Paolo Pisati wrote:
> Salve ragazzi,
>
> ho una installazione di LDAP che vorrei migliorare sotto alcuni punti di
> vista, ed in particolare:
>
> 1) vorrei che gli utenti presenti nella directory LDAP, possano
> cambiarsi da soli la propria password, ma non riesco a capire come usare
> (se e' il tool corretto) ldappasswd:
>
> [EMAIL PROTECTED]:~ >ldappasswd -W -S
> New password: # nuova pwd
> Re-enter new password: # nuova pwd - di
> nuovo
> Enter LDAP Password: # e qui??!?!
> vecchia pwd presente su LDAP?
> ldap_bind: Invalid credentials (49)
> [EMAIL PROTECTED]:~ >
ldappasswd(1) e' un client come gli altri. Come tutti i client, prima
di fare un'operazione (in particolare, di scrittura) deve autenticarsi.
Quindi la password passata da -W e' quella con cui il client si
autentica. Invece quella passata con -S e' quella da cambiare. Ma a
chi? Se non specifichi l'identita' di cui vuoi cambiare la password, di
default la cambia all'identita' con la quale si e' autenticato. Ma tu
non stai passando nessuna identita' all'autenticazione, quindi
onestamente non so quale identita' il client stia provando a cambiare.
In ogni caso, se passi tutti gli argomenti giusti, come specificato in
man ldappasswd, il client fa quello che deve.
>
> 2) voloendo fare il backup notturno della mia directory, pensavo di
> convertire tutto in LDIF via slapcat e archiviare tale file, ma:
>
> [EMAIL PROTECTED]:~ >ldapsearch
> # extended LDIF
> #
> # LDAPv3
> # base <> with scope subtree
> # filter: (objectclass=*)
> # requesting: ALL
> #
> [snip]
> # search result
> search: 2
> result: 0 Success
>
> # numResponses: 18
> # numEntries: 17
>
> questo dimostra che LDAP funziona, pero' quando provo ad eseguire
> slapcat ottengo:
>
> [EMAIL PROTECTED]:~ >slapcat
> bdb_db_open: alock package is unstable
> backend_startup_one: bi_db_open failed! (-1)
> slap_startup failed
>
> ed in effetti il mio LDAP usa bdb:
>
> [EMAIL PROTECTED]:~ >cat /usr/local/etc/openldap/slapd.conf
> include /usr/local/etc/openldap/schema/core.schema
> include /usr/local/etc/openldap/schema/cosine.schema
> include /usr/local/etc/openldap/schema/nis.schema
> include /usr/local/etc/openldap/schema/inetorgperson.schema
> include /usr/local/etc/openldap/schema/openldap.schema
> include /usr/local/etc/openldap/schema/sudo.schema
> pidfile /var/run/openldap/slapd.pid
> argsfile /var/run/openldap/slapd.args
>
> modulepath /usr/local/libexec/openldap
> moduleload back_bdb
>
> database bdb
> suffix "dc=tomato,dc=org"
> rootdn "cn=Manager,dc=tomato,dc=org"
> rootpw {SSHA}XXXXXXXXXXXXXXXXXXXXXXX
> directory /var/db/openldap-data
> index objectClass eq
> index uid pres,eq,sub
>
> TLSCACertificateFile /usr/local/etc/openldap/ldap_cert/cacert.pem
> TLSCertificateFile /usr/local/etc/openldap/ldap_cert/ldapcert.pem
> TLSCertificateKeyFile /usr/local/etc/openldap/ldap_cert/ldapkey.pem
>
> access to * by self write by * read
Questo messggio e' molto generico; con quale utenza esegui il comando?
Sei sicuro che slapd.conf e la directory con il database siano leggibili
da quell'utenza? slapcat apre direttamente i files, quindi il fatto che
il servizio sia attivo o meno non fa nessuna differenza.
> 3) e' possibile conoscere da LDAP gli accessi degli utenti alle varie
> macchine ed alcune operazioni (ad esempio i comandi sudo) da essi
> eseguiti? ad esempio e' possibile ottenere un log di queste operazioni?
Non e' chiara la domanda; se qualche applicazione si occupa di scriverlo
nel database, allora basta una ldapsearch(1). Altrimenti non capisco
che cosa LDAP abbia a che fare con il logging di altri comandi.
Ciao, p.
Ing. Pierangelo Masarati
OpenLDAP Core Team
SysNet s.r.l.
via Dossi, 8 - 27100 Pavia - ITALIA
http://www.sys-net.it
---------------------------------------
Office: +39 02 23998309
Mobile: +39 333 4963172
Email: [EMAIL PROTECTED]
---------------------------------------
_______________________________________________
OpenLDAP mailing list
[email protected]
https://www.sys-net.it/mailman/listinfo/openldap
