nixp.ru v3.0

23 октября 2017,
понедельник,
14:40:07 MSK

DevOps с компанией «Флант»
neogeisha написала 9 ноября 2007 года в 20:50 (487 просмотров) Ведет себя как женщина; открыла 53 темы в форуме, оставила 266 комментариев на сайте.

apt-get install slapd ldap-utils libnss-ldap ldapscripts samba smbclient smbfs samba-doc ldapdiff smbldap-tools

######################################################################

### slapd

cp /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz /etc/ldap/schema/samba.schema.gz

gunzip /etc/ldap/schema/samba.schema.gz

Создаем корневой объект каталога:

echo -e "dn: dc=xxx,dc=ru
objectClass: dcObject
objectClass: organization
dc: xxx
o: TEST Ltd" | ldapadd -x -D "cn=admin,dc=xxx,dc=ru" -w passwd -h localhost -p 389

Проверяем, что сервер работает:

ldapsearch -x -D «cn=admin,dc=xxx,dc=ru» -w passwd -s sub -b «dc=xxx,dc=ru» «(objectClass=*)»

# xxx.ru
dn: dc=xxx,dc=ru
objectClass: top
objectClass: dcObject
objectClass: organization
o: xxx.ru
dc: xxx
# admin, xxx.ru
dn: cn=admin,dc=xxx,dc=ru
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword:: e2NyeXB0fTlyQVh4SFBsNXV5L3M=
# search result
search: 2
result: 0 Success
# numResponses: 3
# numEntries: 2

Настройка PAM и NSS для использования LDAP::::::::::

/etc/ldap/ldap.conf
host 127.0.0.1
base dc=xxx,dc=ru
rootbinddn cn=admin,dc=xxx,dc=ru
port 389
scope sub
pam_filter objectclass=posixAccount
pam_login_attribute uid
nss_base_passwd dc=xxx,dc=ru?sub?objectClass=posixAccount
nss_base_shadow dc=xxx,dc=ru?sub?objectClass=posixAccount
nss_base_group dc=xxx,dc=ru?sub?objectClass=posixGroup
ssl no
pam_password md5

/etc/pam.d/common-account

account sufficient pam_ldap.so

account required pam_unix.so try_first_pass

/etc/pam.d/common-auth

auth sufficient pam_ldap.so

auth required pam_unix.so nullok_secure use_first_pass

/etc/pam.d/common-password

password sufficient pam_ldap.so

password required pam_unix.so nullok obscure min=4 max=8 md5 use_first_pass

echo «passwd» > /etc/ldap.secret

/etc/nsswitch.conf

passwd: files ldap

shadow: files ldap

group: files ldap

……

Тестируем путем создания пользователя:

echo «dn: cn=katya,dc=xxx,dc=ru

objectClass: nisMailAlias

objectClass: posixAccount

cn: katya

uid: katya

uidNumber: 2000

gidNumber: 2000

gecos: Katya

loginShell: /bin/bash

homeDirectory: /home/katya» | ldapadd -x -D «cn=admin,dc=xxx,dc=ru» -w passwd -h localhost -p 389

Пишет следущее:

adding new entry "cn=katya,dc=xxx,dc=ru"
ldap_add: Invalid syntax (21)
        additional info: objectClass: value #0 invalid per syntax

ЧТО Делаю не так??????

Anarchist

Ты мне расскажи вот что:

Ты хочешь построить системную авторизацию через LDAP или запихнуть в LDAP базу пользователей Самбы?

Оригинальный сайт, на котором жили программный статьи на тему в настоящий момент, к сожалению, в дауне.

Резервной копии по данной тематике у меня нет.

Поэтому кратко-конспективно:

1. В некотором количестве, с заметной потерей актуальности (в номинации схемы Самбы — критично) бэкап представлен на opennet’е.

2. К сожалению, личное понимание в данной предметной области оцениваю как недостаточное.

Теперь конкретные замечания:

1. От перехода к LDAP суть отношения (каждому пользователю Самбы должен соответствовать системный пользователь, пусть и с шеллом /sbin/nologin) не меняется.

Возможность (да и целесообразность) объединения базы пользователей (системной и собственно Самбы) в единую — не определена.

2. И собственно по Самбе (эх, развратил тебя apt-get…):

В ныне недоступной программной статье (и, полагаю, в документации к Самбе) говорилось, что (ахтунг, цитируемая мной ниже информация устарела как минимум на год), что копированием куда следует схемы Самбы и прописыванием её в конфиге демона LDAP дело не ограничивается. На самом деле перед схемой samba необходимо в определённом порядке включить некоторое количество стандартных схем.

И устаревшая цитата из конфига моего сервера:

include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
#From samba config section
include         /usr/local/etc/openldap/schema/inetorgperson.schema
#Base config string
include         /usr/local/etc/openldap/schema/nis.schema
#include                /usr/local/etc/openldap/schema/openldap.schema
#Continue from samba config section
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/samba.schema

(вопрос прочей настройки LDAP пока не поднимаю)

После чего в базу LDAP (по крайней мере для случая FreeBSD, установки из портов и наличия всех необходимых пакетов) в базу LDAP пользователи Самбы заносятся как обычно, т.е. командой smbpasswd.

ЗЫ: И, в лучших традициях, личный вопрос: ты какой Веры придерживаешься? System V или BSD?

Anarchist

Кстати, если тебе интересно: добиться занесения записей командой ldapadd на этой итерации мне не удалось.

neogeisha
Anarchist
Ты мне расскажи вот что:

Ты хочешь построить системную авторизацию через LDAP или запихнуть в LDAP базу пользователей Самбы?

хочу настроить лдап как сервер,

затем прикрутить в squid, samba, postfix, …etc авторизацию через ldap,

а в дальнейшем мегрирование или синхронизацию c AD

во как! =))

neogeisha
Anarchist
Теперь конкретные замечания:

1. От перехода к LDAP суть отношения (каждому пользователю Самбы должен соответствовать системный пользователь, пусть и с шеллом /sbin/nologin) не меняется.

это то то я поняла в хаутушке, разную документацию пробовала применить,

вот отрывок из последенй и вставила сюда

Возможность (да и целесообразность) объединения базы пользователей (системной и собственно Самбы)  в единую — не определена.

….пока промолчу на счет этого…

2. И собственно по Самбе (эх, развратил тебя apt-get…):

чем это?

предлагаешь собирать в ручную?

В ныне недоступной программной статье (и, полагаю, в документации к Самбе) говорилось, что (ахтунг, цитируемая мной ниже информация устарела как минимум на год), что копированием куда следует схемы Самбы и прописыванием её в конфиге демона LDAP дело не ограничивается. На самом деле перед схемой samba необходимо в определённом порядке включить некоторое количество стандартных схем.

И устаревшая цитата из конфига моего сервера:

include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
#From samba config section
include         /usr/local/etc/openldap/schema/inetorgperson.schema
#Base config string
include         /usr/local/etc/openldap/schema/nis.schema
#include                /usr/local/etc/openldap/schema/openldap.schema
#Continue from samba config section
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/samba.schema

(вопрос прочей настройки LDAP пока не поднимаю)

После чего в базу LDAP (по крайней мере для случая FreeBSD, установки из портов и наличия всех необходимых пакетов) в базу LDAP пользователи Самбы заносятся как обычно, т.е. командой smbpasswd.

попробую включить 2 твои схемки

ЗЫ: И, в лучших традициях, личный вопрос: ты какой Веры придерживаешься? System V или BSD?

мое полетическое кредо — ВСЕГДА!

мой выбор спектрум и тр-дос!

=)))

Anarchist
neogeisha
хочу настроить лдап как сервер

…который, в общем случае, может не иметь никакого отношения к ОС.

neogeisha
затем прикрутить в squid, samba, postfix, …etc авторизацию через ldap,

а в дальнейшем мегрирование или синхронизацию c AD

Samba — понятно.

Почта — понятно.

Squid — неоднозначно. Подлежит обсуждению.

AD однозначно идёт лесом.

Обсуждение — исключительно с точки зрения функциональности (и степени востребованности оной).

В качестве исключения — возможность сопряжения с рабочими станциями Windows.

Anarchist
neogeisha
это то то я поняла в хаутушке, разную документацию пробовала применить,

вот отрывок из последенй и вставила сюда

Знаешь, твоя ошибка в том, что ты хочешь всего и сразу.

PAM LDAP <> Samba authentification with LDAP!

И начинать здесь, хочешь ты того или нет, придётся с вникания в структуру OpenLDAP, сути схем, роли порядка включения схем /etc.

neogeisha
….пока промолчу на счет этого…

И зря.

Здесь ты категорически не права.

Здесь без собственного мнения относительно постановки и путей решения проблемы очень грустно.

neogeisha
чем это?

предлагаешь собирать в ручную?

Нет. Это я с точки зрения того, что простота установки позволяет объодиться вовсе без документации.

Что, в случае сопряжения модулей типа рассматриваемого тобой, пока возможно только в ручном режиме при активном использовании ресурсов собственного мозга.

neogeisha
попробую включить 2 твои схемки

См. первый абзац.

Объяви цели.

neogeisha

АНАРХИСТ’ик, а я настроила LDAP и PAM_LDAP !!!!!!!!!

бе бе бе, бе, бе, бе,

бе бе бе, бе, бе, бе,

бе бе бе, бе, бе, бе,

=))))))))))

зы. нашла хорошую доку, ну и несколько чесов на перенос под debian

теперь буду самбу прикручивать

neogeisha

я хочу всего, да это так

я как делаю, сначала разведка боем, то есть пробую сразу все настроить что мне в данный момент надо, это помогает найти подводные камни

а если не получилось что то, то все сначала, по пунктам!

>И зря.

>Здесь ты категорически не права.

>Здесь без собственного мнения относительно постановки и путей решения проблемы >очень грустно.

мысль просто не смогла сформулировать

>Что, в случае сопряжения модулей типа рассматриваемого тобой, пока возможно >только в ручном режиме при активном использовании ресурсов собственного мозга.

не совесм понятно (или я не вчитывалась?), разъясни поподробнее

Anarchist
neogeisha
АНАРХИСТ’ик, а я настроила LDAP и PAM_LDAP !!!!!!!!!

бе бе бе, бе, бе, бе,

бе бе бе, бе, бе, бе,

бе бе бе, бе, бе, бе,

=))))))))))

зы. нашла хорошую доку, ну и несколько чесов на перенос под debian

Известный факт.

Ничего сложного там нет (особенно — в развёртывании сервера LDAP).

В своё время в данной номинации я срезался на вопросе: на фига.

А ссылку хорошо бы привести.

В идеале — так материал по ссылке. В переработанном виде.

neogeisha
теперь буду самбу прикручивать

Желаю тебе творческих успехов.

И не забудь рассказать как о том, в каком виде ныне поживает схема Самбы, так и про сопряжение базы пользователей с системной в LDAP.

;)

Anarchist
neogeisha
я хочу всего, да это так

я как делаю, сначала разведка боем, то есть пробую сразу все настроить что мне в данный момент надо, это помогает найти подводные камни

а если не получилось что то, то все сначала, по пунктам!

Эх, молодо-зелено… :)

Вот что значит: есть возможность колбаситься от души.

И нет необходимости заморачиваться вопросами плавной миграции фактически без перерывов в доступности сервисов.

neogeisha
>И зря.

>Здесь ты категорически не права.

>Здесь без собственного мнения относительно постановки и путей решения проблемы >очень грустно.

мысль просто не смогла сформулировать

А это в нашем деле — самое сложное :).

neogeisha
>Что, в случае сопряжения модулей типа рассматриваемого тобой, пока возможно >только в ручном режиме при активном использовании ресурсов собственного мозга.

не совесм понятно (или я не вчитывалась?), разъясни поподробнее

Грубо говоря:

Претендующий на полноту базис вопросов «Что делаем?».

С ответами на вопросы «Почему?» и «Как?».

В твоём случае это выглядит примерно так:

1. Структура пользователей. Сопряжение стркутур пользователей сервисов (доступ к общим файлам, принтеру, сервису электронной почты, proxy (хоть это — и отдельная песня)) и системных пользователей (пользователей не имеющих доступа к шеллу от которых пускаются демоны и системных пользователей допущенных к шеллу).

2. Поведение стандартных системных команд (например vipw) при переходе к авторизации через LDAP.

3. Собственно обоснование преимуществ авторизации через LDAP над классическим механизмом авторизации.

4. Для случая PROXY-server’а типа SQUID с авторизацией также ИМХО очень полезно рассмотреть механизм этой самой авторизации.

И помни, что настроить что-то более-менее работающее (в стандартном или близком к стандартному режиме) — это меньше половины пути к пониманию.

:)

neogeisha

>А ссылку хорошо бы привести:

D:\tmpdocs\Настройка сервера LDAP и PAM_LDAP.htm

давай ящик, закину

>Эх, молодо-зелено… :)

>Вот что значит: есть возможность колбаситься от души.

>И нет необходимости заморачиваться вопросами плавной миграции фактически без >перерывов в доступности сервисов.

виртуальные машины еще не кто не отменял ;)