Re: LDAP Authentifizierung unter woody
Am Wed, 2 Apr 2003 08:42:38 +0200 hat Michael Bramer [EMAIL PROTECTED] geschrieben: Zum Anlegen von Benutzern vor allem beim Einsatz von Samba gefallen mir die Perl-Scripte (smbldap-tools) von idealx sehr gut (sind bei Samba 2.2.5 bis 2.2.8 dabei, sonst: http://samba.idealx.org ). smbldap-* sind wirklich gut. Auch wenn einige wenige Sachen fehlen. Man sollte davon mal ein Paket machen.. ich hab ein Paket dazu gefunden ## Samba-JP local packages deb ftp://ftp.samba.gr.jp/pub/samba-jp/debian/woody ./ deb-src ftp://ftp.samba.gr.jp/pub/samba-jp/debian/woody ./ Ralph -- Using M2, Opera's revolutionary e-mail client: http://www.opera.com/m2/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Authentifizierung unter woody
Am Fri, 21 Mar 2003 08:56:29 +0100 hat Uwe Laverenz [EMAIL PROTECTED] ammerland.de geschrieben: Gerade das ssh-Beispiel ist ja überall erklärt. Kann denn nicht mal jemand mit einem umgestellten Setup unter woody ein tar -czf pam.tar.gz /etc/pam.d/ eingeben und mir das mal schicken? Ja, is ja gut, ich mach das gleich. :-) Gruß, Uwe Hallo Uwe!!! Ich bin grade neu ins Thema eingestiegen und hab noch so meine Probleme. Kannst Du mir die Datein auch mal zuschicken??? Besten Dank!!! Ralph -- Using M2, Opera's revolutionary e-mail client: http://www.opera.com/m2/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Authentifizierung unter woody
Hi! On Thu, Mar 20, 2003 at 05:29:03PM +0100, Hendrik Naumann wrote: Ich habe Kommentare ber solche Sachen in den im pam.d Verzeichnis gefunden. Der directory-manager (gnomefrontend fr ldap) sieht das auch in seiner Maske vor. Interessant ist dann natrlich auch noch, was die jeweiligen Loginfrontends draus machen. Klar. Das ist natrlich das Problem. Andere Frage, ldap speichert ja Unix- und Samba-Pawrter in unterschiedliche Felder. Hier in der Firma haben wir bis jetzt ohne ldap gearbeitet und mit Hilfe von pam_smb auch die Unix-Pawrter ber Samba abgewickelt, damit nicht jeder verschiedene Pawrter hat. Falls man mit ldap die beiden Pawortfelder nicht automatisch vereinheitlichen kann, mte man dies beibehalten. Der Linux-Rechner wrde als weiterhin mittels pam_smb den Samba-Server fragen, der dann mittels ldap das Pawort kontrolliert. Gleichzeitig mssen aber Gruppen-Informationen (in welcher Unix-Gruppe ist der User, z.B. cdrom, sound, blafasel) direkt via ldap geholt werden. Ist das so korrekt? Shade and sweet water! Stephan -- | Stephan Seitz E-Mail: [EMAIL PROTECTED] | | WWW: http://fsing.fs.uni-sb.de/~stse/| | PGP Public Keys: http://fsing.fs.uni-sb.de/~stse/pgp.html | pgp0.pgp Description: PGP signature
Re: LDAP Authentifizierung unter woody
On Thu, Mar 20, 2003 at 02:36:03PM +0100, Hendrik Naumann wrote: Dunno, ich verbinde das mit dem Umzug auf neue Maschinen und traue solchen Tools eh nicht. ;-) Naja aber schon bei einem frisch installierten System, gibt es vorkonfigurierte user. und? Ich lasse die System-User in der /etc/passwd. Setz nur die normalen Benutzer in den LDAP Baum. Zum Anlegen von Benutzern vor allem beim Einsatz von Samba gefallen mir die Perl-Scripte (smbldap-tools) von idealx sehr gut (sind bei Samba 2.2.5 bis 2.2.8 dabei, sonst: http://samba.idealx.org ). Ja das How-To ist endlich mal was Ausführlicheres. Und gerade die Einbeziehung von Samba macht mir Hoffnung. smbldap-* sind wirklich gut. Auch wenn einige wenige Sachen fehlen. Man sollte davon mal ein Paket machen.. Gruss Grisu -- Michael Bramer - a Debian Linux Developer http://www.debsupport.de PGP: finger [EMAIL PROTECTED] -- Linux Sysadmin -- Use Debian Linux Montag ist eine furchtbare Art, ein Siebtel seines Lebens zu verbringen. --- Gerd Schmerse in detebe pgp0.pgp Description: PGP signature
Re: LDAP Authentifizierung unter woody
Uwe Laverenz [EMAIL PROTECTED] writes: Hi, Robert Rakowicz wrote: Ich weiß nicht wozu die letzten 4 Zeilen bei Dir gut sein sollen Das ist einfach zu erklären: scope sub heisst, daß im gesamten Verzeichnis gesucht werden soll, nicht nur in der aktuellen (base) oder der nächsten (one) Ebene. wird so wieso gemacht (außer man schränkt es ein) rootbinddn cn=admin,dc=molkerei-ammerland,dc=de Die Zeile ist auch überflüssig. Was ist, wenn schreibender Zugriff benötigt wird, z.B. beim Ändern von Passwörtern? Ja und Nein. wenn User sein Password ändern will geht es ohne diesen Eintrag. Was nicht geht ist folgende Szenario. User hat sein Password vergessen, ruft den Admin an und der als root will passwd userid machen. Ohne diese Zeile und /etc/ldap.secret ist es notwendig das alte Password einzugeben (was man aber nicht kennt) oder man muss es im LDAP direkt ändern Ich glaube, wir reden aneinander vorbei: bei mir funktioniert alles wie es soll. Ich bestreite aber, daß es ohne Anpassungen in pam.d.gehen kann. Oder anders: ich bestreite, daß sich ein User, der ausschließlich im LDAP angelegt ist, per login, ssh, gdm oder sonstwie an einer Machine anmelden kann, ohne daß das in den Pam-Files konfiguriert wurde. Nö, ich habe schon verstanden das es bei Dir geht nur in meinen Augen viel zu Umständlich. Ich will das alle Dienste gegen LDAP Authentifizierung machen, also sagen ich es entweder mühsam jedem einzelnem oder alles auf ein Schlag. In dem Fall nsswitch libpam-ldap /etc/pam.d/passwd. P.S Ich ziehe bald um aber wenn Du Kiste Bier mitbringen willst bin gerne bereit es vorzuführen :)) Pozdrawiam/Gruß/Regards Robert Rakowicz -- Robert Rakowicz E-Mail: [EMAIL PROTECTED] URL:www.rjap.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Authentifizierung unter woody
Am Mon, 2003-03-24 um 10.50 schrieb Uwe Laverenz: Robert Rakowicz wrote: ja fangen wird dann gleich an. Hast Du die Pakete Installiert die ich gepostet habe? Wie sehen die Dateien aus: Ja, sind natürlich installiert und die Dateien sehen wie folgt aus (Kommentare entfernt): | /etc/libnss-ldap.conf host 127.0.0.1 base dc=molkerei-ammerland,dc=de ldap_version 3 scope sub nss_base_passwd dc=molkerei-ammerland,dc=de?sub nss_base_shadow dc=molkerei-ammerland,dc=de?sub nss_base_group dc=molkerei-ammerland,dc=de?sub | /etc/nsswitch.conf passwd: compat ldap group: compat ldap shadow: compat ldap | /etc/pam_ldap.conf host 127.0.0.1 base dc=molkerei-ammerland,dc=de ldap_version 3 rootbinddn cn=admin,dc=molkerei-ammerland,dc=de pam_password crypt | /etc/pam.d/passwd password sufficient pam_ldap.so password required pam_unix.so nullok obscure min=4 max=8 md5 Bitte sage mir, ob bei Dir z.B. das Anmelden via ssh ohne Anpassung der /etc/pam.d/ssh funktioniert, denn das ist ja der Punkt, wo es Unklarheiten gibt. Hier geht es nicht, und das ist nach meinem Verständnis auch richtig so. Gruß, Uwe Wirf mal einen Blick in /usr/share/doc/libpam-ldap/examples. Dort findest Du einige angepasste PAM-Konfigurationen, denn Du musst jede PAM-Konfiguration anpassen. Sebastian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Authentifizierung unter woody
Sebastian Heinlein wrote: Wirf mal einen Blick in /usr/share/doc/libpam-ldap/examples. Dort findest Du einige angepasste PAM-Konfigurationen, denn Du musst jede PAM-Konfiguration anpassen. Danke für den Hinweis Sebastian, aber hier geht es im Moment darum, daß Robert im Ggs. zu uns der Meinung ist, man müsse eben keine Änderungen in /etc/pam.d/* vornehmen. Und genau das kann ich nicht nachvollziehen, daher danke für die Bestätigung. cu, Uwe -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Authentifizierung unter woody
Uwe Laverenz [EMAIL PROTECTED] writes: Hallo Uwe, Robert Rakowicz wrote: ja fangen wird dann gleich an. Hast Du die Pakete Installiert die ich gepostet habe? Wie sehen die Dateien aus: Ja, sind natürlich installiert und die Dateien sehen wie folgt aus (Kommentare entfernt): | /etc/libnss-ldap.conf host 127.0.0.1 base dc=molkerei-ammerland,dc=de ldap_version 3 scope sub nss_base_passwd dc=molkerei-ammerland,dc=de?sub nss_base_shadow dc=molkerei-ammerland,dc=de?sub nss_base_group dc=molkerei-ammerland,dc=de?sub ,[ /etc/libnss-ldap.conf ] | host a7ud0101.rjap.de | base o=rjap, c=de | ldap_version 3 ` Ich weiß nicht wozu die letzten 4 Zeilen bei Dir gut sein sollen | /etc/nsswitch.conf passwd: compat ldap group: compat ldap shadow: compat ldap Nicht gut - s/compat/files | /etc/pam_ldap.conf host 127.0.0.1 base dc=molkerei-ammerland,dc=de ldap_version 3 pam_password crypt rootbinddn cn=admin,dc=molkerei-ammerland,dc=de Die Zeile ist auch überflüssig. | /etc/pam.d/passwd password sufficient pam_ldap.so password required pam_unix.so nullok obscure min=4 max=8 md5 Ja ist O.K Bitte sage mir, ob bei Dir z.B. das Anmelden via ssh ohne Anpassung der /etc/pam.d/ssh funktioniert, denn das ist ja der Punkt, wo es Unklarheiten gibt. Hier geht es nicht, und das ist nach meinem Verständnis auch richtig so. Ich dachte, ich habe klar gesagt das es nicht notwendig ist und das ich es nicht gemacht habe. So spontan Außer nsswitch und den compat Einträgen sehe ich nichts. Vielleicht noch die slapd.conf und ldap.conf Pozdrawiam/Gruß/Regards Robert Rakowicz -- Robert Rakowicz E-Mail: [EMAIL PROTECTED] URL:www.rjap.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Authentifizierung unter woody
Robert Rakowicz wrote: Ich weiß nicht wozu die letzten 4 Zeilen bei Dir gut sein sollen Das ist einfach zu erklären: scope sub heisst, daß im gesamten Verzeichnis gesucht werden soll, nicht nur in der aktuellen (base) oder der nächsten (one) Ebene. Da sich in meinem Verzeichnisdienst User in ou=Users,... und Rechner in ou=Computers,... befinden, sage ich dem nss, daß ebenfalls im ganzen Verzeichnis gesucht werden soll. Ohne nss_base_passwd ...?sub ist z.B. Samba nicht in der Lage, den Eintrag für eine Maschine in ou=Computers,... zu finden. Nicht gut - s/compat/files Ok, aber das ist kaum ein Unterschied. rootbinddn cn=admin,dc=molkerei-ammerland,dc=de Die Zeile ist auch überflüssig. Was ist, wenn schreibender Zugriff benötigt wird, z.B. beim Ändern von Passwörtern? Ich dachte, ich habe klar gesagt das es nicht notwendig ist und das ich Ja, aber wie kann es dann bei Dir funktionieren? Ich habe mich an die Doku gehalten und es funktioniert. Dann sagst Du, daß Anpassungen in pam.d überflüssig seien und es auch so funktionieren würde. Das tut es aber nicht. es nicht gemacht habe. So spontan Außer nsswitch und den compat Einträgen sehe ich nichts. Vielleicht noch die slapd.conf und ldap.conf Ich glaube, wir reden aneinander vorbei: bei mir funktioniert alles wie es soll. Ich bestreite aber, daß es ohne Anpassungen in pam.d.gehen kann. Oder anders: ich bestreite, daß sich ein User, der ausschließlich im LDAP angelegt ist, per login, ssh, gdm oder sonstwie an einer Machine anmelden kann, ohne daß das in den Pam-Files konfiguriert wurde. cu, Uwe -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Authentifizierung unter woody
Robert Rakowicz wrote: wie kommst Du zu dieser Aussage? Ich habe hier einige Rechner und in der Fa. sind es inzwischen etwas mehr als *nur* einige und ich habe dazu Naja, weil das IMHO die richtige Vorgehensweise ist. :-) Das findet man in jeder Doku zum Thema und als Probe aufs Exempel kann man ja mal die LDAP-Zeilen aus /etc/pam.d/ssh entfernen. Bei mir zumindest führt das dazu: [EMAIL PROTECTED] ssh -l laverenz waldorf [EMAIL PROTECTED]'s password: Permission denied, please try again. Wobei laverenz als User natürlich ausschließlich im LDAP existiert (sambaAccount, posixAccount). Wenn das bei Dir ohne jegliche Änderungen in /etc/pam.d/* funktioniert, wüßte ich allerdings schon gerne den Grund. Das Gleiche gilt natürlich für alle anderen Dienste, also z.B. login, gdm, xdm usw... Wenn ich da auf dem Holzweg bin, wäre ich für Erleuchtung dankbar. Gruß, Uwe -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Authentifizierung unter woody
Hendrik Naumann wrote: Gerade das ssh-Beispiel ist ja überall erklärt. Kann denn nicht mal jemand mit einem umgestellten Setup unter woody ein tar -czf pam.tar.gz /etc/pam.d/ eingeben und mir das mal schicken? Ja, is ja gut, ich mach das gleich. :-) Naja aber schon bei einem frisch installierten System, gibt es vorkonfigurierte user. Ja, aber die haben nach meinem Verständnis nichts im LDAP zu suchen. Schon zu NIS-zeiten war es gängige Praxis, lokale System-User auch lokal zu belassen, also in der herkömmlichen passwd. Diese Accounts können sich ja je nach System oder sogar Release unterscheiden. Ja das How-To ist endlich mal was Ausführlicheres. Und gerade die Einbeziehung von Samba macht mir Hoffnung. Hier findest Du noch mehr Links zu weiteren Infos: http://wiki.debian.net/LdapAuthentication Ich hoffe ausserdem, dass Gerald Carters Buch, das im nächsten Monat bei OReilly erscheinen soll, die ganze LDAP-Geschichte mal gut und übersichtlich für Admins darstellt. Gruß, Uwe -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Authentifizierung unter woody
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hi Am Donnerstag, 20. März 2003 20:41 schrieb Robert Rakowicz: Uwe Laverenz [EMAIL PROTECTED] writes: Du brauchst für jeden Dienst, der via LDAP authentifizieren soll, eine zusätzliche Zeile ... sufficient pam_ldap.so, hier z.B. die /etc/pam.d/ssh: wie kommst Du zu dieser Aussage? Ich habe hier einige Rechner und in der Fa. sind es inzwischen etwas mehr als *nur* einige und ich habe dazu absolut nichts gemacht. Es wäre auch Schwach wenn man das machen musste. Ja, dann sag doch mal an was Du da in der Firma gemacht hast. Vielleicht meinst Du ja RedHat, bei der man tatsächlich nur eine Datei umstsellen muß, damit pam an ldap anzuschließen. Es gibt da laut howto, sogar ein tool (authconfig) was das alles erledigt. Hendrik - -- PGP ID 65C92061 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE+ewyWIfCsAmXJIGERAmK0AJ44k8vIKrl9YGApJ9GjBAYMwl0xZwCfZOqY jckjbqImOquHInhW+vQYmEM= =FNAT -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Authentifizierung unter woody
Uwe Laverenz [EMAIL PROTECTED] writes: Hallo, Wenn ich da auf dem Holzweg bin, wäre ich für Erleuchtung dankbar. ja fangen wird dann gleich an. Hast Du die Pakete Installiert die ich gepostet habe? Wie sehen die Dateien aus: ,[ LDAP ] | /etc/libnss-ldap.conf | /etc/nsswitch.conf | /etc/pam_ldap.conf | /etc/pam.d/passwd ` Pozdrawiam/Gruß/Regards Robert Rakowicz -- Robert Rakowicz E-Mail: [EMAIL PROTECTED] URL:www.rjap.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Authentifizierung unter woody
Hendrik Naumann [EMAIL PROTECTED] writes: Hi, Ja, dann sag doch mal an was Du da in der Firma gemacht hast. Vielleicht meinst Du ja RedHat, bei der man tatsächlich nur eine Datei umstsellen muß, damit pam an ldap anzuschließen. Es gibt da laut howto, sogar ein tool (authconfig) was das alles erledigt. welche Pakete ich auf der Client Seite Installiert habe, hatte ich schon gepostet. Dann /etc/nsswitch.conf /etc/ldap/ldap.conf /etc/libnss-ldap.conf /etc/pam_ldap.conf angepasst (Server Name usw.). Anschließend die /etc/pam.d/passwd um diese Zeile erweitert: ,[ /etc/pam.d/passwd ] | password sufficient pam_ldap.so ` Ich meine sowohl Debian / SuSE und Redhat denn ich habe alle im Einsatz. Noch ein mal es wäre wirklich unbrauchbarer Zeug wenn es anders wäre. Selbst bei NIS wird so etwas nicht gemacht. Ach - jetzt melden sich die Windows User auch *nur* am LDAP ;) Pozdrawiam/Gruß/Regards Robert Rakowicz -- Robert Rakowicz E-Mail: [EMAIL PROTECTED] URL:www.rjap.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
LDAP Authentifizierung unter woody
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hallo Liste Ich möchte ein Netzwerk einrichten, in dem alle Informationen über Hardware und User in einem ldap-Baum verwaltet werden. Es wird Debian und WinXP Desktops geben. Für die Konfiguration des Fileservers (mit Samba und NFS) hab ich schon einige Howto's und Artikel (iX, Linuxmagazin) zusammengetragen, aber mir fehlen noch ein paar recht debianspezifische Sachen. 1. Hat denn jemand von Euch angepasste /etc/pam.d/* Dateien? 2. Wie kann man denn am bequemsten die ganzen User etc. aus dem Unix passwd und group-Dateien in den LDAP-Baum bekommen. Die Migrationtools funken jedenfalls nicht out-of-the Box. 3. Gibt es schon einen auf Debian ausgerichteten Ersatz für tools wie adduser, usermod/add/del groupmod/add/del. Ich habe dazu cpu http://cpu.sourceforge.net/ gefunden. Aber man muss da noch ganz schon basteln. Ich könnte auch selbstgeschriebenen Skripts für die Erstellung der User verwenden, aber ich vermute, das das System (bei der Installation von Paketen) diese Tools verwendet. Also muss es einen Ersatz geben. Danke Hendrik - -- PGP ID 65C92061 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE+eaCZIfCsAmXJIGERAuQVAJ90GVFc4vocLLjPdUruzbPPp4ruegCeNfM6 h38zlKuealqSQzdWRuiuKso= =lIk/ -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Authentifizierung unter woody
Hi Hendrik, 1. Hat denn jemand von Euch angepasste /etc/pam.d/* Dateien? Leider ist das bei Debian etwas ähh.. unstrukturiert. Bei RedHat ändert man z.B. nur eine Datei, bei Debian muss man sie für alle benötigten Dienste anfassen. In den letzten Weekly-News ist das Thema mal aufgetaucht, so daß da irgendwann vielleicht mal aufgeräumt wird. Du brauchst für jeden Dienst, der via LDAP authentifizieren soll, eine zusätzliche Zeile ... sufficient pam_ldap.so, hier z.B. die /etc/pam.d/ssh: auth required pam_nologin.so auth sufficient pam_ldap.so auth required pam_unix.so auth required pam_env.so accountsufficient pam_ldap.so accountrequired pam_unix.so sessionsufficient pam_ldap.so sessionrequired pam_unix.so sessionoptional pam_lastlog.so sessionoptional pam_motd.so sessionoptional pam_mail.so standard noenv sessionrequired pam_limits.so password sufficient pam_ldap.so password required pam_unix.so 2. Wie kann man denn am bequemsten die ganzen User etc. aus dem Unix passwd und group-Dateien in den LDAP-Baum bekommen. Die Migrationtools funken jedenfalls nicht out-of-the Box. Dunno, ich verbinde das mit dem Umzug auf neue Maschinen und traue solchen Tools eh nicht. ;-) Zum Anlegen von Benutzern vor allem beim Einsatz von Samba gefallen mir die Perl-Scripte (smbldap-tools) von idealx sehr gut (sind bei Samba 2.2.5 bis 2.2.8 dabei, sonst: http://samba.idealx.org ). Wenn Du etwas Perl beherrschst, kannst Du Dir daraus bestimmt ein eigenes Tool basten, dass die Migration übernimmt. 3. Gibt es schon einen auf Debian ausgerichteten Ersatz für tools wie adduser, usermod/add/del groupmod/add/del. Ich habe dazu cpu Ja, die Tools von idealx (s.o.) können das. cu, Uwe -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Authentifizierung unter woody
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hallo Uwe 1. Hat denn jemand von Euch angepasste /etc/pam.d/* Dateien? Leider ist das bei Debian etwas ähh.. unstrukturiert. Bei RedHat ändert man z.B. nur eine Datei, bei Debian muss man sie für alle benötigten Dienste anfassen. In den letzten Weekly-News ist das Thema mal aufgetaucht, so daß da irgendwann vielleicht mal aufgeräumt wird. Du brauchst für jeden Dienst, der via LDAP authentifizieren soll, eine zusätzliche Zeile ... sufficient pam_ldap.so, hier z.B. die /etc/pam.d/ssh: auth required pam_nologin.so auth sufficient pam_ldap.so auth required pam_unix.so auth required pam_env.so accountsufficient pam_ldap.so accountrequired pam_unix.so sessionsufficient pam_ldap.so sessionrequired pam_unix.so sessionoptional pam_lastlog.so sessionoptional pam_motd.so sessionoptional pam_mail.so standard noenv sessionrequired pam_limits.so password sufficient pam_ldap.so password required pam_unix.so Gerade das ssh-Beispiel ist ja überall erklärt. Kann denn nicht mal jemand mit einem umgestellten Setup unter woody ein tar -czf pam.tar.gz /etc/pam.d/ eingeben und mir das mal schicken? Dunno, ich verbinde das mit dem Umzug auf neue Maschinen und traue solchen Tools eh nicht. ;-) Naja aber schon bei einem frisch installierten System, gibt es vorkonfigurierte user. Zum Anlegen von Benutzern vor allem beim Einsatz von Samba gefallen mir die Perl-Scripte (smbldap-tools) von idealx sehr gut (sind bei Samba 2.2.5 bis 2.2.8 dabei, sonst: http://samba.idealx.org ). Ja das How-To ist endlich mal was Ausführlicheres. Und gerade die Einbeziehung von Samba macht mir Hoffnung. Danke Hendrik - -- PGP ID 65C92061 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE+ecPDIfCsAmXJIGERAq5lAJwP2OF78+wTsxwM9DJKk6JzL1mu2ACeML52 8zxxz70UTN4XhukNWi58vUI= =DckC -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Authentifizierung unter woody
Hi! On Thu, Mar 20, 2003 at 12:05:55PM +0100, Hendrik Naumann wrote: 2. Wie kann man denn am bequemsten die ganzen User etc. aus dem Unix passwd und group-Dateien in den LDAP-Baum bekommen. Die Kann ich denn die group-Dateien berhaupt ber LDAP pflegen? Das letzte Mal, als ich nachgesehen habe, gab es Schemes fr passwd (also Name, Login, Shell, Gecos, Homeverzeichnis), aber keine fr die group. Shade and sweet water! Stephan -- | Stephan Seitz E-Mail: [EMAIL PROTECTED] | | WWW: http://fsing.fs.uni-sb.de/~stse/| | PGP Public Keys: http://fsing.fs.uni-sb.de/~stse/pgp.html | pgp0.pgp Description: PGP signature
Re: LDAP Authentifizierung unter woody
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hallo Stephan On Thu, Mar 20, 2003 at 12:05:55PM +0100, Hendrik Naumann wrote: 2. Wie kann man denn am bequemsten die ganzen User etc. aus dem Unix passwd und group-Dateien in den LDAP-Baum bekommen. Die Kann ich denn die group-Dateien berhaupt ber LDAP pflegen? Das letzte Mal, als ich nachgesehen habe, gab es Schemes fr passwd (also Name, Login, Shell, Gecos, Homeverzeichnis), aber keine fr die group. Ich denke ja. Die Migrationtools (die es auch in woody gibt) migrieren sogar, die services und viele andere Sachen. ber den nsswitch lssts sich das dann einbinden. An dieser Stelle bin ich allerdings noch nicht. Hendrik - -- PGP ID 65C92061 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE+ec46IfCsAmXJIGERAkW6AKCClusBwDmeLQaoy0prvHUVKnAS+wCfU8qu +CDAwYclVtssDud1z6/okrQ= =CXUJ -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Authentifizierung unter woody
Hi! On Thu, Mar 20, 2003 at 03:20:42PM +0100, Hendrik Naumann wrote: Ich denke ja. Die Migrationtools (die es auch in woody gibt) migrieren sogar, die services und viele andere Sachen. Über den nsswitch lässts sich das dann einbinden. An dieser Stelle bin ich allerdings noch nicht. Hm, scheint zu stimmen. Zumindest habe ich mir mal die IDEALX-FAQ durchgelesen, und da steht so etwas drin. Jetzt würde mich nur mal interessieren, wie das mit dem Paßwortändern aussieht. Ich würde die Benutzer ja gerne zwingen, sich jedes halbe Jahr ein neues Paßwort auszudenken. Die Frage ist, wie sauber können die Benutzer ihr Paßwort rechtzeitig bzw. zum Expire-Zeitpunkt ändern. Und kann man die cracklib zum Kontrollieren der Paßwortstärke benutzen? Shade and sweet water! Stephan -- | Stephan Seitz E-Mail: [EMAIL PROTECTED] | | WWW: http://fsing.fs.uni-sb.de/~stse/| | PGP Public Keys: http://fsing.fs.uni-sb.de/~stse/pgp.html | pgp0.pgp Description: PGP signature
Re: LDAP Authentifizierung unter woody
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hallo On Thu, Mar 20, 2003 at 03:20:42PM +0100, Hendrik Naumann wrote: Ich denke ja. Die Migrationtools (die es auch in woody gibt) migrieren sogar, die services und viele andere Sachen. Über den nsswitch lässts sich das dann einbinden. An dieser Stelle bin ich allerdings noch nicht. Hm, scheint zu stimmen. Zumindest habe ich mir mal die IDEALX-FAQ durchgelesen, und da steht so etwas drin. Jetzt würde mich nur mal interessieren, wie das mit dem Paßwortändern aussieht. Ich würde die Benutzer ja gerne zwingen, sich jedes halbe Jahr ein neues Paßwort auszudenken. Die Frage ist, wie sauber können die Benutzer ihr Paßwort rechtzeitig bzw. zum Expire-Zeitpunkt ändern. Und kann man die cracklib zum Kontrollieren der Paßwortstärke benutzen? Ich habe Kommentare über solche Sachen in den im pam.d Verzeichnis gefunden. Der directory-manager (gnomefrontend für ldap) sieht das auch in seiner Maske vor. Interessant ist dann natürlich auch noch, was die jeweiligen Loginfrontends draus machen. Hendrik - -- PGP ID 65C92061 -BEGIN PGP SIGNATURE- Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org iD8DBQE+eexPIfCsAmXJIGERAluCAJsGfbGJHuc0e6sOj34vt1yc8au7lgCfUOHp yaxuZIhYBXI92XZYhYo91dA= =5GZa -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP Authentifizierung unter woody
Uwe Laverenz [EMAIL PROTECTED] writes: Hi, Du brauchst für jeden Dienst, der via LDAP authentifizieren soll, eine zusätzliche Zeile ... sufficient pam_ldap.so, hier z.B. die /etc/pam.d/ssh: wie kommst Du zu dieser Aussage? Ich habe hier einige Rechner und in der Fa. sind es inzwischen etwas mehr als *nur* einige und ich habe dazu absolut nichts gemacht. Es wäre auch Schwach wenn man das machen musste. , | ii ldap-utils 2.1.12-1 OpenLDAP utilities | ii libldap2 2.1.12-1 OpenLDAP libraries | ii libnss-ldap186-1 NSS module for using LDAP as a naming servic | ii libpam-ldap140-1 Pluggable Authentication Module allowing LDA ` Pozdrawiam/Gruß/Regards Robert Rakowicz -- Robert Rakowicz E-Mail: [EMAIL PROTECTED] URL:www.rjap.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
