Авторизация с использованием LDAP

0

1

Здравствуйте! Пытаюсь настроить авторизацию на Linux mint 17 через Active Directory 2003, делаю по статье Ссылка!!!

getent passwd не выводит доменных пользователей, но в логах появляется ошибка:

Nov 18 12:54:29 test sudo: pam_unix(sudo:session): session closed for user root
Nov 18 12:54:48 test nscd: nss_ldap: failed to bind to LDAP server ldap://dc.domen.loc: Invalid credentials
Nov 18 12:54:48 test nscd: nss_ldap: reconnecting to LDAP server...
Nov 18 12:54:48 test nscd: nss_ldap: failed to bind to LDAP server ldap://dc.domen.loc: Invalid credentials
Nov 18 12:54:48 test nscd: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)...
Nov 18 12:54:49 test nscd: nss_ldap: failed to bind to LDAP server ldap://dc.domen.loc: Invalid credentials
Nov 18 12:54:49 test nscd: nss_ldap: could not search LDAP server - Server is unavailable

Выполняю команду

ldapsearch -x -h dc -b "dc=domen,dc=loc" -D "cn=Administrator,dc=domen,dc=loc" -W "sAMAccountName=user1"

ответ

ldap_bind: Invalid credentials (49)
	additional info: Simple Bind Failed: NT_STATUS_LOGON_FAILURE

но если выполняю команду

ldapsearch -x -h dc -b "dc=domen,dc=loc" -D "Administrator@domen.loc" -W "sAMAccountName=user1"

то ответ

# extended LDIF
#
# LDAPv3
# base <dc=domen,dc=loc> with scope subtree
# filter: sAMAccountName=user1
# requesting: ALL
#
# search reference
ref: ldap://domen.loc/CN=Configuration,DC=domen,DC=loc
# search reference
ref: ldap://domen.loc/DC=DomainDnsZones,DC=domen,DC=loc
# search reference
ref: ldap://domen.loc/DC=ForestDnsZones,DC=domen,DC=loc
# search result
search: 2
result: 0 Success
# numResponses: 4
# numReferences: 3

Если в ldap.conf выстовляю binddn Administrator@domen.loc то в логах ничего нету

Ссылка

←	Скрипт/приложение/демон для удобной настройки policy routing / MultiWAN

UNISON не работает синхронизация

→

Но зачем..? У меня сабж авторизуется в АD (samba4). Всё сделал через samba

DALDON ★★★★★
(18.11.14 15:47:46 MSK)

Вы твёрдо убеждены в том, что объект с DN=«cn=Administrator,dc=domen,dc=loc» - в Вашем каталоге вообще есть?

Проверьте!

ldapsearch -xLLL -H ldap://dc -b 'dc=domen,dc=loc' -D 'Administrator@domen.loc' -W '(|(sAMAccountName=Administrator)(cn=Administrator))' sAMAccountName

Пользуйтесь двойными кавычками только если Вам нужна интерполяция содержимого, либо если строка уже содержит одинарные кавычки! В противном случае использование одинарных кавычек - это не только быстрее (shift целее будет), но и безопаснее.

Использование «троекратно усиленной» опции -L для ldapsearch позволяет Вам видеть только результат запроса (если он есть), подавляя вывод служебной информации.

DRVTiny ★★★★★
(18.11.14 16:27:52 MSK)
Последнее исправление: DRVTiny 18.11.14 16:28:18 MSK (всего исправлений: 1)

Указывай имя юзера для опции -D в виде DOMAIN\username

~~no-dashi~~ ★★★★★
(18.11.14 23:25:39 MSK)
Последнее исправление: no-dashi 18.11.14 23:26:55 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от DALDON 18.11.14 15:47:46 MSK

Авторизуетесь в AD через samba4 с использоваием winbind ??

blexen
(20.11.14 21:28:36 MSK) автор топика

Ответ на: комментарий от blexen 20.11.14 21:28:36 MSK

Да. Авторизуюсь через samba4 winbind, в аналоге AD на samba4.

DALDON ★★★★★
(20.11.14 21:59:59 MSK)
Последнее исправление: DALDON 20.11.14 22:00:28 MSK (всего исправлений: 1)

Ответ на: комментарий от DALDON 20.11.14 21:59:59 MSK

через winbind у меня работает, но мне нужен вариант через ldap пишут что через его лучше работает

blexen
(21.11.14 08:31:24 MSK) автор топика

sssd настрой, а nss-ldap удоли

dr-yay ★★
(21.11.14 08:40:05 MSK)

Ответ на: комментарий от DRVTiny 18.11.14 16:27:52 MSK

указывал полный путь ничего не изменилось

blexen
(21.11.14 10:40:52 MSK) автор топика

Ответ на: комментарий от dr-yay 21.11.14 08:40:05 MSK

Поставил sssd ошибка при запуске

service sssd start
start: Rejected send message, 1 matched rules; type="method_call", sender=":1.94" (uid=1000 pid=5844 comm="start sssd ") interface="com.ubuntu.Upstart0_6.Job" member="Start" error name="(unset)" requested_reply="0" destination="com.ubuntu.Upstart" (uid=0 pid=1 comm="/sbin/init")

blexen
(21.11.14 13:23:01 MSK) автор топика

Ответ на: комментарий от blexen 21.11.14 08:31:24 MSK

Это как-же через ldap будет лучше? Что тебе предоставит ldap..? Вход в систему? Не, ну если тебя такое устраивает то ок. А winbind можно запилить, чтоб билеты получало, сопровождало их, и ходить в шарах домена без пароля, получать корпоративные ресурсы через kerberos без пароля, в Интернет без пароля выходить.

DALDON ★★★★★
(21.11.14 13:33:17 MSK)

Ссылка

Ответ на: комментарий от blexen 21.11.14 08:31:24 MSK

через winbind у меня работает, но мне нужен вариант через ldap пишут что через его лучше работает

Я бы сказал: более предсказуемо, поскольку это всё равно что сравнивать federation access manager с кучей плагинов и просто базу данных в чистом виде. Понятно, что если данные запрашивать непосрещдственно из хранилища оных - это куда более прямолинейно и просто, нежели к тем же данным продираться через хитроумную логику какого-нибудь OpenAM'а. Тем не менее с точки зрения функциональности и гибкости конечно AM использовать логичнее.

winbind кстати тоже LDAP использует, что прекрасно видно из его логов при подробной отладке.

DRVTiny ★★★★★
(21.11.14 13:55:15 MSK)

Ссылка

Ответ на: комментарий от blexen 21.11.14 10:40:52 MSK

Так а ldapsearch что показывает?

DRVTiny ★★★★★
(21.11.14 13:57:01 MSK)

Ответ на: комментарий от DRVTiny 21.11.14 13:57:01 MSK

я сверху подробно описал вывод ldapsearch

blexen
(21.11.14 14:00:50 MSK) автор топика

Ответ на: комментарий от blexen 21.11.14 13:23:01 MSK

рутом стань штоли, uid=1000 какой-то

dr-yay ★★
(21.11.14 14:39:09 MSK)

Ссылка

Ответ на: комментарий от blexen 21.11.14 14:00:50 MSK

Да, но это слегка не тот ldapsearch, который я предлагал выполнить

DRVTiny ★★★★★
(21.11.14 15:16:09 MSK)

Ответ на: комментарий от DRVTiny 21.11.14 15:16:09 MSK

Вывод команды

ldapsearch -xLLL -H ldap://dc -b 'dc=domen,dc=loc' -D 'Administrator@domen.loc' -W '(|(sAMAccountName=Administrator)(cn=Administrator))' sAMAccountName

Enter LDAP Password: 
dn: CN=Administrator,OU=ADMINS,OU=USERS,OU=DOMEN,DC=domen,DC=loc
sAMAccountName: Administrator

# refldap://domen.loc/CN=Configuration,DC=domen,DC=loc

# refldap://domen.loc/DC=DomainDnsZones,DC=domen,DC=loc

# refldap://domen.loc/DC=ForestDnsZones,DC=domen,DC=loc

blexen
(21.11.14 16:00:31 MSK) автор топика

Ответ на: комментарий от DRVTiny 21.11.14 15:16:09 MSK

в /etc/ldap.conf я прописывал CN=Administrator,OU=ADMINS,OU=USERS,OU=DOMEN,DC=domen,DC=loc ничего не изменилось

blexen
(21.11.14 16:12:36 MSK) автор топика

Ссылка

Ответ на: комментарий от blexen 21.11.14 16:00:31 MSK

А что говорит

ldapwhoami -x -H ldap://dc -D 'CN=Administrator,OU=ADMINS,OU=USERS,OU=DOMEN,DC=domen,DC=loc' -W

И что собственно в ldap.conf'е написано?

DRVTiny ★★★★★
(21.11.14 16:19:52 MSK)

Ответ на: комментарий от DRVTiny 21.11.14 16:19:52 MSK

ldapwhoami -x -H ldap://dc -D 'CN=Administrator,OU=ADMINS,OU=USERS,OU=DOMEN,DC=domen,DC=loc' -W

ldap_parse_result: Protocol error (2)
	additional info: Extended Operation(1.3.6.1.4.1.4203.1.11.3) not supported
Result: Protocol error (2)
Additional info: Extended Operation(1.3.6.1.4.1.4203.1.11.3) not supported

blexen
(21.11.14 16:31:12 MSK) автор топика

Ответ на: комментарий от DRVTiny 21.11.14 16:19:52 MSK

В /etc/ldap.conf

host dc              
base dc=domen,dc=loc
binddn cn=Administrator,ou=ADMINS,ou=USERS,ou=DOMEN,dc=domen,dc=loc
bindpw pass
scope sub
nss_base_passwd         dc=domen,dc=loc?sub
nss_base_group          dc=domen,dc=loc?sub
nss_map_objectClass posixAccount User
nss_map_attribute uid msSFU30Name
nss_map_attribute uniqueMember msSFU30PosixMember
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_objectClass posixGroup Group
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute loginShell msSFU30LoginShell

blexen
(21.11.14 16:39:53 MSK) автор топика

Ответ на: комментарий от blexen 21.11.14 16:31:12 MSK

Тогда попробуйте

ldapsearch -xLLL -D 'CN=Administrator,OU=ADMINS,OU=USERS,OU=DOMEN,DC=domen,DC=loc' -W -b 'CN=Administrator,OU=ADMINS,OU=USERS,OU=DOMEN,DC=domen,DC=loc' -s base

Видно что-нибудь? :)

DRVTiny ★★★★★
(24.11.14 18:53:11 MSK)

Ответ на: комментарий от blexen 21.11.14 16:39:53 MSK

В ldap.conf:

1) binddn и bindpw работают только при обращении к базе NSS из-под обычного пользователя. Для root'а есть настройка rootdn и файл с паролем и chmod 600 на нём, обычно /etc/ldap.secret

2) Вы действительно установили сконфигурировали SFU или мне это кажется? По ссылке http://www.hackerdom.ru/team/articles/AuthLinuxInWindows - всё настроено?

DRVTiny ★★★★★
(24.11.14 18:59:23 MSK)

Ответ на: комментарий от DRVTiny 24.11.14 18:53:11 MSK

ldapsearch -xLLL -D 'CN=Administrator,OU=ADMINS,OU=USERS,OU=DOMEN,DC=domen,DC=loc' -W -b 'CN=Administrator,OU=ADMINS,OU=USERS,OU=DOMEN,DC=domen,DC=loc' -s base

ответ:

ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)

blexen
(28.11.14 16:08:54 MSK) автор топика

Ответ на: комментарий от DRVTiny 24.11.14 18:59:23 MSK

я все настраивал по статье http://wiki.val.bmstu.ru/doku.php?id=%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F_%D1%81_%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5%D0%BC_ldap_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%D0%B0

blexen
(28.11.14 16:12:01 MSK) автор топика

Ответ на: комментарий от blexen 28.11.14 16:12:01 MSK

Хорошая статья, годная :)

Я у него на курсах в «Специалисте» учился (Asterisk).

DRVTiny ★★★★★
(28.11.14 18:43:44 MSK)

Ссылка

Ответ на: комментарий от blexen 28.11.14 16:08:54 MSK

Я пропустил опцию -H $LDAPURI :) blexen, настоятельно рекомендую изучить инструмент. Мало ли, вдруг мои команды удаляют данные с жёсткого диска или создают чёрную дыру в соседней галактике?

DRVTiny ★★★★★
(28.11.14 18:45:32 MSK)