[rlug] Re: Samba, ldap, passwd backend;

Laurentiu Vasiescu Tue, 15 Mar 2005 01:04:12 -0800

errr, merci mult, pana aici am ajuns si eu cu rationamentul :D.

Ba chiar am pus si ceva LDAP, dar se pare ca daca folosesc passwd ca backend 
nu prea merge :(.


hai sa atashez si ceva confuri:

parte din intrari sunt default

slapd.conf:

include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/nis.schema

pidfile         /var/run/slapd.pid
argsfile        /var/run/slapd.args

loglevel -1

allow bind_anon_dn
access to * by * read

backend         passwd
database        passwd
readonly        on
suffix          "dc=test,dc=ro"
rootdn          "cn=manager,dc=test,dc=ro"

rootpw          secret
    access to attr=userPassword
            by self write
            by anonymous auth
            by dn="cn=manager,dc=test,dc=ro" write
            by * read
    access to *
            by dn="cn=manager,dc=test,dc=ro" write
            by * read


directory       /var/lib/ldap

index objectClass                       eq,pres
index ou,cn,mail,surname,givenname      eq,pres,sub
index uidNumber,gidNumber,loginShell    eq,pres
index uid,memberUid                     eq,pres,sub
index nisMapName,nisMapEntry            eq,pres,sub


base.ldif            -    nu sunt sigur ca imi trebuie, dar l-am creat just 
in case.

dn: dc=test,dc=ro
objectclass: dcObject
objectclass: organization
dc: dc=test,dc=ro
o: test.ro


pe client:

ldap.conf


host 192.168.1.2
loglevel -1
base dc=test,dc=ro
ldap_version 3
rootbinddn cn=manager,dc=test,dc=ro
scope base
ssl no


exista fisierul /etc/openldap/ldap.secret cu parola in el.

pam.d/sshd:

auth       required     pam_stack.so service=system-auth
auth       required     pam_nologin.so
auth       sufficient   pam_ldap.so
account    required     pam_stack.so service=system-auth
account       sufficient   pam_ldap.so
password   required     pam_stack.so service=system-auth
password       sufficient   pam_ldap.so
session    required     pam_selinux.so
session    required     pam_stack.so service=system-auth
session    required     pam_limits.so
session    optional     pam_console.so



log slapd de pe server, la incercarea de a ma loga pe ssh cu userul 
laurentiu, care exista pe PDC, dar nu si pe statia 4.

Mar 15 10:50:52 PDC slapd[11520]: daemon: activity on 1 descriptors
Mar 15 10:50:52 PDC slapd[11520]: daemon: activity on:
Mar 15 10:50:52 PDC slapd[11520]:  8r
Mar 15 10:50:52 PDC slapd[11520]:
Mar 15 10:50:52 PDC slapd[11520]: daemon: read activity on 8
Mar 15 10:50:52 PDC slapd[11520]: connection_get(8)
Mar 15 10:50:52 PDC slapd[11520]: connection_get(8): got connid=0
Mar 15 10:50:52 PDC slapd[11520]: connection_read(8): checking for input on 
id=0
Mar 15 10:50:52 PDC slapd[11520]: ber_get_next on fd 8 failed errno=11 
(Resource temporarily unavailable)
Mar 15 10:50:52 PDC slapd[11520]: do_bind
Mar 15 10:50:52 PDC slapd[11520]: daemon: select: listen=6 active_threads=0 
tvp=NULL
Mar 15 10:50:52 PDC slapd[11520]: daemon: select: listen=7 active_threads=0 
tvp=NULL
Mar 15 10:50:52 PDC slapd[11520]: >>> dnPrettyNormal: 
<cn=manager,dc=test,dc=ro>
Mar 15 10:50:52 PDC slapd[11520]: <<< dnPrettyNormal: 
<cn=manager,dc=test,dc=ro>, <cn=manager,dc=test,dc=ro>
Mar 15 10:50:52 PDC slapd[11520]: do_bind: version=3 
dn="cn=manager,dc=test,dc=ro" method=128
Mar 15 10:50:52 PDC slapd[11520]: conn=0 op=0 BIND 
dn="cn=manager,dc=test,dc=ro" method=128
Mar 15 10:50:52 PDC slapd[11520]: send_ldap_result: conn=0 op=0 p=3
Mar 15 10:50:52 PDC slapd[11520]: send_ldap_result: err=53 matched="" 
text="operation not supported within naming context"
Mar 15 10:50:52 PDC slapd[11520]: send_ldap_response: msgid=2 tag=97 err=53
Mar 15 10:50:52 PDC slapd[11520]: conn=0 op=0 RESULT tag=97 err=53 
text=operation not supported within naming context



Am citit eu ceva documentatie, dar e prea stufoasa si deocamdata m-a cam 
bagat in ceata - plus ca nu am gasit nimic care sa se refera la passwd ca 
backend.

Daca e careva cu o idee ceva, e bine venit. Daca nu, ma intorc la rtfm :).


Merci.

----- Original Message ----- 
From: "Mihai Badici" <[EMAIL PROTECTED]>
To: <[email protected]>
Sent: Tuesday, March 15, 2005 10:07 AM
Subject: [rlug] Re: Samba, ldap, passwd backend;


> Nu stiu daca te pot ajuta foarte mult dar:
> Problema ta e o problema universala.
> Exista doua abordari:
> - fie sa replici  cumva datele de autentificare pe toate masinile
> - fie sa folosesti un server de autentificare, la care sa se autentifice
> toti.
> Acum, ai avantaje si dezavantaje la fiecare: daca te apuci sa faci
> replici ( deocamdata n-am zis cum)  poti avea desincronizari, plus ca
> plimbi parole prin retea, chestie riscanta by default.
> Daca folosesti un singur server de autentificare, faci trafic
> suplimentar la fiecare autentificare, dar nu ai desincronizari, plus ca
> autentificarea trebuie sa fie secure, ca sa nu plimbi (iar) parole prin
> retea.
>
> La replicare, poti avea mai multe optiuni, cea mai ciobaneasca la care
> ma pot gandi este sa iei /etc/passwd. /etc/shadow  si/sau
> /etc/samba/cum-s-o mai numi el  si sa le copiezi de pe o masina pe alta,
> sa zicem cu scp, cu conditia sa nu adaugi/elimini/modifici useri decat
> pe o masina, ca sa nu obtii balarii. Presupun ca poti sa tii /etc/passwd
> si asa mai departe intr-un nfs, dar nu am experienta cu asta, asa ca nu
> ma pronunt, ca sa nu spun vreo tampenie.
>
> Cred ca in principiu samba are suport si pentru autentificare  la un
> server de autentificare, dar nu am experienta in domeniul asta; teoretic
> ar putea sa  se autentifice probabil la un server LDAP, cum face
> windows-ul cu Active Directory.
> Pana la urma tot asta ar fi solutia, pentru ca la cativa useri poti sa
> faci  si copiere de /etc/passwd, dar la mai multi o sa simti nevoia  sa
> ai mai multe informatii: la un moment dat n-o sa mai stii cine e vasile
> asta care are drept de scriere in directorul   "contabilitate"  :) si o
> sa vrei sa stii despre el: telefon, departament,  localitate...  asa ca
> o sa vrei LDAP.
>
> Laurentiu Vasiescu wrote:
>
>>Ce ma intereseaza:
>>1. server centralizat, cu autentificare locala - /etc/passwd
>>
>>2. daca mai bag ceva servere in retea, sa pot da share la ceva directoare 
>>prin samba, cu autentificarea pe serverul central.
>>
>>
>>
>>Deocamdata samba e pus pe serverul al 2-lea cu auth pe domain, cu ip-ul 
>>PDC-ului. Partea proasta e ca a trebuit sa creez userii de care aveam 
>>nevoie si pe serverul 2.
>>
>>So, cum pot face sa am userii doar pe PDC?
>>
>>sunt pe langa total in problema cu LDAP, asa ca va rog, daca se poate, 
>>sfaturi cat mai stufoase, daca exista si exemple e si mai bine.
>>
>>
>>
>>Preferabil ar fi sa pastrez userii in passwd deocamdata (nu ma intereseaza 
>>creearea lor prin mecanisme ldap), dar, daca nu este posibil, e buna si o 
>>solutie cu ceva mysql in spate.
>>
>>
>>--- 
>>Detalii despre listele noastre de mail: http://www.lug.ro/
>>
>>
>>
>>
>>.
>>
>>
>>
>
>
> --- 
> Detalii despre listele noastre de mail: http://www.lug.ro/
> 


--- 
Detalii despre listele noastre de mail: http://www.lug.ro/

[rlug] Re: Samba, ldap, passwd backend;

Raspunde prin e-mail lui