subject:"LDAP"

2018-04-15 Пенетрантность Коротаев Руслан

Вот тут пока сложно: с IPv6 я только ознакомился, практически же не
работал с ним.

Это существенно упрощает администрирование, если коротко, то при
использовании IPv6 необходимости в NAT нет, все устройства будут иметь
глобально маршрутизируемые адреса.

1. Это вносит проблемы с безопасностью.
2. "Нормальным людям" пока ещё далеко до этого: где я, и где IPv6?

Я статью почитал, там какая-то сильно передовая маргинальщина: IPv6, новый
файрволл, TAYGA и NAS64.
Если я с этим сейчас буду разбираться, мои проекты встанут на год, и меня
проклянут.
В текущем варианте, я просто хочу "чтобы работало", заниматься исследованиями
новых сетевых технологий, пока времени нет.

Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные
имена. Я могу использовать динамический DNS и диспетчер на
nginx-proxy. Однако сейчас я пробрасываю порты.

… если вы своим VPS будете раздавать IPv6-адреса, ничего пробрасывать не
надо, берете любой бесплатный DNS-сервис (например dns.he.net) и
присваиваете им доменные имена. То есть VPS с вашего NAS становятся
доступны всему интернету, также как VPS какого-нибудь Амазона, нужно
только защитить их файрволом.

Ну примерно так я и собираюсь сделать, только на v4.

В смысле?
Любой, знающий IP, считается "прошедшим аутентификацию"?
Не вариант.

Не знающий IP, а получивший IP. Допустим, вы хотите дать своему
знакомому доступ к как каталогу по NFS/FTP. Заводите на RADIUS-сервере
учетную запись вашего знакомого (пароли могут хранится в виде хеша, а не
открытым текстом) и говорите: «Подключайся к точке доступа с именем
HomeShare». Далее он проходит, аутентификацию по сертификату и получает
IP. Всё, с этого IP он напрямую получает доступ, ничего больше не
требуется.

А, в смысле точка ему выдаёт IP?

Re: LDAP

В сообщении от [Вс 2018-04-15 14:05 +0300]
Артём Н.  пишет:

> Вот тут пока сложно: с IPv6 я только ознакомился, практически же не
> работал с ним.

Это существенно упрощает администрирование, если коротко, то при
использовании IPv6 необходимости в NAT нет, все устройства будут иметь
глобально маршрутизируемые адреса. 

> Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные
> имена.  Я могу использовать динамический DNS и диспетчер на
> nginx-proxy.  Однако сейчас я пробрасываю порты.

… если вы своим VPS будете раздавать IPv6-адреса, ничего пробрасывать не
надо, берете любой бесплатный DNS-сервис (например dns.he.net) и
присваиваете им доменные имена. То есть VPS с вашего NAS становятся
доступны всему интернету, также как VPS какого-нибудь Амазона, нужно
только защитить их файрволом.

> В смысле?
> Любой, знающий IP, считается "прошедшим аутентификацию"?
> Не вариант.

Не знающий IP, а получивший IP. Допустим, вы хотите дать своему
знакомому доступ к как каталогу по NFS/FTP. Заводите на RADIUS-сервере
учетную запись вашего знакомого (пароли могут хранится в виде хеша, а не
открытым текстом) и говорите: «Подключайся к точке доступа с именем
HomeShare». Далее он проходит, аутентификацию по сертификату и получает
IP. Всё, с этого IP он напрямую получает доступ, ничего больше не
требуется.

-- 
Коротаев Руслан
https://blog.kr.pp.ru


smime.p7s
Description: S/MIME cryptographic signature

Re: LDAP

On 15.04.2018 12:19, Alexander Gerasiov wrote:

Hello Артём,

On Sat, 14 Apr 2018 23:00:46 +0300
Артём Н. <artio...@yandex.ru> wrote:

Хочу сделать так, чтобы все сервисы на NAS централизованно получали
данные о пользователях. Решил это реализовать через LDAP.
Почитал. Вроде, теоретически понятно, а практически как-то не очень,
бьюсь с LDAP уже немало. Тут описано не особо подробно и с опечатками
(не slapd.conf, а ldap.conf):
https://wiki.debian.org/LDAP/OpenLDAPSetup

Это не очепятка, читай внимательнее, там сказано, что slapd.conf - это
старый конфиг, теперь всё хранится в slapd.d

ldap.conf используется только ldap-tools

Я читал лог strace, и понял, что /etc/slapd.conf теперь вообще не читается.

- Как настроить его так, чтобы был TLS (в перспективе будет торчать
"наружу") с самоподписанным сертификатом?

По документации.

Легко сказать. Настроил "по документации". Не работает.

- Где хранить .ldif файлы?

Не надо их нигде хранить, ldap хранит всё внутри своей БД.
Для управления пользователями можно использовать, например обертку
вроде ldapscripts

Уже разобрался: я их просто загружаю в базу LDAP.

- Лучше запускать LDAP сервер в контейнере или устанавливать в
систему?

Удобнее, если в контейнере, конечно.

Уже перенёс: теперь в контейнере (osixia/openldap:1.2.0).

Рекомендую еще вот этот мануал, не знаю как сейчас, но раньше он был
гораздо лучшее написан, чем debian wiki:
https://help.ubuntu.com/lts/serverguide/openldap-server.html

Спасибо. Читаю.

Re: LDAP


Если возможностей RADIUS-сервера будет не достаточно, то можно
прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это
лишнее.

[1]: https://blog.kr.pp.ru/post/2017-12-12/



Кое-как настроил LDAP локльно: это чудовище просто какое-то. Задолбался 
подключать к нему gitlab.
Переделал всё на контейнеры, пока не работает TLS.

Re: LDAP

2018-04-15 Пенетрантность Alexander Gerasiov

On 15.04.2018 12:05, Коротаев Руслан wrote:

В сообщении от [Сб 2018-04-14 23:00 +0300]
Артём Н. <artio...@yandex.ru> пишет:

Хочу сделать так, чтобы все сервисы на NAS централизованно получали
данные о пользователях. Решил это реализовать через LDAP. Почитал.
Вроде, теоретически понятно, а практически как-то не очень, бьюсь с
LDAP уже немало.

- Оправданно ли вообще использование LDAP в таком случае?

Рекомендую RADIUS (FreeRADIUS есть в репозитории).

Смотрел его, и так понял, что он мне не нужен.

Вы очень мало
написали о сути проблемы, поэтому поделюсь своим решением, возможно оно
и вам поможет.

Фактически, писать тут особо нечего.

Есть n сервисов, поддерживающих LDAP из коробки, и m пользователей, которые
хотят пользоваться
частью сервисов и, возможно, иметь личный каталог в ФС.
Надо это реализовать.
Логично, что управлять пользователями надо централизованно.

Задача дальнего будущего - на внешних машинках авторизоваться с LDAP сервера,
который крутится в NAS.

Проблема: дома есть NAS, на котором крутятся сервисы раздачи файлов и
мультимедиа по разным протоколам. Для себя и домашних проблем нет,
подключаемся и получаем к ним доступ. Но что если пришли гости и просят
WiFi, вряд ли вы хотите чтобы они увидели что-то вроде «Жесть. Отжигаю в
Турции».

Очевидное решение: сделать на роутере два VLAN — домашний и гостевой, и
защитить паролем. Однако, пароля будет недостаточно, когда вас не будет
дома, бабушка наверняка их перепутает. Поэтому нужен RADIUS, он есть
даже в самом дешевом китайском роутере.

Схема сложновата.
В моём случае, NAS - вещь в себе.
Я могу всё поднять на нём.

- Как настроить его так, чтобы был TLS (в перспективе будет торчать
"наружу") с самоподписанным сертификатом?

Да, аутентификация по сертификату есть, если вы купите у своего
провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты,
можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS.

Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные имена.
Я могу использовать динамический DNS и диспетчер на nginx-proxy.
Однако сейчас я пробрасываю порты.

Имея белый IP-адрес, вы можете подключить IPv6, например через NAT64
[1]. Вы уже не будете ограничены домашней сетью и сможете давать доступ
к своим сервисам на различных VPS исходя из IPv6-адреса.

Вот тут пока сложно: с IPv6 я только ознакомился, практически же не работал с
ним.

В общем политика безопасности очень простая — получил IP-адрес (любой
IPv4 и/или IPv6), значит прошел аутентификацию и можно давать доступ,
дальше всё реализуем через файрвол.

В смысле?
Любой, знающий IP, считается "прошедшим аутентификацию"?
Не вариант.

Если возможностей RADIUS-сервера будет не достаточно, то можно
прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это
лишнее.

[1]: https://blog.kr.pp.ru/post/2017-12-12/

Я бы с удовольствием не парился с LDAP, но его поддерживают gitlab, OMV,
urbackup, etc.

Re: LDAP

Hello Артём,

On Sat, 14 Apr 2018 23:00:46 +0300
Артём Н. <artio...@yandex.ru> wrote:

> Хочу сделать так, чтобы все сервисы на NAS централизованно получали
> данные о пользователях. Решил это реализовать через LDAP.
> Почитал. Вроде, теоретически понятно, а практически как-то не очень,
> бьюсь с LDAP уже немало. Тут описано не особо подробно и с опечатками
> (не slapd.conf, а ldap.conf):
> https://wiki.debian.org/LDAP/OpenLDAPSetup
Это не очепятка, читай внимательнее, там сказано, что slapd.conf - это
старый конфиг, теперь всё хранится в slapd.d

ldap.conf используется только ldap-tools

> 
> Может кто-нибудь объяснить (по шагам):
> 
> - Оправданно ли вообще использование LDAP в таком случае?
Почему бы и нет.

> - Как настроить его так, чтобы был TLS (в перспективе будет торчать
> "наружу") с самоподписанным сертификатом?
По документации.

> - Где хранить .ldif файлы?
Не надо их нигде хранить, ldap хранит всё внутри своей БД.
Для управления пользователями можно использовать, например обертку
вроде ldapscripts

> - Нужно ли делать /etc/ldap/ldap.conf или, как в руководстве, нужно
> "add attributes to cn=config"?
Как в руководстве.

> - Лучше запускать LDAP сервер в контейнере или устанавливать в
> систему?
Удобнее, если в контейнере, конечно.


Рекомендую еще вот этот мануал, не знаю как сейчас, но раньше он был
гораздо лучшее написан, чем debian wiki:
https://help.ubuntu.com/lts/serverguide/openldap-server.html

-- 
Best regards,
 Alexander Gerasiov

 Contacts:
 e-mail: g...@cs.msu.su  WWW: http://gerasiov.net  TG/Skype: gerasiov
 PGP fingerprint: 04B5 9D90 DF7C C2AB CD49  BAEA CA87 E9E8 2AAC 33F1


pgpNXcLtIF0LE.pgp
Description: OpenPGP digital signature

Re: LDAP

2018-04-15 Пенетрантность Коротаев Руслан

В сообщении от [Сб 2018-04-14 23:00 +0300]
Артём Н. <artio...@yandex.ru> пишет:

> Хочу сделать так, чтобы все сервисы на NAS централизованно получали
> данные о пользователях. Решил это реализовать через LDAP. Почитал.
> Вроде, теоретически понятно, а практически как-то не очень, бьюсь с
> LDAP уже немало.
> 
> - Оправданно ли вообще использование LDAP в таком случае?

Рекомендую RADIUS (FreeRADIUS есть в репозитории). Вы очень мало
написали о сути проблемы, поэтому поделюсь своим решением, возможно оно
и вам поможет. 

Проблема: дома есть NAS, на котором крутятся сервисы раздачи файлов и
мультимедиа по разным протоколам. Для себя и домашних проблем нет,
подключаемся и получаем к ним доступ. Но что если пришли гости и просят
WiFi, вряд ли вы хотите чтобы они увидели что-то вроде «Жесть. Отжигаю в
Турции».

Очевидное решение: сделать на роутере два VLAN — домашний и гостевой, и
защитить паролем. Однако, пароля будет недостаточно, когда вас не будет
дома, бабушка наверняка их перепутает. Поэтому нужен RADIUS, он есть
даже в самом дешевом китайском роутере.

> - Как настроить его так, чтобы был TLS (в перспективе будет торчать
> "наружу") с самоподписанным сертификатом?

Да, аутентификация по сертификату есть, если вы купите у своего
провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты,
можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. 

Имея белый IP-адрес, вы можете подключить IPv6, например через NAT64
[1]. Вы уже не будете ограничены домашней сетью и сможете давать доступ
к своим сервисам на различных VPS исходя из IPv6-адреса. 

В общем политика безопасности очень простая — получил IP-адрес (любой
IPv4 и/или IPv6), значит прошел аутентификацию и можно давать доступ,
дальше всё реализуем через файрвол.

Если возможностей RADIUS-сервера будет не достаточно, то можно
прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это
лишнее.

[1]: https://blog.kr.pp.ru/post/2017-12-12/

-- 
Коротаев Руслан
https://blog.kr.pp.ru


smime.p7s
Description: S/MIME cryptographic signature

LDAP

2018-04-14 Пенетрантность Артём Н .


Хочу сделать так, чтобы все сервисы на NAS централизованно получали данные о 
пользователях.
Решил это реализовать через LDAP.
Почитал. Вроде, теоретически понятно, а практически как-то не очень, бьюсь с 
LDAP уже немало.
Тут описано не особо подробно и с опечатками (не slapd.conf, а ldap.conf):
https://wiki.debian.org/LDAP/OpenLDAPSetup

Может кто-нибудь объяснить (по шагам):

- Оправданно ли вообще использование LDAP в таком случае?
- Как настроить его так, чтобы был TLS (в перспективе будет торчать "наружу") с 
самоподписанным сертификатом?
- Где хранить .ldif файлы?
- Нужно ли делать /etc/ldap/ldap.conf или, как в руководстве, нужно "add attributes 
to cn=config"?
- Лучше запускать LDAP сервер в контейнере или устанавливать в систему?

Re: LDAP несколько вопросов начинающего

2015-01-06 Пенетрантность Dmitry E. Oboukhov


 Не сочтите за плохой тон, но вот по ссылке ниже ребята мне помогли как-то. И
 доки они переписывают на русский и отвечают более или менее быстро и уверенно.

 http://pro-ldap.ru/

ага, почему плохой-то тон?
я и просил ссылок на что где почитать :)
спасибо.
-- 

. ''`.   Dmitry E. Oboukhov
: :’  :   email: un...@debian.org jabber://un...@uvw.ru
`. `~’  GPGKey: 1024D / F8E26537 2006-11-21
  `- 1B23 D4F8 8EC0 D902 0555  E438 AB8C 00CF F8E2 6537


signature.asc
Description: Digital signature

Re: LDAP несколько вопросов начинающего

2015-01-05 Пенетрантность Dmitry A. Zhiglov

4 января 2015 г., 0:34 пользователь Dmitry E. Oboukhov un...@debian.org
написал:


 Разбираюсь понемногу с LDAP, насколько я понимаю для моих вещей самое
 то, однако есть вопросы которые пока не разобрал


Не сочтите за плохой тон, но вот по ссылке ниже ребята мне помогли как-то.
И доки они переписывают на русский и отвечают более или менее быстро и
уверенно.

http://pro-ldap.ru/

LDAP несколько вопросов начинающего

2015-01-03 Пенетрантность Dmitry E. Oboukhov

Разбираюсь понемногу с LDAP, насколько я понимаю для моих вещей самое
то, однако есть вопросы которые пока не разобрал

1. транзакционность

вот имеется некоторый ldif, который пишем руками.
там добавляем допустим атрибут или вообще объектный класс.
или скажем индекс строим...

допустим мы в этом ldif сделали ошибку.
вопрос: команды этого ldif, которые идут до этой ошибки откатятся?

2. я хочу сделать примерно следующее:
у нас есть серия вебсерверов. они в общем-то все одинаковые и имеют
примерно один конфигфайл.
сейчас этот конфиг распространяется вручную админом.
хочу сделать следующее:

- описать объектный класс в котором будет все 100500 параметров
конфигурационных
- сделать мастер-LDAP
- сделать кучу реплик LDAP на каждом вебсервере свою
- далее конфигурацию менять на мастере, а все вебсервера начнут ее
использовать как только она до них по репликации дотечет.

вот и в свете описанного хочется какого-то триггера на репликах
настроенного (у каждой реплики возможны разные триггеры), написанного
на внешнем приложении о том, что произошли такие-то изменения в БД.

вот с последним - пока не нашел что почитать чтобы так сделать
что почитать?

то есть сейчас в общем виде я хочу сделать на переходный период
следующее:
1. сложить настройки в ldap
2. дотянуть до реплики
3. на реплике из триггера о том что случились изменения вносить
изменения в конфиг-файл (который текстовый).

как-то так.

. ''`. Dmitry E. Oboukhov
: :’ : email: un...@debian.org jabber://un...@uvw.ru
`. `~’ GPGKey: 1024D / F8E26537 2006-11-21
`- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537

signature.asc
Description: Digital signature

Re: Dovecot: LDAP + Kerberos

2014-06-22 Пенетрантность Роман Гинович

Проблему решил, установив переменной домен значение по умолчанию:

userdb {
   driver = static
   args = uid=vmail gid=vmail home=/var/vmail/%d/%Ln allow_all_users=yes
   default_fields = domain=domain.name.local
}

Dovecot: LDAP + Kerberos

2014-06-20 Пенетрантность Роман Гинович

Привет. Столкнулся с проблемой, а языковой барьер мешает корректно задать
вопрос в dovecot mailing list.

Стоит почтовый сервер.

# uname -a
Linux deb7s0 3.2.0-4-amd64 #1 SMP Debian 3.2.54-2 x86_64 GNU/Linux

Изначально dovecot настроен TLS + plain login через LDAP

passdb {
   driver = ldap
}
userdb {
   driver = static
   args = uid=vmail gid=vmail home=/var/vmail/%d/%Ln allow_all_users=yes
}

Все работает как надо, папка пользователя создается
/var/vmail/domain.name.local/user1

Добавил авторизацию Kerberos, авторизация проходит успешно, но папка
пользователя создается /var/vmail/user1
В логах явно видно ошибку:

Debug: auth client connected (pid=4198)
Debug: ldap(user1,ip,tStnqj78mQCsETVX): bind search:
base=DC=domain,DC=name,DC=local
filter=((objectClass=person)(sAMAccountName=user1)(mail=*)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Debug: auth(user1,ip,tStnqj78mQCsETVX): username changed user1 -
us...@domain.name.local
Debug: ldap(us...@domain.name.local,ip,tStnqj78mQCsETVX): result:
userPrincipalName=us...@domain.name.local
Debug: client out: OK#0111#011user=us...@domain.name.local
Debug: master in:
REQUEST#0113788505089#0114198#0111#01126f21034856c4a995f36c38acc6e0567
Debug: master out: USER#0113788505089#011us...@domain.name.local
#011uid=5000#011gid=5000#011home=/var/vmail/domain.name.local/user1

Debug: auth client connected (pid=4378)
Debug: gssapi(?,ip,4sqZ5D78tQCsETVX): Using all keytab entries
Debug: gssapi(us...@domain.name.local,ip,4sqZ5D78tQCsETVX): security
context state completed.
Debug: gssapi(us...@domain.name.local,ip,4sqZ5D78tQCsETVX): Negotiated
security layer
Debug: client out: OK#0111#011user=user1
Debug: master in:
REQUEST#0112865889281#0114378#0111#01148e1177f98cf140bf698a446eb74ecff
Debug: master out:
USER#0112865889281#011user1#011uid=5000#011gid=5000#011home=/var/vmail//user1

Как видно LDAP меняет имя пользователя и потом получает из него имя домена,
как такое сделать у GSSAPI?
Возможно это несовсем правильное решение и я готов поменять настройки, но
нужно сохранить структуру каталога (/var/vmail/domain_name/user_name), т.к.
в дальнейшем почтовый сервер будет обслуживать несколько доменных имен.

Re: Dovecot: LDAP + Kerberos

2014-06-20 Пенетрантность sergio

On 06/20/2014 11:12 AM, Роман Гинович wrote:

 Добавил авторизацию Kerberos, авторизация проходит успешно, но папка
 пользователя создается /var/vmail/user1

Только не /var/vmail/user1, а /var/vmail//user1, и

%d - domain part in user@domain, empty if there's no domain


Так что похоже что на стадии кербероса домена уже нет, и скорее всего
сходу это не решается.


-- 
sergio.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/53a3fc8f.4060...@sergio.spb.ru

ldap и osqa

2013-12-18 Пенетрантность Andrey Kuzmin



Коллеги добрый день.
Есть вопрос по использованию osqa по ldap. Ситуация такая. Есть виндовый 
домен. Есть машинка с linux (пока не в домене) на этой машинке настроено 
apache+osqa+mysql+django.
Мне необходмио прикрутить osqa доменную авторизацию. Нашел плагин 
подключил его, но при заполнении всех необходимых полей (типа DN for 
binding:, Base DN: и тп.) и при попытки аутентификации мне выкидывается 
ошибка Login failed - LDAP bind error. Может кто нибудь сталкивался с 
такой проблемой

Re: ldap и osqa

2013-12-18 Пенетрантность Vladimir Skubriev

18.12.2013 13:07, Andrey Kuzmin пишет:

Коллеги добрый день.
Есть вопрос по использованию osqa по ldap. Ситуация такая. Есть
виндовый домен. Есть машинка с linux (пока не в домене) на этой
машинке настроено apache+osqa+mysql+django.
Мне необходмио прикрутить osqa доменную авторизацию. Нашел плагин
подключил его, но при заполнении всех необходимых полей (типа DN for
binding:, Base DN: и тп.) и при попытки аутентификации мне
выкидывается ошибка Login failed - LDAP bind error. Может кто нибудь
сталкивался с такой проблемой

здесь обсуждается подобная проблема

http://social.technet.microsoft.com/Forums/ru-RU/5030501c-69a6-4a39-96a2-ee6c2ddd320f/-ldap-bind

проблема в том, что клиент ldap в osqa не может соединится с ldap сервером

причин может быть много, но основные

1. сервер ldap microsoft не поддерживает plain text bind, рыть в строну
как включить или как сделать безопасный bind к ldap microsoft'a

2. клиент действительно передает не то, что нужно - возможно что то в
параметрах не правильное.

Попробуйте по разному подключатся с ldap серверу. Почитайте что
поддерживает сервер (какие способы bind) и что поддерживает клиент.

Возможно сервер требует kerberos auth или же работает только через TLS.

Читайте логи сервер там может быть что нибудь интересное.

Скачайте какой-нибудь ldap gui browser и попробуйте подключится из него,
сравните параметры подключения(bind)

--
--
Faithfully yours,

Vladimir Skubriev

Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap

2013-07-02 Пенетрантность Владимир Скубриев





отпишусь по результатам.

в конфиге указываем
passdb backend = tdbsam

и ставим пакет с модулем PAM libpam-smbpass

он сам прописывается в подсистему pam из конфига 
(/usr/share/pam-configs/smbpasswd-migrate) = pam_auth_update


и вуаля стандартная база паролей tdb пополняется новым пользователем 
выполнившим успешный вход через другие службы


т.е. сначала нужно будет зайти пользователем через другую службу, а уже 
после использовать samba


единственное не удобство - это то, что при смене пароля пользователя в 
ldap ему снова нужно будет заходить на сервер под какой нибудь другой 
службой чтобы обновить базу tdb самбы.


например ftp, ssh или что либо еще

этот модуль конечно не только для данной задачи предназначен, но 
подозрительно, что именно такую задачу (migrate) он выполняет по умолчанию )


получается все классно, красиво и без дополнительных заморочек.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap

2013-07-02 Пенетрантность Alexander Wiedergold WIEDERGOLD.NET


можно здесь посмотреть https://wiki.samba.org/index.php/Ldapsam_Editposix


Am 02.07.2013 10:00, schrieb Владимир Скубриев:




отпишусь по результатам.

в конфиге указываем
passdb backend = tdbsam

и ставим пакет с модулем PAM libpam-smbpass

он сам прописывается в подсистему pam из конфига
(/usr/share/pam-configs/smbpasswd-migrate) = pam_auth_update

и вуаля стандартная база паролей tdb пополняется новым пользователем
выполнившим успешный вход через другие службы

т.е. сначала нужно будет зайти пользователем через другую службу, а уже
после использовать samba

единственное не удобство - это то, что при смене пароля пользователя в
ldap ему снова нужно будет заходить на сервер под какой нибудь другой
службой чтобы обновить базу tdb самбы.

например ftp, ssh или что либо еще

этот модуль конечно не только для данной задачи предназначен, но
подозрительно, что именно такую задачу (migrate) он выполняет по умолчанию )

получается все классно, красиво и без дополнительных заморочек.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru




--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/kquike$sk9$1...@online.de

аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap


Ни как не могу найти информацию по именно этому случаю использования samba:

Опишу словами что я хочу:

Самба сервер для расшаривания папок с авторизацией в уже имеющимся ldap 
каталоге


В ldap заведены ou=users и ou=groups

В том числе созданы пользователи и группы, вот такие примерно:

# Entry 1: cn=skubriev,ou=users,dc=example,dc=com
dn: cn=skubriev,ou=users,dc=example,dc=com
cn: Skubriev Vladimir
cn: skubriev
gidnumber: 2007
homedirectory: /home/skubriev
loginshell: /bin/bash
mail:: 2t38t86fg8w86gf86g34786fg863g4f6g
objectclass: simpleSecurityObject
objectclass: inetOrgPerson
objectclass: posixAccount
objectclass: shadowAccount
sn: Vladimir
uid: skubriev
uidnumber: 2044
userpassword: {SSHA}2t38t86fg8w86gf86g34786fg863g4f6g


# Entry 1: cn=group1,ou=groups,dc=example,dc=com
dn: cn=group1,ou=groups,dc=example,dc=com
cn: group1
description: All in office users
gidnumber: 2007
...
memberuid: skubriev
memberuid: user1
memberuid: user2
...
objectclass: posixGroup


Я не хочу принципиально использовать схему samba в каталоге, т.к. он у 
меня нет клиентов windows. Но некоторые папки на сервере должны быть 
доступны по протоколу SMB.

То есть другими словами все должно быть как можно более простым.

В поиске мне попадаются истинные нагромождения типа Samba + ldap = PDC 
= samba4 )))


Мне нужно, чтобы когда smbclient подключался к серверу у него 
спрашивался пароль и логин, который сверялся в моем каталоге и на 
основании того, в какой он группе и кто он выдавался доступ к SMB 
ресурсу(ам).


Возможно ли такое сделать и как ?

Спасибо.


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap

2013-07-01 Пенетрантность Mike Mironov


01.07.2013 14:16, Владимир Скубриев пишет:

Ни как не могу найти информацию по именно этому случаю использования samba:

Опишу словами что я хочу:

Самба сервер для расшаривания папок с авторизацией в уже имеющимся ldap
каталоге

В ldap заведены ou=users и ou=groups


...


Я не хочу принципиально использовать схему samba в каталоге, т.к. он у
меня нет клиентов windows. Но некоторые папки на сервере должны быть
доступны по протоколу SMB.
То есть другими словами все должно быть как можно более простым.

В поиске мне попадаются истинные нагромождения типа Samba + ldap = PDC
= samba4 )))

Мне нужно, чтобы когда smbclient подключался к серверу у него
спрашивался пароль и логин, который сверялся в моем каталоге и на
основании того, в какой он группе и кто он выдавался доступ к SMB
ресурсу(ам).

Возможно ли такое сделать и как ?



Как вариант: настраиваем авторизацию pam-ldap на этом сервере, 
проверяем, что подтягиваются пользователи и группы и потом прописываем 
доступ этим группам в Samba.



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51d15902.1020...@darkmike.ru

Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap

On 01.07.2013 14:25, Mike Mironov wrote:

01.07.2013 14:16, Владимир Скубриев пишет:
Ни как не могу найти информацию по именно этому случаю использования
samba:

Опишу словами что я хочу:

Самба сервер для расшаривания папок с авторизацией в уже имеющимся ldap
каталоге

В ldap заведены ou=users и ou=groups

...

Я не хочу принципиально использовать схему samba в каталоге, т.к. он у
меня нет клиентов windows. Но некоторые папки на сервере должны быть
доступны по протоколу SMB.
То есть другими словами все должно быть как можно более простым.

В поиске мне попадаются истинные нагромождения типа Samba + ldap = PDC
= samba4 )))

Мне нужно, чтобы когда smbclient подключался к серверу у него
спрашивался пароль и логин, который сверялся в моем каталоге и на
основании того, в какой он группе и кто он выдавался доступ к SMB
ресурсу(ам).

Возможно ли такое сделать и как ?

Как вариант: настраиваем авторизацию pam-ldap на этом сервере,
проверяем, что подтягиваются пользователи и группы и потом прописываем
доступ этим группам в Samba.

уже сделал авторизацию и вход через pam, nssswitch и sssd

как самой самбе сказать, чтобы она аутентифицировала пользователей через
pam и nss ?

при установке она завела всех пользователей в tdbsam по умолчанию

вот что она писала
...
Importing account for skubriev...ok
Importing account for user1...ok
Importing account for user2...ok
...

Т.е. в свою локальную базу она заносит пользователей, возможно и группы
системные.

Вопрос в том, что при такой настройке прийдеться поддерживать её
базу(/var/lib/samba/passdb.tdb) в актуальном состоянии вручную.

И нужно всем пользователям делать smbpasswd. И это не самая главная
беда. Самая главная беда в том, что у меня нет паролей в plaintext, они
есть у меня только в хэшах из каталога ldap.

Я ведь храню хэши в ldap, почему бы samba не делать авторизацию через него ?

Да у меня не простая задача, точнее она не из распространенных.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap

Да у меня не простая задача, точнее она не из распространенных.

Есть такое подозрение, что использование клиентов smb накладывает
ограничения на реализацию компонента LDAP таким образом, что заставляет
использовать схему samba в каталоге, если необходимы аутентификация, что
в свою очередь подтягивает синхронизацию паролей (см. примечание 1) и
вообще полную виндузятину туда, где казалось бы она вовсе не нужна.

примечание 1. статья
http://www.ibm.com/developerworks/ru/edu/l-lpic3305/section5.html

в которой говориться, что:

Пароли NT отличаются от паролей UNIX и не могут храниться в атрибуте
userPassword. По этой причине схему LDAP нужно расширить для обеспечения
поддержки хранения хэшей паролей и другой информации, необходимой
клиентам Microsoft.

Надеюсь, что не прав (.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap

2013-07-01 Пенетрантность Hleb Valoshka

On 7/1/13, Владимир Скубриев vladi...@skubriev.ru wrote:

 при установке она завела всех пользователей в tdbsam по умолчанию
...
 Вопрос в том, что при такой настройке прийдеться поддерживать её
 базу(/var/lib/samba/passdb.tdb) в актуальном состоянии вручную.

 И нужно всем пользователям делать smbpasswd. И это не самая главная
 беда. Самая главная беда в том, что у меня нет паролей в plaintext, они
 есть у меня только в хэшах из каталога ldap.

Не уверен, т.к. не использовал, но сегодня случайно узнал про такую
вещь как libpam-smbpass:

Description-en: pluggable authentication module for Samba
 This is a module for PAM that enables a system administrator to migrate
 user passwords from the Unix password database to the SMB password
 database as used by Samba, and to subsequently keep the two databases in
 sync.  Unlike other solutions, it does this without needing users to log
 in to Samba using cleartext passwords, or requiring them to change their
 existing passwords.

Re: аутентификация пользователей обращающихся к samba серверу через аккаунты из ldap

2013-06-28 Пенетрантность Eugene Berdnikov

On 02.07.2013 00:23, Hleb Valoshka wrote:

On 7/1/13, Владимир Скубриев vladi...@skubriev.ru wrote:

при установке она завела всех пользователей в tdbsam по умолчанию

...

Не уверен, т.к. не использовал, но сегодня случайно узнал про такую
вещь как libpam-smbpass:

Description-en: pluggable authentication module for Samba
This is a module for PAM that enables a system administrator to migrate
user passwords from the Unix password database to the SMB password
database as used by Samba, and to subsequently keep the two databases in
sync. Unlike other solutions, it does this without needing users to log
in to Samba using cleartext passwords, or requiring them to change their
existing passwords.

вчера читал про него на develeper works (
http://www.ibm.com/developerworks/ru/edu/l-lpic3305/section5.html) как
раз в тему, но я пока плаваю в том, что за чем идет )

вообще говоря очень толковый мануал - как раз в том стиле, который не
просто говорит что делать а почему надо так делать и что от чего зависит.

надо только уточнить будет ли он работать без дополнительной схемы в
каталоге - буду надеется что будет.

сейчас займусь его изучением.

спасибо за ценное указание.

отпишусь по результатам.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: cd permission denided ldap group

On Fri, Jun 28, 2013 at 09:11:28AM +0400, Владимир Скубриев wrote:
On 27.06.2013 12:03, Hleb Valoshka wrote:
On 6/27/13, Владимир Скубриев vladi...@skubriev.ru wrote:
загадочная ситуация у меня вышла
нет ничего загадочного, всё у вас работает как положено

drwx--Sr-x 3 skubriev inoffice 4096 апр. 1 11:43 common
где права rx для группы?
да и хрен с ними с правами для группы. у остальных то должен быть
поидее доступ ?

У остальных да. А у тех, кто входит в группу -- нет.

ли если ты входишь например в группу Пупкиных и группе Пупкиных не
заданы права (т.е. их нет rwx---rwx), то будет тебе болт ?

Да. Группе Пупкиных НЕЛЬЗЯ!!! Неужели это трудно проверить? :)

Не смотря на то, что всем остальным разрешен доступ к папке (r-x) ?

Остальные -- это не те, кому не удалось получить доступ по групповому
признаку, это те, кто НЕ ВХОДИТ в группу. Почувствуйте разницу.
--
Eugene Berdnikov

--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20130628071957.gv20...@sie.protva.ru

Re: cd permission denided ldap group

2013-06-28 Пенетрантность Hleb Valoshka

On 6/28/13, Владимир Скубриев vladi...@skubriev.ru wrote:
 ли если ты входишь например в группу Пупкиных и группе Пупкиных не
 заданы права (т.е. их нет rwx---rwx), то будет тебе болт ?
 Не смотря на то, что всем остальным разрешен доступ к папке (r-x) ?

Да именно так и будет, что вас удивляет?

Re: cd permission denided ldap group

2013-06-28 Пенетрантность Владимир Скубриев


On 28.06.2013 11:19, Eugene Berdnikov wrote:


  Остальные -- это не те, кому не удалось получить доступ по групповому
  признаку, это те, кто НЕ ВХОДИТ в группу. Почувствуйте разницу.


Этот момент я пропустил. Странно, что только сейчас до меня дошло (.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: cd permission denided ldap group

2013-06-28 Пенетрантность Владимир Скубриев


On 28.06.2013 11:27, Hleb Valoshka wrote:

On 6/28/13, Владимир Скубриев vladi...@skubriev.ru wrote:

ли если ты входишь например в группу Пупкиных и группе Пупкиных не
заданы права (т.е. их нет rwx---rwx), то будет тебе болт ?
Не смотря на то, что всем остальным разрешен доступ к папке (r-x) ?

Да именно так и будет, что вас удивляет?

Уже понял, что был не прав. Полный просак. (

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

cd permission denided ldap group

2013-06-27 Пенетрантность Владимир Скубриев

загадочная ситуация у меня вышла

был старый сервер, сейчас вот настраиваю новый

для аутентификации и перечисления пользователей и групп в качестве
дополнительного бэкэнда используется openLDAP

вход в системы под ldap пользователем работает.

есть у меня на сервере общая папка common которую я хочу расшарить по
nfs в дальнейшем

точнее я это уже сделал, но столкнулся с проблемой прав доступа к ней и
другим папкам.

далее я отключил nfs и решил проверить все на самом сервере локально.

залогинился под обычным пользователем и ...

если у папки группой является ldap группа, то пользователь обычный
(non-root) входящий в данную группу не может в нее войти, хотя даже при
чем тут группа, если у всех остальных есть права r-x на эту папку

если изменить группу папки на локальную, то пользователь может войти в
эту папку.

пользователь root может делать что хочет естественно.

вот эта папка:
drwx--Sr-x 3 skubriev inoffice 4096 апр. 1 11:43 common

в эту может как ни странно )
drwxr-xr-x 2 root __USERS__ 4096 апр. 1 11:33 distrs

вот еще одна, в которую тоже не может войти
drwx---r-x 2 root __USERS__ 4096 апр. 1 11:33 info

вот ls -ln
drwx--Sr-x 3 2044 2003 4096 апр. 1 11:43 common
drwxr-xr-x 20 1901 4096 апр. 1 11:33 distrs
drwx---r-x 20 1901 4096 апр. 1 11:33 info

вот id пользователя
uid=2044(skubriev) gid=1901(__USERS__) groups=1901(__USERS__),2003(inoffice)

Видно, что пользователь входит в группы __USERS__ и inoffice.

Но почему то на отрез ни право группы (членом которой является юзер) и
ни право для всех остальных не позволяет ему войти в папку.

Далее я удалил эти папки и создал заново на том же месте

drwxrwsr-x 2 srvadm __USERS__ 4096 июня 27 10:13 common
drwxr-xr-x 2 srvadm __USERS__ 4096 апр. 1 11:33 distrs
drwxr-xr-x 2 srvadm __USERS__ 4096 июня 27 10:07 info

доустановил вручную sticky bit для каталога common и право на запись для
группы

и проверил все работает.

Далее я решил проверить как теперь с правами для остальных

убираем права для остальных
sudo chmod o-rwx common/ distrs/ info/

и пробуем войти - вуаля работает, пробуем писать в данный каталог - все
окей.

все заработало правильно - как и должно было быть.

возникает вопрос почему все так странно ?

скоро вводить этот сервер в продакшен хотелось бы, чтобы при подключении
настоящего хранилища (несколько терабайт важных данных) все работало как
и задумывалось.

пока вместо реального массива используется небольшой lvm том.

эти папки перед удалением я скопировал на другую ФС.

На ней обычный пользователь может нормально войти в папку common и другие

Вот как они выглядят на другой ФС:

ls -l /home/skubriev/backup/
total 12
drwx--Sr-x 3 skubriev __USERS__ 4096 апр. 1 11:43 common
drwxr-xr-x 2 skubriev __USERS__ 4096 апр. 1 11:33 distrs
drwx---r-x 2 skubriev __USERS__ 4096 июня 27 10:05 info

Прошу прощения за столько большой пост, но короче его не описать.
Надеюсь поможете разгадать загадку.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

* Russian - detected
* English

* English

javascript:void(0);

Re: cd permission denided ldap group

2013-06-27 Пенетрантность Hleb Valoshka

On 6/27/13, Владимир Скубриев vladi...@skubriev.ru wrote:
 загадочная ситуация у меня вышла

нет ничего загадочного, всё у вас работает как положено

 drwx--Sr-x 3 skubriev inoffice  4096 апр.   1 11:43 common

где права rx для группы?

 в эту может как ни странно )
 drwxr-xr-x 2 root __USERS__ 4096 апр.   1 11:33 distrs

потому что есть  rx

 вот еще одна, в которую  тоже не может войти
 drwx---r-x 2 root __USERS__ 4096 апр.   1 11:33 info

опять нет


 Видно, что пользователь входит в группы __USERS__ и inoffice.

 drwxrwsr-x 2 srvadm __USERS__ 4096 июня  27 10:13 common
 drwxr-xr-x 2 srvadm __USERS__ 4096 апр.   1 11:33 distrs
 drwxr-xr-x 2 srvadm __USERS__ 4096 июня  27 10:07 info


везде есть


 На ней обычный пользователь может нормально войти в папку common и другие
 Вот как они выглядят на другой ФС:
 ls -l /home/skubriev/backup/
 total 12
 drwx--Sr-x 3 skubriev __USERS__ 4096 апр.   1 11:43 common
 drwxr-xr-x 2 skubriev __USERS__ 4096 апр.   1 11:33 distrs
 drwx---r-x 2 skubriev __USERS__ 4096 июня  27 10:05 info

а пользователь, наверное, skubriev?

Re: cd permission denided ldap group

2013-06-27 Пенетрантность Владимир Скубриев

On 27.06.2013 12:03, Hleb Valoshka wrote:

On 6/27/13, Владимир Скубриев vladi...@skubriev.ru wrote:

загадочная ситуация у меня вышла

нет ничего загадочного, всё у вас работает как положено

drwx--Sr-x 3 skubriev inoffice 4096 апр. 1 11:43 common

где права rx для группы?
да и хрен с ними с правами для группы. у остальных то должен быть поидее
доступ ?

Не смотря на то, что всем остальным разрешен доступ к папке (r-x) ?

в эту может как ни странно )
drwxr-xr-x 2 root __USERS__ 4096 апр. 1 11:33 distrs

потому что есть rx

эта папка была изначально рабочая

вот еще одна, в которую тоже не может войти
drwx---r-x 2 root __USERS__ 4096 апр. 1 11:33 info

опять нет
ну и что что нет. ведь у всех остальных есть ! т.е. o+rx видно же,
почему тогда не входит

Видно, что пользователь входит в группы __USERS__ и inoffice.
drwxrwsr-x 2 srvadm __USERS__ 4096 июня 27 10:13 common
drwxr-xr-x 2 srvadm __USERS__ 4096 апр. 1 11:33 distrs
drwxr-xr-x 2 srvadm __USERS__ 4096 июня 27 10:07 info

везде есть

правильно, потому, что я создал новые папки в том же месте.

На ней обычный пользователь может нормально войти в папку common и другие
Вот как они выглядят на другой ФС:
ls -l /home/skubriev/backup/
total 12
drwx--Sr-x 3 skubriev __USERS__ 4096 апр. 1 11:43 common
drwxr-xr-x 2 skubriev __USERS__ 4096 апр. 1 11:33 distrs
drwx---r-x 2 skubriev __USERS__ 4096 июня 27 10:05 info

а пользователь, наверное, skubriev?

да на новой ФС вопросов нет

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

как или чем хранить зоны bind в ldap. не могу ни чего толкового найти!

2013-06-10 Пенетрантность Владимир Скубриев


хочу хранить зоны в ldap

и в том числе и isc-dhcp-server тоже будет хранить записи в ldap

не могу найти где взять схемы в дистрибутиве debian для bind

не знаю как настроить bind zone, чтобы она хранилась в openldap.

очень буду рад ссылке на статью.

спасибо

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51b58f85.90...@skubriev.ru

Re: как или чем хранить зоны bind в ldap. не могу ни чего толкового найти!

2013-06-10 Пенетрантность Alexander

уверены?)

10.06.2013, 12:41, Владимир Скубриев vladi...@skubriev.ru:
 хочу хранить зоны в ldap

 и в том числе и isc-dhcp-server тоже будет хранить записи в ldap



-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/103581370855...@web7h.yandex.ru

Re: как или чем хранить зоны bind в ldap. не могу ни чего толкового найти!

2013-06-10 Пенетрантность Владимир Скубриев

On 10.06.2013 13:11, Покотиленко Костик wrote:

В Пнд, 10/06/2013 в 12:34 +0400, Владимир Скубриев пишет:

хочу хранить зоны в ldap

и в том числе и isc-dhcp-server тоже будет хранить записи в ldap

не могу найти где взять схемы в дистрибутиве debian для bind

не знаю как настроить bind zone, чтобы она хранилась в openldap.

очень буду рад ссылке на статью.

1. Bind: тут 2 варианта, либо патчить bind

патчить не хочу. пусть будет универсально.

либо использовать ldap2zone
вот не повезло. я так надеялся что он умеет хранить зоны из коробки в
ldap (((

(рекомендую).

спасибо.

Далее, управляем зонами с помощью Gosa, у неё в комплекте
нужная схема.
почему именно gosa ? я все стараюсь ручками настраивать в том числе и
схемы подключаю новые в ldap вручную. а для админки использую
phpldapadmin удобно и просто.

Тут есть нюансы c TLS и прочим, всё решается. Если что
пиши.

2. isc-dhcp-server: ставим isc-dhcp-server-ldap.

к этому уже приступил.

Далее, управляем зонами

я предпочитаю phpldapadmin, или есть какой то ньюанс а госа ?

с помощью Gosa, у неё в помплекте нужная схема. Надо отметить что Gosa
не умеет управлять параметрами отказоустойчивости, но это настраивается
один раз напрямую в LDAP минуя Gosa, и дальше они друг другу не мешают.
отказоустойчивость мне не особо нужна, больше волнует нормальное
обновление dns демоном dhcpd

вот с этим думаю еще обращусь в рассылку, т.к. до конца еще не ясно как
оно должно работать.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: как или чем хранить зоны bind в ldap. не могу ни чего толкового найти!

2013-06-10 Пенетрантность Владимир Скубриев

On 10.06.2013 13:07, Alexander wrote:

уверены?)

10.06.2013, 12:41, Владимир Скубриев vladi...@skubriev.ru:

хочу хранить зоны в ldap

и в том числе и isc-dhcp-server тоже будет хранить записи в ldap

не совсем - скажу честно.

насчет dhcpd вроде как уверен. да и удобно, чтобы вся информация была в
ldap.

объясню почему я к такому выводу то пришел:

Дело в том, что я хочу, чтобы информация хранилась в одном месте при
автоматической настройке сервера.

При настройке сервера скрипты используют ldif файл с архивом нужной
ветки, например dhcp

Для изменения данных я правлю их вручную через phpldapadmin.

Демон также хранит данные в одном и том же месте - т.е. в каталоге.

Это удобно.

А вот с dns вопрос более серьезен.

Во первых dns для локальной зоны в основном планируется. Должны работать
обновления dns сервером dhcp.

Возникает вопрос курицы и яйца: Что первично dhcpd или dns ?

Т.е. предположим мы установили и настроили dhcpd и что ждать пока он
создаст все записи в том числе ptr для всей сети (всех клиентов)?

А если в этот момент кому нибудь нужен будет dns ?

Т.е. получается нужно сразу две службы настраивать и dhcp и dns.
Первоначально заполнять их и после уже включать.

хранить зоны в ldap я бы стал только если бы bind это умел по дефолту.
Не очень хочется патчить его. Скрипт ldap2zone - это по сути еще один
парсер - тоже не очень подходит с точки зрения хранения зоны
(конфигурации) в одном месте. Тогда уж лучше пусть bind хранит свои зоны
в файлах. Но на практике я не сталкивался с работой dns и dhcpd с
обновлением настроенными вручную. Не знаю и не понимаю как они в целом
то работают. Отсюда и не понятно как лучше организовать их
автоматическую настройку.

Т.е. чтобы не приходилось формировать например файлы зон или объекты в
каталоге ldap из каких либо данных скриптом.

Вообщем тут у меня полная каша в голове о том, как это правильно
настраивать.

Все ведь усложняется тем, что требуют рецепты chef для всего писать. Там
где можно было ручками поправить уже не хляет. Нужно все по уму и в
четкой последовательности делать. Вообщем если честно я от chef'a не в
восторге. По моему он только время отнимает (((

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: olcAccess правило для работы sudo-ldap

2013-04-15 Пенетрантность Владимир Скубриев


On 13.04.2013 14:12, Alex Mestiashvili wrote:

в зачем особые правила для работы sudo-ldap ?

мне хватает вот этого:

access to attrs=uidNumber,gidNumber
by dn=cn=admin,dc=mydc write
by * read

access to attrs=userPassword,shadowLastChange
by dn=cn=admin,dc=mydc write
by anonymous auth
by self write
by * none

access to *
by dn=cn=admin,dc=mydc write
by self write
by * read


Удачи,
Alex





Спасибо!

Остановился на

*

Создадим файлы для модификации каталога.


nano olc-by-all-delete-entry-by-number-checked.ldif:

dn: olcDatabase={1}hdb,cn=config

changetype: modify

delete: olcAccess

olcAccess: {3}


nano olc-by-all-read-checked.ldif:

dn: olcDatabase={1}hdb,cn=config

changetype: modify

add: olcAccess

olcAccess: {3}to * by * read


Удалим 3-й ACL:


ldapmodify -D cn=admuser,dc=domain,dc=lab -w PASSWORD -f 
olc-by-all-delete-entry-by-number-checked.ldif



Создадим 3-й ACL с доступом для всех на чтение без аутентификации:


ldapmodify -D cn=admuser,dc=domain,dc=lab -w PASSWORD -f 
olc-by-all-read-checked.ldif


*
Все работает.


--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru

Re: olcAccess правило для работы sudo-ldap

2013-04-13 Пенетрантность Alex Mestiashvili


On 04/08/2013 08:06 AM, Владимир Скубриев wrote:

Здравствуйте!
Помогите пожалуйста написать правило для работы sudo-ldap.

Вот имеющиеся правила:

olcAccess: {0}to * by
dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external
  ,cn=auth manage by dn=cn=zentyal,dc=cvision,dc=lab manage by * break
olcAccess: {1}to attrs=userPassword,shadowLastChange,krb5Key by
dn=cn=zentyal
  ,dc=cvision,dc=lab write by anonymous auth by
dn=cn=zentyalro,dc=cvision,dc
  =lab none by self write by * none
olcAccess: {2}to attrs=userPassword by dn=cn=zentyal,dc=cvision,dc=lab
write
   by self write by * none
olcAccess: {3}to * by users read


Если добавить в начале
olcAccess: {0}to * by * read

То не работает смена пароля. Опять же не могу понять из-за какого правила?
Может быть из-за break ? (правило 0)
Или из-за by * none (правило 1)

Но при этом sudo-ldap нормально ищет в каталоге и работает.

Если добавить в конце, то смена пароля работает, но не хватает прав у
sudo-ldap.

Какое минимальное правило должно быть для sudo-ldap на чтение каталога
(доступ на чтение только ветки ou=SUDOers не достаточен - я проверял)?

Я знаю, что sudo-ldap может работать и подключаясь под конкретным dn. Но
мне хочется сделать без этих дополнительных настроек. Например, чтобы не
хранить на машине binddn и bindpw от Read-Only аккаунта для sudo-ldap.
Хотя опять же - как правильно ?

Хотя конечно я уже храню их для работы nslcd в файле /etc/nslcd.conf

Но может есть более правильный подход к организации входа в систему
через LDAP и всего сопутствующего ?

Можно ли открывать каталог для доступа на чтение всем пользователям
локальной сети ?

Как сделать доступ на чтение всего каталога всем в том числе и анонимным
пользователям, кроме опять же атрибутов с хэшами паролей ?

Спасибо большое заранее.




в зачем особые правила для работы sudo-ldap ?

мне хватает вот этого:

access to attrs=uidNumber,gidNumber
by dn=cn=admin,dc=mydc write
by * read

access to attrs=userPassword,shadowLastChange
by dn=cn=admin,dc=mydc write
by anonymous auth
by self write
by * none

access to *
by dn=cn=admin,dc=mydc write
by self write
by * read


Удачи,
Alex




--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51692f74.8080...@biotec.tu-dresden.de

olcAccess правило для работы sudo-ldap

2013-04-08 Пенетрантность Владимир Скубриев


Здравствуйте!
Помогите пожалуйста написать правило для работы sudo-ldap.

Вот имеющиеся правила:

olcAccess: {0}to * by 
dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external

 ,cn=auth manage by dn=cn=zentyal,dc=cvision,dc=lab manage by * break
olcAccess: {1}to attrs=userPassword,shadowLastChange,krb5Key by 
dn=cn=zentyal
 ,dc=cvision,dc=lab write by anonymous auth by 
dn=cn=zentyalro,dc=cvision,dc

 =lab none by self write by * none
olcAccess: {2}to attrs=userPassword by dn=cn=zentyal,dc=cvision,dc=lab 
write

  by self write by * none
olcAccess: {3}to * by users read


Если добавить в начале
olcAccess: {0}to * by * read

То не работает смена пароля. Опять же не могу понять из-за какого правила?
Может быть из-за break ? (правило 0)
Или из-за by * none (правило 1)

Но при этом sudo-ldap нормально ищет в каталоге и работает.

Если добавить в конце, то смена пароля работает, но не хватает прав у 
sudo-ldap.


Какое минимальное правило должно быть для sudo-ldap на чтение каталога 
(доступ на чтение только ветки ou=SUDOers не достаточен - я проверял)?


Я знаю, что sudo-ldap может работать и подключаясь под конкретным dn. Но 
мне хочется сделать без этих дополнительных настроек. Например, чтобы не 
хранить на машине binddn и bindpw от Read-Only аккаунта для sudo-ldap. 
Хотя опять же - как правильно ?


Хотя конечно я уже храню их для работы nslcd в файле /etc/nslcd.conf

Но может есть более правильный подход к организации входа в систему 
через LDAP и всего сопутствующего ?


Можно ли открывать каталог для доступа на чтение всем пользователям 
локальной сети ?


Как сделать доступ на чтение всего каталога всем в том числе и анонимным 
пользователям, кроме опять же атрибутов с хэшами паролей ?


Спасибо большое заранее.

--
С Уважением,
специалист по техническому и программному обеспечению,
системный администратор

Скубриев Владимир
~~~
Россия, Ростовская область, г. Таганрог

тел. моб: +7 (918) 504 38 20
skype: v.skubriev
icq: 214-800-502
www: skubriev.ru


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51625e59.4000...@skubriev.ru

ldap and unix users

2012-03-27 Пенетрантность v...@lab127.karelia.ru

Здравствуйте!
Задача:
Есть сервер squeeze, где есть ряд unix учетных записей.
Для одного из корпоративных приложений требуется ldap аутентификация.
Хотелось бы, чтобы пользователь мог заходить на сервер по ssh и
управлять приложением используя одну и ту же учетную запись (сменил
пароль, он меняется и там и там).

Решение состоит в использовании ldap для аутентификации по ssh.
Приложение unix записями оперировать не может.

Я не разбираюсь в том, как система unix пользователями оперирует,
поэтому вопрос.
Можно ли сделать так, чтобы все пользователи были в ldap, но при этом
можно было бы добавлять их в группы, созданные командой addgroup group
name и в стандартные группы типа www-data, mail, etc.

При этом если есть unix учетная запись, то можно было бы входить и под ней.

Как сделать?

--
Alexander Volkov
Senior java developer/architect

mob: +79215283540
skype: v2003_2...@mail.ru

Re: ldap and unix users

2012-03-27 Пенетрантность Dmitry A. Zhiglov

27 марта 2012 г. 21:57 пользователь v...@lab127.karelia.ru
v...@lab127.karelia.ru написал:
Здравствуйте!
Задача:
Есть сервер squeeze, где есть ряд unix учетных записей.
Для одного из корпоративных приложений требуется ldap аутентификация.
Хотелось бы, чтобы пользователь мог заходить на сервер по ssh и управлять
приложением используя одну и ту же учетную запись (сменил пароль, он
меняется и там и там).
Решение состоит в использовании ldap для аутентификации по ssh.
Приложение unix записями оперировать не может.

Я не разбираюсь в том, как система unix пользователями оперирует, поэтому
вопрос.
Можно ли сделать так, чтобы все пользователи были в ldap, но при этом можно
было бы добавлять их в группы, созданные командой addgroup group name и в
стандартные группы типа www-data, mail, etc.
При этом если есть unix учетная запись, то можно было бы входить и под ней.

Как сделать?

Пилил подобное, но для kerberos, без ldap.
Можно посмотреть [1] и [2].

Если завести пользователя в каталоге и настроить PAM на работу с
каталогом, то везде будет одна учетная запись. А вот с группами есть
такая мысль, но тут надо будет администрировать аккуратно.

Если завести пользователя сначала в локальной базе операционной
системы, как это делается обычно, а потом отдельно в каталоге, то
получается дублирование учетных записей. Это может оказаться полезно.
Если PAM и sshd будет работать и по каталогу и по локальной базе
пользователей одновременно, то для разных баз пользователей с одним
именем будет одно пользовательское пространство. Тогда можно выполнять
манипуляции с группами локальной базы пользователей и входить через
каталог. Так же можно входить и по базе каталога и по базе локальных
пользователей, при том, что пароли у них могут быть как разные так и
одинаковые.

Коллеги, не слишком абсурдно? Можно как-то иначе?

--
[1] http://wiki.debian.org/LDAP/Kerberos#Client_Login_Setup
[2] http://wiki.debian.org/LDAP/PAM

Re: ldap and unix users

2012-03-27 Пенетрантность Pavel Ammosov

On Tue, Mar 27, 2012 at 08:57:57PM +0300, v...@lab127.karelia.ru wrote:
 Можно ли сделать так, чтобы все пользователи были в ldap, но при
 этом можно было бы добавлять их в группы, созданные командой
 addgroup group name и в стандартные группы типа www-data, mail,

Можно.
Пользователь в unix - это логин и uid, независимо от того где он прописан: 
/etc/passwd, LDAP, nis или ещё чего.

 etc.
 При этом если есть unix учетная запись, то можно было бы входить и под ней.
 

Они должны быть с разными логинами и уидами.

 Как сделать?


В LDAP присвоить записи нужные классы (account, posixAccount, shadowAccount и 
тд) и
атрибуты (uidNumber, gidNumber), прописать LDAP-сервер(ы) в NSS с PAM и 
логинится.


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20120327201753.ga32...@pompeii.wapper.ru

Re: Debian + LDAP + Kerberos

2011-10-11 Пенетрантность Александр Борисоглебский

Спасибо за подсказку!
Вот еще мануальчик интересный, на мой взгляд
www.rjsystems.nl/en/2100-d6-kerberos-openldap-provider.php

С уважением,
Борисоглебский Александр

Отправлено с Samsung Galaxy Tab
03.10.2011 15:03 пользователь Алексей Заяц zayatc...@gmail.com написал:

Я делал через веб интерфейс к smbldap-tools.

3 октября 2011 г. 13:30 пользователь Александр Борисоглебский
a.borisoglebs...@gmail.com написал:

спасибо за подсказку, а с управлением пользователями (создание/удаление)
как быть?

3 октября 2011 г. 13:42 пользователь Алексей Заяц
zayatc...@gmail.comнаписал:

Добрый день.

В подобной схеме реализовывал синхронизацию паролей с помощью оверлея
smbk5pwd.

3 октября 2011 г. 11:10 пользователь Александр Борисоглебский
a.borisoglebs...@gmail.com написал:

Здравствуйте!

Научите меня, как правильно сделать.

В наличии Debian Squeezy с настроенными openldap и kerberos.
Настраивалось это хозяйство по мануалу
ссылка1http://techpubs.spinlocksolutions.com/dklar/ldap.html
и ссылка2 http://techpubs.spinlocksolutions.com/dklar/kerberos.html.

Все это работает, инфу из лдап можно получить, керберос выдает тикеты,
но... хочется всем этим добром управлять из одного места, т.е. в одном
месте
завел юзера и везде стало красиво. В принципе, можно скрипты написать, но,
в
дальнейшем, планируется поднять контроллер домена на самбе, прикрутить
почту. Не хотелось бы колхозить костыли. Повторюсь, хочется централизованно
управлять базами ldap и kerberos.

Ткните меня носом в мануал или поделитесь опытом как правильно и красиво
связать эти два сервиса.

--
С уважением,
Борисоглебский Александр

--
Best regards,
Aleksey Zayatc
mailto:zayatc...@gmail.com

--
С уважением,
Борисоглебский Александр

--
Best regards,
Aleksey Zayatc
mailto:zayatc...@gmail.com

Re: альтернативы LDAP

2011-10-10 Пенетрантность evgeny_ver...@mail.ru

Вот тут описал свои потуги на Samba+LDAP, сейчас вин-клиенты в домене и 
линуксовые сервера тоже об LDAP знают. И морда описана. В дальнейшем 
буду что-то дописывать-переписывать и добавлю нужные топикстартеру 
штуки, типа авторизации jabber\SQUID. А пока ещё стоит почитать вот эту 
штуку, ребята молодцы: http://pro-ldap.ru/


09.08.2011 19:52, Ed пишет:

чем больше вожусь я с LDAP, тем меньше он мне нравится ;)

любопытно, есть ли альтернативы?
из требуемого функционала - хранение базы пользователей/паролей/групп 
для:

 - pam (nss) для linux-пользователей;
 - samba для windows-пользователей (домен);
 - почтового сервера, jabber, ...





--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4e929f7e.2050...@mail.ru

Debian + LDAP + Kerberos

2011-10-03 Пенетрантность Александр Борисоглебский

Здравствуйте!

Научите меня, как правильно сделать.

В наличии Debian Squeezy с настроенными openldap и kerberos. Настраивалось
это хозяйство по мануалу
ссылка1http://techpubs.spinlocksolutions.com/dklar/ldap.html
 и ссылка2 http://techpubs.spinlocksolutions.com/dklar/kerberos.html.

Все это работает, инфу из лдап можно получить, керберос выдает тикеты, но...
хочется всем этим добром управлять из одного места, т.е. в одном месте завел
юзера и везде стало красиво. В принципе, можно скрипты написать, но, в
дальнейшем, планируется поднять контроллер домена на самбе, прикрутить
почту. Не хотелось бы колхозить костыли. Повторюсь, хочется централизованно
управлять базами ldap и kerberos.

Ткните меня носом в мануал или поделитесь опытом как правильно и красиво
связать эти два сервиса.

-- 
С уважением,
Борисоглебский Александр

Re: Debian + LDAP + Kerberos

2011-10-03 Пенетрантность Алексей Заяц

Добрый день.

В подобной схеме реализовывал синхронизацию паролей с помощью оверлея
smbk5pwd.

3 октября 2011 г. 11:10 пользователь Александр Борисоглебский
a.borisoglebs...@gmail.com написал:

Здравствуйте!

Научите меня, как правильно сделать.

В наличии Debian Squeezy с настроенными openldap и kerberos. Настраивалось
это хозяйство по мануалу
ссылка1http://techpubs.spinlocksolutions.com/dklar/ldap.html
и ссылка2 http://techpubs.spinlocksolutions.com/dklar/kerberos.html.

Все это работает, инфу из лдап можно получить, керберос выдает тикеты,
но... хочется всем этим добром управлять из одного места, т.е. в одном месте
завел юзера и везде стало красиво. В принципе, можно скрипты написать, но, в
дальнейшем, планируется поднять контроллер домена на самбе, прикрутить
почту. Не хотелось бы колхозить костыли. Повторюсь, хочется централизованно
управлять базами ldap и kerberos.

Ткните меня носом в мануал или поделитесь опытом как правильно и красиво
связать эти два сервиса.

--
С уважением,
Борисоглебский Александр

--
Best regards,
Aleksey Zayatc
mailto:zayatc...@gmail.com

Re: Debian + LDAP + Kerberos

2011-10-03 Пенетрантность Александр Борисоглебский

спасибо за подсказку, а с управлением пользователями (создание/удаление) как
быть?

3 октября 2011 г. 13:42 пользователь Алексей Заяц zayatc...@gmail.comнаписал:

Добрый день.

В подобной схеме реализовывал синхронизацию паролей с помощью оверлея
smbk5pwd.

3 октября 2011 г. 11:10 пользователь Александр Борисоглебский
a.borisoglebs...@gmail.com написал:

Здравствуйте!

Научите меня, как правильно сделать.

В наличии Debian Squeezy с настроенными openldap и kerberos. Настраивалось
это хозяйство по мануалу
ссылка1http://techpubs.spinlocksolutions.com/dklar/ldap.html
и ссылка2 http://techpubs.spinlocksolutions.com/dklar/kerberos.html.

Все это работает, инфу из лдап можно получить, керберос выдает тикеты,
но... хочется всем этим добром управлять из одного места, т.е. в одном месте
завел юзера и везде стало красиво. В принципе, можно скрипты написать, но, в
дальнейшем, планируется поднять контроллер домена на самбе, прикрутить
почту. Не хотелось бы колхозить костыли. Повторюсь, хочется централизованно
управлять базами ldap и kerberos.

Ткните меня носом в мануал или поделитесь опытом как правильно и красиво
связать эти два сервиса.

--
С уважением,
Борисоглебский Александр

--
Best regards,
Aleksey Zayatc
mailto:zayatc...@gmail.com

--
С уважением,
Борисоглебский Александр

Re: Debian + LDAP + Kerberos

2011-10-03 Пенетрантность Алексей Заяц

Я делал через веб интерфейс к smbldap-tools.

3 октября 2011 г. 13:30 пользователь Александр Борисоглебский
a.borisoglebs...@gmail.com написал:

спасибо за подсказку, а с управлением пользователями (создание/удаление)
как быть?

3 октября 2011 г. 13:42 пользователь Алексей Заяц
zayatc...@gmail.comнаписал:

Добрый день.

В подобной схеме реализовывал синхронизацию паролей с помощью оверлея
smbk5pwd.

3 октября 2011 г. 11:10 пользователь Александр Борисоглебский
a.borisoglebs...@gmail.com написал:

Здравствуйте!

Научите меня, как правильно сделать.

Все это работает, инфу из лдап можно получить, керберос выдает тикеты,
но... хочется всем этим добром управлять из одного места, т.е. в одном месте
завел юзера и везде стало красиво. В принципе, можно скрипты написать, но, в
дальнейшем, планируется поднять контроллер домена на самбе, прикрутить
почту. Не хотелось бы колхозить костыли. Повторюсь, хочется централизованно
управлять базами ldap и kerberos.

Ткните меня носом в мануал или поделитесь опытом как правильно и красиво
связать эти два сервиса.

--
С уважением,
Борисоглебский Александр

--
Best regards,
Aleksey Zayatc
mailto:zayatc...@gmail.com

--
С уважением,
Борисоглебский Александр

--
Best regards,
Aleksey Zayatc
mailto:zayatc...@gmail.com

Debian+ldap+kerberos

2011-09-22 Пенетрантность Александр Борисоглебский

Здравствуйте!

Научите меня, как правильно сделать.

В наличии Debian Squeezy с настроенными openldap и kerberos. Настраивалось
это хозяйство по мануалу
ссылка1http://techpubs.spinlocksolutions.com/dklar/ldap.html
 и ссылка2 http://techpubs.spinlocksolutions.com/dklar/kerberos.html.

Все это работает, инфу из лдап можно получить, керберос выдает тикеты, но...
хочется всем этим добром управлять из одного места, т.е. в одном месте завел
юзера и везде стало красиво. В принципе, можно скрипты написать, но в
дальнейшем планируется поднять контроллер домена на самбе и как в этом
случае пользователь сможет сам себе пароль поменять - не очень ясно. Гугл
предлагает решения через hemidal, но если я все правильно понимаю это
решение старовато.

Ткните меня носом в мануал или поделитесь опытом как правильно и красиво
связать эти два сервиса.

-- 
С уважением,
Борисоглебский Александр

Re: SAMS + Samba - LDAP

2011-08-29 Пенетрантность -=Devil_InSide=-

,-[Вереск, 4 February 2011 08:44]:

 Доброго времени суток!
 
 Как я понял, SQUID и SAMS умеют работать с авторизациями:
 1. По IP
 2. По логин-пароль
 3. Через AD
 4. Через LDAP
 
 А как прикрутить авторизацию через Samba-домен, если Samba работает БЕЗ
 LDAP? Клиенты виндовые.
 

а как ето, домен без лдап ?
доменконтроллер есть лдап-сервер.


зыЖ
кто б подсказал парсер сквидологов, берущий данные с оракла. 
или с коммунигейта - оттуда выцыганить, скажем, в самс групп пользователей 
так и не удалось. только юзеры. хотя ejabberd прекрасно сьел и группы. 
чудесный там лдап.

-- 
__
mpd status: [playing]
Dio - Straight_Through_The_Heart
**
*  jabber:  devil_ins...@jabber.ru   *
*   Registered linux user #450844*
**



-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/j3gtbp$p9v$1...@dough.gmane.org

Re: альтернативы LDAP


On 08/09/11 21:06, Ivan Shmakov wrote:

Для паролей использую Kerberos.


в сязке с ldap или нет?


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4e524bb3.2020...@yandex.ru

Re: альтернативы LDAP

2011-08-22 Пенетрантность Ivan Shmakov

 Ed  sp...@yandex.ru writes:
 On 08/09/11 21:06, Ivan Shmakov wrote:

  Для паролей использую Kerberos.

  в сязке с ldap или нет?

Именно так.  С точки зрения пакетов, libnss-ldap для отображения
passwd и libpam-heimdal для аутентикации.

-- 
FSF associate member #7257  Coming soon: Software Freedom Day
http://mail.sf-day.org/lists/listinfo/ planning-ru (ru), sfd-discuss (en)


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/86obzhsfdp@gray.siamics.net

Re: альтернативы LDAP


On 08/22/11 18:13, Ivan Shmakov wrote:

Edsp...@yandex.ru  writes:
On 08/09/11 21:06, Ivan Shmakov wrote:


Для паролей использую Kerberos.

в сязке с ldap или нет?

Именно так.  С точки зрения пакетов, libnss-ldap для отображения
passwd и libpam-heimdal для аутентикации.


спасибо, буду смотреть.


в этом случае в ldap хеши паролей хранятся? (извиняюсь, пока не прочитал 
соответствующую документацию)


если да - nss_ldap какие права имеет? (может ли читать хэши?)


другой вопрос - windows-компьютеры есть?
как происходит авторизация пользователей на них?


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4e5267a4.2060...@yandex.ru

Re: альтернативы LDAP

2011-08-22 Пенетрантность Ivan Shmakov

 Ed sp...@yandex.ru writes:
 On 08/22/11 18:13, Ivan Shmakov wrote:
 Ed sp...@yandex.ru writes:
 On 08/09/11 21:06, Ivan Shmakov wrote:

  Для паролей использую Kerberos.

  в сязке с ldap или нет?

  Именно так.  С точки зрения пакетов, libnss-ldap для отображения
  passwd и libpam-heimdal для аутентикации.

  спасибо, буду смотреть.

  в этом случае в ldap хеши паролей хранятся? (извиняюсь, пока не
  прочитал соответствующую документацию)

Нет.  В данном случае, LDAP используется без TLS (мое упущение);
хранить оные в незащищенной БД, IMO, неуместно.

SSO, к слову, вполне себе работает.  За исключением, пожалуй,
Web-почты…

  если да - nss_ldap какие права имеет? (может ли читать хэши?)

  другой вопрос - windows-компьютеры есть?  как происходит авторизация
  пользователей на них?

Строго говоря, есть, но они находятся не под моим управлением и
вне данного домена.  (Находятся в ведении другого отдела.)

В данном случае, пожалуй, имело бы смысл настроить Federated
identity management между доменами, но…

-- 
FSF associate member #7257  Coming soon: Software Freedom Day
http://mail.sf-day.org/lists/listinfo/ planning-ru (ru), sfd-discuss (en)


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/86k4a5scl0@gray.siamics.net

Re: альтернативы LDAP


On 08/22/11 19:14, Ivan Shmakov wrote:


Для паролей использую Kerberos.





SSO, к слову, вполне себе работает.  За исключением, пожалуй,
Web-почты…


а можно поподробнее?
то есть в openssh, почте, джаббере и т.п. работает SSO?
но для этого софт на компьютере (тот же почтовый клиент) должен знать 
про kerberos, разве не так?



--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4e527478.5050...@yandex.ru

Re: альтернативы LDAP

2011-08-22 Пенетрантность Ivan Shmakov

 Ed  sp...@yandex.ru writes:
 On 08/22/11 19:14, Ivan Shmakov wrote:

[…]

  SSO, к слову, вполне себе работает.  За исключением, пожалуй,
  Web-почты…

  а можно поподробнее?

  то есть в openssh, почте, джаббере и т. п. работает SSO?

  но для этого софт на компьютере (тот же почтовый клиент)

(Мое личное предпочтение — считать электронную почту
равноранговой сетью, поэтому — почтовый пользовательский агент,
MUA.)

  должен знать про kerberos, разве не так?

Конечно.

OpenSSH (ssh, sshd) — знают; настраивается подобно:

--cut: .ssh/config --
Host *
## разрешить использовать GSSAPI/Kerberos…
## … для аутентикации пользователя:
GSSAPIAuthentication yes
## … для аутентикации системы:
GSSAPIKeyExchange yes
--cut: .ssh/config --

--cut: /etc/ssh/sshd_config --
KerberosAuthentication yes
GSSAPIAuthentication yes
GSSAPIKeyExchange yes
--cut: /etc/ssh/sshd_config --

PuTTY, IIRC, также знает (не проверял), но не уверен
относительно версии.  (Возможно, development snapshot; спросить
в news:comp.security.ssh; на нее, IIRC, автор был подписан.)

Iceweasel (Firefox) — настройки не требует; со стороны Apache
сделано подобно:

--cut--
IfModule mod_auth_kerb.c
AuthType Kerberos
/IfModule
Require valid-user
--cut--

Разумеется, для HTTPS, поскольку в случае отсутствия
удостоверения Kerberos, сервер запросит имя и пароль.

Dovecot, Mutt, Thunderbird, etc. также поддерживают Kerberos
[1].  (Почти уверен, что Kerberos-аутентикация Mutt на
Dovecot-сервере у меня работала.  Впрочем, в основном я
использую IMAP over SSH, с аутентикацией открытым ключом.)

В отношении XMPP и HTTP proxy — пока не пробовал.

[1] http://wiki.dovecot.org/Authentication/Kerberos

-- 
FSF associate member #7257  Coming soon: Software Freedom Day
http://mail.sf-day.org/lists/listinfo/ planning-ru (ru), sfd-discuss (en)


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/86fwktsakt@gray.siamics.net

Re: альтернативы LDAP