Re: LDAP
А я открыл для себя Cloudns. Возможно бесплатно три зоны создать, а там неограниченное количество A-записей. В итоге, сейчас nginx-proxy у меня раскидывает запросы по контейнерам, исходя из virtual host. И возможно "из коробки" реализовать поддержку Let's Encrypt, что я и сделаю (пока самоподписанные, ещё настраиваю сервисы). В случае чего (если вдруг нет доступа в Интернет), из локалки всё тоже будет доступно: проверяется совпадение DNS имени с шаблоном, а роутер тоже определяет IP по шаблону имени. 27.04.2018 10:33, Andrey A Lyubimets пишет: > > > 20.04.2018 12:44, artiom пишет: >> Так это, господа гуру криптографии и распределения ключей, FAQ-то >> пользоваться или неактуально? >> easy-rsa уже отменяется, я так понял? >> Свой CA во вменяемом виде сейчас хрен поднимешь? >> > > кто-то в рассылке советовал tinyca на яве и nanoca (или picoca?) - > консольный. > > Первый есть в stretch, есть ещё какой-то pica: > > apt-cache search "Certification Authority" > gnomint - X.509 Certification Authority management tool for GNOME > pyca - Certification Authority written in Python > tinyca - simple graphical program for certification authority management >
Re: LDAP
On 04/27/18 03:33, Andrey A Lyubimets wrote: > > кто-то в рассылке советовал tinyca на яве и nanoca (или picoca?) - > консольный. > > Первый есть в stretch, есть ещё какой-то pica: > > apt-cache search "Certification Authority" > gnomint - X.509 Certification Authority management tool for GNOME > pyca - Certification Authority written in Python > tinyca - simple graphical program for certification authority management > apt-cache search "Certificate Authority" ca-cacert - CAcert.org root certificates libapache2-mod-md - ACME certificate support for apache2 dogtag-pki - Dogtag Public Key Infrastructure (PKI) Suite pki-ca - Certificate System - Certificate Authority pki-kra - Certificate System - Data Recovery Manager pki-ocsp - Certificate System - Online Certificate Status Protocol Manager pki-server - Certificate System - PKI Server Framework pki-tps - Certificate System - Token Processing System pki-tps-client - Certificate System - Token Processing System client
Re: LDAP
20.04.2018 12:44, artiom пишет: Так это, господа гуру криптографии и распределения ключей, FAQ-то пользоваться или неактуально? easy-rsa уже отменяется, я так понял? Свой CA во вменяемом виде сейчас хрен поднимешь? кто-то в рассылке советовал tinyca на яве и nanoca (или picoca?) - консольный. Первый есть в stretch, есть ещё какой-то pica: apt-cache search "Certification Authority" gnomint - X.509 Certification Authority management tool for GNOME pyca - Certification Authority written in Python tinyca - simple graphical program for certification authority management
Re: LDAP
23.04.2018 10:57, Alexander Gerasiov пишет: > Hello artiom, > > On Mon, 23 Apr 2018 08:54:22 +0300 > artiom <artio...@yandex.ru> wrote: > >> Похоже, вопрос не в тему. >> Попробовал прокинуть и в LDAP сервере, и в phpLDAPAdmin. >> Всё-равно, в интерфейсе, при создании записи UserAccount, начальная >> группа - 500 и не создаёт он домашние каталоги пользователей, а при >> создании PosixGroup, не добавляет группу в /etc/group, хотя в базе >> LDAP и создаёт. > А с чего это он должен создавать каталоги и править базу files? > Ну, это моё предположение. В phpLDAPAdmin указан домашний каталог пользователя при создании. А при создании группы, он откуда-то берёт минимальный GID. >> >> 22.04.2018 14:34, artiom пишет: >>> Ok. >>> Ещё такой вопрос. >>> Прокидывание /etc/{groups,passwd,shadow} и /home в Docker контейнер >>> с OpenLDAP - приемлемая идея, если я хочу системных пользователей >>> через него заводить, или нет? >>> >>> 20.04.2018 09:13, Artem Chuprina пишет: >>>> artiom -> debian-russian@lists.debian.org @ Fri, 20 Apr 2018 >>>> 08:44:25 +0300: >>>> > Так это, господа гуру криптографии и распределения ключей, >>>> > FAQ-то пользоваться или неактуально? >>>> > easy-rsa уже отменяется, я так понял? >>>> > Свой CA во вменяемом виде сейчас хрен поднимешь? >>>> >>>> Нет, не отменяется. Для твоих целей того, что есть, скорее всего, >>>> хватит. >>> >> > > >
Re: LDAP
Hello artiom, On Mon, 23 Apr 2018 08:54:22 +0300 artiom <artio...@yandex.ru> wrote: > Похоже, вопрос не в тему. > Попробовал прокинуть и в LDAP сервере, и в phpLDAPAdmin. > Всё-равно, в интерфейсе, при создании записи UserAccount, начальная > группа - 500 и не создаёт он домашние каталоги пользователей, а при > создании PosixGroup, не добавляет группу в /etc/group, хотя в базе > LDAP и создаёт. А с чего это он должен создавать каталоги и править базу files? > > 22.04.2018 14:34, artiom пишет: > > Ok. > > Ещё такой вопрос. > > Прокидывание /etc/{groups,passwd,shadow} и /home в Docker контейнер > > с OpenLDAP - приемлемая идея, если я хочу системных пользователей > > через него заводить, или нет? > > > > 20.04.2018 09:13, Artem Chuprina пишет: > >> artiom -> debian-russian@lists.debian.org @ Fri, 20 Apr 2018 > >> 08:44:25 +0300: > >> > Так это, господа гуру криптографии и распределения ключей, > >> > FAQ-то пользоваться или неактуально? > >> > easy-rsa уже отменяется, я так понял? > >> > Свой CA во вменяемом виде сейчас хрен поднимешь? > >> > >> Нет, не отменяется. Для твоих целей того, что есть, скорее всего, > >> хватит. > > > -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su WWW: http://gerasiov.net TG/Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
Re: LDAP
Похоже, вопрос не в тему. Попробовал прокинуть и в LDAP сервере, и в phpLDAPAdmin. Всё-равно, в интерфейсе, при создании записи UserAccount, начальная группа - 500 и не создаёт он домашние каталоги пользователей, а при создании PosixGroup, не добавляет группу в /etc/group, хотя в базе LDAP и создаёт. 22.04.2018 14:34, artiom пишет: > Ok. > Ещё такой вопрос. > Прокидывание /etc/{groups,passwd,shadow} и /home в Docker контейнер с > OpenLDAP - приемлемая идея, если я хочу системных пользователей через > него заводить, или нет? > > 20.04.2018 09:13, Artem Chuprina пишет: >> artiom -> debian-russian@lists.debian.org @ Fri, 20 Apr 2018 08:44:25 +0300: >> >> > Так это, господа гуру криптографии и распределения ключей, FAQ-то >> > пользоваться или неактуально? >> > easy-rsa уже отменяется, я так понял? >> > Свой CA во вменяемом виде сейчас хрен поднимешь? >> >> Нет, не отменяется. Для твоих целей того, что есть, скорее всего, хватит. >> >
Re: LDAP
Ok. Ещё такой вопрос. Прокидывание /etc/{groups,passwd,shadow} и /home в Docker контейнер с OpenLDAP - приемлемая идея, если я хочу системных пользователей через него заводить, или нет? 20.04.2018 09:13, Artem Chuprina пишет: > artiom -> debian-russian@lists.debian.org @ Fri, 20 Apr 2018 08:44:25 +0300: > > > Так это, господа гуру криптографии и распределения ключей, FAQ-то > > пользоваться или неактуально? > > easy-rsa уже отменяется, я так понял? > > Свой CA во вменяемом виде сейчас хрен поднимешь? > > Нет, не отменяется. Для твоих целей того, что есть, скорее всего, хватит. >
Re: LDAP
artiom -> debian-russian@lists.debian.org @ Fri, 20 Apr 2018 08:44:25 +0300: > Так это, господа гуру криптографии и распределения ключей, FAQ-то > пользоваться или неактуально? > easy-rsa уже отменяется, я так понял? > Свой CA во вменяемом виде сейчас хрен поднимешь? Нет, не отменяется. Для твоих целей того, что есть, скорее всего, хватит.
Re: LDAP
Так это, господа гуру криптографии и распределения ключей, FAQ-то пользоваться или неактуально? easy-rsa уже отменяется, я так понял? Свой CA во вменяемом виде сейчас хрен поднимешь? 19.04.2018 10:48, Artem Chuprina пишет: > Victor Wagner -> debian-russian@lists.debian.org @ Thu, 19 Apr 2018 10:08:47 > +0300: > > >> > учетом современных реалий. Чтобы и X509v3 умело, и эллиптические > >> > кривые понимало, причем не только в виде ECDSA. > >> > >> > А Шаплова заставим новый Certificates HOWTO написать. > >> > >> Палка о двух концах. В easy_rsa ключевое слово - easy. Мы сумеем > >> добавить туда новые возможности, не потеряв в простоте применения для > >> простых случаев? > > > Ну, не попробуем - не узнаем. В общем-то challenge в том и состоит, > > чтобы простые вещи были простыми, а сложные - возможными. > > Ну ок, мысль эту следует попробовать. Я посмотрю на оные скрипты глазами. > > >> И кстати, оглядываясь на смартфоны и планшеты - у них ведь снова чаще > >> чем у каждого второго асимметричный алгоритм "может быть любым, если > >> это RSA". И генерировать сертификат на эллиптических кривых - > >> нарываться на то, что смартфонное приложение этого не поймет. > > > По-моему, ты немножко не прав, и в JAVA cryptoapi которому андроид > > более-менее следует, все это поддерживается. > > > Оно в сим-картах и то поддерживается. (JavaCard 3.0, если не > > ошибаюсь). > > В Java да, а в приложениях нет. API-то еще употребить надо. Ну, то есть, > на автомате проверить сертификат оно, может, и осилит, а вот > воспользоваться секретным ключом уже увы. > > Я тут на днях попытался в VX ConnectBot втянуть секретные > ssh-ключи. Нишмагла. В смысле, шмагла только RSA. >
Re: LDAP
Victor Wagner -> debian-russian@lists.debian.org @ Thu, 19 Apr 2018 10:08:47 +0300: >> > учетом современных реалий. Чтобы и X509v3 умело, и эллиптические >> > кривые понимало, причем не только в виде ECDSA. >> >> > А Шаплова заставим новый Certificates HOWTO написать. >> >> Палка о двух концах. В easy_rsa ключевое слово - easy. Мы сумеем >> добавить туда новые возможности, не потеряв в простоте применения для >> простых случаев? > Ну, не попробуем - не узнаем. В общем-то challenge в том и состоит, > чтобы простые вещи были простыми, а сложные - возможными. Ну ок, мысль эту следует попробовать. Я посмотрю на оные скрипты глазами. >> И кстати, оглядываясь на смартфоны и планшеты - у них ведь снова чаще >> чем у каждого второго асимметричный алгоритм "может быть любым, если >> это RSA". И генерировать сертификат на эллиптических кривых - >> нарываться на то, что смартфонное приложение этого не поймет. > По-моему, ты немножко не прав, и в JAVA cryptoapi которому андроид > более-менее следует, все это поддерживается. > Оно в сим-картах и то поддерживается. (JavaCard 3.0, если не > ошибаюсь). В Java да, а в приложениях нет. API-то еще употребить надо. Ну, то есть, на автомате проверить сертификат оно, может, и осилит, а вот воспользоваться секретным ключом уже увы. Я тут на днях попытался в VX ConnectBot втянуть секретные ssh-ключи. Нишмагла. В смысле, шмагла только RSA.
Re: LDAP
On Thu, 19 Apr 2018 08:49:11 +0300 Artem Chuprinawrote: > > учетом современных реалий. Чтобы и X509v3 умело, и эллиптические > > кривые понимало, причем не только в виде ECDSA. > > > А Шаплова заставим новый Certificates HOWTO написать. > > Палка о двух концах. В easy_rsa ключевое слово - easy. Мы сумеем > добавить туда новые возможности, не потеряв в простоте применения для > простых случаев? Ну, не попробуем - не узнаем. В общем-то challenge в том и состоит, чтобы простые вещи были простыми, а сложные - возможными. > И кстати, оглядываясь на смартфоны и планшеты - у них ведь снова чаще > чем у каждого второго асимметричный алгоритм "может быть любым, если > это RSA". И генерировать сертификат на эллиптических кривых - > нарываться на то, что смартфонное приложение этого не поймет. По-моему, ты немножко не прав, и в JAVA cryptoapi которому андроид более-менее следует, все это поддерживается. Оно в сим-картах и то поддерживается. (JavaCard 3.0, если не ошибаюсь). А уж в OpenVPN, в которой вообще может быть openssl внизу, даже и в андроидных сборках... Вот DSA, который над полем вычетов - это да, все поддерживать перестали. Но в принципе, задача выбора алгоритма ключевой пары, отличного от RSA, может быть отнесена к категории "сложных вещей, которые должны быть возможны". А по умолчанию делать все с RSA. --
Re: LDAP
Victor Wagner -> debian-russian@lists.debian.org @ Thu, 19 Apr 2018 07:03:06 +0300: >> > Собственный CA имеет смысл, вроде. >> > Вопрос только в том, насколько сложно (LDAP тоже казался простым, >> > но свои особенности у каждого сервиса сожрали уйму времени)? >> >> В свое время в сети гуглился документ SSL Certificates Howto. Там было >> довольно грамотно расписано. > Устарело оно лет на двадцать. Осталось на уровне X509v1. > >> Сейчас в дистрибутиве есть пакет easy-rsa, им любит OpenVPN >> пользоваться. Это сделанный по тому рецепту комплект скриптов для >> своего CA. > Вот у нас тоже им пользовались. Коропоративная локалка, примерно 30 > пользователей. VPN, LDAP, десяток-другой внутренних веб-сервисов. > Возникла необходимость поднять парочку Name-based https-хостов на одной > машина и ап.. А где SubjectAlternativeName? А не умеет его easy_rsa. > Вообще никаких extension не умеет. > >> Чтобы им адекватно пользоваться, крайне желательно уже иметь понимание >> устройства PKI по схеме X509 (в PGP, например, схема другая). В >> упомянутом Howto изложение, помнится, было. > Ага было. На уровне RFC 2459, принятого в прошлом веке. > А сейчас немножко даже 3280 уже неактуально. Надо пользоваться 5280 и > то с оглядкой на 6818. > Может это, тряхнем стариной, да и напишем ремейк easy_rsa, но с учетом > современных реалий. Чтобы и X509v3 умело, и эллиптические кривые > понимало, причем не только в виде ECDSA. > А Шаплова заставим новый Certificates HOWTO написать. Палка о двух концах. В easy_rsa ключевое слово - easy. Мы сумеем добавить туда новые возможности, не потеряв в простоте применения для простых случаев? И кстати, оглядываясь на смартфоны и планшеты - у них ведь снова чаще чем у каждого второго асимметричный алгоритм "может быть любым, если это RSA". И генерировать сертификат на эллиптических кривых - нарываться на то, что смартфонное приложение этого не поймет.
Re: LDAP
В Wed, 18 Apr 2018 23:09:45 +0300 Artem Chuprina <r...@lasgalen.net> пишет: > artiom -> debian-russian@lists.debian.org @ Wed, 18 Apr 2018 > 22:46:27 +0300: > > > Собственный CA имеет смысл, вроде. > > Вопрос только в том, насколько сложно (LDAP тоже казался простым, > > но свои особенности у каждого сервиса сожрали уйму времени)? > > В свое время в сети гуглился документ SSL Certificates Howto. Там было > довольно грамотно расписано. Устарело оно лет на двадцать. Осталось на уровне X509v1. > Сейчас в дистрибутиве есть пакет easy-rsa, им любит OpenVPN > пользоваться. Это сделанный по тому рецепту комплект скриптов для > своего CA. Вот у нас тоже им пользовались. Коропоративная локалка, примерно 30 пользователей. VPN, LDAP, десяток-другой внутренних веб-сервисов. Возникла необходимость поднять парочку Name-based https-хостов на одной машина и ап.. А где SubjectAlternativeName? А не умеет его easy_rsa. Вообще никаких extension не умеет. > Чтобы им адекватно пользоваться, крайне желательно уже иметь понимание > устройства PKI по схеме X509 (в PGP, например, схема другая). В > упомянутом Howto изложение, помнится, было. Ага было. На уровне RFC 2459, принятого в прошлом веке. А сейчас немножко даже 3280 уже неактуально. Надо пользоваться 5280 и то с оглядкой на 6818. Может это, тряхнем стариной, да и напишем ремейк easy_rsa, но с учетом современных реалий. Чтобы и X509v3 умело, и эллиптические кривые понимало, причем не только в виде ECDSA. А Шаплова заставим новый Certificates HOWTO написать. -- Victor Wagner <vi...@wagner.pp.ru>
Re: LDAP
artiom -> debian-russian@lists.debian.org @ Wed, 18 Apr 2018 22:46:27 +0300: > Собственный CA имеет смысл, вроде. > Вопрос только в том, насколько сложно (LDAP тоже казался простым, но > свои особенности у каждого сервиса сожрали уйму времени)? В свое время в сети гуглился документ SSL Certificates Howto. Там было довольно грамотно расписано. Сейчас в дистрибутиве есть пакет easy-rsa, им любит OpenVPN пользоваться. Это сделанный по тому рецепту комплект скриптов для своего CA. Чтобы им адекватно пользоваться, крайне желательно уже иметь понимание устройства PKI по схеме X509 (в PGP, например, схема другая). В упомянутом Howto изложение, помнится, было.
Re: LDAP
18.04.2018 14:14, Artem Chuprina пишет: > artiom -> debian-russian@lists.debian.org @ Tue, 17 Apr 2018 23:19:39 +0300: > > >> >>> Да, аутентификация по сертификату есть, если вы купите у своего > >> >>> провайдера белый IP-адрес, то вам не нужны самоподписанные > сертификаты, > >> >>> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. > >> >> > >> >> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса > >> >> используя сервис аля dyndns. > >> >> > >> > Вот хотелось поподробнее про Let's Encrypt. > >> > Эта идея сначала была, но загнулась, и теперь мои сертификаты > >> > самоподписанные. > >> > Я так понял, этот сервис подписывает сертификат, созданный на внешнее > >> > доменное имя? > >> > >> Да. > >> > >> Причем по этому имени должен быть доступен веб-сервер, и уметь отдать > >> сгенерированный по ходу операции подписи файл со случайным именем, > >> подписанный соответствующим ключом. И выдается такой сертификат на 3 > >> месяца, так что рекомендуемая частота перевыпуска - раз в месяц. > >> > > Вау. Это слишком часто. Если автоматом перевыпуск сделать нельзя. > > Это автомат. > > >> Для локалки так себе решение. > > Ну тут не только локалка: фишка в том, что сервер наружу смотрит. > > Тогда может иметь смысл. А может не иметь. Я для своих целей (набор > exim'ов, OpenVPN) пользуюсь своим CA, там CA, известный браузерам из > коробки, совершенно ни к чему. > LE смысла не имеет: у меня не паблик и список пользователей жёстко ограничен. Собственный CA имеет смысл, вроде. Вопрос только в том, насколько сложно (LDAP тоже казался простым, но свои особенности у каждого сервиса сожрали уйму времени)?
Re: LDAP
> On 04/17/18 16:23, artiom wrote: >>> On 04/14/18 16:00, Артём Н. wrote: >>> >> Я не хочу ни LDAP, ни RADIUS, ни FreeIPA. >> Единственное, почему я использую LDAP, это потому что он является >> простым способом поддержать управление пользователями для разных >> сревисов из коробки. >> bind мне не нужен, kerberos и dogtag, тем более. >> У меня уже есть два интерфейса: phpLDAPadmin и ещё интерфейс для смены >> паролей пользователями. >> > Ха, не связал двух пользователей, "Артём Н" и "artiom", знал бы, не > советовал :P > Почему ж?
Re: LDAP
On 04/17/18 16:23, artiom wrote: >> On 04/14/18 16:00, Артём Н. wrote: >> > Я не хочу ни LDAP, ни RADIUS, ни FreeIPA. > Единственное, почему я использую LDAP, это потому что он является > простым способом поддержать управление пользователями для разных > сревисов из коробки. > bind мне не нужен, kerberos и dogtag, тем более. > У меня уже есть два интерфейса: phpLDAPadmin и ещё интерфейс для смены > паролей пользователями. > Ха, не связал двух пользователей, "Артём Н" и "artiom", знал бы, не советовал :P
Re: LDAP
> On 04/14/18 16:00, Артём Н. wrote: >> >> - Оправданно ли вообще использование LDAP в таком случае? > LDAP удобная вещь, во многих случаях, твой похож на удобный >> - Как настроить его так, чтобы был TLS (в перспективе будет торчать >> "наружу") с самоподписанным >> сертификатом? >> - Где хранить .ldif файлы? >> - Нужно ли делать /etc/ldap/ldap.conf или, как в руководстве, нужно "add >> attributes to cn=config"? >> - Лучше запускать LDAP сервер в контейнере или устанавливать в систему? > Попробуй FreeIPA, это разработка РедХата, попытка сделать систему управления > как Active Directory. > По сути 389/bind/kerberos/dogtag обвязанные питоном и с веб интерфейсом ( или > REST + CLI, как > хочешь). Я к нему ещё FreeRadius прикручивал. > достаточно хорошо скрывает от админа детали реализации и связки компонентов, > так чтобы "работало и > не надо год разбираться" > > есть: > - в Debian, только не уверен насколько хорошо портирован, изначально делался > для RH ( я его гоняю в > CentOS) > - в контейнере: https://hub.docker.com/r/freeipa/freeipa-server/ > > Я не хочу ни LDAP, ни RADIUS, ни FreeIPA. Единственное, почему я использую LDAP, это потому что он является простым способом поддержать управление пользователями для разных сревисов из коробки. bind мне не нужен, kerberos и dogtag, тем более. У меня уже есть два интерфейса: phpLDAPadmin и ещё интерфейс для смены паролей пользователями.
Re: LDAP
> artiom -> debian-russian@lists.debian.org @ Mon, 16 Apr 2018 00:33:40 +0300: > > >>> Да, аутентификация по сертификату есть, если вы купите у своего > >>> провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, > >>> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. > >> > >> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса > >> используя сервис аля dyndns. > >> > > Вот хотелось поподробнее про Let's Encrypt. > > Эта идея сначала была, но загнулась, и теперь мои сертификаты > > самоподписанные. > > Я так понял, этот сервис подписывает сертификат, созданный на внешнее > > доменное имя? > > Да. > > Причем по этому имени должен быть доступен веб-сервер, и уметь отдать > сгенерированный по ходу операции подписи файл со случайным именем, > подписанный соответствующим ключом. И выдается такой сертификат на 3 > месяца, так что рекомендуемая частота перевыпуска - раз в месяц. > Вау. Это слишком часто. Если автоматом перевыпуск сделать нельзя. > Для локалки так себе решение. Ну тут не только локалка: фишка в том, что сервер наружу смотрит. > Возможно, свой CA (не самоподписанные > сертификаты, а плюс лишние два часа времени однократно, и таже > процедура, но со своим корневым сертификатом) будет умнее. Согласен. Так и сделаю, видимо. Как раз, мне нужен один корневой сертификат, а плодить 10 - не лучшая идея. > Но > преимущество Let's Encrypt (на данный момент политических игр в области > PKI) в том, что про подписанные им сертификаты не надо ничего вручную > объяснять каждому клиенту. А про свой CA надо. > В данном случае, это не является для меня проблемой.
Re: LDAP
>> >> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса >> >> используя сервис аля dyndns. >> >> >> > Вот хотелось поподробнее про Let's Encrypt. >> > Эта идея сначала была, но загнулась, и теперь мои сертификаты >> > самоподписанные. >> > Я так понял, этот сервис подписывает сертификат, созданный на внешнее >> > доменное имя? >> >> Да. >> >> Причем по этому имени должен быть доступен веб-сервер, и уметь отдать >> сгенерированный по ходу операции подписи файл со случайным именем, >> подписанный соответствующим ключом. > Он умеет и без веб-сервера. Поднимая свой собственный на время подписи. > После подписания или пере выпуска сервер ему не нужен. Это есть в > документации. Окей, по этому имени на время выписывания сертификата должен быть доступен веб-сервер.
Re: LDAP
On 16/04/18 03:14 AM, Artem Chuprina wrote: > artiom -> debian-russian@lists.debian.org @ Mon, 16 Apr 2018 00:33:40 +0300: > > >>> Да, аутентификация по сертификату есть, если вы купите у своего > >>> провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, > >>> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. > >> > >> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса > >> используя сервис аля dyndns. > >> > > Вот хотелось поподробнее про Let's Encrypt. > > Эта идея сначала была, но загнулась, и теперь мои сертификаты > > самоподписанные. > > Я так понял, этот сервис подписывает сертификат, созданный на внешнее > > доменное имя? > > Да. > > Причем по этому имени должен быть доступен веб-сервер, и уметь отдать > сгенерированный по ходу операции подписи файл со случайным именем, > подписанный соответствующим ключом. Он умеет и без веб-сервера. Поднимая свой собственный на время подписи. После подписания или пере выпуска сервер ему не нужен. Это есть в документации.
Re: LDAP
artiom -> debian-russian@lists.debian.org @ Mon, 16 Apr 2018 00:33:40 +0300: >>> Да, аутентификация по сертификату есть, если вы купите у своего >>> провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, >>> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. >> >> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса >> используя сервис аля dyndns. >> > Вот хотелось поподробнее про Let's Encrypt. > Эта идея сначала была, но загнулась, и теперь мои сертификаты > самоподписанные. > Я так понял, этот сервис подписывает сертификат, созданный на внешнее > доменное имя? Да. Причем по этому имени должен быть доступен веб-сервер, и уметь отдать сгенерированный по ходу операции подписи файл со случайным именем, подписанный соответствующим ключом. И выдается такой сертификат на 3 месяца, так что рекомендуемая частота перевыпуска - раз в месяц. Для локалки так себе решение. Возможно, свой CA (не самоподписанные сертификаты, а плюс лишние два часа времени однократно, и таже процедура, но со своим корневым сертификатом) будет умнее. Но преимущество Let's Encrypt (на данный момент политических игр в области PKI) в том, что про подписанные им сертификаты не надо ничего вручную объяснять каждому клиенту. А про свой CA надо.
Re: LDAP
On 04/14/18 16:00, Артём Н. wrote: > > - Оправданно ли вообще использование LDAP в таком случае? LDAP удобная вещь, во многих случаях, твой похож на удобный > - Как настроить его так, чтобы был TLS (в перспективе будет торчать "наружу") > с самоподписанным > сертификатом? > - Где хранить .ldif файлы? > - Нужно ли делать /etc/ldap/ldap.conf или, как в руководстве, нужно "add > attributes to cn=config"? > - Лучше запускать LDAP сервер в контейнере или устанавливать в систему? Попробуй FreeIPA, это разработка РедХата, попытка сделать систему управления как Active Directory. По сути 389/bind/kerberos/dogtag обвязанные питоном и с веб интерфейсом ( или REST + CLI, как хочешь). Я к нему ещё FreeRadius прикручивал. достаточно хорошо скрывает от админа детали реализации и связки компонентов, так чтобы "работало и не надо год разбираться" есть: - в Debian, только не уверен насколько хорошо портирован, изначально делался для RH ( я его гоняю в CentOS) - в контейнере: https://hub.docker.com/r/freeipa/freeipa-server/
Re: LDAP
> On 15/04/18 04:05 AM, Коротаев Руслан wrote: >> Да, аутентификация по сертификату есть, если вы купите у своего >> провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, >> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. > > Вот тут добавлю, Let's Encrypt можно получить для динамического адреса > используя сервис аля dyndns. > Вот хотелось поподробнее про Let's Encrypt. Эта идея сначала была, но загнулась, и теперь мои сертификаты самоподписанные. Я так понял, этот сервис подписывает сертификат, созданный на внешнее доменное имя?
Re: LDAP
15.04.2018 17:15, Коротаев Руслан пишет: > В сообщении от [Вс 2018-04-15 16:31 +0300] > Артём Н. <artio...@yandex.ru> пишет: > >> 1. Это вносит проблемы с безопасностью. >> 2. "Нормальным людям" пока ещё далеко до этого: где я, и где IPv6? >> >> Я статью почитал, там какая-то сильно передовая маргинальщина: IPv6, >> новый файрволл, TAYGA и NAS64. Если я с этим сейчас буду разбираться, >> мои проекты встанут на год, и меня проклянут. В текущем варианте, я >> просто хочу "чтобы работало", заниматься исследованиями новых сетевых >> технологий, пока времени нет. > > Согласен, у вас выверенная, хорошо аргументированная позиция, здесь не > поспоришь. > Ну да, сарказм уместен. Но, если серьёзно, во-первых, я предполагаю, что выловлю больше проблем с технологией, которая от меня далека, чем с тем, что есть сейчас (к тому же, в текущем варианте работает, только LDAP остался и пробросы). Во-вторых, там реально много неисследованных проблем с безопасностью и не только. Мне до IPv6 пока далеко, это не решение моей текущей задачи, а отдельная сложная тема. >> А, в смысле точка ему выдаёт IP? > > … ну, да, без IP-адреса интернет работать не может. Я сейчас ещё раз > крепко подумал и решил — у вас действительно самый оптимальный, рабочий > вариант. Он самодостаточен, что-либо менять, только портить. > Я понял, просто у меня возникает недопонимание некоторых моментов. Каждый раз точка будет выдавать IP, а когда я захочу отозвать доступ? А если некто займётся спуфингом (IP подделать не так уж сложно, как кажется, кроме того есть и другие варианты, ещё более инвазивные)? А что будет, когда пользователь закончит работу, но выданный ему "внутри" IP ещё останется? Как вообще настраивать файрволл, в таком случае?
Re: LDAP
On 15/04/18 04:05 AM, Коротаев Руслан wrote: > Да, аутентификация по сертификату есть, если вы купите у своего > провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, > можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. Вот тут добавлю, Let's Encrypt можно получить для динамического адреса используя сервис аля dyndns.
Re: LDAP
В сообщении от [Вс 2018-04-15 16:31 +0300] Артём Н.пишет: > 1. Это вносит проблемы с безопасностью. > 2. "Нормальным людям" пока ещё далеко до этого: где я, и где IPv6? > > Я статью почитал, там какая-то сильно передовая маргинальщина: IPv6, > новый файрволл, TAYGA и NAS64. Если я с этим сейчас буду разбираться, > мои проекты встанут на год, и меня проклянут. В текущем варианте, я > просто хочу "чтобы работало", заниматься исследованиями новых сетевых > технологий, пока времени нет. Согласен, у вас выверенная, хорошо аргументированная позиция, здесь не поспоришь. > А, в смысле точка ему выдаёт IP? … ну, да, без IP-адреса интернет работать не может. Я сейчас ещё раз крепко подумал и решил — у вас действительно самый оптимальный, рабочий вариант. Он самодостаточен, что-либо менять, только портить. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: LDAP
Вот тут пока сложно: с IPv6 я только ознакомился, практически же не работал с ним. Это существенно упрощает администрирование, если коротко, то при использовании IPv6 необходимости в NAT нет, все устройства будут иметь глобально маршрутизируемые адреса. 1. Это вносит проблемы с безопасностью. 2. "Нормальным людям" пока ещё далеко до этого: где я, и где IPv6? Я статью почитал, там какая-то сильно передовая маргинальщина: IPv6, новый файрволл, TAYGA и NAS64. Если я с этим сейчас буду разбираться, мои проекты встанут на год, и меня проклянут. В текущем варианте, я просто хочу "чтобы работало", заниматься исследованиями новых сетевых технологий, пока времени нет. Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные имена. Я могу использовать динамический DNS и диспетчер на nginx-proxy. Однако сейчас я пробрасываю порты. … если вы своим VPS будете раздавать IPv6-адреса, ничего пробрасывать не надо, берете любой бесплатный DNS-сервис (например dns.he.net) и присваиваете им доменные имена. То есть VPS с вашего NAS становятся доступны всему интернету, также как VPS какого-нибудь Амазона, нужно только защитить их файрволом. Ну примерно так я и собираюсь сделать, только на v4. В смысле? Любой, знающий IP, считается "прошедшим аутентификацию"? Не вариант. Не знающий IP, а получивший IP. Допустим, вы хотите дать своему знакомому доступ к как каталогу по NFS/FTP. Заводите на RADIUS-сервере учетную запись вашего знакомого (пароли могут хранится в виде хеша, а не открытым текстом) и говорите: «Подключайся к точке доступа с именем HomeShare». Далее он проходит, аутентификацию по сертификату и получает IP. Всё, с этого IP он напрямую получает доступ, ничего больше не требуется. А, в смысле точка ему выдаёт IP?
Re: LDAP
В сообщении от [Вс 2018-04-15 14:05 +0300] Артём Н.пишет: > Вот тут пока сложно: с IPv6 я только ознакомился, практически же не > работал с ним. Это существенно упрощает администрирование, если коротко, то при использовании IPv6 необходимости в NAT нет, все устройства будут иметь глобально маршрутизируемые адреса. > Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные > имена. Я могу использовать динамический DNS и диспетчер на > nginx-proxy. Однако сейчас я пробрасываю порты. … если вы своим VPS будете раздавать IPv6-адреса, ничего пробрасывать не надо, берете любой бесплатный DNS-сервис (например dns.he.net) и присваиваете им доменные имена. То есть VPS с вашего NAS становятся доступны всему интернету, также как VPS какого-нибудь Амазона, нужно только защитить их файрволом. > В смысле? > Любой, знающий IP, считается "прошедшим аутентификацию"? > Не вариант. Не знающий IP, а получивший IP. Допустим, вы хотите дать своему знакомому доступ к как каталогу по NFS/FTP. Заводите на RADIUS-сервере учетную запись вашего знакомого (пароли могут хранится в виде хеша, а не открытым текстом) и говорите: «Подключайся к точке доступа с именем HomeShare». Далее он проходит, аутентификацию по сертификату и получает IP. Всё, с этого IP он напрямую получает доступ, ничего больше не требуется. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: LDAP
On 15.04.2018 12:19, Alexander Gerasiov wrote: Hello Артём, On Sat, 14 Apr 2018 23:00:46 +0300 Артём Н. <artio...@yandex.ru> wrote: Хочу сделать так, чтобы все сервисы на NAS централизованно получали данные о пользователях. Решил это реализовать через LDAP. Почитал. Вроде, теоретически понятно, а практически как-то не очень, бьюсь с LDAP уже немало. Тут описано не особо подробно и с опечатками (не slapd.conf, а ldap.conf): https://wiki.debian.org/LDAP/OpenLDAPSetup Это не очепятка, читай внимательнее, там сказано, что slapd.conf - это старый конфиг, теперь всё хранится в slapd.d ldap.conf используется только ldap-tools Я читал лог strace, и понял, что /etc/slapd.conf теперь вообще не читается. - Как настроить его так, чтобы был TLS (в перспективе будет торчать "наружу") с самоподписанным сертификатом? По документации. Легко сказать. Настроил "по документации". Не работает. - Где хранить .ldif файлы? Не надо их нигде хранить, ldap хранит всё внутри своей БД. Для управления пользователями можно использовать, например обертку вроде ldapscripts Уже разобрался: я их просто загружаю в базу LDAP. - Лучше запускать LDAP сервер в контейнере или устанавливать в систему? Удобнее, если в контейнере, конечно. Уже перенёс: теперь в контейнере (osixia/openldap:1.2.0). Рекомендую еще вот этот мануал, не знаю как сейчас, но раньше он был гораздо лучшее написан, чем debian wiki: https://help.ubuntu.com/lts/serverguide/openldap-server.html Спасибо. Читаю.
Re: LDAP
Если возможностей RADIUS-сервера будет не достаточно, то можно прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это лишнее. [1]: https://blog.kr.pp.ru/post/2017-12-12/ Кое-как настроил LDAP локльно: это чудовище просто какое-то. Задолбался подключать к нему gitlab. Переделал всё на контейнеры, пока не работает TLS.
Re: LDAP
On 15.04.2018 12:05, Коротаев Руслан wrote: В сообщении от [Сб 2018-04-14 23:00 +0300] Артём Н. <artio...@yandex.ru> пишет: Хочу сделать так, чтобы все сервисы на NAS централизованно получали данные о пользователях. Решил это реализовать через LDAP. Почитал. Вроде, теоретически понятно, а практически как-то не очень, бьюсь с LDAP уже немало. - Оправданно ли вообще использование LDAP в таком случае? Рекомендую RADIUS (FreeRADIUS есть в репозитории). Смотрел его, и так понял, что он мне не нужен. Вы очень мало написали о сути проблемы, поэтому поделюсь своим решением, возможно оно и вам поможет. Фактически, писать тут особо нечего. Есть n сервисов, поддерживающих LDAP из коробки, и m пользователей, которые хотят пользоваться частью сервисов и, возможно, иметь личный каталог в ФС. Надо это реализовать. Логично, что управлять пользователями надо централизованно. Задача дальнего будущего - на внешних машинках авторизоваться с LDAP сервера, который крутится в NAS. Проблема: дома есть NAS, на котором крутятся сервисы раздачи файлов и мультимедиа по разным протоколам. Для себя и домашних проблем нет, подключаемся и получаем к ним доступ. Но что если пришли гости и просят WiFi, вряд ли вы хотите чтобы они увидели что-то вроде «Жесть. Отжигаю в Турции». Очевидное решение: сделать на роутере два VLAN — домашний и гостевой, и защитить паролем. Однако, пароля будет недостаточно, когда вас не будет дома, бабушка наверняка их перепутает. Поэтому нужен RADIUS, он есть даже в самом дешевом китайском роутере. Схема сложновата. В моём случае, NAS - вещь в себе. Я могу всё поднять на нём. - Как настроить его так, чтобы был TLS (в перспективе будет торчать "наружу") с самоподписанным сертификатом? Да, аутентификация по сертификату есть, если вы купите у своего провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные имена. Я могу использовать динамический DNS и диспетчер на nginx-proxy. Однако сейчас я пробрасываю порты. Имея белый IP-адрес, вы можете подключить IPv6, например через NAT64 [1]. Вы уже не будете ограничены домашней сетью и сможете давать доступ к своим сервисам на различных VPS исходя из IPv6-адреса. Вот тут пока сложно: с IPv6 я только ознакомился, практически же не работал с ним. В общем политика безопасности очень простая — получил IP-адрес (любой IPv4 и/или IPv6), значит прошел аутентификацию и можно давать доступ, дальше всё реализуем через файрвол. В смысле? Любой, знающий IP, считается "прошедшим аутентификацию"? Не вариант. Если возможностей RADIUS-сервера будет не достаточно, то можно прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это лишнее. [1]: https://blog.kr.pp.ru/post/2017-12-12/ Я бы с удовольствием не парился с LDAP, но его поддерживают gitlab, OMV, urbackup, etc.
Re: LDAP
Hello Артём, On Sat, 14 Apr 2018 23:00:46 +0300 Артём Н. <artio...@yandex.ru> wrote: > Хочу сделать так, чтобы все сервисы на NAS централизованно получали > данные о пользователях. Решил это реализовать через LDAP. > Почитал. Вроде, теоретически понятно, а практически как-то не очень, > бьюсь с LDAP уже немало. Тут описано не особо подробно и с опечатками > (не slapd.conf, а ldap.conf): > https://wiki.debian.org/LDAP/OpenLDAPSetup Это не очепятка, читай внимательнее, там сказано, что slapd.conf - это старый конфиг, теперь всё хранится в slapd.d ldap.conf используется только ldap-tools > > Может кто-нибудь объяснить (по шагам): > > - Оправданно ли вообще использование LDAP в таком случае? Почему бы и нет. > - Как настроить его так, чтобы был TLS (в перспективе будет торчать > "наружу") с самоподписанным сертификатом? По документации. > - Где хранить .ldif файлы? Не надо их нигде хранить, ldap хранит всё внутри своей БД. Для управления пользователями можно использовать, например обертку вроде ldapscripts > - Нужно ли делать /etc/ldap/ldap.conf или, как в руководстве, нужно > "add attributes to cn=config"? Как в руководстве. > - Лучше запускать LDAP сервер в контейнере или устанавливать в > систему? Удобнее, если в контейнере, конечно. Рекомендую еще вот этот мануал, не знаю как сейчас, но раньше он был гораздо лучшее написан, чем debian wiki: https://help.ubuntu.com/lts/serverguide/openldap-server.html -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su WWW: http://gerasiov.net TG/Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 pgpNXcLtIF0LE.pgp Description: OpenPGP digital signature
Re: LDAP
В сообщении от [Сб 2018-04-14 23:00 +0300] Артём Н. <artio...@yandex.ru> пишет: > Хочу сделать так, чтобы все сервисы на NAS централизованно получали > данные о пользователях. Решил это реализовать через LDAP. Почитал. > Вроде, теоретически понятно, а практически как-то не очень, бьюсь с > LDAP уже немало. > > - Оправданно ли вообще использование LDAP в таком случае? Рекомендую RADIUS (FreeRADIUS есть в репозитории). Вы очень мало написали о сути проблемы, поэтому поделюсь своим решением, возможно оно и вам поможет. Проблема: дома есть NAS, на котором крутятся сервисы раздачи файлов и мультимедиа по разным протоколам. Для себя и домашних проблем нет, подключаемся и получаем к ним доступ. Но что если пришли гости и просят WiFi, вряд ли вы хотите чтобы они увидели что-то вроде «Жесть. Отжигаю в Турции». Очевидное решение: сделать на роутере два VLAN — домашний и гостевой, и защитить паролем. Однако, пароля будет недостаточно, когда вас не будет дома, бабушка наверняка их перепутает. Поэтому нужен RADIUS, он есть даже в самом дешевом китайском роутере. > - Как настроить его так, чтобы был TLS (в перспективе будет торчать > "наружу") с самоподписанным сертификатом? Да, аутентификация по сертификату есть, если вы купите у своего провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. Имея белый IP-адрес, вы можете подключить IPv6, например через NAT64 [1]. Вы уже не будете ограничены домашней сетью и сможете давать доступ к своим сервисам на различных VPS исходя из IPv6-адреса. В общем политика безопасности очень простая — получил IP-адрес (любой IPv4 и/или IPv6), значит прошел аутентификацию и можно давать доступ, дальше всё реализуем через файрвол. Если возможностей RADIUS-сервера будет не достаточно, то можно прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это лишнее. [1]: https://blog.kr.pp.ru/post/2017-12-12/ -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
LDAP
Хочу сделать так, чтобы все сервисы на NAS централизованно получали данные о пользователях. Решил это реализовать через LDAP. Почитал. Вроде, теоретически понятно, а практически как-то не очень, бьюсь с LDAP уже немало. Тут описано не особо подробно и с опечатками (не slapd.conf, а ldap.conf): https://wiki.debian.org/LDAP/OpenLDAPSetup Может кто-нибудь объяснить (по шагам): - Оправданно ли вообще использование LDAP в таком случае? - Как настроить его так, чтобы был TLS (в перспективе будет торчать "наружу") с самоподписанным сертификатом? - Где хранить .ldif файлы? - Нужно ли делать /etc/ldap/ldap.conf или, как в руководстве, нужно "add attributes to cn=config"? - Лучше запускать LDAP сервер в контейнере или устанавливать в систему?
Re: LDAP несколько вопросов начинающего
Не сочтите за плохой тон, но вот по ссылке ниже ребята мне помогли как-то. И доки они переписывают на русский и отвечают более или менее быстро и уверенно. http://pro-ldap.ru/ ага, почему плохой-то тон? я и просил ссылок на что где почитать :) спасибо. -- . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: LDAP несколько вопросов начинающего
4 января 2015 г., 0:34 пользователь Dmitry E. Oboukhov un...@debian.org написал: Разбираюсь понемногу с LDAP, насколько я понимаю для моих вещей самое то, однако есть вопросы которые пока не разобрал Не сочтите за плохой тон, но вот по ссылке ниже ребята мне помогли как-то. И доки они переписывают на русский и отвечают более или менее быстро и уверенно. http://pro-ldap.ru/
LDAP несколько вопросов начинающего
Разбираюсь понемногу с LDAP, насколько я понимаю для моих вещей самое то, однако есть вопросы которые пока не разобрал 1. транзакционность вот имеется некоторый ldif, который пишем руками. там добавляем допустим атрибут или вообще объектный класс. или скажем индекс строим... допустим мы в этом ldif сделали ошибку. вопрос: команды этого ldif, которые идут до этой ошибки откатятся? 2. я хочу сделать примерно следующее: у нас есть серия вебсерверов. они в общем-то все одинаковые и имеют примерно один конфигфайл. сейчас этот конфиг распространяется вручную админом. хочу сделать следующее: - описать объектный класс в котором будет все 100500 параметров конфигурационных - сделать мастер-LDAP - сделать кучу реплик LDAP на каждом вебсервере свою - далее конфигурацию менять на мастере, а все вебсервера начнут ее использовать как только она до них по репликации дотечет. вот и в свете описанного хочется какого-то триггера на репликах настроенного (у каждой реплики возможны разные триггеры), написанного на внешнем приложении о том, что произошли такие-то изменения в БД. вот с последним - пока не нашел что почитать чтобы так сделать что почитать? то есть сейчас в общем виде я хочу сделать на переходный период следующее: 1. сложить настройки в ldap 2. дотянуть до реплики 3. на реплике из триггера о том что случились изменения вносить изменения в конфиг-файл (который текстовый). как-то так. -- . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: Dovecot: LDAP + Kerberos
Проблему решил, установив переменной домен значение по умолчанию: userdb { driver = static args = uid=vmail gid=vmail home=/var/vmail/%d/%Ln allow_all_users=yes default_fields = domain=domain.name.local }
Dovecot: LDAP + Kerberos
Привет. Столкнулся с проблемой, а языковой барьер мешает корректно задать вопрос в dovecot mailing list. Стоит почтовый сервер. # uname -a Linux deb7s0 3.2.0-4-amd64 #1 SMP Debian 3.2.54-2 x86_64 GNU/Linux Изначально dovecot настроен TLS + plain login через LDAP passdb { driver = ldap } userdb { driver = static args = uid=vmail gid=vmail home=/var/vmail/%d/%Ln allow_all_users=yes } Все работает как надо, папка пользователя создается /var/vmail/domain.name.local/user1 Добавил авторизацию Kerberos, авторизация проходит успешно, но папка пользователя создается /var/vmail/user1 В логах явно видно ошибку: Debug: auth client connected (pid=4198) Debug: ldap(user1,ip,tStnqj78mQCsETVX): bind search: base=DC=domain,DC=name,DC=local filter=((objectClass=person)(sAMAccountName=user1)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2))) Debug: auth(user1,ip,tStnqj78mQCsETVX): username changed user1 - us...@domain.name.local Debug: ldap(us...@domain.name.local,ip,tStnqj78mQCsETVX): result: userPrincipalName=us...@domain.name.local Debug: client out: OK#0111#011user=us...@domain.name.local Debug: master in: REQUEST#0113788505089#0114198#0111#01126f21034856c4a995f36c38acc6e0567 Debug: master out: USER#0113788505089#011us...@domain.name.local #011uid=5000#011gid=5000#011home=/var/vmail/domain.name.local/user1 Debug: auth client connected (pid=4378) Debug: gssapi(?,ip,4sqZ5D78tQCsETVX): Using all keytab entries Debug: gssapi(us...@domain.name.local,ip,4sqZ5D78tQCsETVX): security context state completed. Debug: gssapi(us...@domain.name.local,ip,4sqZ5D78tQCsETVX): Negotiated security layer Debug: client out: OK#0111#011user=user1 Debug: master in: REQUEST#0112865889281#0114378#0111#01148e1177f98cf140bf698a446eb74ecff Debug: master out: USER#0112865889281#011user1#011uid=5000#011gid=5000#011home=/var/vmail//user1 Как видно LDAP меняет имя пользователя и потом получает из него имя домена, как такое сделать у GSSAPI? Возможно это несовсем правильное решение и я готов поменять настройки, но нужно сохранить структуру каталога (/var/vmail/domain_name/user_name), т.к. в дальнейшем почтовый сервер будет обслуживать несколько доменных имен.
Re: Dovecot: LDAP + Kerberos
On 06/20/2014 11:12 AM, Роман Гинович wrote: Добавил авторизацию Kerberos, авторизация проходит успешно, но папка пользователя создается /var/vmail/user1 Только не /var/vmail/user1, а /var/vmail//user1, и %d - domain part in user@domain, empty if there's no domain Так что похоже что на стадии кербероса домена уже нет, и скорее всего сходу это не решается. -- sergio. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/53a3fc8f.4060...@sergio.spb.ru
ldap и osqa
Коллеги добрый день. Есть вопрос по использованию osqa по ldap. Ситуация такая. Есть виндовый домен. Есть машинка с linux (пока не в домене) на этой машинке настроено apache+osqa+mysql+django. Мне необходмио прикрутить osqa доменную авторизацию. Нашел плагин подключил его, но при заполнении всех необходимых полей (типа DN for binding:, Base DN: и тп.) и при попытки аутентификации мне выкидывается ошибка Login failed - LDAP bind error. Может кто нибудь сталкивался с такой проблемой
Re: ldap и osqa
18.12.2013 13:07, Andrey Kuzmin пишет: Коллеги добрый день. Есть вопрос по использованию osqa по ldap. Ситуация такая. Есть виндовый домен. Есть машинка с linux (пока не в домене) на этой машинке настроено apache+osqa+mysql+django. Мне необходмио прикрутить osqa доменную авторизацию. Нашел плагин подключил его, но при заполнении всех необходимых полей (типа DN for binding:, Base DN: и тп.) и при попытки аутентификации мне выкидывается ошибка Login failed - LDAP bind error. Может кто нибудь сталкивался с такой проблемой здесь обсуждается подобная проблема http://social.technet.microsoft.com/Forums/ru-RU/5030501c-69a6-4a39-96a2-ee6c2ddd320f/-ldap-bind проблема в том, что клиент ldap в osqa не может соединится с ldap сервером причин может быть много, но основные 1. сервер ldap microsoft не поддерживает plain text bind, рыть в строну как включить или как сделать безопасный bind к ldap microsoft'a 2. клиент действительно передает не то, что нужно - возможно что то в параметрах не правильное. Попробуйте по разному подключатся с ldap серверу. Почитайте что поддерживает сервер (какие способы bind) и что поддерживает клиент. Возможно сервер требует kerberos auth или же работает только через TLS. Читайте логи сервер там может быть что нибудь интересное. Скачайте какой-нибудь ldap gui browser и попробуйте подключится из него, сравните параметры подключения(bind) -- -- Faithfully yours, Vladimir Skubriev
Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap
отпишусь по результатам. в конфиге указываем passdb backend = tdbsam и ставим пакет с модулем PAM libpam-smbpass он сам прописывается в подсистему pam из конфига (/usr/share/pam-configs/smbpasswd-migrate) = pam_auth_update и вуаля стандартная база паролей tdb пополняется новым пользователем выполнившим успешный вход через другие службы т.е. сначала нужно будет зайти пользователем через другую службу, а уже после использовать samba единственное не удобство - это то, что при смене пароля пользователя в ldap ему снова нужно будет заходить на сервер под какой нибудь другой службой чтобы обновить базу tdb самбы. например ftp, ssh или что либо еще этот модуль конечно не только для данной задачи предназначен, но подозрительно, что именно такую задачу (migrate) он выполняет по умолчанию ) получается все классно, красиво и без дополнительных заморочек. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap
можно здесь посмотреть https://wiki.samba.org/index.php/Ldapsam_Editposix Am 02.07.2013 10:00, schrieb Владимир Скубриев: отпишусь по результатам. в конфиге указываем passdb backend = tdbsam и ставим пакет с модулем PAM libpam-smbpass он сам прописывается в подсистему pam из конфига (/usr/share/pam-configs/smbpasswd-migrate) = pam_auth_update и вуаля стандартная база паролей tdb пополняется новым пользователем выполнившим успешный вход через другие службы т.е. сначала нужно будет зайти пользователем через другую службу, а уже после использовать samba единственное не удобство - это то, что при смене пароля пользователя в ldap ему снова нужно будет заходить на сервер под какой нибудь другой службой чтобы обновить базу tdb самбы. например ftp, ssh или что либо еще этот модуль конечно не только для данной задачи предназначен, но подозрительно, что именно такую задачу (migrate) он выполняет по умолчанию ) получается все классно, красиво и без дополнительных заморочек. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/kquike$sk9$1...@online.de
аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap
Ни как не могу найти информацию по именно этому случаю использования samba: Опишу словами что я хочу: Самба сервер для расшаривания папок с авторизацией в уже имеющимся ldap каталоге В ldap заведены ou=users и ou=groups В том числе созданы пользователи и группы, вот такие примерно: # Entry 1: cn=skubriev,ou=users,dc=example,dc=com dn: cn=skubriev,ou=users,dc=example,dc=com cn: Skubriev Vladimir cn: skubriev gidnumber: 2007 homedirectory: /home/skubriev loginshell: /bin/bash mail:: 2t38t86fg8w86gf86g34786fg863g4f6g objectclass: simpleSecurityObject objectclass: inetOrgPerson objectclass: posixAccount objectclass: shadowAccount sn: Vladimir uid: skubriev uidnumber: 2044 userpassword: {SSHA}2t38t86fg8w86gf86g34786fg863g4f6g # Entry 1: cn=group1,ou=groups,dc=example,dc=com dn: cn=group1,ou=groups,dc=example,dc=com cn: group1 description: All in office users gidnumber: 2007 ... memberuid: skubriev memberuid: user1 memberuid: user2 ... objectclass: posixGroup Я не хочу принципиально использовать схему samba в каталоге, т.к. он у меня нет клиентов windows. Но некоторые папки на сервере должны быть доступны по протоколу SMB. То есть другими словами все должно быть как можно более простым. В поиске мне попадаются истинные нагромождения типа Samba + ldap = PDC = samba4 ))) Мне нужно, чтобы когда smbclient подключался к серверу у него спрашивался пароль и логин, который сверялся в моем каталоге и на основании того, в какой он группе и кто он выдавался доступ к SMB ресурсу(ам). Возможно ли такое сделать и как ? Спасибо. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap
01.07.2013 14:16, Владимир Скубриев пишет: Ни как не могу найти информацию по именно этому случаю использования samba: Опишу словами что я хочу: Самба сервер для расшаривания папок с авторизацией в уже имеющимся ldap каталоге В ldap заведены ou=users и ou=groups ... Я не хочу принципиально использовать схему samba в каталоге, т.к. он у меня нет клиентов windows. Но некоторые папки на сервере должны быть доступны по протоколу SMB. То есть другими словами все должно быть как можно более простым. В поиске мне попадаются истинные нагромождения типа Samba + ldap = PDC = samba4 ))) Мне нужно, чтобы когда smbclient подключался к серверу у него спрашивался пароль и логин, который сверялся в моем каталоге и на основании того, в какой он группе и кто он выдавался доступ к SMB ресурсу(ам). Возможно ли такое сделать и как ? Как вариант: настраиваем авторизацию pam-ldap на этом сервере, проверяем, что подтягиваются пользователи и группы и потом прописываем доступ этим группам в Samba. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51d15902.1020...@darkmike.ru
Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap
On 01.07.2013 14:25, Mike Mironov wrote: 01.07.2013 14:16, Владимир Скубриев пишет: Ни как не могу найти информацию по именно этому случаю использования samba: Опишу словами что я хочу: Самба сервер для расшаривания папок с авторизацией в уже имеющимся ldap каталоге В ldap заведены ou=users и ou=groups ... Я не хочу принципиально использовать схему samba в каталоге, т.к. он у меня нет клиентов windows. Но некоторые папки на сервере должны быть доступны по протоколу SMB. То есть другими словами все должно быть как можно более простым. В поиске мне попадаются истинные нагромождения типа Samba + ldap = PDC = samba4 ))) Мне нужно, чтобы когда smbclient подключался к серверу у него спрашивался пароль и логин, который сверялся в моем каталоге и на основании того, в какой он группе и кто он выдавался доступ к SMB ресурсу(ам). Возможно ли такое сделать и как ? Как вариант: настраиваем авторизацию pam-ldap на этом сервере, проверяем, что подтягиваются пользователи и группы и потом прописываем доступ этим группам в Samba. уже сделал авторизацию и вход через pam, nssswitch и sssd как самой самбе сказать, чтобы она аутентифицировала пользователей через pam и nss ? при установке она завела всех пользователей в tdbsam по умолчанию вот что она писала ... Importing account for skubriev...ok Importing account for user1...ok Importing account for user2...ok ... Т.е. в свою локальную базу она заносит пользователей, возможно и группы системные. Вопрос в том, что при такой настройке прийдеться поддерживать её базу(/var/lib/samba/passdb.tdb) в актуальном состоянии вручную. И нужно всем пользователям делать smbpasswd. И это не самая главная беда. Самая главная беда в том, что у меня нет паролей в plaintext, они есть у меня только в хэшах из каталога ldap. Я ведь храню хэши в ldap, почему бы samba не делать авторизацию через него ? Да у меня не простая задача, точнее она не из распространенных. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap
Да у меня не простая задача, точнее она не из распространенных. Есть такое подозрение, что использование клиентов smb накладывает ограничения на реализацию компонента LDAP таким образом, что заставляет использовать схему samba в каталоге, если необходимы аутентификация, что в свою очередь подтягивает синхронизацию паролей (см. примечание 1) и вообще полную виндузятину туда, где казалось бы она вовсе не нужна. примечание 1. статья http://www.ibm.com/developerworks/ru/edu/l-lpic3305/section5.html в которой говориться, что: Пароли NT отличаются от паролей UNIX и не могут храниться в атрибуте userPassword. По этой причине схему LDAP нужно расширить для обеспечения поддержки хранения хэшей паролей и другой информации, необходимой клиентам Microsoft. Надеюсь, что не прав (. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap
On 7/1/13, Владимир Скубриев vladi...@skubriev.ru wrote: при установке она завела всех пользователей в tdbsam по умолчанию ... Вопрос в том, что при такой настройке прийдеться поддерживать её базу(/var/lib/samba/passdb.tdb) в актуальном состоянии вручную. И нужно всем пользователям делать smbpasswd. И это не самая главная беда. Самая главная беда в том, что у меня нет паролей в plaintext, они есть у меня только в хэшах из каталога ldap. Не уверен, т.к. не использовал, но сегодня случайно узнал про такую вещь как libpam-smbpass: Description-en: pluggable authentication module for Samba This is a module for PAM that enables a system administrator to migrate user passwords from the Unix password database to the SMB password database as used by Samba, and to subsequently keep the two databases in sync. Unlike other solutions, it does this without needing users to log in to Samba using cleartext passwords, or requiring them to change their existing passwords.
Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap
On 02.07.2013 00:23, Hleb Valoshka wrote: On 7/1/13, Владимир Скубриев vladi...@skubriev.ru wrote: при установке она завела всех пользователей в tdbsam по умолчанию ... Вопрос в том, что при такой настройке прийдеться поддерживать её базу(/var/lib/samba/passdb.tdb) в актуальном состоянии вручную. И нужно всем пользователям делать smbpasswd. И это не самая главная беда. Самая главная беда в том, что у меня нет паролей в plaintext, они есть у меня только в хэшах из каталога ldap. Не уверен, т.к. не использовал, но сегодня случайно узнал про такую вещь как libpam-smbpass: Description-en: pluggable authentication module for Samba This is a module for PAM that enables a system administrator to migrate user passwords from the Unix password database to the SMB password database as used by Samba, and to subsequently keep the two databases in sync. Unlike other solutions, it does this without needing users to log in to Samba using cleartext passwords, or requiring them to change their existing passwords. вчера читал про него на develeper works ( http://www.ibm.com/developerworks/ru/edu/l-lpic3305/section5.html) как раз в тему, но я пока плаваю в том, что за чем идет ) вообще говоря очень толковый мануал - как раз в том стиле, который не просто говорит что делать а почему надо так делать и что от чего зависит. надо только уточнить будет ли он работать без дополнительной схемы в каталоге - буду надеется что будет. сейчас займусь его изучением. спасибо за ценное указание. отпишусь по результатам. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: cd permission denided ldap group
On Fri, Jun 28, 2013 at 09:11:28AM +0400, Владимир Скубриев wrote: On 27.06.2013 12:03, Hleb Valoshka wrote: On 6/27/13, Владимир Скубриев vladi...@skubriev.ru wrote: загадочная ситуация у меня вышла нет ничего загадочного, всё у вас работает как положено drwx--Sr-x 3 skubriev inoffice 4096 апр. 1 11:43 common где права rx для группы? да и хрен с ними с правами для группы. у остальных то должен быть поидее доступ ? У остальных да. А у тех, кто входит в группу -- нет. ли если ты входишь например в группу Пупкиных и группе Пупкиных не заданы права (т.е. их нет rwx---rwx), то будет тебе болт ? Да. Группе Пупкиных НЕЛЬЗЯ!!! Неужели это трудно проверить? :) Не смотря на то, что всем остальным разрешен доступ к папке (r-x) ? Остальные -- это не те, кому не удалось получить доступ по групповому признаку, это те, кто НЕ ВХОДИТ в группу. Почувствуйте разницу. -- Eugene Berdnikov -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130628071957.gv20...@sie.protva.ru
Re: cd permission denided ldap group
On 6/28/13, Владимир Скубриев vladi...@skubriev.ru wrote: ли если ты входишь например в группу Пупкиных и группе Пупкиных не заданы права (т.е. их нет rwx---rwx), то будет тебе болт ? Не смотря на то, что всем остальным разрешен доступ к папке (r-x) ? Да именно так и будет, что вас удивляет?
Re: cd permission denided ldap group
On 28.06.2013 11:19, Eugene Berdnikov wrote: Остальные -- это не те, кому не удалось получить доступ по групповому признаку, это те, кто НЕ ВХОДИТ в группу. Почувствуйте разницу. Этот момент я пропустил. Странно, что только сейчас до меня дошло (. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: cd permission denided ldap group
On 28.06.2013 11:27, Hleb Valoshka wrote: On 6/28/13, Владимир Скубриев vladi...@skubriev.ru wrote: ли если ты входишь например в группу Пупкиных и группе Пупкиных не заданы права (т.е. их нет rwx---rwx), то будет тебе болт ? Не смотря на то, что всем остальным разрешен доступ к папке (r-x) ? Да именно так и будет, что вас удивляет? Уже понял, что был не прав. Полный просак. ( -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
cd permission denided ldap group
загадочная ситуация у меня вышла был старый сервер, сейчас вот настраиваю новый для аутентификации и перечисления пользователей и групп в качестве дополнительного бэкэнда используется openLDAP вход в системы под ldap пользователем работает. есть у меня на сервере общая папка common которую я хочу расшарить по nfs в дальнейшем точнее я это уже сделал, но столкнулся с проблемой прав доступа к ней и другим папкам. далее я отключил nfs и решил проверить все на самом сервере локально. залогинился под обычным пользователем и ... если у папки группой является ldap группа, то пользователь обычный (non-root) входящий в данную группу не может в нее войти, хотя даже при чем тут группа, если у всех остальных есть права r-x на эту папку если изменить группу папки на локальную, то пользователь может войти в эту папку. пользователь root может делать что хочет естественно. вот эта папка: drwx--Sr-x 3 skubriev inoffice 4096 апр. 1 11:43 common в эту может как ни странно ) drwxr-xr-x 2 root __USERS__ 4096 апр. 1 11:33 distrs вот еще одна, в которую тоже не может войти drwx---r-x 2 root __USERS__ 4096 апр. 1 11:33 info вот ls -ln drwx--Sr-x 3 2044 2003 4096 апр. 1 11:43 common drwxr-xr-x 20 1901 4096 апр. 1 11:33 distrs drwx---r-x 20 1901 4096 апр. 1 11:33 info вот id пользователя uid=2044(skubriev) gid=1901(__USERS__) groups=1901(__USERS__),2003(inoffice) Видно, что пользователь входит в группы __USERS__ и inoffice. Но почему то на отрез ни право группы (членом которой является юзер) и ни право для всех остальных не позволяет ему войти в папку. Далее я удалил эти папки и создал заново на том же месте drwxrwsr-x 2 srvadm __USERS__ 4096 июня 27 10:13 common drwxr-xr-x 2 srvadm __USERS__ 4096 апр. 1 11:33 distrs drwxr-xr-x 2 srvadm __USERS__ 4096 июня 27 10:07 info доустановил вручную sticky bit для каталога common и право на запись для группы и проверил все работает. Далее я решил проверить как теперь с правами для остальных убираем права для остальных sudo chmod o-rwx common/ distrs/ info/ и пробуем войти - вуаля работает, пробуем писать в данный каталог - все окей. все заработало правильно - как и должно было быть. возникает вопрос почему все так странно ? скоро вводить этот сервер в продакшен хотелось бы, чтобы при подключении настоящего хранилища (несколько терабайт важных данных) все работало как и задумывалось. пока вместо реального массива используется небольшой lvm том. эти папки перед удалением я скопировал на другую ФС. На ней обычный пользователь может нормально войти в папку common и другие Вот как они выглядят на другой ФС: ls -l /home/skubriev/backup/ total 12 drwx--Sr-x 3 skubriev __USERS__ 4096 апр. 1 11:43 common drwxr-xr-x 2 skubriev __USERS__ 4096 апр. 1 11:33 distrs drwx---r-x 2 skubriev __USERS__ 4096 июня 27 10:05 info Прошу прощения за столько большой пост, но короче его не описать. Надеюсь поможете разгадать загадку. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru * Russian - detected * English * English javascript:void(0);
Re: cd permission denided ldap group
On 6/27/13, Владимир Скубриев vladi...@skubriev.ru wrote: загадочная ситуация у меня вышла нет ничего загадочного, всё у вас работает как положено drwx--Sr-x 3 skubriev inoffice 4096 апр. 1 11:43 common где права rx для группы? в эту может как ни странно ) drwxr-xr-x 2 root __USERS__ 4096 апр. 1 11:33 distrs потому что есть rx вот еще одна, в которую тоже не может войти drwx---r-x 2 root __USERS__ 4096 апр. 1 11:33 info опять нет Видно, что пользователь входит в группы __USERS__ и inoffice. drwxrwsr-x 2 srvadm __USERS__ 4096 июня 27 10:13 common drwxr-xr-x 2 srvadm __USERS__ 4096 апр. 1 11:33 distrs drwxr-xr-x 2 srvadm __USERS__ 4096 июня 27 10:07 info везде есть На ней обычный пользователь может нормально войти в папку common и другие Вот как они выглядят на другой ФС: ls -l /home/skubriev/backup/ total 12 drwx--Sr-x 3 skubriev __USERS__ 4096 апр. 1 11:43 common drwxr-xr-x 2 skubriev __USERS__ 4096 апр. 1 11:33 distrs drwx---r-x 2 skubriev __USERS__ 4096 июня 27 10:05 info а пользователь, наверное, skubriev?
Re: cd permission denided ldap group
On 27.06.2013 12:03, Hleb Valoshka wrote: On 6/27/13, Владимир Скубриев vladi...@skubriev.ru wrote: загадочная ситуация у меня вышла нет ничего загадочного, всё у вас работает как положено drwx--Sr-x 3 skubriev inoffice 4096 апр. 1 11:43 common где права rx для группы? да и хрен с ними с правами для группы. у остальных то должен быть поидее доступ ? ли если ты входишь например в группу Пупкиных и группе Пупкиных не заданы права (т.е. их нет rwx---rwx), то будет тебе болт ? Не смотря на то, что всем остальным разрешен доступ к папке (r-x) ? в эту может как ни странно ) drwxr-xr-x 2 root __USERS__ 4096 апр. 1 11:33 distrs потому что есть rx эта папка была изначально рабочая вот еще одна, в которую тоже не может войти drwx---r-x 2 root __USERS__ 4096 апр. 1 11:33 info опять нет ну и что что нет. ведь у всех остальных есть ! т.е. o+rx видно же, почему тогда не входит Видно, что пользователь входит в группы __USERS__ и inoffice. drwxrwsr-x 2 srvadm __USERS__ 4096 июня 27 10:13 common drwxr-xr-x 2 srvadm __USERS__ 4096 апр. 1 11:33 distrs drwxr-xr-x 2 srvadm __USERS__ 4096 июня 27 10:07 info везде есть правильно, потому, что я создал новые папки в том же месте. На ней обычный пользователь может нормально войти в папку common и другие Вот как они выглядят на другой ФС: ls -l /home/skubriev/backup/ total 12 drwx--Sr-x 3 skubriev __USERS__ 4096 апр. 1 11:43 common drwxr-xr-x 2 skubriev __USERS__ 4096 апр. 1 11:33 distrs drwx---r-x 2 skubriev __USERS__ 4096 июня 27 10:05 info а пользователь, наверное, skubriev? да на новой ФС вопросов нет -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
как или чем хранить зоны bind в ldap. не могу ни чего толкового найти!
хочу хранить зоны в ldap и в том числе и isc-dhcp-server тоже будет хранить записи в ldap не могу найти где взять схемы в дистрибутиве debian для bind не знаю как настроить bind zone, чтобы она хранилась в openldap. очень буду рад ссылке на статью. спасибо -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51b58f85.90...@skubriev.ru
Re: как или чем хранить зоны bind в ldap. не могу ни чего толкового найти!
уверены?) 10.06.2013, 12:41, Владимир Скубриев vladi...@skubriev.ru: хочу хранить зоны в ldap и в том числе и isc-dhcp-server тоже будет хранить записи в ldap -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/103581370855...@web7h.yandex.ru
Re: как или чем хранить зоны bind в ldap. не могу ни чего толкового найти!
On 10.06.2013 13:11, Покотиленко Костик wrote: В Пнд, 10/06/2013 в 12:34 +0400, Владимир Скубриев пишет: хочу хранить зоны в ldap и в том числе и isc-dhcp-server тоже будет хранить записи в ldap не могу найти где взять схемы в дистрибутиве debian для bind не знаю как настроить bind zone, чтобы она хранилась в openldap. очень буду рад ссылке на статью. 1. Bind: тут 2 варианта, либо патчить bind патчить не хочу. пусть будет универсально. либо использовать ldap2zone вот не повезло. я так надеялся что он умеет хранить зоны из коробки в ldap ((( (рекомендую). спасибо. Далее, управляем зонами с помощью Gosa, у неё в комплекте нужная схема. почему именно gosa ? я все стараюсь ручками настраивать в том числе и схемы подключаю новые в ldap вручную. а для админки использую phpldapadmin удобно и просто. Тут есть нюансы c TLS и прочим, всё решается. Если что пиши. 2. isc-dhcp-server: ставим isc-dhcp-server-ldap. к этому уже приступил. Далее, управляем зонами я предпочитаю phpldapadmin, или есть какой то ньюанс а госа ? с помощью Gosa, у неё в помплекте нужная схема. Надо отметить что Gosa не умеет управлять параметрами отказоустойчивости, но это настраивается один раз напрямую в LDAP минуя Gosa, и дальше они друг другу не мешают. отказоустойчивость мне не особо нужна, больше волнует нормальное обновление dns демоном dhcpd вот с этим думаю еще обращусь в рассылку, т.к. до конца еще не ясно как оно должно работать. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: как или чем хранить зоны bind в ldap. не могу ни чего толкового найти!
On 10.06.2013 13:07, Alexander wrote: уверены?) 10.06.2013, 12:41, Владимир Скубриев vladi...@skubriev.ru: хочу хранить зоны в ldap и в том числе и isc-dhcp-server тоже будет хранить записи в ldap не совсем - скажу честно. насчет dhcpd вроде как уверен. да и удобно, чтобы вся информация была в ldap. объясню почему я к такому выводу то пришел: Дело в том, что я хочу, чтобы информация хранилась в одном месте при автоматической настройке сервера. При настройке сервера скрипты используют ldif файл с архивом нужной ветки, например dhcp Для изменения данных я правлю их вручную через phpldapadmin. Демон также хранит данные в одном и том же месте - т.е. в каталоге. Это удобно. А вот с dns вопрос более серьезен. Во первых dns для локальной зоны в основном планируется. Должны работать обновления dns сервером dhcp. Возникает вопрос курицы и яйца: Что первично dhcpd или dns ? Т.е. предположим мы установили и настроили dhcpd и что ждать пока он создаст все записи в том числе ptr для всей сети (всех клиентов)? А если в этот момент кому нибудь нужен будет dns ? Т.е. получается нужно сразу две службы настраивать и dhcp и dns. Первоначально заполнять их и после уже включать. хранить зоны в ldap я бы стал только если бы bind это умел по дефолту. Не очень хочется патчить его. Скрипт ldap2zone - это по сути еще один парсер - тоже не очень подходит с точки зрения хранения зоны (конфигурации) в одном месте. Тогда уж лучше пусть bind хранит свои зоны в файлах. Но на практике я не сталкивался с работой dns и dhcpd с обновлением настроенными вручную. Не знаю и не понимаю как они в целом то работают. Отсюда и не понятно как лучше организовать их автоматическую настройку. Т.е. чтобы не приходилось формировать например файлы зон или объекты в каталоге ldap из каких либо данных скриптом. Вообщем тут у меня полная каша в голове о том, как это правильно настраивать. Все ведь усложняется тем, что требуют рецепты chef для всего писать. Там где можно было ручками поправить уже не хляет. Нужно все по уму и в четкой последовательности делать. Вообщем если честно я от chef'a не в восторге. По моему он только время отнимает ((( -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: olcAccess правило для работы sudo-ldap
On 13.04.2013 14:12, Alex Mestiashvili wrote: в зачем особые правила для работы sudo-ldap ? мне хватает вот этого: access to attrs=uidNumber,gidNumber by dn=cn=admin,dc=mydc write by * read access to attrs=userPassword,shadowLastChange by dn=cn=admin,dc=mydc write by anonymous auth by self write by * none access to * by dn=cn=admin,dc=mydc write by self write by * read Удачи, Alex Спасибо! Остановился на * Создадим файлы для модификации каталога. nano olc-by-all-delete-entry-by-number-checked.ldif: dn: olcDatabase={1}hdb,cn=config changetype: modify delete: olcAccess olcAccess: {3} nano olc-by-all-read-checked.ldif: dn: olcDatabase={1}hdb,cn=config changetype: modify add: olcAccess olcAccess: {3}to * by * read Удалим 3-й ACL: ldapmodify -D cn=admuser,dc=domain,dc=lab -w PASSWORD -f olc-by-all-delete-entry-by-number-checked.ldif Создадим 3-й ACL с доступом для всех на чтение без аутентификации: ldapmodify -D cn=admuser,dc=domain,dc=lab -w PASSWORD -f olc-by-all-read-checked.ldif * Все работает. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru
Re: olcAccess правило для работы sudo-ldap
On 04/08/2013 08:06 AM, Владимир Скубриев wrote: Здравствуйте! Помогите пожалуйста написать правило для работы sudo-ldap. Вот имеющиеся правила: olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external ,cn=auth manage by dn=cn=zentyal,dc=cvision,dc=lab manage by * break olcAccess: {1}to attrs=userPassword,shadowLastChange,krb5Key by dn=cn=zentyal ,dc=cvision,dc=lab write by anonymous auth by dn=cn=zentyalro,dc=cvision,dc =lab none by self write by * none olcAccess: {2}to attrs=userPassword by dn=cn=zentyal,dc=cvision,dc=lab write by self write by * none olcAccess: {3}to * by users read Если добавить в начале olcAccess: {0}to * by * read То не работает смена пароля. Опять же не могу понять из-за какого правила? Может быть из-за break ? (правило 0) Или из-за by * none (правило 1) Но при этом sudo-ldap нормально ищет в каталоге и работает. Если добавить в конце, то смена пароля работает, но не хватает прав у sudo-ldap. Какое минимальное правило должно быть для sudo-ldap на чтение каталога (доступ на чтение только ветки ou=SUDOers не достаточен - я проверял)? Я знаю, что sudo-ldap может работать и подключаясь под конкретным dn. Но мне хочется сделать без этих дополнительных настроек. Например, чтобы не хранить на машине binddn и bindpw от Read-Only аккаунта для sudo-ldap. Хотя опять же - как правильно ? Хотя конечно я уже храню их для работы nslcd в файле /etc/nslcd.conf Но может есть более правильный подход к организации входа в систему через LDAP и всего сопутствующего ? Можно ли открывать каталог для доступа на чтение всем пользователям локальной сети ? Как сделать доступ на чтение всего каталога всем в том числе и анонимным пользователям, кроме опять же атрибутов с хэшами паролей ? Спасибо большое заранее. в зачем особые правила для работы sudo-ldap ? мне хватает вот этого: access to attrs=uidNumber,gidNumber by dn=cn=admin,dc=mydc write by * read access to attrs=userPassword,shadowLastChange by dn=cn=admin,dc=mydc write by anonymous auth by self write by * none access to * by dn=cn=admin,dc=mydc write by self write by * read Удачи, Alex -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51692f74.8080...@biotec.tu-dresden.de
olcAccess правило для работы sudo-ldap
Здравствуйте! Помогите пожалуйста написать правило для работы sudo-ldap. Вот имеющиеся правила: olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external ,cn=auth manage by dn=cn=zentyal,dc=cvision,dc=lab manage by * break olcAccess: {1}to attrs=userPassword,shadowLastChange,krb5Key by dn=cn=zentyal ,dc=cvision,dc=lab write by anonymous auth by dn=cn=zentyalro,dc=cvision,dc =lab none by self write by * none olcAccess: {2}to attrs=userPassword by dn=cn=zentyal,dc=cvision,dc=lab write by self write by * none olcAccess: {3}to * by users read Если добавить в начале olcAccess: {0}to * by * read То не работает смена пароля. Опять же не могу понять из-за какого правила? Может быть из-за break ? (правило 0) Или из-за by * none (правило 1) Но при этом sudo-ldap нормально ищет в каталоге и работает. Если добавить в конце, то смена пароля работает, но не хватает прав у sudo-ldap. Какое минимальное правило должно быть для sudo-ldap на чтение каталога (доступ на чтение только ветки ou=SUDOers не достаточен - я проверял)? Я знаю, что sudo-ldap может работать и подключаясь под конкретным dn. Но мне хочется сделать без этих дополнительных настроек. Например, чтобы не хранить на машине binddn и bindpw от Read-Only аккаунта для sudo-ldap. Хотя опять же - как правильно ? Хотя конечно я уже храню их для работы nslcd в файле /etc/nslcd.conf Но может есть более правильный подход к организации входа в систему через LDAP и всего сопутствующего ? Можно ли открывать каталог для доступа на чтение всем пользователям локальной сети ? Как сделать доступ на чтение всего каталога всем в том числе и анонимным пользователям, кроме опять же атрибутов с хэшами паролей ? Спасибо большое заранее. -- С Уважением, специалист по техническому и программному обеспечению, системный администратор Скубриев Владимир ~~~ Россия, Ростовская область, г. Таганрог тел. моб: +7 (918) 504 38 20 skype: v.skubriev icq: 214-800-502 www: skubriev.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51625e59.4000...@skubriev.ru
ldap and unix users
Здравствуйте! Задача: Есть сервер squeeze, где есть ряд unix учетных записей. Для одного из корпоративных приложений требуется ldap аутентификация. Хотелось бы, чтобы пользователь мог заходить на сервер по ssh и управлять приложением используя одну и ту же учетную запись (сменил пароль, он меняется и там и там). Решение состоит в использовании ldap для аутентификации по ssh. Приложение unix записями оперировать не может. Я не разбираюсь в том, как система unix пользователями оперирует, поэтому вопрос. Можно ли сделать так, чтобы все пользователи были в ldap, но при этом можно было бы добавлять их в группы, созданные командой addgroup group name и в стандартные группы типа www-data, mail, etc. При этом если есть unix учетная запись, то можно было бы входить и под ней. Как сделать? -- Alexander Volkov Senior java developer/architect mob: +79215283540 skype: v2003_2...@mail.ru -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f71ffa5.7020...@lab127.karelia.ru
Re: ldap and unix users
27 марта 2012 г. 21:57 пользователь v...@lab127.karelia.ru v...@lab127.karelia.ru написал: Здравствуйте! Задача: Есть сервер squeeze, где есть ряд unix учетных записей. Для одного из корпоративных приложений требуется ldap аутентификация. Хотелось бы, чтобы пользователь мог заходить на сервер по ssh и управлять приложением используя одну и ту же учетную запись (сменил пароль, он меняется и там и там). Решение состоит в использовании ldap для аутентификации по ssh. Приложение unix записями оперировать не может. Я не разбираюсь в том, как система unix пользователями оперирует, поэтому вопрос. Можно ли сделать так, чтобы все пользователи были в ldap, но при этом можно было бы добавлять их в группы, созданные командой addgroup group name и в стандартные группы типа www-data, mail, etc. При этом если есть unix учетная запись, то можно было бы входить и под ней. Как сделать? Пилил подобное, но для kerberos, без ldap. Можно посмотреть [1] и [2]. Если завести пользователя в каталоге и настроить PAM на работу с каталогом, то везде будет одна учетная запись. А вот с группами есть такая мысль, но тут надо будет администрировать аккуратно. Если завести пользователя сначала в локальной базе операционной системы, как это делается обычно, а потом отдельно в каталоге, то получается дублирование учетных записей. Это может оказаться полезно. Если PAM и sshd будет работать и по каталогу и по локальной базе пользователей одновременно, то для разных баз пользователей с одним именем будет одно пользовательское пространство. Тогда можно выполнять манипуляции с группами локальной базы пользователей и входить через каталог. Так же можно входить и по базе каталога и по базе локальных пользователей, при том, что пароли у них могут быть как разные так и одинаковые. Коллеги, не слишком абсурдно? Можно как-то иначе? -- [1] http://wiki.debian.org/LDAP/Kerberos#Client_Login_Setup [2] http://wiki.debian.org/LDAP/PAM
Re: ldap and unix users
On Tue, Mar 27, 2012 at 08:57:57PM +0300, v...@lab127.karelia.ru wrote: Можно ли сделать так, чтобы все пользователи были в ldap, но при этом можно было бы добавлять их в группы, созданные командой addgroup group name и в стандартные группы типа www-data, mail, Можно. Пользователь в unix - это логин и uid, независимо от того где он прописан: /etc/passwd, LDAP, nis или ещё чего. etc. При этом если есть unix учетная запись, то можно было бы входить и под ней. Они должны быть с разными логинами и уидами. Как сделать? В LDAP присвоить записи нужные классы (account, posixAccount, shadowAccount и тд) и атрибуты (uidNumber, gidNumber), прописать LDAP-сервер(ы) в NSS с PAM и логинится. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120327201753.ga32...@pompeii.wapper.ru
Re: Debian + LDAP + Kerberos
Спасибо за подсказку! Вот еще мануальчик интересный, на мой взгляд www.rjsystems.nl/en/2100-d6-kerberos-openldap-provider.php С уважением, Борисоглебский Александр Отправлено с Samsung Galaxy Tab 03.10.2011 15:03 пользователь Алексей Заяц zayatc...@gmail.com написал: Я делал через веб интерфейс к smbldap-tools. 3 октября 2011 г. 13:30 пользователь Александр Борисоглебский a.borisoglebs...@gmail.com написал: спасибо за подсказку, а с управлением пользователями (создание/удаление) как быть? 3 октября 2011 г. 13:42 пользователь Алексей Заяц zayatc...@gmail.comнаписал: Добрый день. В подобной схеме реализовывал синхронизацию паролей с помощью оверлея smbk5pwd. 3 октября 2011 г. 11:10 пользователь Александр Борисоглебский a.borisoglebs...@gmail.com написал: Здравствуйте! Научите меня, как правильно сделать. В наличии Debian Squeezy с настроенными openldap и kerberos. Настраивалось это хозяйство по мануалу ссылка1http://techpubs.spinlocksolutions.com/dklar/ldap.html и ссылка2 http://techpubs.spinlocksolutions.com/dklar/kerberos.html. Все это работает, инфу из лдап можно получить, керберос выдает тикеты, но... хочется всем этим добром управлять из одного места, т.е. в одном месте завел юзера и везде стало красиво. В принципе, можно скрипты написать, но, в дальнейшем, планируется поднять контроллер домена на самбе, прикрутить почту. Не хотелось бы колхозить костыли. Повторюсь, хочется централизованно управлять базами ldap и kerberos. Ткните меня носом в мануал или поделитесь опытом как правильно и красиво связать эти два сервиса. -- С уважением, Борисоглебский Александр -- Best regards, Aleksey Zayatc mailto:zayatc...@gmail.com -- С уважением, Борисоглебский Александр -- Best regards, Aleksey Zayatc mailto:zayatc...@gmail.com
Re: альтернативы LDAP
Вот тут описал свои потуги на Samba+LDAP, сейчас вин-клиенты в домене и линуксовые сервера тоже об LDAP знают. И морда описана. В дальнейшем буду что-то дописывать-переписывать и добавлю нужные топикстартеру штуки, типа авторизации jabber\SQUID. А пока ещё стоит почитать вот эту штуку, ребята молодцы: http://pro-ldap.ru/ 09.08.2011 19:52, Ed пишет: чем больше вожусь я с LDAP, тем меньше он мне нравится ;) любопытно, есть ли альтернативы? из требуемого функционала - хранение базы пользователей/паролей/групп для: - pam (nss) для linux-пользователей; - samba для windows-пользователей (домен); - почтового сервера, jabber, ... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e929f7e.2050...@mail.ru
Debian + LDAP + Kerberos
Здравствуйте! Научите меня, как правильно сделать. В наличии Debian Squeezy с настроенными openldap и kerberos. Настраивалось это хозяйство по мануалу ссылка1http://techpubs.spinlocksolutions.com/dklar/ldap.html и ссылка2 http://techpubs.spinlocksolutions.com/dklar/kerberos.html. Все это работает, инфу из лдап можно получить, керберос выдает тикеты, но... хочется всем этим добром управлять из одного места, т.е. в одном месте завел юзера и везде стало красиво. В принципе, можно скрипты написать, но, в дальнейшем, планируется поднять контроллер домена на самбе, прикрутить почту. Не хотелось бы колхозить костыли. Повторюсь, хочется централизованно управлять базами ldap и kerberos. Ткните меня носом в мануал или поделитесь опытом как правильно и красиво связать эти два сервиса. -- С уважением, Борисоглебский Александр
Re: Debian + LDAP + Kerberos
Добрый день. В подобной схеме реализовывал синхронизацию паролей с помощью оверлея smbk5pwd. 3 октября 2011 г. 11:10 пользователь Александр Борисоглебский a.borisoglebs...@gmail.com написал: Здравствуйте! Научите меня, как правильно сделать. В наличии Debian Squeezy с настроенными openldap и kerberos. Настраивалось это хозяйство по мануалу ссылка1http://techpubs.spinlocksolutions.com/dklar/ldap.html и ссылка2 http://techpubs.spinlocksolutions.com/dklar/kerberos.html. Все это работает, инфу из лдап можно получить, керберос выдает тикеты, но... хочется всем этим добром управлять из одного места, т.е. в одном месте завел юзера и везде стало красиво. В принципе, можно скрипты написать, но, в дальнейшем, планируется поднять контроллер домена на самбе, прикрутить почту. Не хотелось бы колхозить костыли. Повторюсь, хочется централизованно управлять базами ldap и kerberos. Ткните меня носом в мануал или поделитесь опытом как правильно и красиво связать эти два сервиса. -- С уважением, Борисоглебский Александр -- Best regards, Aleksey Zayatc mailto:zayatc...@gmail.com
Re: Debian + LDAP + Kerberos
спасибо за подсказку, а с управлением пользователями (создание/удаление) как быть? 3 октября 2011 г. 13:42 пользователь Алексей Заяц zayatc...@gmail.comнаписал: Добрый день. В подобной схеме реализовывал синхронизацию паролей с помощью оверлея smbk5pwd. 3 октября 2011 г. 11:10 пользователь Александр Борисоглебский a.borisoglebs...@gmail.com написал: Здравствуйте! Научите меня, как правильно сделать. В наличии Debian Squeezy с настроенными openldap и kerberos. Настраивалось это хозяйство по мануалу ссылка1http://techpubs.spinlocksolutions.com/dklar/ldap.html и ссылка2 http://techpubs.spinlocksolutions.com/dklar/kerberos.html. Все это работает, инфу из лдап можно получить, керберос выдает тикеты, но... хочется всем этим добром управлять из одного места, т.е. в одном месте завел юзера и везде стало красиво. В принципе, можно скрипты написать, но, в дальнейшем, планируется поднять контроллер домена на самбе, прикрутить почту. Не хотелось бы колхозить костыли. Повторюсь, хочется централизованно управлять базами ldap и kerberos. Ткните меня носом в мануал или поделитесь опытом как правильно и красиво связать эти два сервиса. -- С уважением, Борисоглебский Александр -- Best regards, Aleksey Zayatc mailto:zayatc...@gmail.com -- С уважением, Борисоглебский Александр
Re: Debian + LDAP + Kerberos
Я делал через веб интерфейс к smbldap-tools. 3 октября 2011 г. 13:30 пользователь Александр Борисоглебский a.borisoglebs...@gmail.com написал: спасибо за подсказку, а с управлением пользователями (создание/удаление) как быть? 3 октября 2011 г. 13:42 пользователь Алексей Заяц zayatc...@gmail.comнаписал: Добрый день. В подобной схеме реализовывал синхронизацию паролей с помощью оверлея smbk5pwd. 3 октября 2011 г. 11:10 пользователь Александр Борисоглебский a.borisoglebs...@gmail.com написал: Здравствуйте! Научите меня, как правильно сделать. В наличии Debian Squeezy с настроенными openldap и kerberos. Настраивалось это хозяйство по мануалу ссылка1http://techpubs.spinlocksolutions.com/dklar/ldap.html и ссылка2 http://techpubs.spinlocksolutions.com/dklar/kerberos.html. Все это работает, инфу из лдап можно получить, керберос выдает тикеты, но... хочется всем этим добром управлять из одного места, т.е. в одном месте завел юзера и везде стало красиво. В принципе, можно скрипты написать, но, в дальнейшем, планируется поднять контроллер домена на самбе, прикрутить почту. Не хотелось бы колхозить костыли. Повторюсь, хочется централизованно управлять базами ldap и kerberos. Ткните меня носом в мануал или поделитесь опытом как правильно и красиво связать эти два сервиса. -- С уважением, Борисоглебский Александр -- Best regards, Aleksey Zayatc mailto:zayatc...@gmail.com -- С уважением, Борисоглебский Александр -- Best regards, Aleksey Zayatc mailto:zayatc...@gmail.com
Debian+ldap+kerberos
Здравствуйте! Научите меня, как правильно сделать. В наличии Debian Squeezy с настроенными openldap и kerberos. Настраивалось это хозяйство по мануалу ссылка1http://techpubs.spinlocksolutions.com/dklar/ldap.html и ссылка2 http://techpubs.spinlocksolutions.com/dklar/kerberos.html. Все это работает, инфу из лдап можно получить, керберос выдает тикеты, но... хочется всем этим добром управлять из одного места, т.е. в одном месте завел юзера и везде стало красиво. В принципе, можно скрипты написать, но в дальнейшем планируется поднять контроллер домена на самбе и как в этом случае пользователь сможет сам себе пароль поменять - не очень ясно. Гугл предлагает решения через hemidal, но если я все правильно понимаю это решение старовато. Ткните меня носом в мануал или поделитесь опытом как правильно и красиво связать эти два сервиса. -- С уважением, Борисоглебский Александр
Re: SAMS + Samba - LDAP
,-[Вереск, 4 February 2011 08:44]: Доброго времени суток! Как я понял, SQUID и SAMS умеют работать с авторизациями: 1. По IP 2. По логин-пароль 3. Через AD 4. Через LDAP А как прикрутить авторизацию через Samba-домен, если Samba работает БЕЗ LDAP? Клиенты виндовые. а как ето, домен без лдап ? доменконтроллер есть лдап-сервер. зыЖ кто б подсказал парсер сквидологов, берущий данные с оракла. или с коммунигейта - оттуда выцыганить, скажем, в самс групп пользователей так и не удалось. только юзеры. хотя ejabberd прекрасно сьел и группы. чудесный там лдап. -- __ mpd status: [playing] Dio - Straight_Through_The_Heart ** * jabber: devil_ins...@jabber.ru * * Registered linux user #450844* ** -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/j3gtbp$p9v$1...@dough.gmane.org
Re: альтернативы LDAP
On 08/09/11 21:06, Ivan Shmakov wrote: Для паролей использую Kerberos. в сязке с ldap или нет? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e524bb3.2020...@yandex.ru
Re: альтернативы LDAP
Ed sp...@yandex.ru writes: On 08/09/11 21:06, Ivan Shmakov wrote: Для паролей использую Kerberos. в сязке с ldap или нет? Именно так. С точки зрения пакетов, libnss-ldap для отображения passwd и libpam-heimdal для аутентикации. -- FSF associate member #7257 Coming soon: Software Freedom Day http://mail.sf-day.org/lists/listinfo/ planning-ru (ru), sfd-discuss (en) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/86obzhsfdp@gray.siamics.net
Re: альтернативы LDAP
On 08/22/11 18:13, Ivan Shmakov wrote: Edsp...@yandex.ru writes: On 08/09/11 21:06, Ivan Shmakov wrote: Для паролей использую Kerberos. в сязке с ldap или нет? Именно так. С точки зрения пакетов, libnss-ldap для отображения passwd и libpam-heimdal для аутентикации. спасибо, буду смотреть. в этом случае в ldap хеши паролей хранятся? (извиняюсь, пока не прочитал соответствующую документацию) если да - nss_ldap какие права имеет? (может ли читать хэши?) другой вопрос - windows-компьютеры есть? как происходит авторизация пользователей на них? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e5267a4.2060...@yandex.ru
Re: альтернативы LDAP
Ed sp...@yandex.ru writes: On 08/22/11 18:13, Ivan Shmakov wrote: Ed sp...@yandex.ru writes: On 08/09/11 21:06, Ivan Shmakov wrote: Для паролей использую Kerberos. в сязке с ldap или нет? Именно так. С точки зрения пакетов, libnss-ldap для отображения passwd и libpam-heimdal для аутентикации. спасибо, буду смотреть. в этом случае в ldap хеши паролей хранятся? (извиняюсь, пока не прочитал соответствующую документацию) Нет. В данном случае, LDAP используется без TLS (мое упущение); хранить оные в незащищенной БД, IMO, неуместно. SSO, к слову, вполне себе работает. За исключением, пожалуй, Web-почты… если да - nss_ldap какие права имеет? (может ли читать хэши?) другой вопрос - windows-компьютеры есть? как происходит авторизация пользователей на них? Строго говоря, есть, но они находятся не под моим управлением и вне данного домена. (Находятся в ведении другого отдела.) В данном случае, пожалуй, имело бы смысл настроить Federated identity management между доменами, но… -- FSF associate member #7257 Coming soon: Software Freedom Day http://mail.sf-day.org/lists/listinfo/ planning-ru (ru), sfd-discuss (en) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/86k4a5scl0@gray.siamics.net
Re: альтернативы LDAP
On 08/22/11 19:14, Ivan Shmakov wrote: Для паролей использую Kerberos. SSO, к слову, вполне себе работает. За исключением, пожалуй, Web-почты… а можно поподробнее? то есть в openssh, почте, джаббере и т.п. работает SSO? но для этого софт на компьютере (тот же почтовый клиент) должен знать про kerberos, разве не так? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e527478.5050...@yandex.ru
Re: альтернативы LDAP
Ed sp...@yandex.ru writes: On 08/22/11 19:14, Ivan Shmakov wrote: […] SSO, к слову, вполне себе работает. За исключением, пожалуй, Web-почты… а можно поподробнее? то есть в openssh, почте, джаббере и т. п. работает SSO? но для этого софт на компьютере (тот же почтовый клиент) (Мое личное предпочтение — считать электронную почту равноранговой сетью, поэтому — почтовый пользовательский агент, MUA.) должен знать про kerberos, разве не так? Конечно. OpenSSH (ssh, sshd) — знают; настраивается подобно: --cut: .ssh/config -- Host * ## разрешить использовать GSSAPI/Kerberos… ## … для аутентикации пользователя: GSSAPIAuthentication yes ## … для аутентикации системы: GSSAPIKeyExchange yes --cut: .ssh/config -- --cut: /etc/ssh/sshd_config -- KerberosAuthentication yes GSSAPIAuthentication yes GSSAPIKeyExchange yes --cut: /etc/ssh/sshd_config -- PuTTY, IIRC, также знает (не проверял), но не уверен относительно версии. (Возможно, development snapshot; спросить в news:comp.security.ssh; на нее, IIRC, автор был подписан.) Iceweasel (Firefox) — настройки не требует; со стороны Apache сделано подобно: --cut-- IfModule mod_auth_kerb.c AuthType Kerberos /IfModule Require valid-user --cut-- Разумеется, для HTTPS, поскольку в случае отсутствия удостоверения Kerberos, сервер запросит имя и пароль. Dovecot, Mutt, Thunderbird, etc. также поддерживают Kerberos [1]. (Почти уверен, что Kerberos-аутентикация Mutt на Dovecot-сервере у меня работала. Впрочем, в основном я использую IMAP over SSH, с аутентикацией открытым ключом.) В отношении XMPP и HTTP proxy — пока не пробовал. [1] http://wiki.dovecot.org/Authentication/Kerberos -- FSF associate member #7257 Coming soon: Software Freedom Day http://mail.sf-day.org/lists/listinfo/ planning-ru (ru), sfd-discuss (en) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/86fwktsakt@gray.siamics.net
Re: альтернативы LDAP
On 08/22/11 19:14, Ivan Shmakov wrote: другой вопрос - windows-компьютеры есть? как происходит авторизация пользователей на них? Строго говоря, есть, но они находятся не под моим управлением и вне данного домена. (Находятся в ведении другого отдела.) В данном случае, пожалуй, имело бы смысл настроить Federated identity management между доменами, но… не очень понял, что имелось в виду ;) опишу задачу, как я её сейчас вижу: есть смешанная сеть (linux/windows), несколько терминал-серверов на windows, файл-сервер (samba). предположим есть у нас kerberos (heimdal), каталог ldap с пользователями и группами (openldap). нужно, чтобы при авторизации на windows шла авторизация (аутентификация?) в kerberos, а членство в группах бралось из ldap. ну и плюс cifs-шары, где должны работать acl с группами из ldap. как это можно сделать? варианты, которые я сейчас вижу: 1. аутентификация с windows-компьютеров напрямую в kerberos. как я понял, этот вариант реален, но ldap подцепить не получится - информацию о членстве в группах взять неткуда. 2. DC на samba3. связать его с ldap не проблема, однако samba3 в этом случае использует NTLM-аутентификацию, что требует помещения некриптостойких хешей паролей в LDAP. 3. AD. малознакомая ОС, небесплатная... но в данном случае возможно её применение оправдано. 4. samba4. альфа, увы... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e5283a9.2010...@yandex.ru
Re: альтернативы LDAP
On 08/09/11 21:06, Ivan Shmakov wrote: Edsp...@yandex.ru writes: чем больше вожусь я с LDAP, тем меньше он мне нравится ;) Любопытно, чем именно? в первую очередь тем, что не встречал нормального инструментария для управления каталогом. ну и если честно - каждый раз, когда я сталкиваюсь со схемами, у меня возникает мысль надо почитать документаию, только никак не соберусь соответствующие RFC читать, а другой документации не встречал. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e4a5667.6060...@yandex.ru
Re: альтернативы LDAP
2011/8/16 Ed sp...@yandex.ru: в первую очередь тем, что не встречал нормального инструментария для управления каталогом. А каковы ваши критерии нормальности? Кому и phpLDAPadmin невеста. -- С уважением, Константин Матюхин
Re: альтернативы LDAP
16.08.2011 14:37, Ed пишет: On 08/09/11 21:06, Ivan Shmakov wrote: Edsp...@yandex.ru writes: чем больше вожусь я с LDAP, тем меньше он мне нравится ;) Любопытно, чем именно? в первую очередь тем, что не встречал нормального инструментария для управления каталогом. ldapvi + phpldapadmin + gosa (в порядке возрастания user-friendly ;) ) ну и если честно - каждый раз, когда я сталкиваюсь со схемами, у меня возникает мысль надо почитать документаию, только никак не соберусь соответствующие RFC читать, а другой документации не встречал. Обычно достаточно знания для реализации XXX нужна схема YYY. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e4a5c35.5020...@gmail.com
Re: альтернативы LDAP
Ed sp...@yandex.ru writes: On 08/09/11 21:06, Ivan Shmakov wrote: Edsp...@yandex.ru writes: чем больше вожусь я с LDAP, тем меньше он мне нравится ;) Любопытно, чем именно? в первую очередь тем, что не встречал нормального инструментария для управления каталогом. ну и если честно - каждый раз, когда я сталкиваюсь со схемами, у меня возникает мысль надо почитать документаию, только никак не соберусь соответствующие RFC читать, а другой документации не встречал. Каковы задачи? У меня ситуация простая: LDAP используется в качестве back-end для NSS (отображение passwd; $ getent passwd) на нескольких системах (почта, небольшой Web-hosting, «сервера приложений.») Все администрирование сводится к ldapadd(1) записей следующего вида, с редким ldapmodify(1). (Шаблон заполняется или машиной, согласно passwd(5)-подобному списку, или вручную, желающим получить учетную запись.) --cut-- dn: uid=LOGIN,dc=example,dc=org objectClass: account objectClass: posixAccount cn: FIRST-NAME LAST-NAME uid: LOGIN uidNumber: gidNumber: 100 gecos: FIRST-NAME LAST-NAME homeDirectory: /home/private/users/LOGIN loginShell: /bin/bash --cut-- -- FSF associate member #7257 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/86fwl133jp@gray.siamics.net
Re: альтернативы LDAP
On 08/16/11 17:10, Ivan Shmakov wrote: Edsp...@yandex.ru writes: On 08/09/11 21:06, Ivan Shmakov wrote: Edsp...@yandex.ru writes: чем больше вожусь я с LDAP, тем меньше он мне нравится ;) Любопытно, чем именно? в первую очередь тем, что не встречал нормального инструментария для управления каталогом. ну и если честно - каждый раз, когда я сталкиваюсь со схемами, у меня возникает мысль надо почитать документаию, только никак не соберусь соответствующие RFC читать, а другой документации не встречал. Каковы задачи? честно говоря, сначала LDAP мне показался серебряной пулей - единый каталог пользователей (и не только) со всеми необходимыми аттрибутами (членство в группах, права, ...). мне казалось, что почти всю информацию о сотрудниках и компьютерах можно вынести в LDAP, оттуда же часть программ будет брать напрямую, к другой можно написать скрипты-обвязки. то есть вынести туда конфиги dns, dhcp, часть информации по цепочкам ipchains, ... виделось это как-то так (на примере интеграции с squid'ом): включили пользователя в специальную группу - появился у человека доступ в интернет без одноклассников и контакта, включили в другую - доступ стал неограниченный. но по мере изучения вопроса, оказалось, что желаемое реализуется или не полностью, или просто как-то странно (удивила например интеграция isc dhcpd с ldap), да и управлять потом всем этим хояйством будет не так уж и удобно. кстати - вопрос с управлением немаловажен, хотелось иметь возможность делегировать часть полномочий админам-мышевозам. видимо от того, что я ожидал слишком многого, и возникло разочарование. а задачи по минимуму я уже описал: - хранение базы пользователей; - авторизация пользователей на linux-компьютерах с использованием этой централизованной базы; - авторизация пользователей в windows-домене также с использованием этой базы. как это реализовать средствами LDAP знаю, вопрос был про то - есть ли альтернативы? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e4a7f7b.1070...@yandex.ru
Re: альтернативы LDAP
On 08/16/11 16:01, Igor Chumak wrote: 16.08.2011 14:37, Ed пишет: On 08/09/11 21:06, Ivan Shmakov wrote: Edsp...@yandex.ru writes: чем больше вожусь я с LDAP, тем меньше он мне нравится ;) Любопытно, чем именно? в первую очередь тем, что не встречал нормального инструментария для управления каталогом. ldapvi + phpldapadmin + gosa (в порядке возрастания user-friendly ;) ) последние два пробовал... возникло ощущение костылей, может быть я и неправ. ну и если честно - каждый раз, когда я сталкиваюсь со схемами, у меня возникает мысль надо почитать документаию, только никак не соберусь соответствующие RFC читать, а другой документации не встречал. Обычно достаточно знания для реализации XXX нужна схема YYY. и поддержка этой схемы в конфигураторе (том же phpldapadmin). впрочем дело не в этом. для того, чтобы пользоваться какой-то технологией, админ должен знать как оно работает, а у меня пока нет понимания зачем нужны схемы и как они работают (не спорю - это только моя недоработка, не имеющая отношения к достоинствам или недостаткам LDAP). -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e4a8096.1000...@yandex.ru
Re: альтернативы LDAP
Может MDS? http://mandriva.ru/resheniya/produkty/mandriva_directory_server/ 09.08.2011 18:52, Ed пишет: чем больше вожусь я с LDAP, тем меньше он мне нравится ;) любопытно, есть ли альтернативы? из требуемого функционала - хранение базы пользователей/паролей/групп для: - pam (nss) для linux-пользователей; - samba для windows-пользователей (домен); - почтового сервера, jabber, ... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e4a83cd.70...@ukr.net
Re: альтернативы LDAP
16 августа 2011 г. 20:32 пользователь Ed sp...@yandex.ru написал: On 08/16/11 17:10, Ivan Shmakov wrote: кстати - вопрос с управлением немаловажен, хотелось иметь возможность делегировать часть полномочий админам-мышевозам. jxplorer с написанными под него шаблонами? Мы пока так обходимся где-то года полтора уже. как это реализовать средствами LDAP знаю, вопрос был про то - есть ли альтернативы? AD? Ну или самба с winbind на линуксах? -- Stanislav
Re: альтернативы LDAP
16 августа 2011 г. 20:50 пользователь Max cryptosonb...@ukr.net написал: Может MDS? http://mandriva.ru/resheniya/produkty/mandriva_directory_server/ Это ldap с красивой мордой. Как и RHDS. 09.08.2011 18:52, Ed пишет: чем больше вожусь я с LDAP, тем меньше он мне нравится ;) любопытно, есть ли альтернативы? из требуемого функционала - хранение базы пользователей/паролей/групп для: - pam (nss) для linux-пользователей; - samba для windows-пользователей (домен); - почтового сервера, jabber, ... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e4a83cd.70...@ukr.net -- Stanislav
альтернативы LDAP
чем больше вожусь я с LDAP, тем меньше он мне нравится ;) любопытно, есть ли альтернативы? из требуемого функционала - хранение базы пользователей/паролей/групп для: - pam (nss) для linux-пользователей; - samba для windows-пользователей (домен); - почтового сервера, jabber, ... -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4e4157ca.70...@yandex.ru
Re: альтернативы LDAP
Ed sp...@yandex.ru writes: чем больше вожусь я с LDAP, тем меньше он мне нравится ;) Любопытно, чем именно? любопытно, есть ли альтернативы? Для пользователей — NIS. (Не могу сказать, что оный чем-либо лучше.) из требуемого функционала - хранение базы пользователей/паролей/групп для: - pam (nss) для linux-пользователей; Для паролей использую Kerberos. - samba для windows-пользователей (домен); - почтового сервера, jabber, ... -- FSF associate member #7257 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/8662m6ecql@gray.siamics.net
Re: Чем настраивать LDAP в Squeeze?
22.02.2011 15:36, Вереск пишет: Доброго времени суток, многоуважаемый ALL! Решил я чуток помучаться с OpenLDAP на Squeeze. Нынче он конфигурируется не старинным slapd.conf а целой директорией slapd.d. Собственно, возникают вопросы: а как же это теперь конфигурировать-то, а? В целой куче .ldif-файлов просто не найти дорогу. Попробовал в OpenSuse, заработало (там тоже каталогом конфигурируется), но там всё просто - Yast на всё способен. А вот что делать тут? Можно, конечно, заставить работать со старым slapd.conf, но может есть ещё пути? Графики на сервере нет. phpLdapAdmin -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d63b9af.3050...@darkmike.ru
Re: Чем настраивать LDAP в Squeeze?
On 02/22/2011 02:27 PM, Mike Mironov wrote: 22.02.2011 15:36, Вереск пишет: Доброго времени суток, многоуважаемый ALL! Решил я чуток помучаться с OpenLDAP на Squeeze. Нынче он конфигурируется не старинным slapd.conf а целой директорией slapd.d. Собственно, возникают вопросы: а как же это теперь конфигурировать-то, а? В целой куче .ldif-файлов просто не найти дорогу. Попробовал в OpenSuse, заработало (там тоже каталогом конфигурируется), но там всё просто - Yast на всё способен. А вот что делать тут? Можно, конечно, заставить работать со старым slapd.conf, но может есть ещё пути? Графики на сервере нет. phpLdapAdmin ldapvi . настраивается обычный slapd.conf , потом конвертируется в slapd.d например используя slaptest . в дальнейшем соединяетесь с сервером используя cn=config и можно настраивать прямо в ldif виде . Alex -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d63c60f.5050...@biotec.tu-dresden.de
Re: Чем настраивать LDAP в Squeeze?
22 февраля 2011 г. 15:36 пользователь Вереск evgeny_ver...@mail.ru написал: Доброго времени суток, многоуважаемый ALL! Решил я чуток помучаться с OpenLDAP на Squeeze. Нынче он конфигурируется не старинным slapd.conf а целой директорией slapd.d. Собственно, возникают вопросы: а как же это теперь конфигурировать-то, а? В целой куче .ldif-файлов просто не найти дорогу. Попробовал в OpenSuse, заработало (там тоже каталогом конфигурируется), но там всё просто - Yast на всё способен. А вот что делать тут? Можно, конечно, заставить работать со старым slapd.conf, но может есть ещё пути? Графики на сервере нет. я настраивал по старинке через slapd.conf -- потом конвертил в ldif через slaptest slaptest -f /usr/local/etc/openldap/slapd.conf -F /usr/local/etc/openldap/slapd.d http://www.openldap.org/doc/admin24/slapdconf2.html -- Boris
SAMS + Samba - LDAP
Доброго времени суток! Как я понял, SQUID и SAMS умеют работать с авторизациями: 1. По IP 2. По логин-пароль 3. Через AD 4. Через LDAP А как прикрутить авторизацию через Samba-домен, если Samba работает БЕЗ LDAP? Клиенты виндовые. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d4b9227.8000...@mail.ru
icedove, адресная книга в ldap и по ле userSMIMECertificate
Господа, что надо сказать icedove, чтоб он брал сертификаты адресатов (для проверки подписи и т.п.) из ldap? Адресная книга сама по себе - работает. -- Stanislav
Re: icedove, адресная книга в ldap и поле userSMIMECertificate
16 ноября 2010 г. 18:17 пользователь Stanislav Vlasov stanislav@gmail.com написал: Господа, что надо сказать icedove, чтоб он брал сертификаты адресатов (для проверки подписи и т.п.) из ldap? Адресная книга сама по себе - работает. Добавлю, что icedove не пытается взять сертификат из лдапа, несмотря на прописаное в настройках: pref(ldap_2.servers.default.attrmap.Certificate, userSMIMECertificate); На данное поле права есть, просто нет запроса к нему. -- Stanislav