin shadowWarning sh\ adowInactive shadowExpire shadowFlag Jun 20 10:03:16 iit005 slapd[21337]: conn=24812 op=4 SEARCH RESULT tag=101 err=0 nentries=1 text= Jun 20 10:03:17 iit005 slapd[7778]: conn=24813 op=2 BIND anonymous mech=implicit ssf=0 Jun 20 10:03:17 iit005 slapd[7778]: conn=24813 op=2 BIND dn=cn=nssldap,ou=dsa,dc=x,dc=y,dc=de method=128 Jun 20 10:03:17 iit005 slapd[7778]: conn=24813 op=2 BIND dn=cn=nssldap,ou=dsa,dc=x,dc
Re: Probleme mit LDAP-Authentifizierung
Markus Schulz schrieb: Hallo, Hallo, Thomas Guenther schrieb: [...] hier einfügen. Damit der Pam-Dienst (pam_ldap) auch die Daten zu dem Nutzer finden kann. Ok, erledigt. Das scheint auch das Problem gewesen zu sein. Jedenfalls geht jetzt alles, so wie es soll. Ist denn dein nss_base_* wirklich die korrekte Position? Meist nennt man die entsprechenden Pfade in der Art:(komplette Zeile) nss_base_passwdou=Users,dc=example,dc=com?one Ich weiss nicht mehr genau, wieso ich die gekürzte (also ohne ou=) Version verwendet habe. Das LDAP-System ist inzwischen fast 2 Jahre alt. Aber es wird demnächst sowieso ersetzt, dann muss ich mich mit dem ganzen Kram nochmal rumschlagen und dann komm ich vielleicht auch drauf, wieso ich das so erledigt habe. Wenn ich mich recht entsinne, hat das irgendwie damit zu tun, dass das ganze als PDC läuft und die Rechnernamen, die zu einer Windows-Domain hinzugefügt werden, zwar als User im Posixbereich geführt werden, aber mit den von mir verwendeten smbldap-tools nicht in ou=Users,... abgelegt werden, weil ... Ich weiss es nicht mehr. scope sub scope one scope base Was soll das? Entweder nur einmal festlegen oder garnicht ;) Kannst du getrost weglassen. Sieht in der Tat merkwürdig aus. Ist auf dem LDAP-System aber auch so drauf, scheint also keine Probleme zu bereiten. ;-) [...] Warum verwendest du eigentlich binddn? libnss-ldap.conf kann auch anonymouse die Daten ermitteln, soll ja keinen Geheimen Daten ermitteln. Oder sind deine slapd-ACLs so restriktiv? Vermutlich stammt der Eintrag aus meiner Experimentierphase. Ich hab ihn jetzt deaktiviert und direkt auch noch in der pam_ldap.conf und der ldap.conf. Aber auf Grund welcher Regel eigentlich jeder die Daten lesen kann, ist mir im Moment etwas schleierhaft. Geht das wegen: access to attrs=userPassword,andere Attribute by anonymous auth ? MfG Markus Schulz Ich danke Dir für Deine Hilfe! Thomas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Probleme mit LDAP-Authentifizierung
Thomas Guenther schrieb: Markus Schulz schrieb: [...] Das scheint auch das Problem gewesen zu sein. Jedenfalls geht jetzt alles, so wie es soll. Fein. Warum verwendest du eigentlich binddn? libnss-ldap.conf kann auch anonymouse die Daten ermitteln, soll ja keinen Geheimen Daten ermitteln. Oder sind deine slapd-ACLs so restriktiv? Vermutlich stammt der Eintrag aus meiner Experimentierphase. Ich hab ihn jetzt deaktiviert und direkt auch noch in der pam_ldap.conf und der ldap.conf. Aber auf Grund welcher Regel eigentlich jeder die Daten lesen kann, ist mir im Moment etwas schleierhaft. Geht das wegen: access to attrs=userPassword,andere Attribute by anonymous auth Nein, das schränkt nur den Zugriff auf das Crypt Password (und wohl noch die Samba-PDC Passwörter: sambaLMPassword,sambaNTPassword) ein. Das braucht der nss-ldap Dienst aber garnicht, das braucht nur das pam-ldap Modul. Damit der Rest (also alles ausser die Crypt Passwörter) per Anon gelesen werden kann, hast du garantiert noch eine ACL im slapd drin: z.B. in der Art: access to * by dn.regex=cn=admin,... write by * read MfG Markus Schulz -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Ldap und adduser
Hallo Liste meine OpenLdap installation funktioniert jetzt halbwegs. Nur hab ich ein Problem, das apt-get keine User mehr anlegen kann weil adduser nicht gegen Ldap schreiben kann. Useradd konnte ich durch cpu useradd ersetzen. Aber wie mach ich das mit adduser? Ich selbst kann kein Perl und der letze ldap-patch gegen adduser ist aus dem Jahre 2003, sprich nicht mehr brauchbar. Weiß jemand weiter? Danke Markus
Re: Ldap und adduser
Hallo Markus, Markus Boas [EMAIL PROTECTED] wrote: Hallo Liste meine OpenLdap installation funktioniert jetzt halbwegs. Nur hab ich ein Problem, das apt-get keine User mehr anlegen kann weil adduser nicht gegen Ldap schreiben kann. Useradd konnte ich durch cpu useradd ersetzen. Aber wie mach ich das mit adduser? Ich selbst kann kein Perl und der letze ldap-patch gegen adduser ist aus dem Jahre 2003, sprich nicht mehr brauchbar. Weiß jemand weiter? Kann man PAM nicht dahingehend konfigurieren, dass das normale passwd und useradd mit LDAP funktionieren? Schöne Grüße, Jörg. -- Geld allein macht nicht glücklich, aber es ist besser in einem Taxi zu weinen, als in der Straßenbahn. (Marcel Reich-Ranicki) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Probleme mit LDAP-Authentifizierung
Hallo, ich habe hier einen Linux-Server mit Samba und Openldap als PDC laufen. Installiert ist das ganze auf einem woody, wobei samba und openldap (v2.2.19) selbstkompiliert sind. Das ganze läuft ohne Problem. Wenn ich jetzt versuche, von einem Sarge-System aus eine Authentifizierung per Konsolenlogin, ssh oder su zu machen, schlägt das ganze fehl. Das Problem dabei ist offensichtlich irgendwas mit dem Passwort. Wenn ich auf dem Sarge-System ein lokaler User bin, z.B. user1 und ein su benutze, um user2 zu werden, der nur auf dem LDAP-System existiert, wird nach einem Passwort gefragt. Dann bekomme ich nach einer kurzen Pause ein: su: Authentication service cannot retrieve authentication info. Bin ich auf dem Sarge-System root und wechsle nach user2, geht das sofort und ohne Probleme. Und auch ein Netzwerksniffen brachte mich soweit, dass die Benutzerinformationen abgefragt und auch geliefert werden, aber irgendwas mit dem Passwort haut nicht hin, vermute ich. Die PAM's (su, ssh, login) sind eigentlich soweit für ldap angepasst, auch die nsswitch.conf, die libnss-ldap.conf und die pam_ldap.conf. Im Prinzip habe ich die Dateien vom LDAP-System kopiert. Hat einer eine Idee, woran es liegen könnte, das die Authentifizerung gegen das LDAP-System fehlschlägt? Habe ich vielleicht irgendetwas übersehen? Gruss Thomas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Probleme mit LDAP-Authentifizierung
On Tue, Jun 20, 2006 at 03:07:24PM +0200, Thomas Guenther wrote: Hallo, Hallo, Wenn ich jetzt versuche, von einem Sarge-System aus eine Authentifizierung per Konsolenlogin, ssh oder su zu machen, schlägt das ganze fehl. Das Problem dabei ist offensichtlich irgendwas mit dem Passwort. Wenn ich auf dem Sarge-System ein lokaler User bin, z.B. user1 und ein su benutze, um user2 zu werden, der nur auf dem LDAP-System existiert, wird nach einem Passwort gefragt. Dann bekomme ich nach einer kurzen Pause ein: su: Authentication service cannot retrieve authentication info. Bin ich auf dem Sarge-System root und wechsle nach user2, geht das sofort und ohne Probleme. Und auch ein Netzwerksniffen brachte mich soweit, dass die Benutzerinformationen abgefragt und auch geliefert werden, aber irgendwas mit dem Passwort haut nicht hin, vermute ich. Ist der Benutzer zu wechseln/einloggen willst im LDAP auch ein POSSIX-ACCOUNT? Wenn du ein ldapsearch oder ähnliches anwirfst wird dir da ein Password angezeigt? Wenn ja ist es verschlüsselt oder klartext? Wenn verschlüsselt dann wie? Und wenn mich nicht alles täuscht dann muß man die entsprechende Verschlüsselung auch in die ldap.conf oder in die slapd.conf eintragen. Da könnte ich aber bei Bedarf nochmal nachschauen. Die PAM's (su, ssh, login) sind eigentlich soweit für ldap angepasst, auch die nsswitch.conf, die libnss-ldap.conf und die pam_ldap.conf. Im Prinzip habe ich die Dateien vom LDAP-System kopiert. hast du da auch drauf aufgepasst das du evtl. den hostnamen anpassen mußt? Hat einer eine Idee, woran es liegen könnte, das die Authentifizerung gegen das LDAP-System fehlschlägt? Habe ich vielleicht irgendetwas übersehen? Also ich habe die Erfahrung gemacht das LDAP nicht so ganz einfach aufzusetzen ist. Aber das bekommen wir schon hin ;). Gruss Thomas Gruß Sven signature.asc Description: Digital signature
Re: Probleme mit LDAP-Authentifizierung
Am Dienstag, 20. Juni 2006 15:07 schrieb Thomas Guenther: Hallo, ich habe hier einen Linux-Server mit Samba und Openldap als PDC laufen. Installiert ist das ganze auf einem woody, wobei samba und openldap (v2.2.19) selbstkompiliert sind. Das ganze läuft ohne Problem. Wenn ich jetzt versuche, von einem Sarge-System aus eine Authentifizierung per Konsolenlogin, ssh oder su zu machen, schlägt das ganze fehl. Das Problem dabei ist offensichtlich irgendwas mit dem Passwort. Wenn ich auf dem Sarge-System ein lokaler User bin, z.B. user1 und ein su benutze, um user2 zu werden, der nur auf dem LDAP-System existiert, wird nach einem Passwort gefragt. Dann bekomme ich nach einer kurzen Pause ein: su: Authentication service cannot retrieve authentication info. Bin ich auf dem Sarge-System root und wechsle nach user2, geht das sofort und ohne Probleme. Und auch ein Netzwerksniffen brachte wohl, weil du die rootbinddn in der ldap.conf gesetzt hast + ldap.secret. mich soweit, dass die Benutzerinformationen abgefragt und auch geliefert werden, aber irgendwas mit dem Passwort haut nicht hin, vermute ich. Die PAM's (su, ssh, login) sind eigentlich soweit für ldap angepasst, auch die nsswitch.conf, die libnss-ldap.conf und die pam_ldap.conf. Im Prinzip habe ich die Dateien vom LDAP-System kopiert. Hat einer eine Idee, woran es liegen könnte, das die Authentifizerung gegen das LDAP-System fehlschlägt? Habe ich vielleicht irgendetwas übersehen? Wie sehen die üblichen verdächtigen denn aus? /etc/ldap/ldap.conf /etc/libnss-ldap.conf /etc/pam.d/common-auth (oder wo auch immer du ldap eingetragen hast) In jedem Fall den slapd auf LogLevel 256 setzen und anschauen was da genau ankommt. Damit siehst du jedes Query auf die Ldap Datenbank. ldapsearch mit -D user dsn auch probieren. Bekommst du damit dein Passwort zu gesicht? Liefert getent korrekte Informationen? Wir brauchen in jedem Fall mehr Informationen, sonst stochern wir hier nur hilflos im Dunkeln 'rum. Insbesondere am slapd Log sieht man eigentlich recht schnell woran es hakt, auch wenn dort recht viel geloggt wird und das ganze anfangs etwas unübersichtlich wirkt. -- Markus Schulz Des is völlig wurscht, was heut beschlossen wird: I bin sowieso dagegn! (SPD-Stadtrat Kurt Schindler; Regensburg)
Re: Userverwaltung/Datensynchro/LDAP/PDC/BDC ... Grundsatzfragen
Das LDAP hässlich in der Einrichtung ist hab ich auch erfahren dürfen. Nur ist mir nichts bekannt womit man Windows und *unix Accounts ansonst gleich halten kann. Samba kann in der Richtung nur Ldap. Aber wenn jemand noch was anderes weiß würde ich es gern wissen. Gruß Markus Am Samstag 10 Juni 2006 14:56 schrieb Michelle Konzack: Am 2006-05-31 23:22:01, schrieb Daniel Musketa: Hallo, ich habe ein paar grundsätzliche Verständnisfragen zur Userverwaltung, vielleicht kann mir jemand mal auf die Sprünge helfen. Warum nimmste nicht libpam-pgsql1 und libnss-pgsql + postgresql? LDAP ist mir volle sahne auf den nerv gegangen... Mit PAM kann ich per SSL quer durchs Internet autentifizieren ohne das ich meine Systeme (z.Zt. 184) groß umkonfigurieren muß. Greetings Michelle Konzack -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ # Debian GNU/Linux Consultant # Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/6/6192519367100 Strasbourg/France IRC #Debian (irc.icq.com)