On Thu, Nov 17, 2005 at 10:56:20PM +0200, Alexandru Ionica wrote: > salut, uite cum e treaba : > utilitarele de sistem folosesc nss ca sa afle uid, gid pentru diverse > chestii, ai nevoie sa configurezi pt asta nsswitch.conf si un fisier > libnss_ldap.conf care de obicei e identic cu pam_ldap.conf ca continut. > Pentru autentificare pam_ldap , cu fisierul pam_ldap.conf si > /etc/pam.d/login cu liniile necesare(respectiv /etc/pam.d/ssh pentru > autentificare remote). > Testezi cu: > 1. cu ldapsearch poti face query-uri, si cu ldapsearch -x -D > "dn_complet_al_unui_cont_oarecare" uid=nume_conf -W , daca returneaza > parola inseamna ca mere "by self auth".
Working. > 2. getent passwd si vezi asa daca merge nss_ldap Working, though: [EMAIL PROTECTED]:~# getent passwd lucica lucica:x:3001:3000:lucica:/home/lucica:/bin/bash [EMAIL PROTECTED]:~# getent shadow lucica <nimic> [EMAIL PROTECTED]:~# su - lucica I have no [EMAIL PROTECTED]:~$ pwd /home/lucica > 3. configurezi login din pam si testezi (asta daca incerci sa te > autentifici local de la tastatura) pentru remote configurezi ssh din dir > /etc/pam.d/ssh ca sa stie de ldap. > . Not working. > Urmareste /var/log/messages /var/log/syslog si /var/log/auth.log. > Deasemenea ajuta si un slapd pornit din linie de comanda , fara sa il > detasezi , ca sa vezi cum se fac queryurile, ce query, etc. > . In /var/log/syslog apar linii de genul: --- start paste --- Nov 20 20:11:39 odin slapd[10962]: => access_allowed: read access to "uid=lucica,ou=people,dc=ict4u,dc=ro" "objectClass" requested Nov 20 20:11:39 odin slapd[10962]: => dn: [2] Nov 20 20:11:39 odin slapd[10962]: => acl_get: [3] attr objectClass Nov 20 20:11:39 odin slapd[10962]: access_allowed: no res from state (objectClass) Nov 20 20:11:39 odin slapd[10962]: => acl_mask: access to entry "uid=lucica,ou=people,dc=ict4u,dc=ro", attr "objectClass" requested Nov 20 20:11:39 odin slapd[10962]: => acl_mask: to value by "cn=admin,dc=ict4u,dc=ro", (=n) Nov 20 20:11:39 odin slapd[10962]: <= check a_dn_pat: cn=admin,dc=ict4u,dc=ro Nov 20 20:11:39 odin slapd[10962]: <= acl_mask: [1] applying write(=wrscx) (stop) Nov 20 20:11:39 odin slapd[10962]: <= acl_mask: [1] mask: write(=wrscx) Nov 20 20:11:39 odin slapd[10962]: => access_allowed: read access granted by write(=wrscx) --- end paste --- pentru cn, uid, uidNumber, gidNumber, homeDirectory, loginShell etc. etc. etc. (asta dupa ce pare sa se fi autentificat). In schimb: [EMAIL PROTECTED]:~# ldapsearch -x -D "uid=lucica,ou=people,dc=ict4u,dc=ro" uid=lucica - W Enter LDAP Password: # lucica, people, ict4u.ro dn: uid=lucica,ou=people,dc=ict4u,dc=ro objectClass: account objectClass: posixAccount cn: lucica uid: lucica uidNumber: 3001 gidNumber: 3000 homeDirectory: /home/lucica loginShell: /bin/bash gecos: lucica description: lucica userPassword:: bXVpZQ== # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 > Pt mama ei de securitate pune si tu un password-hash crypt macar > . > Nu te m-ai "binda" cu root (/etc/pam_ldap.conf cum ai arata configurat) ci > cu datele puse la dispozitie de utilizator. > Cu dn de admin nu ai ce cauta nicaieri in toata setarea asta, inafara de a > face modificari la baza de date (adaugari conturi, stergere conturi) > teortic nimic nu trebuie sa stie parola de admin (exceptie samba, care > numai asa merge). > Pune nscd(nsswitch cache daemon pe fiecare masina care se autentifica la > serveru ala de ldap) altfel o sa ai probleme cu serveru de ldap ca o sa > fie forjat la greu de conexiuni multe la orice(un ls -lah /home de exemplu > e dezastru , daca ai home montat prin nfs sau alt filesystem din retea). Right now vreau doar sa mearga, 0 securitate, etc. Dupa ce va functiona, il voi modifica (ca din nou sa nu mai imi mearga probabil :-) ). PS: imi cer scuze pt. absenta mea atatea zile de pe thread si multumesc celor ce ma ajuta. Luci Stanescu _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
