Re: sistema di autenticazione ldap su server debian
Il giorno lun, 12/03/2012 alle 13.56 +0100, Marco Gaiarin ha scritto: [...] > s> Non mi è ancora chiaro l'utilizzo del gruppo delle macchine. Tale gruppo > s> dovrà comprendere gli identificativi sia per le macchine linux che windows? > > Se linux+samba+winbind, si; devono essere ''joinate'' a dominio pure > loro. Forse mi sono perso qualche pezzo, ma la richiesta non era di non installare nulla sui PC portatili che potrebbero essere privati? Se così fosse il dominio non sarebbe una via perseguibile. Ciao, G -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1331632440.4524.17.camel@scarafaggio
Re: sistema di autenticazione ldap su server debian
Mandi! stefano In chel dì si favelave... s> il fatto è che devo inserire da zero gli utenti quindi creerò dei file s> ldif per utenti, gruppi, macchine e volevo sapere se esiste una s> objectClass ed un attributo appositi alla memorizzazione degli s> identificativi delle macchine. Insisto: perchè non usare gli smbldap-tools? Ad ogni modo le mie macchine sono: dn: uid=voldemort$,ou=Host,dc=sv,dc=lnf,dc=it objectClass: top objectClass: inetOrgPerson objectClass: posixAccount objectClass: sambaSamAccount cn: voldemort$ sn: voldemort$ uid: voldemort$ uidNumber: 1195 [...] ovvero normalissimi account come quelli degli utenti (ne ero quasi certo, ho voluto verificare). s> Non mi è ancora chiaro l'utilizzo del gruppo delle macchine. Tale gruppo s> dovrà comprendere gli identificativi sia per le macchine linux che windows? Se linux+samba+winbind, si; devono essere ''joinate'' a dominio pure loro. -- Io credo nella chimica tanto quanto Giulio Cesare credeva nel caso... mi va bene fino a quando non riguarda me :) (Emanuele Pucciarelli) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/dd8139-jb7@lily.sv.lnf.it
Re: sistema di autenticazione ldap su server debian
il fatto è che devo inserire da zero gli utenti quindi creerò dei file ldif per utenti, gruppi, macchine e volevo sapere se esiste una objectClass ed un attributo appositi alla memorizzazione degli identificativi delle macchine. Non mi è ancora chiaro l'utilizzo del gruppo delle macchine. Tale gruppo dovrà comprendere gli identificativi sia per le macchine linux che windows? On 03/11/2012 05:56 PM, Marco Gaiarin wrote: Mandi! stefano In chel dì si favelave... s> 1. quale identificativo e quindi quale objectClass devo usare per s> identifcare i computers? Oddio... sinceramente ho sempre usato smbldap-populate e non me ne sono mai preoccupato. ;-) s> 2. per i pc windows che si autenticheranno tramite freeradius è s> necessario aggiungere i loro identificativi? Freeradius, se opportumanete configurato (ma necessita ntlm/winbind), utilizza semplicemente i ''machine account'' di cui parli al punto 1). Ovvero non ti serve agiungere altro. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5d085b.1010...@gmail.com
Re: sistema di autenticazione ldap su server debian
Mandi! stefano In chel dì si favelave... s> 1. quale identificativo e quindi quale objectClass devo usare per s> identifcare i computers? Oddio... sinceramente ho sempre usato smbldap-populate e non me ne sono mai preoccupato. ;-) s> 2. per i pc windows che si autenticheranno tramite freeradius è s> necessario aggiungere i loro identificativi? Freeradius, se opportumanete configurato (ma necessita ntlm/winbind), utilizza semplicemente i ''machine account'' di cui parli al punto 1). Ovvero non ti serve agiungere altro. -- Dai diamanti non nasce niente dal letame nascono i fior (F. De Andre`) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/v22v29-5c3@lily.sv.lnf.it
Re: sistema di autenticazione ldap su server debian
Grazie Marco. sto studiandomi i file di configurazione libnss-ldapd, smb.conf, smbldap_bind.conf e smbldap.conf e mi sono soffermato sulla necessità di creare un ramo per le macchine nell'albero di directory, su cui credo di avere un pò di confusione. vi chiedo un chiarimento: se ho capito giusto, dato che in in un domain controller windows sono previste due tipologie di utenti, quelli associati ad una persona e quelli associati ad una macchina, deve essere aggiunto il ramo "Computers" che dovrà contenere gli identifcativi dei pc fissi nell'aula (che hanno ubuntu). Due domande: 1. quale identificativo e quindi quale objectClass devo usare per identifcare i computers? 2. per i pc windows che si autenticheranno tramite freeradius è necessario aggiungere i loro identificativi? On 03/10/2012 11:38 PM, Marco Gaiarin wrote: Mandi! stefano In chel dì si favelave... Premessa: gestisco da tempo dele reti con client windows (xp) e server debian. Una cosa va capita fondo: samba non ''reinventa la ruota'' la offre le risorse unix alla rete winodws. In particolare, per scelte tecnologiche di fondo profondamente diverse, le password tra i due mondi non sono compatibili, ergo non è possibile usare una unica password. Si presentano più strade: 1) usare solo le password linux; scelta che obbliga a tenere le password windows in chiaro, ormai tecnicamente non possibile. 2) usare solo le password windows, ovvero si veda alla voce 'winbind'. 3) usare un sistema che tenga ''in sincronia'' le password windows e unix, normalmente vuol dire gli smbldap-tools, ma non solo perchè già in samba 3 c'è una gestione nativa di queste cose. Io uso gli smbldap-tools. s> mi sono abbastanza chiari i ruoli di nss e pam ma non totalmente e s> riporto questi miei interrogativi: s> - come si imposta l'autenticazione al momento della connessione alla s> rete locale? Eslcuso GINA che è stato eliminato da win7, con samba (windows) e pam (unix) come hai già fatto. Se parli di accesso fisico alla rete, la strada è quella di freeradius, che funziona perfettamente sia con LDAP che con ntlm (winbind). s> - come si impostano poi i diversi permessi sui siti internet s> consultabili a seconda del gruppo di appartenenza dell'utente? Impostando l'autenticazione ntlm in squid (il che implica ancra winbind) e scrivendo corrette ACL (o usando helper esterni come squidguard). s> - .come si impostano gli accessi (solo lettura o lettura/scrittura) ad s> alcune cartelle presenti sul server? Con le ACL, come in windows (più omeno; non hai infatti un concetto di ACL negativa). Vedi altro thread se usi anche NFS, c'è un limite al numero delle entry. s> - la dimensione della home per ogni utente ha un minimo necessario? La home quello che vuoi; il profilo (roaming profile) è bene che sia invece piccolo (1-2GB) onde evitare casini fotonici. s> online ho trovato varie guide ed alcune mi hanno aiutato parecchio ma s> non riesco a farmi il quadro generale di realizzazione di questo mio s> progetto. s> potete essermi d'aiuto in qualche modo consigliandomi anche risorse s> "didattiche" online? Leggiti la dcumentazione di samba dall'inizio alla fine, con calma. Poi rileggitela. ;-) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5c78e5.1090...@gmail.com
Re: sistema di autenticazione ldap su server debian
Mandi! stefano In chel dì si favelave... Premessa: gestisco da tempo dele reti con client windows (xp) e server debian. Una cosa va capita fondo: samba non ''reinventa la ruota'' la offre le risorse unix alla rete winodws. In particolare, per scelte tecnologiche di fondo profondamente diverse, le password tra i due mondi non sono compatibili, ergo non è possibile usare una unica password. Si presentano più strade: 1) usare solo le password linux; scelta che obbliga a tenere le password windows in chiaro, ormai tecnicamente non possibile. 2) usare solo le password windows, ovvero si veda alla voce 'winbind'. 3) usare un sistema che tenga ''in sincronia'' le password windows e unix, normalmente vuol dire gli smbldap-tools, ma non solo perchè già in samba 3 c'è una gestione nativa di queste cose. Io uso gli smbldap-tools. s> mi sono abbastanza chiari i ruoli di nss e pam ma non totalmente e s> riporto questi miei interrogativi: s> - come si imposta l'autenticazione al momento della connessione alla s> rete locale? Eslcuso GINA che è stato eliminato da win7, con samba (windows) e pam (unix) come hai già fatto. Se parli di accesso fisico alla rete, la strada è quella di freeradius, che funziona perfettamente sia con LDAP che con ntlm (winbind). s> - come si impostano poi i diversi permessi sui siti internet s> consultabili a seconda del gruppo di appartenenza dell'utente? Impostando l'autenticazione ntlm in squid (il che implica ancra winbind) e scrivendo corrette ACL (o usando helper esterni come squidguard). s> - .come si impostano gli accessi (solo lettura o lettura/scrittura) ad s> alcune cartelle presenti sul server? Con le ACL, come in windows (più omeno; non hai infatti un concetto di ACL negativa). Vedi altro thread se usi anche NFS, c'è un limite al numero delle entry. s> - la dimensione della home per ogni utente ha un minimo necessario? La home quello che vuoi; il profilo (roaming profile) è bene che sia invece piccolo (1-2GB) onde evitare casini fotonici. s> online ho trovato varie guide ed alcune mi hanno aiutato parecchio ma s> non riesco a farmi il quadro generale di realizzazione di questo mio s> progetto. s> potete essermi d'aiuto in qualche modo consigliandomi anche risorse s> "didattiche" online? Leggiti la dcumentazione di samba dall'inizio alla fine, con calma. Poi rileggitela. ;-) -- Vendere no, non passa tra i miei rischi, non comprate i miei dischi e sputatemi addosso. (F. Guccini) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/un1t29-iv2@lily.sv.lnf.it
Re: sistema di autenticazione ldap su server debian
Mandi! Ezio Da Rin In chel dì si favelave... EDR> Hai notizie più recenti? Nono, mi riferivo a GINA, non a pGINA. Leggendo: http://pgina.sourceforge.net/index.php/PGina_2.x_About sembra che abbiamo ragione entrambi, ovvero hanno trovato un modo diverso (ergo, non GINA) per fare la stessa cosa. -- Stanno arrivando da lontano con il futuro nella mano sotto la pioggia (A. Venditti) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/gt1t29-iv2@lily.sv.lnf.it
Re: sistema di autenticazione ldap su server debian
Il 09/03/2012 18:46, Marco Gaiarin ha scritto: Mandi! Ezio Da Rin In chel dì si favelave... Mandi Marco, EDR> con Netlive (derivata da Debian Live) noi avevamo usato Pgina: EDR> http://pgina.org/ A quanto so GINA è stato abbandonato, ergo non funziona per i client win7 e seguenti. probabilmente ti riferisci a pGina 1 o ai problemi della 2.0.0. Io non l'ho provato ma qui dicono che pGina 2 supporta win7, vista ecc con l'ultima release pGina 2.1.1 (06-03-2011): http://pgina.sourceforge.net/index.php/PGina_2.x_FAQ Hai notizie più recenti? Ciao, Ezio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5b05b0.4050...@linuxnetlive.org
Re: sistema di autenticazione ldap su server debian
Mandi! Ezio Da Rin In chel dì si favelave... EDR> con Netlive (derivata da Debian Live) noi avevamo usato Pgina: EDR> http://pgina.org/ A quanto so GINA è stato abbandonato, ergo non funziona per i client win7 e seguenti. -- La BBS e' come il mio frigorifero... da tanti anni fa in silenzio un ottimo lavoro, al punto tale che mi accorgo della sua utilita' solo quando manca la corrente e tutto quello che contiene diventa inutilizzabile. (E. Margelli) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/h8sp29-5hc@lily.sv.lnf.it
Re: sistema di autenticazione ldap su server debian
grazie! provo l'autenticazione con radius. ora sono su samba, sto configurando smbldap.conf. non c'è il man per smbldap.conf. ho qualche dubbio su alcune direttive come computersdn, idmapdn(ma se non uso winbind non credo sia necessario), sambaUnixIdPooldn e scope. dove posso trovare informazioni? On 03/09/2012 09:48 AM, Paolo Sala wrote: stefano scrisse in data 08/03/2012 21:36: grazie Piviul. mi sembra una valida soluzione. i pc che si possono connettere, oltre a quelli della sala, lo fanno in wi-fi quindi si, posso impostare un server radius. direi che più che puoi dovresti. ma l'autenticazione con radius su ldap avverrà con le credenziali registrate in ldap? se vuoi si. Altrimenti se sei masochista ;) potresti anche usare winbind o sicuramente altri metodi. e una volta autenticati coloro che hanno la loro home utente potranno vederla e lavorarci? Certamente. Chiunque acceda alla rete, indipendentemente dalla modalità con cui vi accede (cavo o wireless), possono accedere al server e se conoscono una user e una password nel dominio possono accedere alle risorse messe a disposizione dal server per quelle credenziali. Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f59ceb6.2050...@gmail.com
Re: sistema di autenticazione ldap su server debian
stefano scrisse in data 08/03/2012 21:36: > grazie Piviul. > > mi sembra una valida soluzione. > i pc che si possono connettere, oltre a quelli della sala, lo fanno in > wi-fi quindi si, posso impostare un server radius. direi che più che puoi dovresti. > ma l'autenticazione con radius su ldap avverrà con le credenziali > registrate in ldap? se vuoi si. Altrimenti se sei masochista ;) potresti anche usare winbind o sicuramente altri metodi. > e una volta autenticati coloro che hanno la loro home utente potranno > vederla e lavorarci? Certamente. Chiunque acceda alla rete, indipendentemente dalla modalità con cui vi accede (cavo o wireless), possono accedere al server e se conoscono una user e una password nel dominio possono accedere alle risorse messe a disposizione dal server per quelle credenziali. Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f59c3f3.50...@riminilug.it
Re: sistema di autenticazione ldap su server debian
stefano scrisse in data 08/03/2012 16:17: > Allora, grazie alle vostre esaustive risposte inizio ad avere la > situazione più chiara e pure quello che voglio fare. vi riassumo e vi > espongo un quesito finale. > > La LAN dispone di un unico server debian squeeze che fa da gateway, > dhcp server, server proxy squid, apache, server samba, ldap server. Al > suo interno è presente una cartella con alcune risorse didattiche per > studenti e docenti. > I client sono sia i pc presenti nell'aula che portatili esterni che > possono venire e connettersi alla rete. Nell'aula i pc sono ubuntu > mentre quelli esterni sono in maggior parte Windows e talvolta Mac. > La tipologia dell'utenza è varia: > studenti della facoltà di infermieristica che possono consultare > internet, accedere alle risorse didattiche presenti sul server e avere > a disposizione una loro home utente; > studenti della facoltà di medicina che possono consultare internet ma > che NON possono accedere alle risorse didattiche sul server e NON > possono avere la loro home utente; > docenti che possono consultare internet, accedere alle risorse > didattiche e avere la loro home utente; > personale amministrativo che può consultare internet soltanto con la > loro home utente; > un numero ridotto di utenti (amici) che possono solamente connettersi > a internet; > > Può essere che gli stessi studenti, sia di infermieristica che di > medicina, si presentino con i loro portatili (win o mac) e vorrei che > anche in questo caso possano collegarsi alla rete con le loro > credenziali e con i rispettivi permessi citati prima e che (per quelli > di infermieristica) possano comunque avere accesso alla loro home utente. > la stessa cosa per i docenti che avranno i loro portatili (win o mac) > e che potranno consultare qualsiasi sito internet, accedere alle > risorse didattiche sul server e alla loro home utente. > > Ho installato ldap sul server ed ho iniziato ad inserire i gruppi di > utenti e procedo con l'inserimento degli utenti per gruppo. ho > installato e configurato NSS e con getent posso visualizzare anche le > utenze e i gruppi presenti in LDAP. > Ora sono fermo a PAM. > > Non ho ancora capito una cosa: devo mettere mano su ogni client oppure > esiste un modo con cui da qualsiasi postazione, che sia in aula o > portatile, una volta ottenuto l'IP, si presenti la schermata di login > alla rete e che a seconda delle credenziali inserite l'utente abbia in > automatico i permessi o meno sulla consultazione delle cartelle nel > server, le restrizioni o meno sulla consultazione dei siti e l'accesso > alla propria home? Anzitutto configurerei il server samba come pdc; i pc dell'aula informatica li legherei al dominio e in questo caso devi mettere mano a PAM su quei client. In questo modo soltanto chi ha un account del dominio può fare il logon sui pc dell'aula. Per quanto riguarda gli altri pc esterni possono sempre sfogliare le risorse messe a disposizione dal PDC e quindi accedere ad esse solo se conoscono username e password. Ora invece non ho ben capito come vuoi invece gestire l'accesso all'infrastruttura di rete. Anzitutto parliamo di rete wireless? Se non è wireless e non è in un luogo pubblico potresti semplicemente permettere a chiunque abbia a disposizione di un cavo di rete di collegarsi ad internet (squid in modalità trasparente), sfogliare la rete e, se conosce username e password, accedere anche alle risorse del pdc. Se invece trattasi di wireless allora dovresti installare anche un server radius che autentica gli utenti via ldap. Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f58d6a1.7010...@riminilug.it
Re: sistema di autenticazione ldap su server debian
Allora, grazie alle vostre esaustive risposte inizio ad avere la situazione più chiara e pure quello che voglio fare. vi riassumo e vi espongo un quesito finale. La LAN dispone di un unico server debian squeeze che fa da gateway, dhcp server, server proxy squid, apache, server samba, ldap server. Al suo interno è presente una cartella con alcune risorse didattiche per studenti e docenti. I client sono sia i pc presenti nell'aula che portatili esterni che possono venire e connettersi alla rete. Nell'aula i pc sono ubuntu mentre quelli esterni sono in maggior parte Windows e talvolta Mac. La tipologia dell'utenza è varia: studenti della facoltà di infermieristica che possono consultare internet, accedere alle risorse didattiche presenti sul server e avere a disposizione una loro home utente; studenti della facoltà di medicina che possono consultare internet ma che NON possono accedere alle risorse didattiche sul server e NON possono avere la loro home utente; docenti che possono consultare internet, accedere alle risorse didattiche e avere la loro home utente; personale amministrativo che può consultare internet soltanto con la loro home utente; un numero ridotto di utenti (amici) che possono solamente connettersi a internet; Può essere che gli stessi studenti, sia di infermieristica che di medicina, si presentino con i loro portatili (win o mac) e vorrei che anche in questo caso possano collegarsi alla rete con le loro credenziali e con i rispettivi permessi citati prima e che (per quelli di infermieristica) possano comunque avere accesso alla loro home utente. la stessa cosa per i docenti che avranno i loro portatili (win o mac) e che potranno consultare qualsiasi sito internet, accedere alle risorse didattiche sul server e alla loro home utente. Ho installato ldap sul server ed ho iniziato ad inserire i gruppi di utenti e procedo con l'inserimento degli utenti per gruppo. ho installato e configurato NSS e con getent posso visualizzare anche le utenze e i gruppi presenti in LDAP. Ora sono fermo a PAM. Non ho ancora capito una cosa: devo mettere mano su ogni client oppure esiste un modo con cui da qualsiasi postazione, che sia in aula o portatile, una volta ottenuto l'IP, si presenti la schermata di login alla rete e che a seconda delle credenziali inserite l'utente abbia in automatico i permessi o meno sulla consultazione delle cartelle nel server, le restrizioni o meno sulla consultazione dei siti e l'accesso alla propria home? Grazie della disponibilità Stefano On 03/07/2012 10:51 PM, Giuseppe Sacco wrote: Il giorno mer, 07/03/2012 alle 17.06 +0100, stefano ha scritto: intanto grazie! riepilogo con qualche altra domandina Autenticazione client Linux/Windows Mi interessa che gli utenti con macchine Linux o Windows possano accedere alla rete locale previa autenticazione quindi da ciascuna macchina sarà effettuato il login. Non ho capito se è sufficiente o meno avere openLdap per autenticare i client Windows. pGina mi pare di capire che vada installato su macchine windows ma le macchine windows che si connettono alla rete non sono quelle fisse dell'aula informatica (che sono Ubuntu) ma sono utenti che si connettono un tantum su cui non installo un nuovo programma (se ho capito bene il funzionamento). [...] Allora a te non interessa controllare l'accesso a tutti i singoli PC, ma solo a quelli linux e alle cartelle di rete. In questo caso non ti serve un dominio windows, ma ti basta un server LDAP con gli utenti e i gruppi. I server che esportano cartelle di rete via CIFS verificheranno le credenziali su LDAP (vedi il pacchetto Debian smbldap-tools). I PC Windows accedono solo alle cartelle condivise (faranno il login sul PC con il proprio utente, e poi utilizzeranno le credenziali LDAP per l'accesso alle cartelle di rete). Gli utenti linux, poiché sono macchine dell'aula, andranno verificati centralmente su LDAP via nss/pam. Le macchine Linux possono montare la home da un server specifico via nfs con automouter e possono montare tutte le cartelle di rete alle quali possono accedere esattamente allo stesso modo, oppure sempre via CIFS. L'accesso alle applicazioni web va controllato sui server web e/o sui vari server applicativi (ad esempio tomcat, zend o apache+mod_python) verificando le credenziali su LDAP. Ciao, G. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f58cd99.9090...@gmail.com
Re: sistema di autenticazione ldap su server debian
Il giorno mer, 07/03/2012 alle 17.06 +0100, stefano ha scritto: > intanto grazie! > > riepilogo con qualche altra domandina > > Autenticazione client Linux/Windows > Mi interessa che gli utenti con macchine Linux o Windows possano > accedere alla rete locale previa autenticazione quindi da ciascuna > macchina sarà effettuato il login. Non ho capito se è sufficiente o meno > avere openLdap per autenticare i client Windows. > pGina mi pare di capire che vada installato su macchine windows ma le > macchine windows che si connettono alla rete non sono quelle fisse > dell'aula informatica (che sono Ubuntu) ma sono utenti che si connettono > un tantum su cui non installo un nuovo programma (se ho capito bene il > funzionamento). [...] Allora a te non interessa controllare l'accesso a tutti i singoli PC, ma solo a quelli linux e alle cartelle di rete. In questo caso non ti serve un dominio windows, ma ti basta un server LDAP con gli utenti e i gruppi. I server che esportano cartelle di rete via CIFS verificheranno le credenziali su LDAP (vedi il pacchetto Debian smbldap-tools). I PC Windows accedono solo alle cartelle condivise (faranno il login sul PC con il proprio utente, e poi utilizzeranno le credenziali LDAP per l'accesso alle cartelle di rete). Gli utenti linux, poiché sono macchine dell'aula, andranno verificati centralmente su LDAP via nss/pam. Le macchine Linux possono montare la home da un server specifico via nfs con automouter e possono montare tutte le cartelle di rete alle quali possono accedere esattamente allo stesso modo, oppure sempre via CIFS. L'accesso alle applicazioni web va controllato sui server web e/o sui vari server applicativi (ad esempio tomcat, zend o apache+mod_python) verificando le credenziali su LDAP. Ciao, G. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1331157078.4713.10.camel@scarafaggio
Re: sistema di autenticazione ldap su server debian
stefano ha scritto: intanto grazie! riepilogo con qualche altra domandina Autenticazione client Linux/Windows Mi interessa che gli utenti con macchine Linux o Windows possano accedere alla rete locale previa autenticazione quindi da ciascuna macchina sarà effettuato il login. Non ho capito se è sufficiente o meno avere openLdap per autenticare i client Windows. pGina mi pare di capire che vada installato su macchine windows ma le macchine windows che si connettono alla rete non sono quelle fisse dell'aula informatica (che sono Ubuntu) ma sono utenti che si connettono un tantum su cui non installo un nuovo programma (se ho capito bene il funzionamento). ciao Stefano, hai capito esattamente il funzionamento, nel tuo caso non credo tu possa risolvere con Pgina in quanto deve essere installato appunto o nel winserver o nei client win. ciao, Ezio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f57a260.10...@linuxnetlive.org
Re: sistema di autenticazione ldap su server debian
intanto grazie! riepilogo con qualche altra domandina Autenticazione client Linux/Windows Mi interessa che gli utenti con macchine Linux o Windows possano accedere alla rete locale previa autenticazione quindi da ciascuna macchina sarà effettuato il login. Non ho capito se è sufficiente o meno avere openLdap per autenticare i client Windows. pGina mi pare di capire che vada installato su macchine windows ma le macchine windows che si connettono alla rete non sono quelle fisse dell'aula informatica (che sono Ubuntu) ma sono utenti che si connettono un tantum su cui non installo un nuovo programma (se ho capito bene il funzionamento). La creazione di un dominio Windows devo farlo con Samba o mi sbaglio? gli utenti del dominio Windows che ho creato dovranno essere presenti anche in LDAP o no? la pagina di login dei client che tipo di pagina è? Per il resto (restrizioni sui siti, accesso a risorse del server) dovrò configurare separatamente Apache e Samba con LDAP per recuperare le informazioni su tali permessi? vi ringrazio ancora Stefano On 03/07/2012 03:16 PM, Ezio Da Rin wrote: Giuseppe Sacco ha scritto: Il giorno mer, 07/03/2012 alle 14.38 +0100, Ezio Da Rin ha scritto: [...] con Netlive (derivata da Debian Live) noi avevamo usato Pgina: http://pgina.org/ e con OpenLDAP si autenticano sia utenti Linux che Windows: http://www.cloc3.net/dokuwiki/doku.php/l_accesso Non lo conosco, ma non mi pare che openldap sia sufficiente per l'autenticazione sulle macchine Windows. È sufficiente per l'accesso a risorse di rete samba da parte di macchine Windows, ma non per l'accesso alla macchina Windows stessa. Mi sbaglio? Puoi spiegarmi meglio cosa facciano i prodotti da te indicati? è proprio questo che fa Pgina, se l'utente è inserito del database di OpenLDAP viene autenticato, nel nostro caso con winserver2003 ma viene usato anche con xp: http://www.hawaii.edu/ldap/pgina-xp.pdf e, se l'utente è al suo primo accesso gli viene creato il suo ambiente windows esattamente come succede per Linux nel caso acceda a Linux. L'implementazione è relativamente semplice e sono tre anni che, a quanto ne so io, questo metodo viene utilizzato al Liceo Pio Paschini di Tolmezzo UD. Ciao, Ezio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5787a0.9060...@gmail.com
Re: sistema di autenticazione ldap su server debian
Giuseppe Sacco ha scritto: Il giorno mer, 07/03/2012 alle 14.38 +0100, Ezio Da Rin ha scritto: [...] con Netlive (derivata da Debian Live) noi avevamo usato Pgina: http://pgina.org/ e con OpenLDAP si autenticano sia utenti Linux che Windows: http://www.cloc3.net/dokuwiki/doku.php/l_accesso Non lo conosco, ma non mi pare che openldap sia sufficiente per l'autenticazione sulle macchine Windows. È sufficiente per l'accesso a risorse di rete samba da parte di macchine Windows, ma non per l'accesso alla macchina Windows stessa. Mi sbaglio? Puoi spiegarmi meglio cosa facciano i prodotti da te indicati? è proprio questo che fa Pgina, se l'utente è inserito del database di OpenLDAP viene autenticato, nel nostro caso con winserver2003 ma viene usato anche con xp: http://www.hawaii.edu/ldap/pgina-xp.pdf e, se l'utente è al suo primo accesso gli viene creato il suo ambiente windows esattamente come succede per Linux nel caso acceda a Linux. L'implementazione è relativamente semplice e sono tre anni che, a quanto ne so io, questo metodo viene utilizzato al Liceo Pio Paschini di Tolmezzo UD. Ciao, Ezio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f576dba.4070...@linuxnetlive.org
Re: sistema di autenticazione ldap su server debian
Il giorno mer, 07/03/2012 alle 14.38 +0100, Ezio Da Rin ha scritto: > Giuseppe Sacco ha scritto: > > Ciao Stefano, > > > > Il giorno mer, 07/03/2012 alle 10.34 +0100, stefano ha scritto: > > [...] > >> - come si imposta l'autenticazione al momento della connessione alla > >> rete locale? > > > > [...] > > Se invece intendi al login dell'utente, allora devi creare un dominio > > Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente > > Linux. Devi poi configurare i PC Windows per appartenere al dominio, e > > quelli Windows per l'autenticazione via nss/pam a LDAP. > > con Netlive (derivata da Debian Live) noi avevamo usato Pgina: > > http://pgina.org/ > > e con OpenLDAP si autenticano sia utenti Linux che Windows: > > http://www.cloc3.net/dokuwiki/doku.php/l_accesso Non lo conosco, ma non mi pare che openldap sia sufficiente per l'autenticazione sulle macchine Windows. È sufficiente per l'accesso a risorse di rete samba da parte di macchine Windows, ma non per l'accesso alla macchina Windows stessa. Mi sbaglio? Puoi spiegarmi meglio cosa facciano i prodotti da te indicati? In ogni caso, nella mia riposta precedente, quando ho fatto riferimento al dominio Windows, non ho inteso che il dominio debba essere su server Windows. Potrebbe benissimo essere su samba3 e openldap. A meno che non ci siano di mezzo macchine per le quali è richiesto il dominio di win2008, per il quale si deve attendere samba4 se non erro. Ciao, G. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1331127936.2696.41.camel@scarafaggio
Re: sistema di autenticazione ldap su server debian
Il giorno mer, 07/03/2012 alle 14.28 +0100, Piviul ha scritto: > Giuseppe Sacco scrisse in data 07/03/2012 14:15: > > Se invece intendi al login dell'utente, allora devi creare un dominio > > Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente > > Linux. > Ciao Giuseppe sono d'accordo quasi su tutto ma quasi... cosa intendi con > "allora devi creare un dominio Windows per gli utenti Windows, e uno > LDAP per quelli esclusivamente Linux"? È molto che non ho più a che fare > con ldap e pdc ma che mi ricordi basta un solo backend per autenticare > un utente sia da una macchina windows che linux. Avrei dovuto sottolineare «esclusivamente»... intendevo che gli utenti Windows vanno nel dominio Windows, mentre se ci sono altri utenti (linux) che non sono _anche_ utenti Windows (difatti ho scritto «esclusivamente linux») allora si può usare LDAP (credo che il semplice shadow non basterebbe poiché c'è di mezzo l'autenticazione samba). NSS e PAM vanno configurati per cercare gli utenti in tutti i vari backend. > > Devi poi configurare i PC Windows per appartenere al dominio, e > > quelli Windows per l'autenticazione via nss/pam a LDAP. > > > ^^ intendevi Linux Sì, grazie per la correzione. Ciao, G. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1331127675.2696.37.camel@scarafaggio
Re: sistema di autenticazione ldap su server debian
Giuseppe Sacco ha scritto: Ciao Stefano, Il giorno mer, 07/03/2012 alle 10.34 +0100, stefano ha scritto: [...] - come si imposta l'autenticazione al momento della connessione alla rete locale? [...] Se invece intendi al login dell'utente, allora devi creare un dominio Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente Linux. Devi poi configurare i PC Windows per appartenere al dominio, e quelli Windows per l'autenticazione via nss/pam a LDAP. con Netlive (derivata da Debian Live) noi avevamo usato Pgina: http://pgina.org/ e con OpenLDAP si autenticano sia utenti Linux che Windows: http://www.cloc3.net/dokuwiki/doku.php/l_accesso Ciao, Ezio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5764c3.5050...@linuxnetlive.org
Re: sistema di autenticazione ldap su server debian
Giuseppe Sacco scrisse in data 07/03/2012 14:15: > Se invece intendi al login dell'utente, allora devi creare un dominio > Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente > Linux. Ciao Giuseppe sono d'accordo quasi su tutto ma quasi... cosa intendi con "allora devi creare un dominio Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente Linux"? È molto che non ho più a che fare con ldap e pdc ma che mi ricordi basta un solo backend per autenticare un utente sia da una macchina windows che linux. > Devi poi configurare i PC Windows per appartenere al dominio, e > quelli Windows per l'autenticazione via nss/pam a LDAP. > ^^ intendevi Linux Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f57628f.9040...@riminilug.it
Re: sistema di autenticazione ldap su server debian
Ciao Stefano, Il giorno mer, 07/03/2012 alle 10.34 +0100, stefano ha scritto: [...] > - come si imposta l'autenticazione al momento della connessione alla > rete locale? Cosa vuol dire "al momento della connessione"? Nel caso di wifi puoi probabilmente arrivare a configurare gli access point per richiedere delle credenziali da verificare su un LDAP o AD. Ma se ci sono connessioni via cavo non lo puoi fare in questo modo. Se invece intendi al login dell'utente, allora devi creare un dominio Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente Linux. Devi poi configurare i PC Windows per appartenere al dominio, e quelli Windows per l'autenticazione via nss/pam a LDAP. > - come si impostano poi i diversi permessi sui siti internet > consultabili a seconda del gruppo di appartenenza dell'utente? Dipende da come sono pubblicate le applicazioni. Una soluzione potrebbe essere quella di far fare tutto al server web. Ad esempio apache può bloccare l'accesso ad alcuni URL tramite autenticazione. E questa autenticazione può avvenire in vari modi, ad esempio tramite LDAP. > - .come si impostano gli accessi (solo lettura o lettura/scrittura) ad > alcune cartelle presenti sul server? Con i diritti impostati in samba. Anche qui le credenziali possono essere verificate sia su AD che su LDAP. > - la dimensione della home per ogni utente ha un minimo necessario? Non credo. Il minimo è forse quello per i file che vi sono copiati alla creazione. Ciao, G. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1331126132.2696.32.camel@scarafaggio
sistema di autenticazione ldap su server debian
Ciao a tutti, ho una serie di quesiti riguardanti la realizzazione di un sistema di autenticazione con ldap su squeeze. ho una rete con server debian squeeze con squid, samba, apache, ldap, nss e pam(ancora da configurare) installati. un'aula con 30 pc e la connessione wifi (quindi altri utenti sia linux che windows). il mio intento è creare un sistema di autenticazione da parte degli utenti (opportunamente registrati) divisi in gruppi con permessi diversi riguardo le tipologie di siti internet da poter consultare e l'accesso a risorse didattiche presenti sul server. Sostanzialmente l'autenticazione deve avvenire quando il pc si connette alla rete. mi sono abbastanza chiari i ruoli di nss e pam ma non totalmente e riporto questi miei interrogativi: - come si imposta l'autenticazione al momento della connessione alla rete locale? - come si impostano poi i diversi permessi sui siti internet consultabili a seconda del gruppo di appartenenza dell'utente? - .come si impostano gli accessi (solo lettura o lettura/scrittura) ad alcune cartelle presenti sul server? - la dimensione della home per ogni utente ha un minimo necessario? tante domande! online ho trovato varie guide ed alcune mi hanno aiutato parecchio ma non riesco a farmi il quadro generale di realizzazione di questo mio progetto. potete essermi d'aiuto in qualche modo consigliandomi anche risorse "didattiche" online? Grazie Stefano
Re: Autenticazione ldap
Nel mio caso non lo aveva installato, ecco perche' nn andava. Grazie mille. Messaggio Originale Da: Paolo Ghidini <[EMAIL PROTECTED]> A: debianItalianList Oggetto: Re:Autenticazione ldap Data: 3/1/2006 10:46 > > > Pignedoli Luca ha scritto: > > >Ho provato le configurazioni che mi hai suggerito, ma pultroppo continua > >a non funzionare. Riesco a fare il login con un utente ldap ma invece > >che il prompt mi appare: > > >-bash: [: : integer expression expected > >-bash: [: !=: unary operator expected > >-bash: [: too many arguments > >-bash: [: too many arguments > >-bash: [: =: unary operator expected > >complete: usage: complete [-abcdefgjksuv] [-pr] [-o option] [-A action] > >[-G globpat] [-W wordlist] [-P prefix] [-S suffix] [-X filterpat] [-F > >function] [-C command] [name ...] > >-bash: [: too many arguments > >-bash: [: too many arguments > >-bash: [: too many arguments > >-bash: [: too many arguments > >-bash: [: too many arguments > >-bash: [: too many arguments > >-bash: [: =: unary operator expected > >-bash: [: =: unary operator expected > >-bash: [: =: unary operator expected > >-bash: [: =: unary operator expected > >-bash: [: =: unary operator expected > >-bash: [: =: unary operator expected > >-bash: [: =: unary operator expected > >-bash: [: =: unary operator expected > >-bash: [: =: unary operator expected > >-bash: [: =: unary operator expected > >-bash: [: too many arguments > >-bash: [: =: unary operator expected > >I have no [EMAIL PROTECTED]:~$ ls > >Segmentation fault > >I have no [EMAIL PROTECTED]:~$ > > > >Una domanda, forse stupida ma mi e' venuto il dubbio, devo installare > >nscd (Name Service Cache Daemon? > > >Grazie per l'aiuto. > > > si ma di solito lo installa con libnss-ldap > > Ghido > > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Autenticazione ldap
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pignedoli Luca ha scritto: >Ho provato le configurazioni che mi hai suggerito, ma pultroppo continua >a non funzionare. Riesco a fare il login con un utente ldap ma invece >che il prompt mi appare: > >-bash: [: : integer expression expected >-bash: [: !=: unary operator expected >-bash: [: too many arguments >-bash: [: too many arguments >-bash: [: =: unary operator expected >complete: usage: complete [-abcdefgjksuv] [-pr] [-o option] [-A action] >[-G globpat] [-W wordlist] [-P prefix] [-S suffix] [-X filterpat] [-F >function] [-C command] [name ...] >-bash: [: too many arguments >-bash: [: too many arguments >-bash: [: too many arguments >-bash: [: too many arguments >-bash: [: too many arguments >-bash: [: too many arguments >-bash: [: =: unary operator expected >-bash: [: =: unary operator expected >-bash: [: =: unary operator expected >-bash: [: =: unary operator expected >-bash: [: =: unary operator expected >-bash: [: =: unary operator expected >-bash: [: =: unary operator expected >-bash: [: =: unary operator expected >-bash: [: =: unary operator expected >-bash: [: =: unary operator expected >-bash: [: too many arguments >-bash: [: =: unary operator expected >I have no [EMAIL PROTECTED]:~$ ls >Segmentation fault >I have no [EMAIL PROTECTED]:~$ > > >Una domanda, forse stupida ma mi e' venuto il dubbio, devo installare >nscd (Name Service Cache Daemon? > >Grazie per l'aiuto. > > si ma di solito lo installa con libnss-ldap Ghido -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFDukfml4zC+Sz0Gl4RAkyTAJ9XnddEZ0R9KsoChKAe2uHi+WNaiACgqdw4 Rm+fKsjmGDF1X205JWScygY= =XURb -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Autenticazione ldap
Ho provato le configurazioni che mi hai suggerito, ma pultroppo continua a non funzionare. Riesco a fare il login con un utente ldap ma invece che il prompt mi appare: -bash: [: : integer expression expected -bash: [: !=: unary operator expected -bash: [: too many arguments -bash: [: too many arguments -bash: [: =: unary operator expected complete: usage: complete [-abcdefgjksuv] [-pr] [-o option] [-A action] [-G globpat] [-W wordlist] [-P prefix] [-S suffix] [-X filterpat] [-F function] [-C command] [name ...] -bash: [: too many arguments -bash: [: too many arguments -bash: [: too many arguments -bash: [: too many arguments -bash: [: too many arguments -bash: [: too many arguments -bash: [: =: unary operator expected -bash: [: =: unary operator expected -bash: [: =: unary operator expected -bash: [: =: unary operator expected -bash: [: =: unary operator expected -bash: [: =: unary operator expected -bash: [: =: unary operator expected -bash: [: =: unary operator expected -bash: [: =: unary operator expected -bash: [: =: unary operator expected -bash: [: too many arguments -bash: [: =: unary operator expected I have no [EMAIL PROTECTED]:~$ ls Segmentation fault I have no [EMAIL PROTECTED]:~$ Una domanda, forse stupida ma mi e' venuto il dubbio, devo installare nscd (Name Service Cache Daemon? Grazie per l'aiuto. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Autenticazione ldap
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pignedoli Luca ha scritto: > > Messaggio Originale >Da: Paolo Ghidini <[EMAIL PROTECTED]> >A: debian-italian >Oggetto: Re:Autenticazione ldap >Data: 2/1/2006 15:49 > >>Prova a vedere se c'è in /etc/nsswith >> >>passwd: compat ldap >>group: compat ldap >>shadow: compat ldap > > >Si, questo l'ho fatto. Infatti con getnet passwd vedo sia gli utenti in >/etc/passwd che in ldap. > >>e se hai sistemato /etc/pam_ldap.conf e /etc/libnss-ldap.conf >>secondo il tuo dominio > > >Quei due file li ha configurati debian durante l'installazione e >contengono solo i seguenti prametri: > >libnss-ldap.conf: > >host 127.0.0.1 >base dc=test >ldap_version 2 >binddn cn=admin,dc=test >bindpw secret base dc=miodominio,dc=it host mioserver ldap_version 3 rootbinddn cn=admin,dc=miodominio,dc=it scope one nss_base_passwd ou=People,dc=miodominio,dc=it?one nss_base_shadow ou=People,dc=miodominio,dc=it?one nss_base_group ou=Group,dc=miodominio,dc=it?one e la password di rootbinddn è in /etc/ldap.secret > >Tutto il resto e' commentato > >pam_ldap.conf: > >host 127.0.0.1 >base dc=test >ldap_version 2 >binddn cn=admin,dc=test >bindpw secret >pam_password crypt > base dc=miodominio,dc=it host mioserver ldap_version 3 rootbinddn cn=admin,dc=miodominio,dc=it scope one nss_base_passwd ou=People,dc=miodominio,dc=it?one nss_base_shadow ou=People,dc=miodominio,dc=it?one nss_base_group ou=Group,dc=miodominio,dc=it?one pam_filter objectclass=posixAccount pam_login_attribute uid pam_password md5 io utilizzo ldaps e quindi i miei file sono leggermente diversi a quelli che ti ho scritto sopra >Tutto il resto e' commentato. > >Devo aggiungere qualcosa? io ho anche il file /etc/ldap/ldap.conf BASEdc=miodominio,dc=it HOST ldap://mioserver rootbinddn cn=admin,dc=miodominio,dc=it pam_filter objectclass=posixAccount pam_login_attribute uid pam_member_attribute gid pam_template_login_attribute uid pam_password md5 Spero di esserti stato d'aiuto. ciao Ghido -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFDuj19l4zC+Sz0Gl4RAnYZAKCb2RddPazml6OOWiHUQaXQ48HyPQCfTXCj m1ZLHrOTH1QrOQXT/6iP7Xc= =Qvh7 -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Autenticazione ldap
> Prova a vedere se c'è in /etc/nsswith > > passwd: compat ldap > group: compat ldap > shadow: compat ldap Si, questo l'ho fatto. Infatti con getnet passwd vedo sia gli utenti in /etc/passwd che in ldap. > > e se hai sistemato /etc/pam_ldap.conf e /etc/libnss-ldap.conf > secondo il tuo dominio Quei due file li ha configurati debian durante l'installazione e contengono solo i seguenti prametri: libnss-ldap.conf: host 127.0.0.1 base dc=test ldap_version 2 binddn cn=admin,dc=test bindpw secret Tutto il resto e' commentato pam_ldap.conf: host 127.0.0.1 base dc=test ldap_version 2 binddn cn=admin,dc=test bindpw secret pam_password crypt Tutto il resto e' commentato. Devo aggiungere qualcosa? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Autenticazione ldap
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Prova a vedere se c'è in /etc/nsswith passwd: compat ldap group: compat ldap shadow: compat ldap e se hai sistemato /etc/pam_ldap.conf e /etc/libnss-ldap.conf secondo il tuo dominio ciao Ghido Pignedoli Luca ha scritto: >Ciao a tutti e Buon Anno. > >Ho un piccolo problema con l'autenticazione degli utenti su un server >con backend ldap e sinceramente non so' da cosa dipende: > >Sul server (debian etch) ho installato samba + ldap e adesso stavo >cercando di abilitare l'autenticazioe degli utenti con pam+ldap. > >Ho modificato i file in /etc/pam.d e stavo testando l'autenticazione e >mi succede una cosa assai strana: > >quando mi loggo con un utente (ho provato sia ssh che con su - user) mi >appare: >-su: [: : integer expression expected >I have no [EMAIL PROTECTED]:~$ > >e non riesco a dare nessun comando, l'unica soluzione e' uscire con CTRL+D. > >Dove puo' essere l'errore? > >Io ho usato l'HOWTO trovato su >http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_pdc_howto_1.0.3.php > >Grazie mille per l'aiuto > > -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFDuT1rl4zC+Sz0Gl4RAsySAJ9Hp8qtPxmyKyrck5WDPN20Yp4sSACgop1r hUvkVcBlAWpSZpAMW82+ObQ= =xDFe -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Autenticazione ldap
Ciao a tutti e Buon Anno. Ho un piccolo problema con l'autenticazione degli utenti su un server con backend ldap e sinceramente non so' da cosa dipende: Sul server (debian etch) ho installato samba + ldap e adesso stavo cercando di abilitare l'autenticazioe degli utenti con pam+ldap. Ho modificato i file in /etc/pam.d e stavo testando l'autenticazione e mi succede una cosa assai strana: quando mi loggo con un utente (ho provato sia ssh che con su - user) mi appare: -su: [: : integer expression expected I have no [EMAIL PROTECTED]:~$ e non riesco a dare nessun comando, l'unica soluzione e' uscire con CTRL+D. Dove puo' essere l'errore? Io ho usato l'HOWTO trovato su http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_pdc_howto_1.0.3.php Grazie mille per l'aiuto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: autenticazione ldap
Ciao, Manuele Rampazzo disse: > ho qualche problema :-) a configurare correttamente l'LDAP, in modo che > utilizzi sia l'autenticazione LDAP che, quando l'utente non esiste > nell'albero LDAP, la normale autenticazione unix. Risolto :-) Ho spostato in common-password l'opzione "use_first_pass" che in effetti ;-) sembrava fuori luogo su pam_unix.so e, come per magia, adesso funziona :-) # adduser pippolo Adding user `pippolo'... Adding new group `pippolo' (1000). Adding new user `pippolo' (1000) with group `pippolo'. Creating home directory `/home/pippolo'. Copying files from `/etc/skel' Enter new UNIX password: # cat /etc/pam.d/common-* | grep -v ^# account requiredpam_unix.so account sufficient pam_ldap.so authrequiredpam_unix.so nullok_secure try_first_pass authsufficient pam_ldap.so password required pam_unix.so nullok obscure min=4 max=8 md5 password sufficient pam_ldap.so md5 use_first_pass session requiredpam_unix.so session sufficient pam_ldap.so Ciao, Manu -- "È ricercando l'impossibile che l'uomo ha sempre realizzato il possibile. Coloro che si sono saggiamente limitati a ciò che appariva loro come possibile, non hanno mai avanzato di un solo passo." Michail Bakunin (1814 - 1876) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: autenticazione ldap
Manuele Rampazzo wrote: >Ciao, > >Manuele Rampazzo disse: > > >>passwd: Authentication information cannot be recovered >> >> > >Credo proprio che il pasticcio sia in common-passwd, in quanto se creo >l'utente senza password (adduser --disabled-password pippolo) l'utente >viene creato correttamente, pur ovviamente senza password. > > in pratica allora l'autenticazione funziona sia su LDAP che flat-file ma il problema lo riscontri nell'aggiunta dell'utente unix? forse come suggerisci tu è l'utility adduser che non tiene conto della configurazione e fa casino (è solo una ipotesi) a tal proposito trovo assurdo che adduser crei in via preliminare la home dell'utente per poi cancellarla nel caso l'operazione non vada a buon fine (forse mi sfugge qualcosa?) da approccio come webmaster in genere prima controllo che tutti i dati siano ok e poi faccio l'operazione... adduser errato Adding user `errato'... Adding new group `errato' (1004). Adding new user `errato' (1004) with group `errato'. Creating home directory `/home/errato'. Copying files from `/etc/skel' !!! a questo punto ho la /home/errato una entry in /etc/passwd una in /etc/shadow e una in /etc/group molto bello :-) Enter new UNIX password: Retype new UNIX password: Sorry, passwords do not match ok le password non corrispondono e allora cancella tutto quello fatto fin'ora, ma che motivo c'era di andare a disturbare tutti i file di autenticazione, l'unica cosa che mi viene in mente è che forse si è scelta la via più facile per permettere a due amministratori di aggiungere in contemporanea utenti "prenotando" l'UID a inizio procedura ma la cosa sarebbe fattibile anche a fine procedura passwd: Authentication information cannot be recovered adduser: `/usr/bin/passwd errato' returned error code 10. Aborting. Cleaning up. Removing directory `/home/errato' Removing user `errato'. Removing group `errato'. groupdel: group errato does not exist Alessandro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: autenticazione ldap
Ciao, Manuele Rampazzo disse: > passwd: Authentication information cannot be recovered Credo proprio che il pasticcio sia in common-passwd, in quanto se creo l'utente senza password (adduser --disabled-password pippolo) l'utente viene creato correttamente, pur ovviamente senza password. > # common-password > password required pam_unix.so nullok obscure min=4 max=8 md5 > use_first_pass > password sufficient pam_ldap.so md5 Non riesco però a capire perché quanto scritto sopra non funzioni... Ciao, Manu -- "È ricercando l'impossibile che l'uomo ha sempre realizzato il possibile. Coloro che si sono saggiamente limitati a ciò che appariva loro come possibile, non hanno mai avanzato di un solo passo." Michail Bakunin (1814 - 1876) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
autenticazione ldap
Ciao, ho qualche problema :-) a configurare correttamente l'LDAP, in modo che utilizzi sia l'autenticazione LDAP che, quando l'utente non esiste nell'albero LDAP, la normale autenticazione unix. In particolare ho un problema con adduser... Volendo aggiungere un utente (che esisterà solo su questa macchina) ottengo un bel: # adduser pippolo Adding user `pippolo'... Adding new group `pippolo' (1000). Adding new user `pippolo' (1000) with group `pippolo'. Creating home directory `/home/pippolo'. Copying files from `/etc/skel' passwd: Authentication information cannot be recovered adduser: `/usr/bin/passwd pippolo' returned error code 10. Aborting. Cleaning up. Removing directory `/home/pippolo' Removing user `pippolo'. Removing group `pippolo'. groupdel: group pippolo does not exist # Per il resto, funziona perfettamente il login con un utente già esistente nell'albero LDAP. I contenuti dei vari /etc/pam.d/common-* sono i seguenti: ## # common-account account requiredpam_unix.so account sufficient pam_ldap.so # common-auth authrequiredpam_unix.so nullok_secure try_first_pass authsufficient pam_ldap.so # common-password password required pam_unix.so nullok obscure min=4 max=8 md5 use_first_pass password sufficient pam_ldap.so md5 # common-session session requiredpam_unix.so session sufficient pam_ldap.so ## Qualcuno ha qualche suggerimento da darmi? Purtroppo riesco ad ottenere tutto comodamente con RedHat e questa cosa mi scoccia un poco :-/ Ciao, Manu -- "È ricercando l'impossibile che l'uomo ha sempre realizzato il possibile. Coloro che si sono saggiamente limitati a ciò che appariva loro come possibile, non hanno mai avanzato di un solo passo." Michail Bakunin (1814 - 1876) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
