> >> 2. getent passwd si vezi asa daca merge nss_ldap > > Working, though: > [EMAIL PROTECTED]:~# getent passwd lucica > lucica:x:3001:3000:lucica:/home/lucica:/bin/bash > [EMAIL PROTECTED]:~# getent shadow lucica > <nimic> normal sa "nimic" atita timp cand pam si nss nu se leaga la ldap cu uid de admin tot timpu. "nimic" in sensul ca tre sa iti intoarca ceva de genu: adonix:~ # getent shadow gremlin gremlin:x:12345::99999:7:::0 fara parola, dar astea tre sa le dea ... > [EMAIL PROTECTED]:~# su - lucica > I have no [EMAIL PROTECTED]:~$ pwd > /home/lucica seteaza pamu bine > >> 3. configurezi login din pam si testezi (asta daca incerci sa te >> autentifici local de la tastatura) pentru remote configurezi ssh din dir >> /etc/pam.d/ssh ca sa stie de ldap. >> . read more > Not working. > >> Urmareste /var/log/messages /var/log/syslog si /var/log/auth.log. >> Deasemenea ajuta si un slapd pornit din linie de comanda , fara sa il >> detasezi , ca sa vezi cum se fac queryurile, ce query, etc. >> . > > In /var/log/syslog apar linii de genul: > > --- start paste --- > Nov 20 20:11:39 odin slapd[10962]: => access_allowed: read access to > "uid=lucica,ou=people,dc=ict4u,dc=ro" "objectClass" requested > Nov 20 20:11:39 odin slapd[10962]: => dn: [2] > Nov 20 20:11:39 odin slapd[10962]: => acl_get: [3] attr objectClass > Nov 20 20:11:39 odin slapd[10962]: access_allowed: no res from state > (objectClass) > Nov 20 20:11:39 odin slapd[10962]: => acl_mask: access to entry > "uid=lucica,ou=people,dc=ict4u,dc=ro", attr "objectClass" requested > Nov 20 20:11:39 odin slapd[10962]: => acl_mask: to value by > "cn=admin,dc=ict4u,dc=ro", (=n) > Nov 20 20:11:39 odin slapd[10962]: <= check a_dn_pat: > cn=admin,dc=ict4u,dc=ro > Nov 20 20:11:39 odin slapd[10962]: <= acl_mask: [1] applying > write(=wrscx) (stop) > Nov 20 20:11:39 odin slapd[10962]: <= acl_mask: [1] mask: write(=wrscx) > Nov 20 20:11:39 odin slapd[10962]: => access_allowed: read access > granted by write(=wrscx) > --- end paste --- mai scade nivelu de debug > pentru cn, uid, uidNumber, gidNumber, homeDirectory, loginShell etc. > etc. etc. (asta dupa ce pare sa se fi autentificat). In schimb: > > [EMAIL PROTECTED]:~# ldapsearch -x -D "uid=lucica,ou=people,dc=ict4u,dc=ro" > uid=lucica - > W > Enter LDAP Password: > # lucica, people, ict4u.ro > dn: uid=lucica,ou=people,dc=ict4u,dc=ro > objectClass: account > objectClass: posixAccount > cn: lucica > uid: lucica > uidNumber: 3001 > gidNumber: 3000 > homeDirectory: /home/lucica > loginShell: /bin/bash > gecos: lucica > description: lucica > userPassword:: bXVpZQ== > > # search result > search: 2 > result: 0 Success > > # numResponses: 2 > # numEntries: 1 > e ok aci >> Pt mama ei de securitate pune si tu un password-hash crypt macar >> . >> Nu te m-ai "binda" cu root (/etc/pam_ldap.conf cum ai arata configurat) >> ci >> cu datele puse la dispozitie de utilizator. >> Cu dn de admin nu ai ce cauta nicaieri in toata setarea asta, inafara de >> a >> face modificari la baza de date (adaugari conturi, stergere conturi) >> teortic nimic nu trebuie sa stie parola de admin (exceptie samba, care >> numai asa merge). >> Pune nscd(nsswitch cache daemon pe fiecare masina care se autentifica la >> serveru ala de ldap) altfel o sa ai probleme cu serveru de ldap ca o sa >> fie forjat la greu de conexiuni multe la orice(un ls -lah /home de >> exemplu >> e dezastru , daca ai home montat prin nfs sau alt filesystem din retea). > > Right now vreau doar sa mearga, 0 securitate, etc. Dupa ce va functiona, > il voi modifica (ca din nou sa nu mai imi mearga probabil :-) ). pai daia zic sa o iei direct > PS: imi cer scuze pt. absenta mea atatea zile de pe thread si multumesc > celor ce ma ajuta. > > Luci Stanescu si eu lafel cu absenta .. si mai voi absenta probabil :), daca e urgent da pe privat
_______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
