LINUX.ORG.RU
ФорумAdmin

проблемы с ldap


0

0

я сделал следуйшее:
дебиан, установил ldap-server libpam-ldap libnss
конфиг у слапд такой
include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema
include         /etc/ldap/schema/openldap.schema
include         /etc/ldap/schema/misc.schema

schemacheck     on

pidfile         /var/run/slapd/slapd.pid

argsfile        /var/run/slapd.args

loglevel        0

modulepath      /usr/lib/ldap
moduleload      back_bdb

backend         bdb
checkpoint 512 30

database        bdb

suffix          "dc=localhost"

directory       "/var/lib/ldap"

index           objectClass eq
-EOF-

файл /etc/ldap.conf
host 127.0.0.1
base dc=localhost
rootbinddn cn=admin,dc=localhost
port 389
scope sub
pam_filter objectclass=posixAccount
pam_login_attribute uid
nss_base_passwd dc=localhost?sub?objectClass=posixAccount
nss_base_shadow dc=localhost?sub?objectClass=posixAccount
nss_base_group  dc=localhost?sub?objectClass=posixGroup
ssl no
-EOF-

файл  /etc/nsswitch.conf
passwd: files ldap 
shadow: files ldap 
group:  files ldap
-EOF-

файд /etc/pam.d/login
auth     required   /lib/security/pam_securetty.so
auth     required   /lib/security/pam_nologin.so
auth     sufficient /lib/security/pam_ldap.so
auth     required   /lib/security/pam_unix_auth.so use_first_pass
account  sufficient /lib/security/pam_ldap.so
account  required   /lib/security/pam_unix_acct.so
password required   /lib/security/pam_cracklib.so
password sufficient /lib/security/pam_ldap.so
password required   /lib/security/pam_unix_passwd.so use_first_pass md5 shadow
session  required   /lib/security/pam_unix_session.so
-EOF-
в лдап засовываю 
dn: cn=pupkingroup,dc=localhost
objectClass: posixGroup
cn: pupkingroup
gidNumber: 6000
description: Primary group of Pupkin-COM-RU domain
memberUid: vasya
-EOF-
dn: cn=vasya,dc=localhost
objectClass: nisMailAlias
objectClass: posixAccount
cn: vasya
uid: vasya
uidNumber: 6000
gidNumber: 6000
gecos: Vasiliy Pupkin
loginShell: /bin/bash
homeDirectory: /home/vasya
-EOF-
ну и соотвецтвено высталяю пароль не юзера вася, после чего вытаюсь залогинется в систму под васей, в логах вижу:
May  6 20:06:03 home1 login[7999]: pam_ldap: error trying to bind (Invalid credentials)
где грабли?
anonymous

rootbinddn cn=admin,dc=localhost

проверяй, что вручную можешь подконектится, пароля нет чтоль? если нет - то ставь.

anonymous
()

А что у тебя в /etc/ldap.conf и в /etc/openldap/ldap.conf надо ещё nss_ldap и pam_ldap настроить

AnyKey
()
Ответ на: комментарий от anonymous

пароль в файле /etc/ldap.secret, или это еше как то в конфиге указывать? пробывал еше bindpw но даное выражение не к чему не привело.

>rootbinddn cn=admin,dc=localhost 

>проверяй, что вручную можешь подконектится, пароля нет чтоль? если нет - то ставь.


/etc/ldap.conf симлинк на /etc/ldap/ldap.conf, и я описал чего там, pam_ldap - изменил файл /etc/pam.d/login и /etc/nsswitch.conf что также описал. или еше что то нужно ?
>А что у тебя в /etc/ldap.conf и в /etc/openldap/ldap.conf надо ещё nss_ldap и pam_ldap настроить

anonymous
()
Ответ на: комментарий от anonymous

1. Все запросы для libnss_ldap и lib_pam_ldap делаются обычно от пользователя proxy 2. Создай запись для пользователя proxy, задай ей пароль, и проверь ldap client'ом, что такого пользователя, с таким паролем успешно пускают для авторизации 3. Внеси нормальные записи в libnss.conf и ldap.conf в /etc/, внимательно смотри примеры, которые идут внутри пакетов libnss_ldap и libpamldap, там ВСЕ написано.

Какие [пип] симлинки? описание фильтров он что, с дефолтового ldap.conf от openldap будет брать?

zgen ★★★★★
()
Ответ на: комментарий от anonymous

1. Все запросы для libnss_ldap и lib_pam_ldap делаются обычно от пользователя proxy

2. Создай запись для пользователя proxy, задай ей пароль, и проверь ldap client'ом, что такого пользователя, с таким паролем успешно пускают для авторизации

3. Внеси нормальные записи в libnss.conf и ldap.conf в /etc/, внимательно смотри примеры, которые идут внутри пакетов libnss_ldap и libpamldap, там ВСЕ написано.

Какие [пип] симлинки? описание фильтров он что, с дефолтового ldap.conf от openldap будет брать?

zgen ★★★★★
()

твой конфиг:

>database bdb
>suffix "dc=localhost"

мой:

>database bdb
>suffix "dc=1sm,dc=ru"
>rootdn "cn=root,dc=1sm,dc=ru"
>rootpw {SMD5}asdasdasdasdasdasd=

дундук!

где у тебя в slapd.conf rootdn и rootpw?

в общем, учи матчасть.

З.Ы. а вообще можно было у но-дачи конфиг стырить, он там вполне рабочий.

gr_buza ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.