Re: ldapsearch ldap_sasl_bind(SIMPLE): Can't contact LDAP server
Davide Prina ha scritto il 23/11/20 alle 12:40: On 23/11/20 11:49, Piviul wrote: ldap_sasl_bind(SIMPLE): Can't contact LDAP server io proverei a vedere (usando stesso nome/IP usato con comando ldap): 1) raggiungo la macchina con un ping 2) la porta è aperta con telnet sono prove stupide, ma eliminano la possibilità che il problema sia causato da componenti terzi. il ping viene raggiunto e anche le porte 389 e 636 sono aperte e raggiungibili con telnet Poi io cercherei su intenet con un motore di ricerca (es: https://duckduckgo.com) il tuo errore e vedrei possibili cause/soluzioni, ad esempio qui: https://www.linuxquestions.org/questions/linux-server-73/ldap_sasl_bind-simple-can%27t-contact-ldap-server-1-a-793319/ Se neanche così si capisce il problema, allora si può cercare di usare un comando più semplice, con meno opzioni, ... Dal link che mi hai mandato ho scoperto che esiste il parametro -d in ldapsearch che abilita il debug level così ho scoperto che il problema è dovuto al certificato autofirmato del server ldap... in altre parole Davide mille grazie ancora una volta. Piviul
Re: ldapsearch ldap_sasl_bind(SIMPLE): Can't contact LDAP server
On 23/11/20 11:49, Piviul wrote: ldap_sasl_bind(SIMPLE): Can't contact LDAP server io proverei a vedere (usando stesso nome/IP usato con comando ldap): 1) raggiungo la macchina con un ping 2) la porta è aperta con telnet sono prove stupide, ma eliminano la possibilità che il problema sia causato da componenti terzi. Poi io cercherei su intenet con un motore di ricerca (es: https://duckduckgo.com) il tuo errore e vedrei possibili cause/soluzioni, ad esempio qui: https://www.linuxquestions.org/questions/linux-server-73/ldap_sasl_bind-simple-can%27t-contact-ldap-server-1-a-793319/ Se neanche così si capisce il problema, allora si può cercare di usare un comando più semplice, con meno opzioni, ... Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Motivi per non comprare/usare ms-windows-vista: http://badvista.fsf.org/ Non autorizzo la memorizzazione del mio indirizzo su outlook
ldapsearch ldap_sasl_bind(SIMPLE): Can't contact LDAP server
Ciao a tutti, ho un dominio AD che vorrei interrogare con ldapsearch da uno dei miei client debian. Se provo ad interrogarlo ottengo l'errore: ldap_sasl_bind(SIMPLE): Can't contact LDAP server Lo stesso comando identico eseguito su un client che non gestisco io e che ha installato centOS 7.8 restituisce correttamente l'output di ldapsearch. Il comando incriminato è qualcosa tipo: ldapsearch -D ldapservice@ad.$domII.$domI -w $ldappwd -b CN=Users,DC=ad,DC=$domII,DC=$domI -H ldaps://$nsdc.ad.$domII.$dom dove $domI contiene il TLD (.com o .it per intenderci), $domII contiene il dominio di secondo livello, $ldappwd contiene la password ldap ed infine $nsdc contiene il nome del server nsdc. Avete idea di come debuggare la cosa? Manca qualche pacchetto ai miei client debian? Grazie! Piviul
Re: Cambiare IP del server LDAP su client
Il 08/06/20 18:46, Antonio ha scritto: > Il 08/06/20 07:22, Nicola Ferrari (#554252) ha scritto: >> Il 6/8/20 12:08 AM, Antonio ha scritto: >>> Possibile che l'unico modo sia quello che di fare: >>> >>> pkg-reconfigure libnss-ldap >> Io proverei con >> grep -ri "vecchio.ip" /etc >> >> così trovi al volo tutte le occorrenze in etc e le puoi eventualmente >> sistemare >> >> N >> >> PS: curiosità.. perchè non lasciare lo stesso ip al nuovo server? > Ottima dritta! Grazie. > > Risultato: > > /etc/pam_ldap.conf:uri ldap://192.168.20.2/ > > /etc/ldap/ldap.conf:URI ldap://192.168.20.2 > /etc/libnss-ldap.conf:uri ldap://192.168.20.2 > > In quanto alla curiosità, il vecchio server lo lascio come backup e non > voglio stare continuamente ad swappare IP. > Per chi fosse interessato, confermo che cambiando l'IP nei tre file di cui sopra, il client fai lo switching immediato per la verifica della password. Non c'è' che dire: Linux Rocks!
Re: Cambiare IP del server LDAP su client
Il 08/06/20 07:22, Nicola Ferrari (#554252) ha scritto: > Il 6/8/20 12:08 AM, Antonio ha scritto: >> Possibile che l'unico modo sia quello che di fare: >> >> pkg-reconfigure libnss-ldap > Io proverei con > grep -ri "vecchio.ip" /etc > > così trovi al volo tutte le occorrenze in etc e le puoi eventualmente > sistemare > > N > > PS: curiosità.. perchè non lasciare lo stesso ip al nuovo server? Ottima dritta! Grazie. Risultato: /etc/pam_ldap.conf:uri ldap://192.168.20.2/ /etc/ldap/ldap.conf:URI ldap://192.168.20.2 /etc/libnss-ldap.conf:uri ldap://192.168.20.2 In quanto alla curiosità, il vecchio server lo lascio come backup e non voglio stare continuamente ad swappare IP.
Re: Cambiare IP del server LDAP su client
il giorno Sun, 7 Jun 2020 23:08:18 +0100 Antonio ha scritto: > Salve, > > ho da poco migrato il mio piccolo server domestico ad uno nuovo e sto > trasferendo i vari servizi. > > Devo indicare ai vari client Debian 10 di non usare più' il vecchio > server, bensì il nuovo che e' bello e pronto per accettare nuove > richieste di autenticazione. > > Mi ero illuso che bastasse cambiare l'IP nel file /etc/ldap/ldap.conf > del client ma mi sono sbagliato. Infatti, il client continua a usare il > vecchio server per le autenticazioni (ho fatto prove cambiando la > password dell'utente). forse /etc/nslcd.conf ?
Re: Cambiare IP del server LDAP su client
Il 6/8/20 12:08 AM, Antonio ha scritto: > Possibile che l'unico modo sia quello che di fare: > > pkg-reconfigure libnss-ldap Io proverei con grep -ri "vecchio.ip" /etc così trovi al volo tutte le occorrenze in etc e le puoi eventualmente sistemare N PS: curiosità.. perchè non lasciare lo stesso ip al nuovo server? -- +-+ | Linux User #554252 | +-+
Cambiare IP del server LDAP su client
Salve, ho da poco migrato il mio piccolo server domestico ad uno nuovo e sto trasferendo i vari servizi. Devo indicare ai vari client Debian 10 di non usare più' il vecchio server, bensì il nuovo che e' bello e pronto per accettare nuove richieste di autenticazione. Mi ero illuso che bastasse cambiare l'IP nel file /etc/ldap/ldap.conf del client ma mi sono sbagliato. Infatti, il client continua a usare il vecchio server per le autenticazioni (ho fatto prove cambiando la password dell'utente). Possibile che l'unico modo sia quello che di fare: pkg-reconfigure libnss-ldap |??| |Ma linux non era tutto un file :-) | -- Respect your privacy and that of others, don't give your data to big corporations. Use alternatives like Signal (https://whispersystems.org/) for your messaging or Diaspora* (https://joindiaspora.com/) for your social networking.S
Re: R: Re: R: Re: proFTPd e LDAP
Il link che ti ho postato serviva semplicemente per verificare che lo schema samba4 con backend ldap integrato era corretto, non per configurare apache con il demone in questione. Fai una prova con proftpd e samba4 e posta eventualmente i messaggi di errore che si trovano sotto relativi a samba Il 06/07/2015 11:23, vincenzo_barcell...@libero.it ha scritto: Allora.. ho provato a fare quello che dice il file ma ho trovato dei problemi: 1- httpd.conf non trovato: leggendo qua e là è stato sostituito da apache2. conf 2- editando apache2.conf al riavvio del demone mi da errore.. e mi pare di capire che le modifiche da apportare al file conf siano diverse rispetto a questo file di configurazione. Grazie Vincenzo Messaggio originale Da: vincenzo_barcell...@libero.it Data: 6-lug-2015 9.19 A: debian-italian@lists.debian.org Ogg: R: Re: R: Re: proFTPd e LDAP Il link l'ho letto, ma non ho ancora provato.. proverò oggi. Poi ti so dire.. Grazie Messaggio originale Da: mapirol...@gmail.com Data: 4-lug-2015 13.21 A: debian-italian@lists.debian.org Ogg: Re: R: Re: proFTPd e LDAP Ciao Vincenzo, hai letto il link? Sei riuscito a far mettere in comunicazione Proftpd con samba 4? -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1773993700.3876681436167147158.JavaMail. ht...@webmail-42.iol.local -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/559c17ac.8000...@gmail.com
R: Re: R: Re: proFTPd e LDAP
Allora.. ho provato a fare quello che dice il file ma ho trovato dei problemi: 1- httpd.conf non trovato: leggendo qua e là è stato sostituito da apache2. conf 2- editando apache2.conf al riavvio del demone mi da errore.. e mi pare di capire che le modifiche da apportare al file conf siano diverse rispetto a questo file di configurazione. Grazie Vincenzo Messaggio originale Da: vincenzo_barcell...@libero.it Data: 6-lug-2015 9.19 A: debian-italian@lists.debian.org Ogg: R: Re: R: Re: proFTPd e LDAP Il link l'ho letto, ma non ho ancora provato.. proverò oggi. Poi ti so dire.. Grazie Messaggio originale Da: mapirol...@gmail.com Data: 4-lug-2015 13.21 A: debian-italian@lists.debian.org Ogg: Re: R: Re: proFTPd e LDAP Ciao Vincenzo, hai letto il link? Sei riuscito a far mettere in comunicazione Proftpd con samba 4? -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1773993700.3876681436167147158.JavaMail. ht...@webmail-42.iol.local -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/931490477.3933681436174598117.javamail.ht...@webmail-42.iol.local
R: Re: R: Re: proFTPd e LDAP
Il link l'ho letto, ma non ho ancora provato.. proverò oggi. Poi ti so dire.. Grazie Messaggio originale Da: mapirol...@gmail.com Data: 4-lug-2015 13.21 A: debian-italian@lists.debian.org Ogg: Re: R: Re: proFTPd e LDAP Ciao Vincenzo, hai letto il link? Sei riuscito a far mettere in comunicazione Proftpd con samba 4? -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1773993700.3876681436167147158.javamail.ht...@webmail-42.iol.local
Re: R: Re: proFTPd e LDAP
Ciao Vincenzo, hai letto il link? Sei riuscito a far mettere in comunicazione Proftpd con samba 4? Il 02/07/2015 15:30, vincenzo_barcell...@libero.it ha scritto: Messaggio originale Da: nicola...@yahoo.it Data: 11-giu-2015 13.24 A: debian-italian@lists.debian.org Ogg: Re: proFTPd e LDAP Il 09/06/2015 11:15, vincenzo_barcell...@libero.it ha scritto: Buongiorno a tutti, mi chiamo Vincenzo ed è la prima volta nel gruppo. Ieri ho installato l'ultima versione di Debian solo console (senza interfaccia grafica).. ho installato proftpd e l'ho quasi configurato.. Poi per sfizio installo anche webmin e il modulo per proFTPd.. A sto punto provo a collegarmi con l'utente proftpd (dopo avergli cambiato pwd), ma non funziona, mentre mi fa entrare se uso il mio utente di sistema, e mi accontento così.. Adesso volevo collegarlo ad un serverino con su samba che funziona da pseudo LDAP (non c'è installato openLDAP, ma usa i servizi di samba come active directory.. almeno mi pare di aver capito così). Aggiungo in /etc/proftpd/proftpd.conf la riga: AuthOrdermod_ldap.c Inoltre sempre in questo file modifico o tolgo il commento da altre righe: UseIPv6 off ServerName FTP DebianTESt PersistentPasswd off Include /etc/proftpd/ldap.conf e poi modifico il file /etc/proftpd/ldap.conf in questo modo: IfModule mod_ldap.c LDAPServer ldap://192.168.0.5# l'IP del serverino LDAP LDAPBindDN cn=User,dc=hcis Pippo\ # la password è Pippo con le virgolette finali LDAPUsers dc=Users,dc=hcis (uid=%u) (uidNumber=%u) /IfModule Riavvio Debian e provo a collegarmi via FTP, usando un utente che c'è sull'LDAP, ma mi dice che il login è sbagliato; inoltre provo a collegarmi con il mio utente di sistema (quello di prima) e mi fallisce. Dove sbaglio? Grazie Grazie per la tua risposta..e ti chiedo scusa per l'incoveniente della doppia mail Premetto che ho letto qua e la per conoscere l'LDAP, ma non sono riuscito a trovare nulla di specifico per me (anche perchè quasi tutti parlano di openLDAP, mentre questo sistema usa solo samba) 1) Ma il dominio si chiama effettivamente hcis senza estensione? Se e' un active directory secondo me l'estensione ce l'ha eccome, ed e' .local se non specificato diversamente. quindi sostituirei con ,dc=hcis,dc=local in entrambi i campi. Ho un server che si appoggia a questa LDAP e nel campo LDAP baseDN c'è solo: cn=Users,dc=hcis Quindi presumo che dc=local non serva o non c'è 2) La BindDN e' la OU dove ricercare Il tuo utente di dominio si trova in Users? (che e' un container e non una vera e propria OU?) Se la BindDN è la stessa cosa di BaseDN.. non ho una OU, può essere? Inoltre ho installato un programma per gestire LDAP da un pc windows e queste sono le credenziali: CN=Administrator,CN=Users,DC=hcis Quindi senza dc=local e senza inserire l'organizzazione OU 3) In authorder non c'e' piu' il modulo PAM quindi l'autenticazione locale non funziona... Prova a modificare la riga cosi': AuthOrdermod_ldap.c mod_auth_pam.c fatto, ma non funziona lo stesso 4) In Linux raramente occorre riavviare tutta la macchina... normalmente si riavviano solo i servizi di cui si e' toccata la configurazione, quindi un bel service proftpd restart dovrebbe bastare. I reboot normalmente servono quasi solo se si tocca con aggiornamenti o altro, il kernel. Ok, questo l'ho imparato. Grazie ancora Procediamo per gradi. Ciao, N -- +-+ | Linux User #554252 | +-+ -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5597c1a9.20...@gmail.com
R: Re: proFTPd e LDAP
Messaggio originale Da: nicola...@yahoo.it Data: 11-giu-2015 13.24 A: debian-italian@lists.debian.org Ogg: Re: proFTPd e LDAP Il 09/06/2015 11:15, vincenzo_barcell...@libero.it ha scritto: Buongiorno a tutti, mi chiamo Vincenzo ed è la prima volta nel gruppo. Ieri ho installato l'ultima versione di Debian solo console (senza interfaccia grafica).. ho installato proftpd e l'ho quasi configurato.. Poi per sfizio installo anche webmin e il modulo per proFTPd.. A sto punto provo a collegarmi con l'utente proftpd (dopo avergli cambiato pwd), ma non funziona, mentre mi fa entrare se uso il mio utente di sistema, e mi accontento così.. Adesso volevo collegarlo ad un serverino con su samba che funziona da pseudo LDAP (non c'è installato openLDAP, ma usa i servizi di samba come active directory.. almeno mi pare di aver capito così). Aggiungo in /etc/proftpd/proftpd.conf la riga: AuthOrdermod_ldap.c Inoltre sempre in questo file modifico o tolgo il commento da altre righe: UseIPv6 off ServerName FTP DebianTESt PersistentPasswd off Include /etc/proftpd/ldap.conf e poi modifico il file /etc/proftpd/ldap.conf in questo modo: IfModule mod_ldap.c LDAPServer ldap://192.168.0.5# l'IP del serverino LDAP LDAPBindDN cn=User,dc=hcis Pippo\ # la password è Pippo con le virgolette finali LDAPUsers dc=Users,dc=hcis (uid=%u) (uidNumber=%u) /IfModule Riavvio Debian e provo a collegarmi via FTP, usando un utente che c'è sull'LDAP, ma mi dice che il login è sbagliato; inoltre provo a collegarmi con il mio utente di sistema (quello di prima) e mi fallisce. Dove sbaglio? Grazie Grazie per la tua risposta..e ti chiedo scusa per l'incoveniente della doppia mail Premetto che ho letto qua e la per conoscere l'LDAP, ma non sono riuscito a trovare nulla di specifico per me (anche perchè quasi tutti parlano di openLDAP, mentre questo sistema usa solo samba) 1) Ma il dominio si chiama effettivamente hcis senza estensione? Se e' un active directory secondo me l'estensione ce l'ha eccome, ed e' .local se non specificato diversamente. quindi sostituirei con ,dc=hcis,dc=local in entrambi i campi. Ho un server che si appoggia a questa LDAP e nel campo LDAP baseDN c'è solo: cn=Users,dc=hcis Quindi presumo che dc=local non serva o non c'è 2) La BindDN e' la OU dove ricercare Il tuo utente di dominio si trova in Users? (che e' un container e non una vera e propria OU?) Se la BindDN è la stessa cosa di BaseDN.. non ho una OU, può essere? Inoltre ho installato un programma per gestire LDAP da un pc windows e queste sono le credenziali: CN=Administrator,CN=Users,DC=hcis Quindi senza dc=local e senza inserire l'organizzazione OU 3) In authorder non c'e' piu' il modulo PAM quindi l'autenticazione locale non funziona... Prova a modificare la riga cosi': AuthOrdermod_ldap.c mod_auth_pam.c fatto, ma non funziona lo stesso 4) In Linux raramente occorre riavviare tutta la macchina... normalmente si riavviano solo i servizi di cui si e' toccata la configurazione, quindi un bel service proftpd restart dovrebbe bastare. I reboot normalmente servono quasi solo se si tocca con aggiornamenti o altro, il kernel. Ok, questo l'ho imparato. Grazie ancora Procediamo per gradi. Ciao, N -- +-+ | Linux User #554252 | +-+ -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/2074256892.3186961435843806388.javamail.ht...@webmail-42.iol.local
Re: R: Re: proFTPd e LDAP
Premetto che la guida in questione non tratta proftpd ma apache. Rimando al link ufficiale di samba4 https://wiki.samba.org/index.php/Authenticating_other_services_against_AD Il 02/07/2015 15:30, vincenzo_barcell...@libero.it ha scritto: Messaggio originale Da: nicola...@yahoo.it Data: 11-giu-2015 13.24 A: debian-italian@lists.debian.org Ogg: Re: proFTPd e LDAP Il 09/06/2015 11:15, vincenzo_barcell...@libero.it ha scritto: Buongiorno a tutti, mi chiamo Vincenzo ed è la prima volta nel gruppo. Ieri ho installato l'ultima versione di Debian solo console (senza interfaccia grafica).. ho installato proftpd e l'ho quasi configurato.. Poi per sfizio installo anche webmin e il modulo per proFTPd.. A sto punto provo a collegarmi con l'utente proftpd (dopo avergli cambiato pwd), ma non funziona, mentre mi fa entrare se uso il mio utente di sistema, e mi accontento così.. Adesso volevo collegarlo ad un serverino con su samba che funziona da pseudo LDAP (non c'è installato openLDAP, ma usa i servizi di samba come active directory.. almeno mi pare di aver capito così). Aggiungo in /etc/proftpd/proftpd.conf la riga: AuthOrdermod_ldap.c Inoltre sempre in questo file modifico o tolgo il commento da altre righe: UseIPv6 off ServerName FTP DebianTESt PersistentPasswd off Include /etc/proftpd/ldap.conf e poi modifico il file /etc/proftpd/ldap.conf in questo modo: IfModule mod_ldap.c LDAPServer ldap://192.168.0.5# l'IP del serverino LDAP LDAPBindDN cn=User,dc=hcis Pippo\ # la password è Pippo con le virgolette finali LDAPUsers dc=Users,dc=hcis (uid=%u) (uidNumber=%u) /IfModule Riavvio Debian e provo a collegarmi via FTP, usando un utente che c'è sull'LDAP, ma mi dice che il login è sbagliato; inoltre provo a collegarmi con il mio utente di sistema (quello di prima) e mi fallisce. Dove sbaglio? Grazie Grazie per la tua risposta..e ti chiedo scusa per l'incoveniente della doppia mail Premetto che ho letto qua e la per conoscere l'LDAP, ma non sono riuscito a trovare nulla di specifico per me (anche perchè quasi tutti parlano di openLDAP, mentre questo sistema usa solo samba) 1) Ma il dominio si chiama effettivamente hcis senza estensione? Se e' un active directory secondo me l'estensione ce l'ha eccome, ed e' .local se non specificato diversamente. quindi sostituirei con ,dc=hcis,dc=local in entrambi i campi. Ho un server che si appoggia a questa LDAP e nel campo LDAP baseDN c'è solo: cn=Users,dc=hcis Quindi presumo che dc=local non serva o non c'è 2) La BindDN e' la OU dove ricercare Il tuo utente di dominio si trova in Users? (che e' un container e non una vera e propria OU?) Se la BindDN è la stessa cosa di BaseDN.. non ho una OU, può essere? Inoltre ho installato un programma per gestire LDAP da un pc windows e queste sono le credenziali: CN=Administrator,CN=Users,DC=hcis Quindi senza dc=local e senza inserire l'organizzazione OU 3) In authorder non c'e' piu' il modulo PAM quindi l'autenticazione locale non funziona... Prova a modificare la riga cosi': AuthOrdermod_ldap.c mod_auth_pam.c fatto, ma non funziona lo stesso 4) In Linux raramente occorre riavviare tutta la macchina... normalmente si riavviano solo i servizi di cui si e' toccata la configurazione, quindi un bel service proftpd restart dovrebbe bastare. I reboot normalmente servono quasi solo se si tocca con aggiornamenti o altro, il kernel. Ok, questo l'ho imparato. Grazie ancora Procediamo per gradi. Ciao, N -- +-+ | Linux User #554252 | +-+ -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/55959e63.1010...@gmail.com
Re: proFTPd e LDAP
Il 09/06/2015 11:15, vincenzo_barcell...@libero.it ha scritto: Buongiorno a tutti, mi chiamo Vincenzo ed è la prima volta nel gruppo. Ieri ho installato l'ultima versione di Debian solo console (senza interfaccia grafica).. ho installato proftpd e l'ho quasi configurato.. Poi per sfizio installo anche webmin e il modulo per proFTPd.. A sto punto provo a collegarmi con l'utente proftpd (dopo avergli cambiato pwd), ma non funziona, mentre mi fa entrare se uso il mio utente di sistema, e mi accontento così.. Adesso volevo collegarlo ad un serverino con su samba che funziona da pseudo LDAP (non c'è installato openLDAP, ma usa i servizi di samba come active directory.. almeno mi pare di aver capito così). Aggiungo in /etc/proftpd/proftpd.conf la riga: AuthOrdermod_ldap.c Inoltre sempre in questo file modifico o tolgo il commento da altre righe: UseIPv6 off ServerName FTP DebianTESt PersistentPasswd off Include /etc/proftpd/ldap.conf e poi modifico il file /etc/proftpd/ldap.conf in questo modo: IfModule mod_ldap.c LDAPServer ldap://192.168.0.5# l'IP del serverino LDAP LDAPBindDN cn=User,dc=hcis Pippo\ # la password è Pippo con le virgolette finali LDAPUsers dc=Users,dc=hcis (uid=%u) (uidNumber=%u) /IfModule Riavvio Debian e provo a collegarmi via FTP, usando un utente che c'è sull'LDAP, ma mi dice che il login è sbagliato; inoltre provo a collegarmi con il mio utente di sistema (quello di prima) e mi fallisce. Dove sbaglio? Grazie 1) Ma il dominio si chiama effettivamente hcis senza estensione? Se e' un active directory secondo me l'estensione ce l'ha eccome, ed e' .local se non specificato diversamente. quindi sostituirei con ,dc=hcis,dc=local in entrambi i campi. 2) La BindDN e' la OU dove ricercare Il tuo utente di dominio si trova in Users? (che e' un container e non una vera e propria OU?) 3) In authorder non c'e' piu' il modulo PAM quindi l'autenticazione locale non funziona... Prova a modificare la riga cosi': AuthOrdermod_ldap.c mod_auth_pam.c 4) In Linux raramente occorre riavviare tutta la macchina... normalmente si riavviano solo i servizi di cui si e' toccata la configurazione, quindi un bel service proftpd restart dovrebbe bastare. I reboot normalmente servono quasi solo se si tocca con aggiornamenti o altro, il kernel. Procediamo per gradi. Ciao, N -- +-+ | Linux User #554252 | +-+ -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/mlbr5i$90r$1...@ger.gmane.org
proFTPd e LDAP
Buongiorno a tutti, mi chiamo Vincenzo ed è la prima volta nel gruppo. Ieri ho installato l'ultima versione di Debian solo console (senza interfaccia grafica).. ho installato proftpd e l'ho quasi configurato..Poi per sfizio installo anche webmin e il modulo per proFTPd.. A sto punto provo a collegarmi con l'utente proftpd (dopo avergli cambiato pwd), ma non funziona, mentre mi fa entrare se uso il mio utente di sistema, e mi accontento così.. Adesso volevo collegarlo ad un serverino con su samba che funziona da pseudo LDAP (non c'è installato openLDAP, ma usa i servizi di samba come active directory.. almeno mi pare di aver capito così). Aggiungo in /etc/proftpd/proftpd.conf la riga:AuthOrdermod_ldap.c Inoltre sempre in questo file modifico o tolgo il commento da altre righe:UseIPv6 off ServerName FTP DebianTESt PersistentPasswd offInclude /etc/proftpd/ldap.conf e poi modifico il file /etc/proftpd/ldap.conf in questo modo: IfModule mod_ldap.c LDAPServer ldap://192.168.0.5# l'IP del serverino LDAPLDAPBindDN cn=User,dc=hcis Pippo\ # la password è Pippo con le virgolette finaliLDAPUsers dc=Users,dc=hcis (uid=%u) (uidNumber=%u) /IfModule Riavvio Debian e provo a collegarmi via FTP, usando un utente che c'è sull'LDAP, ma mi dice che il login è sbagliato; inoltre provo a collegarmi con il mio utente di sistema (quello di prima) e mi fallisce. Dove sbaglio? Grazie
[BTS#755282] po-debconf://ssl-pam-ldap/it.po
Ciao, ho inviato questa (in realtà era nss-pam-ldap, ma ormai ho sbagliato l'Oggetto nella mail RFR e ho usato lo stesso altrimenti il bot mi si confonde). Grazie a Pierangelo per la revisione. beatrice -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-l10n-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-l10n-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140719153409.ga10...@aebea.it.invalid
[DONE] po-debconf://ssl-pam-ldap/it.po
pass 2/2 signature.asc Description: PGP signature signature.asc Description: OpenPGP digital signature
Re: [RFR] po-debconf://ssl-pam-ldap/it.po
#. Type: string #. Description #: ../nslcd.templates:2001 msgid LDAP server search base: msgstr Base di ricerca del server LDAP: qui ho dei dubbi: base credo sia riferito a server (configurazione base del server di ricerca LDAP) #. Type: select #. Description #: ../nslcd.templates:13002 msgid * never: no certificate will be requested or checked;\n * allow: a certificate will be requested, but it is not\n required or checked;\n * try: a certificate will be requested and checked, but if no\n certificate is provided, it is ignored;\n * demand: a certificate will be requested, required, and checked. msgstr * mai: non verrà richiesto né controllato alcun certificato;\n * consenti: un certificato viene richiesto, ma non in modo vincolante,\n né viene controllato;\n * prova:un certificato verrà richiesto e controllato, ma l'assenza\n di un certificato viene ignorata;\n * richiedi: un certificato viene richiesto in modo vincolante e controllato. spazi dopo i due punti e accordare i tempi verbali #. Type: error #. Description #: ../nslcd.templates:15001 #, fuzzy #| msgid #| One or more running instances of xscreensaver or xlockmore have been #| detected on this system. Because of incompatible library changes, the #| upgrade of the GNU libc library will leave you unable to authenticate to #| these programs. You should arrange for these programs to be restarted or #| stopped before continuing this upgrade, to avoid locking your users out #| of their current sessions. msgid One or more running instances of xscreensaver or xlockmore have been detected on this system. Because of incompatible library changes, the upgrade of nslcd may leave you unable to authenticate to these programs. You should arrange for these programs to be restarted or stopped before continuing this upgrade, to avoid locking your users out of their current sessions. msgstr Su questo sistema sono state rilevate una o più istanze di xscreensaver o xlockmore in esecuzione. A causa di modifiche incompatibili nella libreria, l'aggiornamento di nslcd potrà impedire di autenticarsi con questi programmi. È necessario riavviare o fermare questi servizi prima di proseguire con questo aggiornamento per evitare di buttare fuori gli utenti dalle sessioni attualmente aperte. s/ buttare fuori gli utenti dalle sessioni / chiudere le sessioni degli utenti
Re: [RFR] po-debconf://ssl-pam-ldap/it.po
On Tuesday 08 July 2014, at 11:49 +0200, Pierangelo Mancusi wrote: Ciao Correzioni accettate, tranne msgid LDAP server search base: msgstr Base di ricerca del server LDAP: qui ho dei dubbi: base credo sia riferito a server (configurazione base del server di ricerca LDAP) Si riferisce proprio alla base da cui parte la ricerca: «A search base (the distinguished name of the search base object) defines the location in the directory from which the LDAP search begins.» Grazie! beatrice -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-l10n-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-l10n-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140708122231.gb6...@aebea.it.invalid
Re: [RFR] po-debconf://ssl-pam-ldap/it.po
On Monday 07 July 2014, at 00:02 +0200, Pierangelo Mancusi wrote: ciao Beatrice, credo manchi qualcosa :) -sig- un'altra volta :( eccolo, scusate beatrice # Italian translation of nss-pam-ldapd debconf messages. # Copyright (C) 2013, Beatrice Torracca # This file is distributed under the same license as the nss-pam-ldapd package. # Translators: # Vincenzo Campanella vin...@gmail.com, 2009, 2010. # Beatrice Torracca beatri...@libero.it, 2013, 2014. msgid msgstr Project-Id-Version: nss-pam-ldapd 0.8.13-2\n Report-Msgid-Bugs-To: nss-pam-ld...@packages.debian.org\n POT-Creation-Date: 2014-06-08 11:45+0200\n PO-Revision-Date: 2014-07-04 14:28+0200\n Last-Translator: Beatrice Torracca beatri...@libero.it\n Language-Team: Italian debian-l10n-italian@lists.debian.org\n Language: it\n MIME-Version: 1.0\n Content-Type: text/plain; charset=UTF-8\n Content-Transfer-Encoding: 8bit\n Plural-Forms: nplurals=2; plural=(n != 1);\n X-Generator: Virtaal 0.7.1\n #. Type: string #. Description #: ../nslcd.templates:1001 msgid LDAP server URI: msgstr URI del server LDAP: #. Type: string #. Description #: ../nslcd.templates:1001 msgid Please enter the Uniform Resource Identifier of the LDAP server. The format is \ldap://hostname_or_IP_address:port/\. Alternatively, \ldaps://\ or \ldapi://\ can be used. The port number is optional. msgstr Inserire l'URI (Uniform Resource Identifier) del server LDAP. Il formato è «ldap://nomehost_o_indirizzo_IP:porta»; è anche possibile usare «ldaps://» oppure «ldapi://». Il numero della porta è facoltativo. #. Type: string #. Description #: ../nslcd.templates:1001 msgid When using an ldap or ldaps scheme it is recommended to use an IP address to avoid failures when domain name services are unavailable. msgstr Quando si usa lo schema ldap o ldaps è raccomandato utilizzare un indirizzo IP, al fine di ridurre i rischi di errore quando i servizi dei nomi di dominio non sono disponibili. #. Type: string #. Description #: ../nslcd.templates:1001 msgid Multiple URIs can be separated by spaces. msgstr URI multipli possono essere separati da spazi. #. Type: string #. Description #: ../nslcd.templates:2001 msgid LDAP server search base: msgstr Base di ricerca del server LDAP: #. Type: string #. Description #: ../nslcd.templates:2001 msgid Please enter the distinguished name of the LDAP search base. Many sites use the components of their domain names for this purpose. For example, the domain \example.net\ would use \dc=example,dc=net\ as the distinguished name of the search base. msgstr Inserire il DN (nome distinto) della base di ricerca LDAP. Molti siti usano le componenti del loro nome di dominio per questo scopo: per esempio, il dominio «esempio.net» userebbe «dc=esempio,dc=net» come DN della base di ricerca. #. Type: select #. Choices #: ../nslcd.templates:3001 msgid none msgstr nessuna #. Type: select #. Choices #: ../nslcd.templates:3001 msgid simple msgstr semplice #. Type: select #. Choices #: ../nslcd.templates:3001 msgid SASL msgstr SASL #. Type: select #. Description #: ../nslcd.templates:3002 msgid LDAP authentication to use: msgstr Autenticazione LDAP da usare: #. Type: select #. Description #: ../nslcd.templates:3002 msgid Please choose what type of authentication the LDAP database should require (if any): msgstr Scegliere quale tipo di autenticazione deve richiedere il database LDAP: #. Type: select #. Description #: ../nslcd.templates:3002 msgid * none: no authentication;\n * simple: simple bind DN and password authentication;\n * SASL: any Simple Authentication and Security Layer mechanism. msgstr * nessuna: nessuna autenticazione;\n * semplice: semplice autenticazione con bind DN e password;\n * SASL: qualsiasi meccanismo Simple Authentication and Security Layer. #. Type: string #. Description #: ../nslcd.templates:4001 msgid LDAP database user: msgstr Utente del database LDAP: #. Type: string #. Description #: ../nslcd.templates:4001 msgid Please enter the name of the account that will be used to log in to the LDAP database. This value should be specified as a DN (distinguished name). msgstr Inserire il nome dell'account che verrà usato per eseguire l'accesso nel database LDAP. Questo valore dovrebbe essere specificato come DN (nome distinto). #. Type: password #. Description #: ../nslcd.templates:5001 msgid LDAP user password: msgstr Password dell'utente LDAP: #. Type: password #. Description #: ../nslcd.templates:5001 msgid Please enter the password that will be used to log in to the LDAP database. msgstr Inserire la password che verrà utilizzata per accedere al database LDAP. #. Type: select #. Description #: ../nslcd.templates:6001 msgid SASL mechanism to use: msgstr Meccanismo SASL da usare: #. Type: select #. Description #: ../nslcd.templates:6001 msgid Please choose the SASL mechanism that will be used to authenticate to the LDAP database: msgstr Scegliere il meccanismo SASL da usare per l'autenticazione nel
Re: [RFR] po-debconf://ssl-pam-ldap/it.po
ciao Beatrice, credo manchi qualcosa :) Il giorno 05 luglio 2014 13:28, Beatrice Torracca beatri...@libero.it ha scritto: Ciao a tutti, questo è da aggiornare e scade il 16 luglio. Ho lasciato fuzzy tutti i messaggi nuovi/cambiati. Grazie in anticipo per le revisioni, beatrice -- principale: http://www.linux.it/tp/ ausiliaria: http://fly.cnuce.cnr.it/gnu/tp/ausiliaria.html
[RFR] po-debconf://ssl-pam-ldap/it.po
Ciao a tutti, questo è da aggiornare e scade il 16 luglio. Ho lasciato fuzzy tutti i messaggi nuovi/cambiati. Grazie in anticipo per le revisioni, beatrice signature.asc Description: Digital signature
Re: php5-ldap
Piviul scrisse in data 05/08/2013 17:45: php5-ldap e da cli la funzione ldap_connect funziona, da apache2 no (ritorna false). ho risolto con: # aptitude reinstall libapache2-mod-php5 php5-ldap Una bella magia no? Ciao e grazie Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/52010727.90...@riminilug.it
Re: php5-ldap
Il giorno 06/ago/2013, alle ore 16:24, Piviul piv...@riminilug.it ha scritto: # aptitude reinstall libapache2-mod-php5 php5-ldap Una bella magia no? come soluzione estemporanea va benissimo. Resta pero' il perche' ti ha creato quel problema. se non sbaglio non hai parlato di log ne' di debugging. Hai avuto modo di vedere qualche stranezza? -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/3df504a5-9051-431a-9363-134931eb4...@nonsolocomputer.com
Re: php5-ldap
mauro scrisse in data 06/08/2013 17:00: come soluzione estemporanea va benissimo. Resta pero' il perche' ti ha creato quel problema. se non sbaglio non hai parlato di log ne' di debugging. Hai avuto modo di vedere qualche stranezza? di log ne ho analizzati parecchi ma non ho trovato nulla... il debug... in che senso? non posso debuggare ldap_connect no? Comunque in definitiva non so... in effetti sono molto perplesso. Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5201115c.30...@riminilug.it
Re: php5-ldap
Il giorno 06/ago/2013, alle ore 17:08, Piviul piv...@riminilug.it ha scritto: Comunque in definitiva non so... in effetti sono molto perplesso. nel primo post hai accennato la differenza di funzionamento tra la consolo e apache. se non ricordo male, vengono usati due file di configurazione. per la console : /etc/php5/cli/php.ini e apache2: /etc/php5/apache2/php.ini -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/bd4f513e-5881-44f8-9228-512b8a293...@nonsolocomputer.com
Re: php5-ldap
mauro scrisse in data 06/08/2013 17:31: nel primo post hai accennato la differenza di funzionamento tra la consolo e apache. se non ricordo male, vengono usati due file di configurazione. per la console : /etc/php5/cli/php.ini e apache2: /etc/php5/apache2/php.ini infatti, i 2 file come dicevo nel primo post sono identici. La spiegazione comunque non è nei files di configurazione infatti facendo un reinstall è andato a posto. Era apache2 che in qualche modo non riusciva ad utilizzare correttamente php5-ldap; ma errori non ne dava... ...bah! Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/520119c1.5020...@riminilug.it
php5-ldap
Sto quasi impazzendo: ho installato su un server php5-ldap e da cli la funzione ldap_connect funziona, da apache2 no (ritorna false). Eppure /etc/php5/cli/php.ini e /etc/php5/apache2/php.ini sono identici: root@serverone:~# diff /etc/php5/{cli,apache2}/php.ini 462d461 ;memory_limit = -1 root@serverone:~# ldap.ini anche root@serverone:~# diff /etc/php5/{cli,apache2}/conf.d/ldap.ini root@serverone:~# ma se eseguo $ds = ldap_connect('192.168.70.2') in cli si connette mentre in apache2 mi ritorna false. Qualcuno mi può indicare da cosa può dipendere? Grazie Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51ffc898.2050...@riminilug.it
Proftpd con autenticazione su ldap.
Qualcuno ha esperienza sull'autenticazione su ldap per proftpd ? Su mysql, l'ho messa su ad occhi chiusi, ma prima che a qualcuno, venga le geniale idea di usare ldap, volevo provare a farlo. Ho cercato su google, ma alla fine non ho capito nulla. Partiamo dall'assunto che con LDAP ho un rapporto conflittuale. Walter -- Per favore non inviatemi allegati in formato MS Office. Utilizza alternativamente documenti in formato OpenDocument. http://oinophilos.blogspot.com/ -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1373446819.86871.yahoomail...@web171401.mail.ir2.yahoo.com
Re: Proftpd con autenticazione su ldap.
http://retrospekt.dk/2011/08/proftpd-and-ldap-on-debian-squeeze/ Il giorno 10 luglio 2013 11:00, Walter Valenti waltervale...@yahoo.it ha scritto: Qualcuno ha esperienza sull'autenticazione su ldap per proftpd ? Su mysql, l'ho messa su ad occhi chiusi, ma prima che a qualcuno, venga le geniale idea di usare ldap, volevo provare a farlo. Ho cercato su google, ma alla fine non ho capito nulla. Partiamo dall'assunto che con LDAP ho un rapporto conflittuale. Walter -- Per favore non inviatemi allegati in formato MS Office. Utilizza alternativamente documenti in formato OpenDocument. http://oinophilos.blogspot.com/ -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1373446819.86871.yahoomail...@web171401.mail.ir2.yahoo.com -- esta es mi vida e me la vivo hasta que dios quiera
Re: Proftpd con autenticazione su ldap.
http://retrospekt.dk/2011/08/proftpd-and-ldap-on-debian-squeeze/ Avevo gia visto questo link. Il problema è non riesco ad inserire il file ldif. Ho provato in svariato modi: ldapadd -x -D cn=admin,dc=test,dc=local -W -f proftpd.ldif ldapadd -x -D cn=admin,dc=domain,dc=test,dc=local -W -f proftpd.ldif ldapadd -x -D cn=admin,dc=test,ou=hosting,dc=local -W -f proftpd.ldif ma non gli piace. Questo è proftpd.ldif: dn: dc=domain,ou=hosting,dc=test,dc=local objectClass: domain objectClass: top objectClass: posixAccount cn: domain dc: domain gidNumber: 65534 homeDirectory: /var/tmp/domain/ uid: domain uidNumber: 128 loginShell: /bin/false La riga userPassword:: non gli piaceva proprio. Walter P.S. Morte all'LDAP -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1373465547.57493.yahoomail...@web171405.mail.ir2.yahoo.com
Re: Proftpd con autenticazione su ldap.
Ciao Walter Allora fai un passo alla volta, cerca su google come configurare un ldap server su debian e dopo passa al discorso proftpd. Thanks Il giorno 10 luglio 2013 16:12, Walter Valenti waltervale...@yahoo.it ha scritto: http://retrospekt.dk/2011/08/proftpd-and-ldap-on-debian-squeeze/ Avevo gia visto questo link. Il problema è non riesco ad inserire il file ldif. Ho provato in svariato modi: ldapadd -x -D cn=admin,dc=test,dc=local -W -f proftpd.ldif ldapadd -x -D cn=admin,dc=domain,dc=test,dc=local -W -f proftpd.ldif ldapadd -x -D cn=admin,dc=test,ou=hosting,dc=local -W -f proftpd.ldif ma non gli piace. Questo è proftpd.ldif: dn: dc=domain,ou=hosting,dc=test,dc=local objectClass: domain objectClass: top objectClass: posixAccount cn: domain dc: domain gidNumber: 65534 homeDirectory: /var/tmp/domain/ uid: domain uidNumber: 128 loginShell: /bin/false La riga userPassword:: non gli piaceva proprio. Walter P.S. Morte all'LDAP -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1373465547.57493.yahoomail...@web171405.mail.ir2.yahoo.com -- esta es mi vida e me la vivo hasta que dios quiera
Autenticazione proftpd su ldap
Qualcuno conosce un po' di link ben scritti ed esaustivi su come fare l'autenticazione su ldap con proftpd ? Ho trovato vari link, ma alla fine non ci sto capendo niente. P.S. LDAP dovrebbe essere inserito nel codice penale. Grazie Walter -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1371552861.33585.yahoomail...@web171403.mail.ir2.yahoo.com
ldap e webservice
Ho uno scenario siffatto: proftpd si autentica su ldap (openldap). Una console web che dovrebbe permette di create gli utenti sull'ldap. Esiste qualche webservice già costruito che permetta alla console di interagire con l'openldap, tramite REST/SOAP anzichè utilzzare delle librerie per ldap? Grazie Walter -- Per favore non inviatemi allegati in formato MS Office. Utilizza alternativamente documenti in formato OpenDocument. http://oinophilos.blogspot.com/ -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1371475204.44204.yahoomail...@web171404.mail.ir2.yahoo.com
Re: debian squeeze + ldap + sambaPwdMustChange
Si mi sembra un buon suggerimento, temo un po' a metterlo in produzione ma installarlo e provarlo sicuramente e quindi vedo se il problema si risolve. faro' sapere. Il 15 gennaio 2013 18:16, dea d...@corep.it ha scritto: .. la butto li.. provare il nuovo Samba 4 ? Sono curioso di provarlo, ma non ho ancora avuto tempo. Più che altro è la perfetta integrazione in un dominio AD che lo rende interessante. Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130115171449.m67...@corep.it -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cantwxvfzzra2mmtiqg2uqa6u6yg8ort5swnn6wcd86sni9n...@mail.gmail.com
Re: debian squeeze + ldap + sambaPwdMustChange
.. la butto li.. provare il nuovo Samba 4 ? Sono curioso di provarlo, ma non ho ancora avuto tempo. Più che altro è la perfetta integrazione in un dominio AD che lo rende interessante. Luca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20130115171449.m67...@corep.it
Re: debian squeeze + ldap + sambaPwdMustChange
Ho modificato i valori con i seguenti pam password change = no obey pam restrictions = no il problema rimane ho solo riavviato samba e non tutto il server. Provo ancora a riavviare il server e a effettuare qualche altra verifica. Faccio sapere. Per ora grazie Il 27 dicembre 2012 22:13, Marco Gaiarin macog...@gmail.com ha scritto: Mandi! xserver80 In chel di` si favelave... Ciao Marco, intanto grazie delle risposta Di nulla... ma se rispondevi in lista era meglio. ;) ldap password sync = yes pam password change = Yes unix password sync = No obey pam restrictions = yes Io ho: unix password sync = no pam password change = no obey pam restrictions = no e credo che il problema sia 'pam password change = Yes' e 'obey pam restrictions = yes': o usi PAM, o usi gli smbldap-tools. Leggiti con calma la mangape di smb.conf. -- Marco ``Gaio'' Gaiarin | LUG Pordenone(http://www.pordenone.linux.it) P.zza S. Tommaso, 20 | Lilliput BBS (http://bbs.lilliput.linux.it) Cimpello di Fiume Veneto | Azione Cattolica - Concordia-Pordenone 33080 Pordenone (Italia) | (http://www.accanto.org) Tel. +39-0434-56-1305 | http://www.gaiarin.it/ g...@linux.it -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CANtWxvEkLN6GPz1thVMT+gjS5=x_ptxcpvyjzzris41dcfb...@mail.gmail.com
Re: debian squeeze + ldap + sambaPwdMustChange
Ho lo stesso problema su un altro sistema configurato in modo simile, quasi identico, e' un problema riconosciuto? Qualcuno ha riscontrato lo stesso problema? alcune info sulla configurazione ldap password sync = yes pam password change = Yes unix password sync = No obey pam restrictions = yes --- e questa la parte dei permessi relativa a slapd.d utilizzati durante la configurazione: --- replace: olcAccess olcAccess: to attrs=userPassword,SambaLMPassword,SambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPasswordHistory by dn=cn=admin,dc=dominio,dc=local write by anonymous auth by self write by * none olcAccess: to attrs=shadowLastChange by self write by * read olcAccess: to dn.base= by * read by self write olcAccess: to * by dn=cn=admin,dc=dominio,dc=local write by * read by self write --- il risultato di: # ldapsearch -xLLL -b cn=config -D cn=admin,cn=config -W olcDatabase={1}bdb dn: olcDatabase={1}bdb,cn=config objectClass: olcDatabaseConfig objectClass: olcBdbConfig olcDatabase: {1}bdb olcDbDirectory: /var/lib/ldap olcSuffix: dc=dom,dc=lan olcAccess: {0}to attrs=userPassword,SambaLMPassword,SambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPasswordHistory by dn=cn=admin,dc=dom,dc=lan write by anonymous auth by self write by * none olcAccess: {1}to attrs=shadowLastChange by self write by * read olcAccess: {2}to dn.base= by * read by self write olcAccess: {3}to * by dn=cn=admin,dc=dom,dc=lan write by * read by self write olcLastMod: TRUE olcRootDN: cn=admin,dc=dom,dc=lan olcRootPW: {SSHA}o8sSv1xFf7hiDuDn7mqpX8ElxEumv/VT olcDbCheckpoint: 512 30 olcDbConfig: {0}set_cachesize 0 2097152 0 olcDbConfig: {1}set_lk_max_objects 1500 olcDbConfig: {2}set_lk_max_locks 1500 olcDbConfig: {3}set_lk_max_lockers 1500 olcDbIndex: objectClass eq olcDbIndex: uidNumber eq olcDbIndex: gidNumber eq olcDbIndex: loginShell eq olcDbIndex: uid eq,pres,sub olcDbIndex: memberUid eq,pres,sub olcDbIndex: uniqueMember eq,pres olcDbIndex: sambaSID eq olcDbIndex: sambaPrimaryGroupSID eq olcDbIndex: sambaGroupType eq olcDbIndex: sambaSIDList eq olcDbIndex: sambaDomainName eq olcDbIndex: default sub - Il 14 dicembre 2012 18:21, xserver80 xserve...@gmail.com ha scritto: Ho un sistema debian 6.0 squueze con installato openldap e samba per implementare un PDC con ldap. Alla scadenza della password, appare la richiesta di modifica. Dopo la modifica della password riappare la stessa richiesta, questo all'infinito. Solo con utente root e col comando smbldap-passwd posso modificare la password dell'utente e ottenere che la data di scadenza della password venga modificata. Ho l'impressione che l'utente non riesca a modificare il parametro sambaPwdMustChange, anche se non vedo errori nei log. Se l'utente modifica la password prima della scadenza tutto funziona bene, ma la scadenza password non cambia. Ho controllato e il parametro sambaPwdMustChange, fa parte dei parametri modificabili da utenti autenticati. Non riesco a trovare una soluzione al problema. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cantwxvgo5nzm_vvn5fajk0tob4tnj3qqr3aajntcnvcfi0n...@mail.gmail.com
Re: debian squeeze + ldap + sambaPwdMustChange
Mandi! xserver80 In chel di` si favelave... Ho l'impressione che l'utente non riesca a modificare il parametro sambaPwdMustChange, anche se non vedo errori nei log. Beh, questo è facile da capire: basta dare un smbldap-usershow... Se l'utente modifica la password prima della scadenza tutto funziona bene, ma la scadenza password non cambia. Strano. Usi 'ldap passwd sync = yes'? -- Ventiquattromilapensierialsecondofluisconoinarrestabili alimentando voglie e necessita`. (CSI) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/nis1q9-ngb@lily.lilliput.linux.it
Re: getent-passwd non visualizza utenti ldap
allora, uso libnss-ldapd per squeeze, in fase di installazione di nslcd il file nss-ldapd.conf è sostituito da nslcd.conf. ho fatto altre prove e credo ci siano dei problemi: ho lanciato da una shell nslcd -d nslcd: DEBUG: add_uri(ldap://localhost:389) nslcd: version 0.7.15 starting nslcd: DEBUG: unlink() of /var/run/nslcd/socket failed (ignored): No such file or directory nslcd: DEBUG: setgroups(0,NULL) done nslcd: DEBUG: setgid(107) done nslcd: DEBUG: setuid(105) done nslcd: accepting connections a questo punto da un'altra shell ho lanciato getent passwd che visualizza solo gli utenti locali alla macchina. questo è il seguito di nslcd -d: nslcd: [8b4567] DEBUG: connection from pid=2055 uid=0 gid=0 nslcd: [8b4567] DEBUG: nslcd_passwd_all() nslcd: [8b4567] DEBUG: myldap_search(base=dc=amahoro,dc=bi, filter=(objectClass=posixAccount)) nslcd: [8b4567] DEBUG: ldap_initialize(ldap://localhost:389) nslcd: [8b4567] DEBUG: ldap_set_rebind_proc() nslcd: [8b4567] DEBUG: ldap_set_option(LDAP_OPT_PROTOCOL_VERSION,3) nslcd: [8b4567] DEBUG: ldap_set_option(LDAP_OPT_DEREF,0) nslcd: [8b4567] DEBUG: ldap_set_option(LDAP_OPT_TIMELIMIT,0) nslcd: [8b4567] DEBUG: ldap_set_option(LDAP_OPT_TIMEOUT,0) nslcd: [8b4567] DEBUG: ldap_set_option(LDAP_OPT_NETWORK_TIMEOUT,0) nslcd: [8b4567] DEBUG: ldap_set_option(LDAP_OPT_REFERRALS,LDAP_OPT_ON) nslcd: [8b4567] DEBUG: ldap_set_option(LDAP_OPT_RESTART,LDAP_OPT_ON) nslcd: [8b4567] DEBUG: ldap_simple_bind_s(uid=nslcd_proc,ou=System,dc=amahoro,dc=bi,***) (uri=ldap://localhost:389;) nslcd: [8b4567] ldap_result() failed: No such object vi riporto i permessi dei file e cartelle relativi a nslcd: ls -ld /etc/nslcd.conf /var/run/nslcd/ /var/run/nslcd/* -rw-r- 1 root nslcd 635 Apr 21 11:54 /etc/nslcd.conf drwxr-xr-x 2 nslcd nslcd 4096 Apr 21 11:55 /var/run/nslcd/ -rw-r--r-- 1 root root 5 Apr 21 11:55 /var/run/nslcd/nslcd.pid srw-rw-rw- 1 root root 0 Apr 21 11:55 /var/run/nslcd/socket se provo ad aprire il file /var/run/nslcd/socket compare il messaggio: Error reading /var/run/nslcd/socket: No such device or address Che ne pensate? Grazie On 04/21/2012 12:16 AM, Gian Carlo wrote: Il 20/04/2012 16:10, stefano malini ha scritto: Quando riavvio il processo nslcd... Partiamo dalle cose stupide: quali sono i diritti di /etc/libnss-ldap.conf? E` leggibile da tutti? gc :-) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f9286b5.1040...@gmail.com
getent-passwd non visualizza utenti ldap
Ciao a tutti, mi si ripresenta un vecchio problema di cui avevamo già discusso ma che questa volta mi pare un pò diverso. ho sempre il mio server ldap che sto configurando su debian squeeze. ho dovuto reinstallare ed ora mi sono nuovamente fermato con getent passwd che non mi visualizza tutti gli utenti compresi quelli che ho registrato su directory ldap. Quando riavvio il processo nslcd da init.d compare il messaggio Starting LDAP connection daemon: nslcdnslcd: Warning: LDAP NSS module not loaded: /lib/libnss_ldap.so.2: file too short questo è l'output di strace getent passwd 21 | grep -A12 /lib/libnss_ldap.so.2 open(/lib/libnss_ldap.so.2, O_RDONLY) = 4 read(4, , 512)= 0 close(4)= 0 munmap(0xb74de000, 21460) = 0 close(3)= 0 munmap(0xb77b2000, 4096)= 0 write(1, root:x:0:0:root:/root:/bin/bash\n..., 1159root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh come mi era stato chiesto come verifca nella mail di tempo fa in cui chiedevo supporto per lo stesso errore. vi riporto anche i file slapd.conf dove ho adattato le ACLs per l'accesso alle ricerche da parte di nslcd e nslcd.conf: slapd.conf #Basics include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/inetorgperson.schema include /etc/ldap/schema/nis.schema pidfile /var/run/slapd/slapd.pid argsfile/var/run/slapd/slapd.args logleveltrace modulepath /usr/lib/ldap moduleload back_hdb #Database Configuration backend hdb databasehdb suffix dc=amahoro,dc=bi rootdn cn=Manager,dc=amahoro,dc=bi rootpw {SSHA}zH2A+jeSlbl2/UcAXm596KPV4IB/R6x9 directory /var/lib/ldap index objectClass,cn eq #ACLs access to attrs=userPassword by anonymous auth by self write by * none access to * by dn.base=uid=nslcd_proc,ou=System,dc=amahoro,dc=bi read by self write by * none nslcd.conf # /etc/nslcd.conf # nslcd configuration file. See nslcd.conf(5) # for details. # The user and group nslcd should run as. uid nslcd gid nslcd # The location at which the LDAP server(s) should be reachable. uri ldap://localhost:389 # The search base that will be used for all queries. base dc=amahoro,dc=bi # The LDAP protocol version to use. #ldap_version 3 # The DN to bind with for normal lookups. binddn uid=nslcd_proc,ou=System,dc=amahoro,dc=bi bindpw * # The DN used for password modifications by root. #rootpwmoddn cn=admin,dc=example,dc=com # SSL options #ssl off #tls_reqcert never # The search scope. #scope sub cosa ne dite? grazie Z. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f916c4a.10...@gmail.com
Re: getent-passwd non visualizza utenti ldap
Il 20/04/2012 16:10, stefano malini ha scritto: Quando riavvio il processo nslcd... Partiamo dalle cose stupide: quali sono i diritti di /etc/libnss-ldap.conf? E` leggibile da tutti? gc :-) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f91e04b$0$1378$4fafb...@reader2.news.tin.it
Login rifiutato da client ubuntu a server ldap debian
Ciao a tutti, ho un problema tentando il login dal mio client ubuntu usando le credenziali di un utente che ho inserito come entry nel database ldap residente su debian squeeze. Con il comando getent passwd riesco a vedere tutte le utenze ma non mi permette il login. il debug di nslcd mi dice che l'utente non è trovato e non capisco perchè. ho verificato le configurazioni di nslcd.conf e di slapd.conf e mi pare tutto corretto. Avreste qualche operazione da fare che potete consigliarmi per fare delle verifiche? Grazie Stefano -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f8fe2ce.3040...@gmail.com
Autenticazione non riuscita usando credenziali utente ldap
Ciao a tutti, sono ancora fermo all'autenticazione da client usando le credenziali di utenti inseriti in ldap. Vi riporto i file common-* generati con il comando pam-auth-update: COMMON-AUTH # # /etc/pam.d/common-auth - authentication settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authentication modules that define # the central authentication scheme for use on the system # (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the # traditional Unix authentication mechanisms. # # As of pam 1.0.1-6, this file is managed by pam-auth-update by default. # To take advantage of this, it is recommended that you configure any # local modules either before or after the default block, and use # pam-auth-update to manage selection of other modules. See # pam-auth-update(8) for details. # here are the per-package modules (the Primary block) auth[success=2 default=ignore] pam_unix.so nullok_secure auth[success=1 default=ignore] pam_ldap.so minimum_uid=1000 use_first_pass # here's the fallback if no module succeeds authrequisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around authrequiredpam_permit.so # and here are more per-package modules (the Additional block) # end of pam-auth-update config COMMON-PASSWORD # # /etc/pam.d/common-password - password-related modules common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of modules that define the services to be # used to change user passwords. The default is pam_unix. # Explanation of pam_unix options: # # The sha512 option enables salted SHA512 passwords. Without this option, # the default is Unix crypt. Prior releases used the option md5. # The obscure option replaces the old `OBSCURE_CHECKS_ENAB' option in # login.defs. # # See the pam_unix manpage for other options. # As of pam 1.0.1-6, this file is managed by pam-auth-update by default. # To take advantage of this, it is recommended that you configure any # local modules either before or after the default block, and use # pam-auth-update to manage selection of other modules. See # pam-auth-update(8) for details. # here are the per-package modules (the Primary block) password[success=2 default=ignore] pam_unix.so obscure sha512 password[success=1 default=ignore] pam_ldap.so minimum_uid=1000 try_first_pass use_authtok # here's the fallback if no module succeeds passwordrequisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around passwordrequiredpam_permit.so # and here are more per-package modules (the Additional block) # end of pam-auth-update config COMMON-SESSION # # /etc/pam.d/common-session - session-related modules common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of modules that define tasks to be performed # at the start and end of sessions of *any* kind (both interactive and # non-interactive). # # As of pam 1.0.1-6, this file is managed by pam-auth-update by default. # To take advantage of this, it is recommended that you configure any # local modules either before or after the default block, and use # pam-auth-update to manage selection of other modules. See # pam-auth-update(8) for details. # here are the per-package modules (the Primary block) session [default=1] pam_permit.so # here's the fallback if no module succeeds # session requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around # session requiredpam_permit.so # and here are more per-package modules (the Additional block) session requiredpam_unix.so session [success=ok default=ignore] pam_ldap.so minimum_uid=1000 # end of pam-auth-update config COMMON-ACCOUNT # # /etc/pam.d/common-account - authorization settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authorization modules that define # the central access policy for use on the system. The default is to # only deny service to users whose accounts are expired in /etc/shadow. # # As of pam 1.0.1-6, this file is managed by pam-auth-update by default. # To take advantage of this, it is recommended
Re: sistema di autenticazione ldap su server debian
Il giorno lun, 12/03/2012 alle 13.56 +0100, Marco Gaiarin ha scritto: [...] s Non mi è ancora chiaro l'utilizzo del gruppo delle macchine. Tale gruppo s dovrà comprendere gli identificativi sia per le macchine linux che windows? Se linux+samba+winbind, si; devono essere ''joinate'' a dominio pure loro. Forse mi sono perso qualche pezzo, ma la richiesta non era di non installare nulla sui PC portatili che potrebbero essere privati? Se così fosse il dominio non sarebbe una via perseguibile. Ciao, G -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1331632440.4524.17.camel@scarafaggio
Re: sistema di autenticazione ldap su server debian
Mandi! stefano In chel dì si favelave... s il fatto è che devo inserire da zero gli utenti quindi creerò dei file s ldif per utenti, gruppi, macchine e volevo sapere se esiste una s objectClass ed un attributo appositi alla memorizzazione degli s identificativi delle macchine. Insisto: perchè non usare gli smbldap-tools? Ad ogni modo le mie macchine sono: dn: uid=voldemort$,ou=Host,dc=sv,dc=lnf,dc=it objectClass: top objectClass: inetOrgPerson objectClass: posixAccount objectClass: sambaSamAccount cn: voldemort$ sn: voldemort$ uid: voldemort$ uidNumber: 1195 [...] ovvero normalissimi account come quelli degli utenti (ne ero quasi certo, ho voluto verificare). s Non mi è ancora chiaro l'utilizzo del gruppo delle macchine. Tale gruppo s dovrà comprendere gli identificativi sia per le macchine linux che windows? Se linux+samba+winbind, si; devono essere ''joinate'' a dominio pure loro. -- Io credo nella chimica tanto quanto Giulio Cesare credeva nel caso... mi va bene fino a quando non riguarda me :) (Emanuele Pucciarelli) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/dd8139-jb7@lily.sv.lnf.it
Re: sistema di autenticazione ldap su server debian
Grazie Marco. sto studiandomi i file di configurazione libnss-ldapd, smb.conf, smbldap_bind.conf e smbldap.conf e mi sono soffermato sulla necessità di creare un ramo per le macchine nell'albero di directory, su cui credo di avere un pò di confusione. vi chiedo un chiarimento: se ho capito giusto, dato che in in un domain controller windows sono previste due tipologie di utenti, quelli associati ad una persona e quelli associati ad una macchina, deve essere aggiunto il ramo Computers che dovrà contenere gli identifcativi dei pc fissi nell'aula (che hanno ubuntu). Due domande: 1. quale identificativo e quindi quale objectClass devo usare per identifcare i computers? 2. per i pc windows che si autenticheranno tramite freeradius è necessario aggiungere i loro identificativi? On 03/10/2012 11:38 PM, Marco Gaiarin wrote: Mandi! stefano In chel dì si favelave... Premessa: gestisco da tempo dele reti con client windows (xp) e server debian. Una cosa va capita fondo: samba non ''reinventa la ruota'' la offre le risorse unix alla rete winodws. In particolare, per scelte tecnologiche di fondo profondamente diverse, le password tra i due mondi non sono compatibili, ergo non è possibile usare una unica password. Si presentano più strade: 1) usare solo le password linux; scelta che obbliga a tenere le password windows in chiaro, ormai tecnicamente non possibile. 2) usare solo le password windows, ovvero si veda alla voce 'winbind'. 3) usare un sistema che tenga ''in sincronia'' le password windows e unix, normalmente vuol dire gli smbldap-tools, ma non solo perchè già in samba 3 c'è una gestione nativa di queste cose. Io uso gli smbldap-tools. s mi sono abbastanza chiari i ruoli di nss e pam ma non totalmente e s riporto questi miei interrogativi: s - come si imposta l'autenticazione al momento della connessione alla s rete locale? Eslcuso GINA che è stato eliminato da win7, con samba (windows) e pam (unix) come hai già fatto. Se parli di accesso fisico alla rete, la strada è quella di freeradius, che funziona perfettamente sia con LDAP che con ntlm (winbind). s - come si impostano poi i diversi permessi sui siti internet s consultabili a seconda del gruppo di appartenenza dell'utente? Impostando l'autenticazione ntlm in squid (il che implica ancra winbind) e scrivendo corrette ACL (o usando helper esterni come squidguard). s - .come si impostano gli accessi (solo lettura o lettura/scrittura) ad s alcune cartelle presenti sul server? Con le ACL, come in windows (più omeno; non hai infatti un concetto di ACL negativa). Vedi altro thread se usi anche NFS, c'è un limite al numero delle entry. s - la dimensione della home per ogni utente ha un minimo necessario? La home quello che vuoi; il profilo (roaming profile) è bene che sia invece piccolo (1-2GB) onde evitare casini fotonici. s online ho trovato varie guide ed alcune mi hanno aiutato parecchio ma s non riesco a farmi il quadro generale di realizzazione di questo mio s progetto. s potete essermi d'aiuto in qualche modo consigliandomi anche risorse s didattiche online? Leggiti la dcumentazione di samba dall'inizio alla fine, con calma. Poi rileggitela. ;-) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5c78e5.1090...@gmail.com
Re: sistema di autenticazione ldap su server debian
Mandi! stefano In chel dì si favelave... s 1. quale identificativo e quindi quale objectClass devo usare per s identifcare i computers? Oddio... sinceramente ho sempre usato smbldap-populate e non me ne sono mai preoccupato. ;-) s 2. per i pc windows che si autenticheranno tramite freeradius è s necessario aggiungere i loro identificativi? Freeradius, se opportumanete configurato (ma necessita ntlm/winbind), utilizza semplicemente i ''machine account'' di cui parli al punto 1). Ovvero non ti serve agiungere altro. -- Dai diamanti non nasce niente dal letame nascono i fior (F. De Andre`) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/v22v29-5c3@lily.sv.lnf.it
Re: sistema di autenticazione ldap su server debian
il fatto è che devo inserire da zero gli utenti quindi creerò dei file ldif per utenti, gruppi, macchine e volevo sapere se esiste una objectClass ed un attributo appositi alla memorizzazione degli identificativi delle macchine. Non mi è ancora chiaro l'utilizzo del gruppo delle macchine. Tale gruppo dovrà comprendere gli identificativi sia per le macchine linux che windows? On 03/11/2012 05:56 PM, Marco Gaiarin wrote: Mandi! stefano In chel dì si favelave... s 1. quale identificativo e quindi quale objectClass devo usare per s identifcare i computers? Oddio... sinceramente ho sempre usato smbldap-populate e non me ne sono mai preoccupato. ;-) s 2. per i pc windows che si autenticheranno tramite freeradius è s necessario aggiungere i loro identificativi? Freeradius, se opportumanete configurato (ma necessita ntlm/winbind), utilizza semplicemente i ''machine account'' di cui parli al punto 1). Ovvero non ti serve agiungere altro. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5d085b.1010...@gmail.com
Re: sistema di autenticazione ldap su server debian
Mandi! Ezio Da Rin In chel dì si favelave... EDR Hai notizie più recenti? Nono, mi riferivo a GINA, non a pGINA. Leggendo: http://pgina.sourceforge.net/index.php/PGina_2.x_About sembra che abbiamo ragione entrambi, ovvero hanno trovato un modo diverso (ergo, non GINA) per fare la stessa cosa. -- Stanno arrivando da lontano con il futuro nella mano sotto la pioggia (A. Venditti) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/gt1t29-iv2@lily.sv.lnf.it
Re: sistema di autenticazione ldap su server debian
Mandi! stefano In chel dì si favelave... Premessa: gestisco da tempo dele reti con client windows (xp) e server debian. Una cosa va capita fondo: samba non ''reinventa la ruota'' la offre le risorse unix alla rete winodws. In particolare, per scelte tecnologiche di fondo profondamente diverse, le password tra i due mondi non sono compatibili, ergo non è possibile usare una unica password. Si presentano più strade: 1) usare solo le password linux; scelta che obbliga a tenere le password windows in chiaro, ormai tecnicamente non possibile. 2) usare solo le password windows, ovvero si veda alla voce 'winbind'. 3) usare un sistema che tenga ''in sincronia'' le password windows e unix, normalmente vuol dire gli smbldap-tools, ma non solo perchè già in samba 3 c'è una gestione nativa di queste cose. Io uso gli smbldap-tools. s mi sono abbastanza chiari i ruoli di nss e pam ma non totalmente e s riporto questi miei interrogativi: s - come si imposta l'autenticazione al momento della connessione alla s rete locale? Eslcuso GINA che è stato eliminato da win7, con samba (windows) e pam (unix) come hai già fatto. Se parli di accesso fisico alla rete, la strada è quella di freeradius, che funziona perfettamente sia con LDAP che con ntlm (winbind). s - come si impostano poi i diversi permessi sui siti internet s consultabili a seconda del gruppo di appartenenza dell'utente? Impostando l'autenticazione ntlm in squid (il che implica ancra winbind) e scrivendo corrette ACL (o usando helper esterni come squidguard). s - .come si impostano gli accessi (solo lettura o lettura/scrittura) ad s alcune cartelle presenti sul server? Con le ACL, come in windows (più omeno; non hai infatti un concetto di ACL negativa). Vedi altro thread se usi anche NFS, c'è un limite al numero delle entry. s - la dimensione della home per ogni utente ha un minimo necessario? La home quello che vuoi; il profilo (roaming profile) è bene che sia invece piccolo (1-2GB) onde evitare casini fotonici. s online ho trovato varie guide ed alcune mi hanno aiutato parecchio ma s non riesco a farmi il quadro generale di realizzazione di questo mio s progetto. s potete essermi d'aiuto in qualche modo consigliandomi anche risorse s didattiche online? Leggiti la dcumentazione di samba dall'inizio alla fine, con calma. Poi rileggitela. ;-) -- Vendere no, non passa tra i miei rischi, non comprate i miei dischi e sputatemi addosso. (F. Guccini) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/un1t29-iv2@lily.sv.lnf.it
Re: sistema di autenticazione ldap su server debian
stefano scrisse in data 08/03/2012 21:36: grazie Piviul. mi sembra una valida soluzione. i pc che si possono connettere, oltre a quelli della sala, lo fanno in wi-fi quindi si, posso impostare un server radius. direi che più che puoi dovresti. ma l'autenticazione con radius su ldap avverrà con le credenziali registrate in ldap? se vuoi si. Altrimenti se sei masochista ;) potresti anche usare winbind o sicuramente altri metodi. e una volta autenticati coloro che hanno la loro home utente potranno vederla e lavorarci? Certamente. Chiunque acceda alla rete, indipendentemente dalla modalità con cui vi accede (cavo o wireless), possono accedere al server e se conoscono una user e una password nel dominio possono accedere alle risorse messe a disposizione dal server per quelle credenziali. Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f59c3f3.50...@riminilug.it
Re: sistema di autenticazione ldap su server debian
grazie! provo l'autenticazione con radius. ora sono su samba, sto configurando smbldap.conf. non c'è il man per smbldap.conf. ho qualche dubbio su alcune direttive come computersdn, idmapdn(ma se non uso winbind non credo sia necessario), sambaUnixIdPooldn e scope. dove posso trovare informazioni? On 03/09/2012 09:48 AM, Paolo Sala wrote: stefano scrisse in data 08/03/2012 21:36: grazie Piviul. mi sembra una valida soluzione. i pc che si possono connettere, oltre a quelli della sala, lo fanno in wi-fi quindi si, posso impostare un server radius. direi che più che puoi dovresti. ma l'autenticazione con radius su ldap avverrà con le credenziali registrate in ldap? se vuoi si. Altrimenti se sei masochista ;) potresti anche usare winbind o sicuramente altri metodi. e una volta autenticati coloro che hanno la loro home utente potranno vederla e lavorarci? Certamente. Chiunque acceda alla rete, indipendentemente dalla modalità con cui vi accede (cavo o wireless), possono accedere al server e se conoscono una user e una password nel dominio possono accedere alle risorse messe a disposizione dal server per quelle credenziali. Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f59ceb6.2050...@gmail.com
Re: sistema di autenticazione ldap su server debian
Mandi! Ezio Da Rin In chel dì si favelave... EDR con Netlive (derivata da Debian Live) noi avevamo usato Pgina: EDR http://pgina.org/ A quanto so GINA è stato abbandonato, ergo non funziona per i client win7 e seguenti. -- La BBS e' come il mio frigorifero... da tanti anni fa in silenzio un ottimo lavoro, al punto tale che mi accorgo della sua utilita' solo quando manca la corrente e tutto quello che contiene diventa inutilizzabile. (E. Margelli) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/h8sp29-5hc@lily.sv.lnf.it
Re: sistema di autenticazione ldap su server debian
Il 09/03/2012 18:46, Marco Gaiarin ha scritto: Mandi! Ezio Da Rin In chel dì si favelave... Mandi Marco, EDR con Netlive (derivata da Debian Live) noi avevamo usato Pgina: EDR http://pgina.org/ A quanto so GINA è stato abbandonato, ergo non funziona per i client win7 e seguenti. probabilmente ti riferisci a pGina 1 o ai problemi della 2.0.0. Io non l'ho provato ma qui dicono che pGina 2 supporta win7, vista ecc con l'ultima release pGina 2.1.1 (06-03-2011): http://pgina.sourceforge.net/index.php/PGina_2.x_FAQ Hai notizie più recenti? Ciao, Ezio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5b05b0.4050...@linuxnetlive.org
Re: sistema di autenticazione ldap su server debian
Allora, grazie alle vostre esaustive risposte inizio ad avere la situazione più chiara e pure quello che voglio fare. vi riassumo e vi espongo un quesito finale. La LAN dispone di un unico server debian squeeze che fa da gateway, dhcp server, server proxy squid, apache, server samba, ldap server. Al suo interno è presente una cartella con alcune risorse didattiche per studenti e docenti. I client sono sia i pc presenti nell'aula che portatili esterni che possono venire e connettersi alla rete. Nell'aula i pc sono ubuntu mentre quelli esterni sono in maggior parte Windows e talvolta Mac. La tipologia dell'utenza è varia: studenti della facoltà di infermieristica che possono consultare internet, accedere alle risorse didattiche presenti sul server e avere a disposizione una loro home utente; studenti della facoltà di medicina che possono consultare internet ma che NON possono accedere alle risorse didattiche sul server e NON possono avere la loro home utente; docenti che possono consultare internet, accedere alle risorse didattiche e avere la loro home utente; personale amministrativo che può consultare internet soltanto con la loro home utente; un numero ridotto di utenti (amici) che possono solamente connettersi a internet; Può essere che gli stessi studenti, sia di infermieristica che di medicina, si presentino con i loro portatili (win o mac) e vorrei che anche in questo caso possano collegarsi alla rete con le loro credenziali e con i rispettivi permessi citati prima e che (per quelli di infermieristica) possano comunque avere accesso alla loro home utente. la stessa cosa per i docenti che avranno i loro portatili (win o mac) e che potranno consultare qualsiasi sito internet, accedere alle risorse didattiche sul server e alla loro home utente. Ho installato ldap sul server ed ho iniziato ad inserire i gruppi di utenti e procedo con l'inserimento degli utenti per gruppo. ho installato e configurato NSS e con getent posso visualizzare anche le utenze e i gruppi presenti in LDAP. Ora sono fermo a PAM. Non ho ancora capito una cosa: devo mettere mano su ogni client oppure esiste un modo con cui da qualsiasi postazione, che sia in aula o portatile, una volta ottenuto l'IP, si presenti la schermata di login alla rete e che a seconda delle credenziali inserite l'utente abbia in automatico i permessi o meno sulla consultazione delle cartelle nel server, le restrizioni o meno sulla consultazione dei siti e l'accesso alla propria home? Grazie della disponibilità Stefano On 03/07/2012 10:51 PM, Giuseppe Sacco wrote: Il giorno mer, 07/03/2012 alle 17.06 +0100, stefano ha scritto: intanto grazie! riepilogo con qualche altra domandina Autenticazione client Linux/Windows Mi interessa che gli utenti con macchine Linux o Windows possano accedere alla rete locale previa autenticazione quindi da ciascuna macchina sarà effettuato il login. Non ho capito se è sufficiente o meno avere openLdap per autenticare i client Windows. pGina mi pare di capire che vada installato su macchine windows ma le macchine windows che si connettono alla rete non sono quelle fisse dell'aula informatica (che sono Ubuntu) ma sono utenti che si connettono un tantum su cui non installo un nuovo programma (se ho capito bene il funzionamento). [...] Allora a te non interessa controllare l'accesso a tutti i singoli PC, ma solo a quelli linux e alle cartelle di rete. In questo caso non ti serve un dominio windows, ma ti basta un server LDAP con gli utenti e i gruppi. I server che esportano cartelle di rete via CIFS verificheranno le credenziali su LDAP (vedi il pacchetto Debian smbldap-tools). I PC Windows accedono solo alle cartelle condivise (faranno il login sul PC con il proprio utente, e poi utilizzeranno le credenziali LDAP per l'accesso alle cartelle di rete). Gli utenti linux, poiché sono macchine dell'aula, andranno verificati centralmente su LDAP via nss/pam. Le macchine Linux possono montare la home da un server specifico via nfs con automouter e possono montare tutte le cartelle di rete alle quali possono accedere esattamente allo stesso modo, oppure sempre via CIFS. L'accesso alle applicazioni web va controllato sui server web e/o sui vari server applicativi (ad esempio tomcat, zend o apache+mod_python) verificando le credenziali su LDAP. Ciao, G. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f58cd99.9090...@gmail.com
Re: sistema di autenticazione ldap su server debian
stefano scrisse in data 08/03/2012 16:17: Allora, grazie alle vostre esaustive risposte inizio ad avere la situazione più chiara e pure quello che voglio fare. vi riassumo e vi espongo un quesito finale. La LAN dispone di un unico server debian squeeze che fa da gateway, dhcp server, server proxy squid, apache, server samba, ldap server. Al suo interno è presente una cartella con alcune risorse didattiche per studenti e docenti. I client sono sia i pc presenti nell'aula che portatili esterni che possono venire e connettersi alla rete. Nell'aula i pc sono ubuntu mentre quelli esterni sono in maggior parte Windows e talvolta Mac. La tipologia dell'utenza è varia: studenti della facoltà di infermieristica che possono consultare internet, accedere alle risorse didattiche presenti sul server e avere a disposizione una loro home utente; studenti della facoltà di medicina che possono consultare internet ma che NON possono accedere alle risorse didattiche sul server e NON possono avere la loro home utente; docenti che possono consultare internet, accedere alle risorse didattiche e avere la loro home utente; personale amministrativo che può consultare internet soltanto con la loro home utente; un numero ridotto di utenti (amici) che possono solamente connettersi a internet; Può essere che gli stessi studenti, sia di infermieristica che di medicina, si presentino con i loro portatili (win o mac) e vorrei che anche in questo caso possano collegarsi alla rete con le loro credenziali e con i rispettivi permessi citati prima e che (per quelli di infermieristica) possano comunque avere accesso alla loro home utente. la stessa cosa per i docenti che avranno i loro portatili (win o mac) e che potranno consultare qualsiasi sito internet, accedere alle risorse didattiche sul server e alla loro home utente. Ho installato ldap sul server ed ho iniziato ad inserire i gruppi di utenti e procedo con l'inserimento degli utenti per gruppo. ho installato e configurato NSS e con getent posso visualizzare anche le utenze e i gruppi presenti in LDAP. Ora sono fermo a PAM. Non ho ancora capito una cosa: devo mettere mano su ogni client oppure esiste un modo con cui da qualsiasi postazione, che sia in aula o portatile, una volta ottenuto l'IP, si presenti la schermata di login alla rete e che a seconda delle credenziali inserite l'utente abbia in automatico i permessi o meno sulla consultazione delle cartelle nel server, le restrizioni o meno sulla consultazione dei siti e l'accesso alla propria home? Anzitutto configurerei il server samba come pdc; i pc dell'aula informatica li legherei al dominio e in questo caso devi mettere mano a PAM su quei client. In questo modo soltanto chi ha un account del dominio può fare il logon sui pc dell'aula. Per quanto riguarda gli altri pc esterni possono sempre sfogliare le risorse messe a disposizione dal PDC e quindi accedere ad esse solo se conoscono username e password. Ora invece non ho ben capito come vuoi invece gestire l'accesso all'infrastruttura di rete. Anzitutto parliamo di rete wireless? Se non è wireless e non è in un luogo pubblico potresti semplicemente permettere a chiunque abbia a disposizione di un cavo di rete di collegarsi ad internet (squid in modalità trasparente), sfogliare la rete e, se conosce username e password, accedere anche alle risorse del pdc. Se invece trattasi di wireless allora dovresti installare anche un server radius che autentica gli utenti via ldap. Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f58d6a1.7010...@riminilug.it
sistema di autenticazione ldap su server debian
Ciao a tutti, ho una serie di quesiti riguardanti la realizzazione di un sistema di autenticazione con ldap su squeeze. ho una rete con server debian squeeze con squid, samba, apache, ldap, nss e pam(ancora da configurare) installati. un'aula con 30 pc e la connessione wifi (quindi altri utenti sia linux che windows). il mio intento è creare un sistema di autenticazione da parte degli utenti (opportunamente registrati) divisi in gruppi con permessi diversi riguardo le tipologie di siti internet da poter consultare e l'accesso a risorse didattiche presenti sul server. Sostanzialmente l'autenticazione deve avvenire quando il pc si connette alla rete. mi sono abbastanza chiari i ruoli di nss e pam ma non totalmente e riporto questi miei interrogativi: - come si imposta l'autenticazione al momento della connessione alla rete locale? - come si impostano poi i diversi permessi sui siti internet consultabili a seconda del gruppo di appartenenza dell'utente? - .come si impostano gli accessi (solo lettura o lettura/scrittura) ad alcune cartelle presenti sul server? - la dimensione della home per ogni utente ha un minimo necessario? tante domande! online ho trovato varie guide ed alcune mi hanno aiutato parecchio ma non riesco a farmi il quadro generale di realizzazione di questo mio progetto. potete essermi d'aiuto in qualche modo consigliandomi anche risorse didattiche online? Grazie Stefano
Re: sistema di autenticazione ldap su server debian
Ciao Stefano, Il giorno mer, 07/03/2012 alle 10.34 +0100, stefano ha scritto: [...] - come si imposta l'autenticazione al momento della connessione alla rete locale? Cosa vuol dire al momento della connessione? Nel caso di wifi puoi probabilmente arrivare a configurare gli access point per richiedere delle credenziali da verificare su un LDAP o AD. Ma se ci sono connessioni via cavo non lo puoi fare in questo modo. Se invece intendi al login dell'utente, allora devi creare un dominio Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente Linux. Devi poi configurare i PC Windows per appartenere al dominio, e quelli Windows per l'autenticazione via nss/pam a LDAP. - come si impostano poi i diversi permessi sui siti internet consultabili a seconda del gruppo di appartenenza dell'utente? Dipende da come sono pubblicate le applicazioni. Una soluzione potrebbe essere quella di far fare tutto al server web. Ad esempio apache può bloccare l'accesso ad alcuni URL tramite autenticazione. E questa autenticazione può avvenire in vari modi, ad esempio tramite LDAP. - .come si impostano gli accessi (solo lettura o lettura/scrittura) ad alcune cartelle presenti sul server? Con i diritti impostati in samba. Anche qui le credenziali possono essere verificate sia su AD che su LDAP. - la dimensione della home per ogni utente ha un minimo necessario? Non credo. Il minimo è forse quello per i file che vi sono copiati alla creazione. Ciao, G. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1331126132.2696.32.camel@scarafaggio
Re: sistema di autenticazione ldap su server debian
Giuseppe Sacco scrisse in data 07/03/2012 14:15: Se invece intendi al login dell'utente, allora devi creare un dominio Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente Linux. Ciao Giuseppe sono d'accordo quasi su tutto ma quasi... cosa intendi con allora devi creare un dominio Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente Linux? È molto che non ho più a che fare con ldap e pdc ma che mi ricordi basta un solo backend per autenticare un utente sia da una macchina windows che linux. Devi poi configurare i PC Windows per appartenere al dominio, e quelli Windows per l'autenticazione via nss/pam a LDAP. ^^ intendevi Linux Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f57628f.9040...@riminilug.it
Re: sistema di autenticazione ldap su server debian
Giuseppe Sacco ha scritto: Ciao Stefano, Il giorno mer, 07/03/2012 alle 10.34 +0100, stefano ha scritto: [...] - come si imposta l'autenticazione al momento della connessione alla rete locale? [...] Se invece intendi al login dell'utente, allora devi creare un dominio Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente Linux. Devi poi configurare i PC Windows per appartenere al dominio, e quelli Windows per l'autenticazione via nss/pam a LDAP. con Netlive (derivata da Debian Live) noi avevamo usato Pgina: http://pgina.org/ e con OpenLDAP si autenticano sia utenti Linux che Windows: http://www.cloc3.net/dokuwiki/doku.php/l_accesso Ciao, Ezio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5764c3.5050...@linuxnetlive.org
Re: sistema di autenticazione ldap su server debian
Il giorno mer, 07/03/2012 alle 14.28 +0100, Piviul ha scritto: Giuseppe Sacco scrisse in data 07/03/2012 14:15: Se invece intendi al login dell'utente, allora devi creare un dominio Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente Linux. Ciao Giuseppe sono d'accordo quasi su tutto ma quasi... cosa intendi con allora devi creare un dominio Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente Linux? È molto che non ho più a che fare con ldap e pdc ma che mi ricordi basta un solo backend per autenticare un utente sia da una macchina windows che linux. Avrei dovuto sottolineare «esclusivamente»... intendevo che gli utenti Windows vanno nel dominio Windows, mentre se ci sono altri utenti (linux) che non sono _anche_ utenti Windows (difatti ho scritto «esclusivamente linux») allora si può usare LDAP (credo che il semplice shadow non basterebbe poiché c'è di mezzo l'autenticazione samba). NSS e PAM vanno configurati per cercare gli utenti in tutti i vari backend. Devi poi configurare i PC Windows per appartenere al dominio, e quelli Windows per l'autenticazione via nss/pam a LDAP. ^^ intendevi Linux Sì, grazie per la correzione. Ciao, G. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1331127675.2696.37.camel@scarafaggio
Re: sistema di autenticazione ldap su server debian
Il giorno mer, 07/03/2012 alle 14.38 +0100, Ezio Da Rin ha scritto: Giuseppe Sacco ha scritto: Ciao Stefano, Il giorno mer, 07/03/2012 alle 10.34 +0100, stefano ha scritto: [...] - come si imposta l'autenticazione al momento della connessione alla rete locale? [...] Se invece intendi al login dell'utente, allora devi creare un dominio Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente Linux. Devi poi configurare i PC Windows per appartenere al dominio, e quelli Windows per l'autenticazione via nss/pam a LDAP. con Netlive (derivata da Debian Live) noi avevamo usato Pgina: http://pgina.org/ e con OpenLDAP si autenticano sia utenti Linux che Windows: http://www.cloc3.net/dokuwiki/doku.php/l_accesso Non lo conosco, ma non mi pare che openldap sia sufficiente per l'autenticazione sulle macchine Windows. È sufficiente per l'accesso a risorse di rete samba da parte di macchine Windows, ma non per l'accesso alla macchina Windows stessa. Mi sbaglio? Puoi spiegarmi meglio cosa facciano i prodotti da te indicati? In ogni caso, nella mia riposta precedente, quando ho fatto riferimento al dominio Windows, non ho inteso che il dominio debba essere su server Windows. Potrebbe benissimo essere su samba3 e openldap. A meno che non ci siano di mezzo macchine per le quali è richiesto il dominio di win2008, per il quale si deve attendere samba4 se non erro. Ciao, G. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1331127936.2696.41.camel@scarafaggio
Re: sistema di autenticazione ldap su server debian
Giuseppe Sacco ha scritto: Il giorno mer, 07/03/2012 alle 14.38 +0100, Ezio Da Rin ha scritto: [...] con Netlive (derivata da Debian Live) noi avevamo usato Pgina: http://pgina.org/ e con OpenLDAP si autenticano sia utenti Linux che Windows: http://www.cloc3.net/dokuwiki/doku.php/l_accesso Non lo conosco, ma non mi pare che openldap sia sufficiente per l'autenticazione sulle macchine Windows. È sufficiente per l'accesso a risorse di rete samba da parte di macchine Windows, ma non per l'accesso alla macchina Windows stessa. Mi sbaglio? Puoi spiegarmi meglio cosa facciano i prodotti da te indicati? è proprio questo che fa Pgina, se l'utente è inserito del database di OpenLDAP viene autenticato, nel nostro caso con winserver2003 ma viene usato anche con xp: http://www.hawaii.edu/ldap/pgina-xp.pdf e, se l'utente è al suo primo accesso gli viene creato il suo ambiente windows esattamente come succede per Linux nel caso acceda a Linux. L'implementazione è relativamente semplice e sono tre anni che, a quanto ne so io, questo metodo viene utilizzato al Liceo Pio Paschini di Tolmezzo UD. Ciao, Ezio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f576dba.4070...@linuxnetlive.org
Re: sistema di autenticazione ldap su server debian
intanto grazie! riepilogo con qualche altra domandina Autenticazione client Linux/Windows Mi interessa che gli utenti con macchine Linux o Windows possano accedere alla rete locale previa autenticazione quindi da ciascuna macchina sarà effettuato il login. Non ho capito se è sufficiente o meno avere openLdap per autenticare i client Windows. pGina mi pare di capire che vada installato su macchine windows ma le macchine windows che si connettono alla rete non sono quelle fisse dell'aula informatica (che sono Ubuntu) ma sono utenti che si connettono un tantum su cui non installo un nuovo programma (se ho capito bene il funzionamento). La creazione di un dominio Windows devo farlo con Samba o mi sbaglio? gli utenti del dominio Windows che ho creato dovranno essere presenti anche in LDAP o no? la pagina di login dei client che tipo di pagina è? Per il resto (restrizioni sui siti, accesso a risorse del server) dovrò configurare separatamente Apache e Samba con LDAP per recuperare le informazioni su tali permessi? vi ringrazio ancora Stefano On 03/07/2012 03:16 PM, Ezio Da Rin wrote: Giuseppe Sacco ha scritto: Il giorno mer, 07/03/2012 alle 14.38 +0100, Ezio Da Rin ha scritto: [...] con Netlive (derivata da Debian Live) noi avevamo usato Pgina: http://pgina.org/ e con OpenLDAP si autenticano sia utenti Linux che Windows: http://www.cloc3.net/dokuwiki/doku.php/l_accesso Non lo conosco, ma non mi pare che openldap sia sufficiente per l'autenticazione sulle macchine Windows. È sufficiente per l'accesso a risorse di rete samba da parte di macchine Windows, ma non per l'accesso alla macchina Windows stessa. Mi sbaglio? Puoi spiegarmi meglio cosa facciano i prodotti da te indicati? è proprio questo che fa Pgina, se l'utente è inserito del database di OpenLDAP viene autenticato, nel nostro caso con winserver2003 ma viene usato anche con xp: http://www.hawaii.edu/ldap/pgina-xp.pdf e, se l'utente è al suo primo accesso gli viene creato il suo ambiente windows esattamente come succede per Linux nel caso acceda a Linux. L'implementazione è relativamente semplice e sono tre anni che, a quanto ne so io, questo metodo viene utilizzato al Liceo Pio Paschini di Tolmezzo UD. Ciao, Ezio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5787a0.9060...@gmail.com
Re: sistema di autenticazione ldap su server debian
stefano ha scritto: intanto grazie! riepilogo con qualche altra domandina Autenticazione client Linux/Windows Mi interessa che gli utenti con macchine Linux o Windows possano accedere alla rete locale previa autenticazione quindi da ciascuna macchina sarà effettuato il login. Non ho capito se è sufficiente o meno avere openLdap per autenticare i client Windows. pGina mi pare di capire che vada installato su macchine windows ma le macchine windows che si connettono alla rete non sono quelle fisse dell'aula informatica (che sono Ubuntu) ma sono utenti che si connettono un tantum su cui non installo un nuovo programma (se ho capito bene il funzionamento). ciao Stefano, hai capito esattamente il funzionamento, nel tuo caso non credo tu possa risolvere con Pgina in quanto deve essere installato appunto o nel winserver o nei client win. ciao, Ezio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f57a260.10...@linuxnetlive.org
Re: sistema di autenticazione ldap su server debian
Il giorno mer, 07/03/2012 alle 17.06 +0100, stefano ha scritto: intanto grazie! riepilogo con qualche altra domandina Autenticazione client Linux/Windows Mi interessa che gli utenti con macchine Linux o Windows possano accedere alla rete locale previa autenticazione quindi da ciascuna macchina sarà effettuato il login. Non ho capito se è sufficiente o meno avere openLdap per autenticare i client Windows. pGina mi pare di capire che vada installato su macchine windows ma le macchine windows che si connettono alla rete non sono quelle fisse dell'aula informatica (che sono Ubuntu) ma sono utenti che si connettono un tantum su cui non installo un nuovo programma (se ho capito bene il funzionamento). [...] Allora a te non interessa controllare l'accesso a tutti i singoli PC, ma solo a quelli linux e alle cartelle di rete. In questo caso non ti serve un dominio windows, ma ti basta un server LDAP con gli utenti e i gruppi. I server che esportano cartelle di rete via CIFS verificheranno le credenziali su LDAP (vedi il pacchetto Debian smbldap-tools). I PC Windows accedono solo alle cartelle condivise (faranno il login sul PC con il proprio utente, e poi utilizzeranno le credenziali LDAP per l'accesso alle cartelle di rete). Gli utenti linux, poiché sono macchine dell'aula, andranno verificati centralmente su LDAP via nss/pam. Le macchine Linux possono montare la home da un server specifico via nfs con automouter e possono montare tutte le cartelle di rete alle quali possono accedere esattamente allo stesso modo, oppure sempre via CIFS. L'accesso alle applicazioni web va controllato sui server web e/o sui vari server applicativi (ad esempio tomcat, zend o apache+mod_python) verificando le credenziali su LDAP. Ciao, G. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1331157078.4713.10.camel@scarafaggio
Re: Ldap e utenti locali
Il giorno 05 aprile 2011 15:45, Liga alessioliga...@gmail.com ha scritto: Il 04/04/2011 19:32, Antonio Doldo ha scritto: Il giorno 04 aprile 2011 15:12, Liga alessioliga...@gmail.com ha scritto: Ciao a tutta la lista! ho un pc portatile che viene utilizzato sia fuori che dentro la sede, l'utente deve poter accedere ai dati anche dal'esterno (no vpn) quindi salvarli su hd. autenticandosi in locale non vede le share di rete (non ha i permessi). come posso muovermi? pensavo a un account locale uguale a quello ldap con lo stesso uid sul server e sul portatile... funzionerà? c'è un altro modo? mi spiego meglio: i pc aziendali sono legati ad una autenticazione su una directory ldap su server che viene richiamata da ldap.conf. nella dir ldap ci sono tutti gli utenti e le loro home. questa è propagata solo sulla rete interna, quindi non è accessibile da remoto, nemmeno le home che sono in rete tramite nfs. i portatili vengono connessi alle più disparate connessioni e devono avere le home locali e utenti locali ma inoltre devono poter accedere alle share nfs in maniera autenticata (gli altri sono attaccati a ldap). per questo ho pensato: autenticazione identica sia locale (passwd) che remota quando sono in rete (ldap) con come prima l'ldap in modo che se è presente viene utilizzato altrimenti si va su autenticazione locale (seconda opzione). Per come la vedo io bisogna distinguere l'autenticazione, ovvero se tu ti trovi in rete interna e tenti di accedere alle risorse LDAP non basta il tuo utente locale, la password verso il dominio viene passata via NTLM e questo si basa su kerberos (spero di non dire castronerie) il meccanismo sulla macchina locale linux basato su winbind dialoga con il server LDAP e, una volta passato il ticket, ti permette di accedere alle risorse. Nel caso tu avessi un UID e GID pari a quelli trovati da winbind questo quasi sicuramente non sarebbe sufficiente. Non mi è chiaro se la tua macchina accede con le credenziali di dominio alla rete e se si, se questo avviene con openldap o smb/winbind. La seconda di queste, seppur complessa, è performante e permette di lavorare in entrambe le direzioni, ovvero accesso utenti linux - dominio e utenti dominio risorse e logon su linux Tutto si puo fare modificando pam relativamente all'autenticazione Su openldap non so dirti molto, ma immagino che tu possa ricavare l'ID e il SID per verificare l'accesso in locale e in rete. Ciao, Antonio
Re: Ldap e utenti locali
Liga scrisse in data 04/04/2011 15:12: Ciao a tutta la lista! ho un pc portatile che viene utilizzato sia fuori che dentro la sede, l'utente deve poter accedere ai dati anche dal'esterno (no vpn) quindi salvarli su hd. Per l'autenticazione hai provato a dare un'occhiata a libpam-ccreds (https://help.ubuntu.com/community/PamCcredsHowto) Poi vorresti che l'utente potesse vedere i dati su un server (con che protocollo?) senza che possa accedere al server? Ho capito bene? Inquesto caso rsync potrebbe essere la risposta. Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d9c56ed.1060...@riminilug.it
Re: Ldap e utenti locali
Il 04/04/2011 19:32, Antonio Doldo ha scritto: Il giorno 04 aprile 2011 15:12, Liga alessioliga...@gmail.com mailto:alessioliga...@gmail.com ha scritto: Ciao a tutta la lista! ho un pc portatile che viene utilizzato sia fuori che dentro la sede, l'utente deve poter accedere ai dati anche dal'esterno (no vpn) quindi salvarli su hd. autenticandosi in locale non vede le share di rete (non ha i permessi). come posso muovermi? pensavo a un account locale uguale a quello ldap con lo stesso uid sul server e sul portatile... funzionerà? c'è un altro modo? mi spiego meglio: i pc aziendali sono legati ad una autenticazione su una directory ldap su server che viene richiamata da ldap.conf. nella dir ldap ci sono tutti gli utenti e le loro home. questa è propagata solo sulla rete interna, quindi non è accessibile da remoto, nemmeno le home che sono in rete tramite nfs. i portatili vengono connessi alle più disparate connessioni e devono avere le home locali e utenti locali ma inoltre devono poter accedere alle share nfs in maniera autenticata (gli altri sono attaccati a ldap). per questo ho pensato: autenticazione identica sia locale (passwd) che remota quando sono in rete (ldap) con come prima l'ldap in modo che se è presente viene utilizzato altrimenti si va su autenticazione locale (seconda opzione).
Ldap e utenti locali
Ciao a tutta la lista! ho un pc portatile che viene utilizzato sia fuori che dentro la sede, l'utente deve poter accedere ai dati anche dal'esterno (no vpn) quindi salvarli su hd. autenticandosi in locale non vede le share di rete (non ha i permessi). come posso muovermi? pensavo a un account locale uguale a quello ldap con lo stesso uid sul server e sul portatile... funzionerà? c'è un altro modo? Ciao Ale -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d99c3b3.40...@gmail.com
Re: Ldap e utenti locali
Il giorno 04 aprile 2011 15:12, Liga alessioliga...@gmail.com ha scritto: Ciao a tutta la lista! ho un pc portatile che viene utilizzato sia fuori che dentro la sede, l'utente deve poter accedere ai dati anche dal'esterno (no vpn) quindi salvarli su hd. autenticandosi in locale non vede le share di rete (non ha i permessi). Ciao, cosa intendi per fuori la sede senza vpn? l'accesso al dominio credo (e spero) sia solo sulla rete interna come posso muovermi? pensavo a un account locale uguale a quello ldap con lo stesso uid sul server e sul portatile... funzionerà? c'è un altro modo? Puoi usare winbind per eseguire le query al dominio ed eventualmente permettere il logon da quel dominio sula tua macchina, per quest'ultimo vanno apportate modifiche a pam sono necessari alcuni passaggi: 1) krb5.conf per ottenere il ticket kerberos dal dominio 2) smb.conf (anche se samba può essere disattivato all'avvio che dovrà usare il backend ADS 3) winbind che, attraverso il join, riconosce e mappa i SID del dominio con UID e GID locali 4) eventuale modifica per l'autenticazione a /etc/nssswitch.conf, invece di usare files va usato anche winbind 5) join al dominio con il tuo account: # net join ads -S SERVER-DC -w DOMAIN -U Username il nome macchina deve essere unvocon nell'albero LDAP (evitare quindi localhost) qui trovi alcuni miei bookmarks sul'argomento: http://www.delicious.com/antoniodoldo/samba Ciao Ale ciao, Antonio
nuova conf di samba-ldap
a proposito di ldap e la sua nuova configurazione stile exim4: sto configurando samba e trovo: aggiungi a /etc/ldap/slapd.conf include /etc/ldap/schema/samba.schema ovviamente il tutorial è vecchio ma non trovo dove aggiungere l'include Ciao Liga -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4d550f4a.9080...@gmail.com
postfix, ldap e risponditore automatico.
Qualcuno ha configurato un sistema simile? Sembra che l'unico software adatto a configurare un risponditore automatico per postfix + ldap sia gnarwl. A quanto pare su lenny e' stato rimosso. Sapete se da qualche parte esiste un deb per lenny o l'unica cosa da fare e' usare i sorgenti? -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/x2jab520d141004130356p6d29e8edu774d45ced1cfb...@mail.gmail.com
Re: postfix, ldap e risponditore automatico.
Mauro ha scritto: Qualcuno ha configurato un sistema simile? Sembra che l'unico software adatto a configurare un risponditore automatico per postfix + ldap sia gnarwl. A quanto pare su lenny e' stato rimosso. Sapete se da qualche parte esiste un deb per lenny o l'unica cosa da fare e' usare i sorgenti? sono felice di comunicarti che gnarwl è ora in sid nell'ultima versione 3.6 ;-)) http://packages.debian.org/sid/gnarwl tra qualche giorno dovrebbe essere migrato in squeeze, appena sarà in squeeze è intenzione portarlo in lenny-backports ad ogni modo se tu dovessi ricompilarlo alla svelta ti basta fare dget -x http://ftp.de.debian.org/debian/pool/main/g/gnarwl/gnarwl_3.6.dfsg-2.dsc cd gnarwl-3.6.dfsg/ fakeroot dpkg-buildpackage (o un altro metodo di compilazione...) ciao Alessandro PS con buone probabilità direi che il .deb di sid funziona su lenny, ma non ho provato -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bc45bf4.3090...@klez.it
Re: postfix, ldap e risponditore automatico.
2010/4/13 Alessandro De Zorzi l...@klez.it: Mauro ha scritto: Qualcuno ha configurato un sistema simile? Sembra che l'unico software adatto a configurare un risponditore automatico per postfix + ldap sia gnarwl. A quanto pare su lenny e' stato rimosso. Sapete se da qualche parte esiste un deb per lenny o l'unica cosa da fare e' usare i sorgenti? sono felice di comunicarti che gnarwl è ora in sid nell'ultima versione 3.6 ;-)) http://packages.debian.org/sid/gnarwl tra qualche giorno dovrebbe essere migrato in squeeze, appena sarà in squeeze è intenzione portarlo in lenny-backports Ok, ottima notizia :-) aspetto il backport. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/j2zab520d141004130505iab07d0bbo3466218b8e673...@mail.gmail.com
Re: LDAP Help !!!
Il giorno mer, 20/01/2010 alle 06.10 +0100, Gab ha scritto: Spero di essere nel posto giusto . Avrei bisogno di permettere a nuovi utenti di registrarsi sul mio server mail . Ripetute prove su debian stable slapd (OpenLdap) sono andate male e mi han scoraggiato ad andare avanti . Mi piacerebbe fare uso di crittografia nel salvare i dati degli utenti sull'hard disk . Vi ringrazio. un po' generica come domanda. partiamo dall'errore che ti da, se te ne da uno :) -- Davide Corio email: davide.corioatdomsense.com web: http://www.domsense.com -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
LDAP Help !!!
Spero di essere nel posto giusto . Avrei bisogno di permettere a nuovi utenti di registrarsi sul mio server mail . Ripetute prove su debian stable slapd (OpenLdap) sono andate male e mi han scoraggiato ad andare avanti . Mi piacerebbe fare uso di crittografia nel salvare i dati degli utenti sull'hard disk . Vi ringrazio. Gab -- _ ASCII ribbon campaign ( ) against HTML e-mail X / \ -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: mailing list con postfix configurato ldap [risolto]
Mi rispondo io la documentazione del sistema che avevo non era completa... trovato macchina giusta e la configurazione funziona che è una bomba. Cia Man man ha scritto: Buon giorno a tutti, il mio problema è configurare una mailing list. Ho a disposizione un postfix (su una debian 4.0) configurato con virtual_alias_maps = ldap:ldapalias pensavo di configurare la ml usando lo script http://www.heinzi.at/projects/simple_forwarder/ che farebbe proprio al caso mio (semplice e veloce) e poi configurare il main.cf dove c'è "virtual_alias_maps" mettere: virtual_alias_maps = ldap:ldapalias hash:/etc/postfix/mailinglist_aliases poi mettere in etc/postfix/mailinglist_aliases: lista: "| /usr/local/bin/simple_forwarder miamailinglist" poi fare un postmap hash:/etc/postfix/mailinglist_aliases per creare il db e poi un /etc/init.d/postfix reload per ricaricare la conf di postfix però... non funziona nulla e non ho neanche errori nei log! dove sbaglio? Ciao Man. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
ldap-account-manager 2.7.0.RC1-1: Please update debconf PO translation for the package ldap-account-manager
Hi, You are noted as the last translator of the debconf translation for ldap-account-manager. The English template has been changed, and now some messages are marked fuzzy in your translation or are missing. I would be grateful if you could take the time and update it. Please send the updated file to me, or submit it as a wishlist bug against ldap-account-manager. The deadline for receiving the updated translation is Sun, 02 Aug 2009 20:46:05 +0200. Thanks in advance, Roland Gruber # Italian (it) translation of debconf templates for ldap-account-manager # Copyright (C) 2007 Free Software Foundation, Inc. # This file is distributed under the same license as the ldap-account-manager package. # Luca Monducci luca...@tiscali.it, 2007. # msgid msgstr Project-Id-Version: ldap-account-manager 1.3.0 italian debconf templates\n Report-Msgid-Bugs-To: ldap-account-mana...@packages.debian.org\n POT-Creation-Date: 2009-07-27 22:08+0200\n PO-Revision-Date: 2007-05-06 12:28+0200\n Last-Translator: Luca Monducci luca...@tiscali.it\n Language-Team: Italian debian-l10n-italian@lists.debian.org\n MIME-Version: 1.0\n Content-Type: text/plain; charset=UTF-8\n Content-Transfer-Encoding: 8bit\n #. Type: multiselect #. Description #: ../templates:1001 msgid Web server configuration: msgstr Configurazione del server web: #. Type: multiselect #. Description #: ../templates:1001 #, fuzzy #| msgid #| LDAP Account Manager supports any webserver that supports PHP4, but this #| automatic configuration process only supports Apache and Apache2. If you #| choose to configure Apache(2) LAM can be accessed at http(s)://localhost/ #| lam msgid LDAP Account Manager supports any webserver that supports PHP5, but this automatic configuration process only supports Apache2. If you choose to configure Apache2 then LAM can be accessed at http(s)://localhost/lam msgstr LDAP Account Manager può essere usato su qualsiasi server web con PHP4 ma questo processo di configurazione automatica supporta solo Apache e Apache2. Se si configura Apache(2), si può accedere a LAM da http(s)://localhost/lam #. Type: string #. Description #: ../templates:2001 msgid Alias name: msgstr Nome alias: #. Type: string #. Description #: ../templates:2001 msgid LAM will add an alias to your httpd.conf which allows you to access LAM at http(s)://localhost/lam. You may select an alias other than \lam\. msgstr LAM aggiunge un alias in httpd.conf che permette di accedere a LAM da http (s)://localhost/lam. È possibile scegliere un alias diverso da \lam\. #. Type: string #. Description #: ../templates:3001 msgid Master configuration password (clear text): msgstr Password di configurazione (in chiaro): #. Type: string #. Description #: ../templates:3001 msgid The configuration profiles are secured by a master password. You will need it to create and delete profiles. As default it is set to \lam\ and can be changed directly in LAM. msgstr I profili di configurazione sono sicuri grazie a una password, questa password è necessaria per creare e rimuovere i profili. La password predefinita è \lam\ e può essere cambiata direttamente da LAM. #. Type: boolean #. Description #: ../templates:4001 msgid Would you like to restart your webserver(s) now? msgstr Si vuole riavviare il/i server web adesso? #. Type: boolean #. Description #: ../templates:4001 msgid Your webserver(s) need to be restarted in order to apply the changes. msgstr Per applicare le modifiche è necessario riavviare il/i server web. #~ msgid Upgrade from pre-0.5.0 versions #~ msgstr Aggiornamento da versioni precedenti la 0.5.0 #~ msgid #~ Please note that this version uses new file formats for configuration and #~ account profiles. You will have to update your configuration and create #~ new account profiles. #~ msgstr #~ Notare che questa versione utilizza un nuovo formato per la #~ configurazione e per i profili degli account. È necessario modificare la #~ propria configurazione e creare dei nuovi profili per gli account. #~ msgid Upgrade from pre-1.0.0 versions #~ msgstr Aggiornamento da versioni precedenti la 1.0.0 #~ msgid #~ Please note that this version uses new file formats for the configuration #~ profiles. Please edit your configuration files and save the new settings. #~ msgstr #~ Notare che questa versione utilizza un nuovo formato per i profili di #~ configurazione. Modificare i propri file di configurazione e salvare le #~ nuove impostazioni.
Re: LDAP + TLS
Marco Gaiarin wrote: Mandi! Alessandro Baggi In chel d si favelave... Salve Marco. Il problema l'ho risolto gi da tempo. Come hai detto te ...ero beatamente offline in ferie... ;-))) Grazie per l'interessamento. Alla prossima. De nada, ci mancherebbe!!! Salve Marco. Salve lista. Riprendo da questo punto in quanto mi si presentato un altro problema. Il sistema su cui sto lavorando dovrebbe assumere il ruolo di PDC. Slapd si avvia senza problemi, ldap*-(util) funzionano per bene con il TLS, libnss-ldap funziona, libpam_ldap funziona, gli smbldap-tools, anche loro funzionano a dovere con il TLS. Il problema si pone su samba. Dopo aver configurato samba (premetto che la configurazione di tutto il PDC senza tls funziona benissimo) con ldap ssl = Start_tls, quando samba si avvia con l'avvio del sistema, ricevo il seguente errore: Failed to issue the StartTLS instruction: Connect error [2009/07/15 17:32:42, 1] lib/smbldap.c:another_ldap_try(1178) Connection to LDAP server failed for the 13 try! e cos via... Pero ho notato una cosa alquanto singolare. Avviando slapd all'avvio e lanciando samba manualmente (/etc/init.d/samba start) non ricevo nessun errore da parte di samba e dal log di slapd ottengo: Jul 15 17:42:31 PDC slapd[1706]: conn=245 fd=20 TLS established tls_ssf=256 ssf=256 (slapd l'ho lanciato anche con il debug a -1 e la connessione passa sul tls). Ho provato a fare un'altra prova...ho messo nello script di avvio di slapd (dopo l'avvio di slapd) un ldapsearch -x -ZZ -d -1 2 /path/log /path/risultato per vedere se il problema si presentava anche con le ldaputil. Per ulteriori delucidazioni su samba, sul possibile errore, ho aggiunto l'opzione in smb.conf ldap debug level = 1 e in entrambi i casi, sia da log.smbd sia da ldapsearch -x -ZZ -d -1... ottengo questo errore: [LDAP] TLS: can't connect: Error in the push function.. Ovvero, se ldaputil e/o samba lo lancio dopo un login (che sia locale o su ssh) funziona tutto alla perfezione, se lascio l'avvio agli /etc/init.d/.. di samba, si presenta il problema. A quanto pare sembra un problema di slapd e non di samba. Qualcuno ha qualche idea? Grazie. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: LDAP + TLS
Marco Gaiarin wrote: Mandi! Alessandro Baggi In chel dì si favelave... AB Da cosa può dipendere? Gli esperimenti falli con 'ldapsearch', quando quello va, allora andrà anche lib*-ldap. In generale il problema è l'eterna migrazione di openldap in debian da SSL a GNUTLS, che si è fermata in mezzo non so dove di preciso. In /etc/ldap/ldap.conf la variabile: TLS_CACERT *deve* puntare al certificato pubblico della CA, oppure a un file con dentro la concatenazione di *tutti* i certificati pubblici delle CA che ti servono. E *NON* usare TLS_CACERTDIR, che tanto non funziona. ;) Salve Marco. Il problema l'ho risolto già da tempo. Come hai detto te il problema è l'eterna migrazione di openldap da SSL a GNUTLS. Con ssl funziona tutto alla perfezione. Il problema era nella configurazione nell'impostazione del cipher suite per gnutls di lib*-ldap che era impostato su TLSv1, pensando cosi, che prendesse l'intera suite di TLSv1. Il problema si è risolto quando ho impostato lo stesso cipher suite nella configurazione. Avrei dovuto comunicare il fatto tempo fa, ma tra una cosa e l'altra me ne sono dimenticato. Grazie per l'interessamento. Alla prossima. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: LDAP + TLS
Mandi! Alessandro Baggi In chel dì si favelave... AB Da cosa può dipendere? Gli esperimenti falli con 'ldapsearch', quando quello va, allora andrà anche lib*-ldap. In generale il problema è l'eterna migrazione di openldap in debian da SSL a GNUTLS, che si è fermata in mezzo non so dove di preciso. In /etc/ldap/ldap.conf la variabile: TLS_CACERT *deve* puntare al certificato pubblico della CA, oppure a un file con dentro la concatenazione di *tutti* i certificati pubblici delle CA che ti servono. E *NON* usare TLS_CACERTDIR, che tanto non funziona. ;) -- tutti chiusi in tante celle fanno a chi parla piu' forte per non dir che stelle e morte fan paura (F. Guccini) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
LDAP + TLS
Salve, ho un problema con OpenLDAP e TLS, libnss_ldap e smbldap-tools. Dopo aver creato i relativi certificati, dopo aver configurato ldap.conf , effettuando una query con ldapsearch il tutto funziona correttamente. Dopo aver configurato libnss_ldap.conf per l'utilizzo di tls, e nsswitch.conf, nel momento in cui vado ad effettuare una richiesta al server mediante getent passwd il log di slapd mi ritorna il seguente errore: TLS: can't accept: A TLS packet with unexpected length was received.. connection_read(15): TLS accept failure error=-1 id=42, closing Premetto che utilizzo debian lenny, $OpenLDAP: slapd 2.4.11. Ho controllato i certificati con openssl verify e la validità viene confermata. Ho effettuato test con openssl s_client e la comunicazione va a buon fine, ho effettuato un test di connessione con gnutls-cli e anche in questo caso il test va a buon fine. per quanto riguarda la creazione dei certificati, ho utilizzato i seguenti comandi: /usr/lib/ssl/misc/CA.pl -newca openssl req -newkey rsa:1024 -nodes -keyout key.pem -out newreq.pem /usr/lib/ssl/misc/CA.pl -sign Per quanto riguarda la configurazione dei parametri SSL/TLS di slapd: TLSCipherSuite TLS_RSA_AES_256_CBC_SHA1 TLSCertificateFile /etc/ldap/cert/slapdcert.pem TLSCACertificateFile /etc/ldap/cert/cacert.pem TLSCertificateKeyFile /etc/ldap/cert/slapdkey.pem TLSVerifyClient demand ldap.conf: BASEdc=dominio URI ldaps://PDC PORT 636 #SIZELIMIT 12 #TIMELIMIT 15 #DEREF never TLS_CACERT /root/cert/cacert.pem TLS_REQCERT demand libnss_ldap.conf: uri ldap://PDC ssl start_tls tls_checkpeer yes tls_ciphers TLSv1 tls_cert /etc/certlibnss/nsscert.pem tls_key /etc/certlibnss/nsskey.pem Da cosa può dipendere? -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
libpam-ldap 184-4.3: Please update debconf PO translation for the package libpam-ldap
Hi, The debian-l10n-english team has reviewed the debconf templates for libpam-ldap. This process has resulted in changes that may make your existing translation incomplete. A round of translation updates is being launched to synchronize all translations. Please send the updated file as a wishlist bug against the package. The deadline for receiving the updated translation is Monday, June 22, 2009. Thanks, # Italian (it) translation of debconf templates for libpam-ldap # Copyright (C) 2008 Software in the Public Interest # This file is distributed under the same license as the libpam-ldap package. # Luca Monducci luca...@tiscali.it, 2008. # msgid msgstr Project-Id-Version: libpam-ldap 184\n Report-Msgid-Bugs-To: libpam-l...@packages.debian.org\n POT-Creation-Date: 2009-06-08 06:36+0200\n PO-Revision-Date: 2008-08-24 14:42+0200\n Last-Translator: Luca Monducci luca...@tiscali.it\n Language-Team: Italian debian-l10n-italian@lists.debian.org\n MIME-Version: 1.0\n Content-Type: text/plain; charset=UTF-8\n Content-Transfer-Encoding: 8bit\n #. Type: string #. Description #: ../templates:2001 msgid LDAP administrative account: msgstr #. Type: string #. Description #: ../templates:2001 msgid Please enter the name of the LDAP administrative account. msgstr #. Type: string #. Description #: ../templates:2001 msgid This account will be used automatically for database management, so it must have the appropriate administrative privileges. msgstr #. Type: password #. Description #: ../templates:3001 #, fuzzy #| msgid LDAP root account password: msgid LDAP administrative password: msgstr Password dell'account root per LDAP: #. Type: password #. Description #: ../templates:3001 #, fuzzy #| msgid #| Please enter the password that will be used to log in to the LDAP #| database. msgid Please enter the password of the administrative account. msgstr Inserire la password da usare per l'accesso al database LDAP. #. Type: password #. Description #. Translators: do not translate ${filename} #: ../templates:3001 #, fuzzy #| msgid #| The password will be stored in a separate file ${filename} which will be #| made readable to root only. msgid The password will be stored in the file ${filename}. This will be made readable to root only, and will allow ${package} to carry out automatic database management logins. msgstr La password verrà memorizzata in un apposito file ${filename} che risulterà leggibile solo da root. #. Type: password #. Description #: ../templates:3001 msgid If this field is left empty, the previously stored password will be re-used. msgstr #. Type: boolean #. Description #: ../templates:4001 msgid Does the LDAP database require login? msgstr Il database LDAP richiede il login? #. Type: boolean #. Description #: ../templates:4001 msgid Please choose whether the LDAP server enforces a login before retrieving entries. msgstr #. Type: boolean #. Description #: ../templates:4001 msgid Such a setup is not usually needed. msgstr #. Type: string #. Description #: ../templates:5001 msgid Distinguished name of the search base: msgstr \Distinguished name\ della base della ricerca: #. Type: string #. Description #: ../templates:5001 #, fuzzy #| msgid #| Please enter the distinguished name of the LDAP search base. Many sites #| use the components of their domain names for this purpose. For example, #| the domain \example.net\ would use \dc=example,dc=net\ as the #| distinguished name of the search base. msgid Please enter the distinguished name of the LDAP search base. Many sites use the components of their domain names for this purpose. For example, the domain \example.net\ would use \dc=example,dc=net\ as the distinguished name of the search base. msgstr Inserire il \distinguished name\ della base di ricerca LDAP, spesso per questo scopo si usano i nomi di dominio. Per esempio, il dominio \esempio. net\ può usare \dc=esempio,dc=net\ come \distinguished name\ della base della ricerca. #. Type: select #. Choices #: ../templates:6001 msgid clear msgstr in chiaro #. Type: select #. Choices #: ../templates:6001 msgid crypt msgstr cifrato #. Type: select #. Choices #: ../templates:6001 msgid nds msgstr nds #. Type: select #. Choices #: ../templates:6001 msgid ad msgstr ad #. Type: select #. Choices #: ../templates:6001 msgid exop msgstr exop #. Type: select #. Choices #: ../templates:6001 msgid md5 msgstr md5 #. Type: select #. Description #: ../templates:6002 #, fuzzy #| msgid Local crypt to use when changing passwords. msgid Local encryption algorithm to use for passwords: msgstr Cifratura locale da usare al cambio della password. #. Type: select #. Description #: ../templates:6002 msgid The PAM module can encrypt the password locally when changing it, which is recommended:\n * clear: no encryption. This should be chosen when LDAP servers\n automatically encrypt the userPassword entry;\n * crypt: make userPassword use the same format as the flat\n local
Re: ldap e gestione rubrica
Il giorno gio, 24/07/2008 alle 14.59 +0200, Pol Hallen ha scritto: Ma ldap, mi permette di gestire una rubrica telefonica? Se si, che client posso utilizzare per visualizzare, modificare, etc.? LDAP di per se è un protocollo. Ci sono implementazioni server come OpenLDAP che ti permettono di organizzare records in maniera strutturare...come ad esempio una rubrica telefonica. installati slapd e ldap-utils. poi dpkg-reconfigure slapd e rispondi alle domande. dopodichè collegati con qualcosa tipo GQ, LAT o LUMA (client GUI) o alternative web. Ma prima ti consiglio di leggerti qualche howto su openldap. Korganizer di KDE e Evoution di Gnome gestiscono bene le rubriche su LDAP. Thunderbird per ora solo in lettura. Per la scrittura se ne parla forse con la 3.x -- Davide Corio email: davide.corioatdomsense.com web: http://www.domsense.com -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
ldap e gestione rubrica
Ciao a tutti :-) Attualmente i client utilizzando kaddressbook come rubrica, ho notato che c'e' un'opzione che utilizza ldap. Ma ldap, mi permette di gestire una rubrica telefonica? Se si, che client posso utilizzare per visualizzare, modificare, etc.? Grazie perche' di ldap non conosco proprio nulla :-) Pol -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ldap e gestione rubrica
Pol Hallen ha scritto: Ciao a tutti :-) Attualmente i client utilizzando kaddressbook come rubrica, ho notato che c'e' un'opzione che utilizza ldap. Ma ldap, mi permette di gestire una rubrica telefonica? Se si, che client posso utilizzare per visualizzare, modificare, etc.? Grazie perche' di ldap non conosco proprio nulla :-) A me piaceve questo: # apt-cache show directoryassistant Package: directoryassistant Priority: optional Section: net Installed-Size: 68 Maintainer: Gustavo Franco [EMAIL PROTECTED] Architecture: all Version: 2.0-1 Depends: python (= 2.3), python ( 3), python-gtk2 (= 1.99.17-6), python-ldap (= 1.9.999.pre14-1) Filename: pool/main/d/directoryassistant/directoryassistant_2.0-1_all.deb Size: 21606 MD5sum: 95bba99d2d6e358850642006b4b3c255 SHA1: 28ea56ce7c38c03c5a4f39641757363d4ca23d00 SHA256: 05d42447e3dc7515c20c185a9b86ce8c3548eb3b7cee89a2d8ddc278bac40019 Description: small LDAP address book manager Directory Assistant is a small application for managing a LDAP address book. The focus is to create a very easy to use program, with only the few but necessary features. The target is novice users that still need to keep their addresses in an LDAP server. . It was written in Python language using GTK+ bindings. . Website: http://olivier.sessink.nl/directoryassistant/ Tag: implemented-in::python, interface::x11, protocol::ldap, role::program, scope::application, uitoolkit::gtk, use::organizing, works-with::db, works-with::pim, x11::application -- Marco Bertorello System Administrator http://bertorello.ns0.it -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: quote maildir con ldap.
Mauro Sanna wrote: C'e' qualcuno che gestisce le quote per degli accounts di posta elettronica con ldap? Mi pare che avevo già risposto qualcosa del genere, ad ogni modo mi ripeto volentieri ;-) Come riferimento ti segnalo il progetto www.phamm.org che è una interfaccia di amministrazione PHP multiruolo Ad ogni modo di Phamm puoi usare anche solo lo schema phamm.schema per avere una indicazione su come configurare l'MTA (spesso Postfix) per gestire le quote degli account, ti riporto un estratto LDIF di un oggetto account: dn: [EMAIL PROTECTED],vd=klez.it,o=hosting,dc=x4w,dc=it objectClass: top objectClass: VirtualMailAccount objectClass: Vacation objectClass: amavisAccount objectClass: VirtualForward mail: [EMAIL PROTECTED] quota: 52428800S amavisSpamKillLevel: 6.0 amavisSpamTag2Level: 5.5 saluti Alessandro De Zorzi -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
quote maildir con ldap.
C'e' qualcuno che gestisce le quote per degli accounts di posta elettronica con ldap? -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ldap... mi perdo!!
TanfoglioNET ha scritto: http://www.linuxtrent.it/documentazione/wikilinux/SambaLDAPcomePDCsuDebianSarge Iniziare a implemetare una struttura come questa ti permettere di apprendere diverse cose su questa logica. Buon lavoro e fammi sapere Ciao, intanto ti ringrazio! Ho passato tre giorni a cercare qualcosa sul web che mi guidi passo passo dal principio e mi liberi dai miei inceppamenti. Avrò letto una dozzina di tutorial, ma nessuno di questi mi ha aiutato. Già il link che mi hai segnalato tu per me è troppo avanti, perché ancora non sono sbloccato sulle basi. Quello che trovo in rete sono trattati sulla teoria di LDAP: oggetti, classi, attributi, bla bla bla, ma quando si tratta di tradurre le teorie in pratica, mi cade tutto: o non c'è nulla, oppure trovo LDAP su SSL, con Kerberos pam, SAMBA, ecc. andando direttamente sull'ostico e presentando procedure già pronte che danno per scontato che i concetti teorici esposti prima siano ormai snocciolati e pronti per l'uso. Procedure che di conseguenza non so riadattare alle mie necessità. Almeno per me non è così, cioè, non mi è affatto scontato passare dalla teoria alla creazione di uno schema, seppur semplice come quello per l'autenticazione squid. Per esempio, prendiamo proprio squid: mi serve solo un nome utente e una password, nello schema. Bene: come si crea un semplicissimo schema che fornisca nome utente e password? Qualcuno sarebbe così gentile da guidarmi in questo? Grazie ancora! Gabriele -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
ldap... mi perdo!!
Ciao a tutti, ho letto una manciata di how-to, articoli, un paio di libri entry level… tutto questo mi è servito per capirne le intenzioni, per sapere quando è utile, ecc. Ma quando provo a pensare a come implementarlo nella mia realtà, non so da dove cominciare. Il fatto è che gli how-to che trovo parlano di autenticazione degli utenti sulla macchina locale, di NFS, di PAM, ecc. A me non serve tutto questo. A me serve: 1) autenticare gli utenti su squid 2) autenticare gli utenti su courier-imap, su dovecot e su postfix/mysql in uscita 3) avere una rubrica (anagrafica) dei collaboratori aziendali (nome, cognome, ruolo, settore, telefono, cellulare, interno, e-mail, ecc.) 4) autenticare gli utenti su un paio di nostri siti web aziendali In giro ho anche trovato qualche riga, con il commento: per squid basta inserire questo, per postfix basta fare… - Quello che mi manca è a monte: come pensare e strutturare il mio ldap per come serve a me? - Una volta strutturata, posso modificare la directory, aggiungendo record e cambiandone la gerarchia, o sono costretto a pensarla bene dall'inizio e tenermela così? Per esempio, posso partire solo da squid, dove bastano user e password, e poi piano piano allargo ed estendo il tutto agli altri applicativi man mano che ci capisco qualcosa? - Ci sono strumenti visuali che mi possono aiutare, con interfaccia web, tipo il phpmyadmin per mysql? Grazie a chiunque voglia darmi qualche dritta, su ldap mi sento proprio perso. Vi sembrerà strano, ma quando leggo libri o articoli, ho poi qualche intoppo quando provo a pensare ad adattare quei concetti alla mia particolare realtà. Gabriele -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ldap... mi perdo!!
A me serve: 1) autenticare gli utenti su squid 2) autenticare gli utenti su courier-imap, su dovecot e su postfix/mysql in uscita 3) avere una rubrica (anagrafica) dei collaboratori aziendali (nome, cognome, ruolo, settore, telefono, cellulare, interno, e-mail, ecc.) 4) autenticare gli utenti su un paio di nostri siti web aziendali [cut] - Quello che mi manca è a monte: come pensare e strutturare il mio ldap per come serve a me? - Una volta strutturata, posso modificare la directory, aggiungendo record e cambiandone la gerarchia, o sono costretto a pensarla bene dall'inizio e tenermela così? Per esempio, posso partire solo da squid, dove bastano user e password, e poi piano piano allargo ed estendo il tutto agli altri applicativi man mano che ci capisco qualcosa? si, certo - Ci sono strumenti visuali che mi possono aiutare, con interfaccia web, tipo il phpmyadmin per mysql? phpldapadmin ma se non hai esperienza di ldap, per fare quello che devi fare io userei phamm, http://www.phamm.org/ cito: Phamm (PHP LDAP Virtual Hosting Manager) is a frontend written in PHP to manage virtual service's using a LDAP directory backend. e At this time you can find inside Phamm these tested plugins: * mail.xml - Virtual mailbox * alias.xml - Virtual mail alias * ftp.xml - Virtual FTP account * proxy.xml - Virtual Proxy access * person.xml - LDAP Adress Book quindi sembrerebbe proprio faccia per te. ciao, stefano -- --- Per favore non mandate allegati in Word o PowerPoint. Si veda http://www.fsf.org/philosophy/no-word-attachments.html --- Stefano Sasso [EMAIL PROTECTED] Linux User #330315 http://www.gnustile.net/ -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ldap... mi perdo!!
Gabriele ha scritto: Ciao a tutti, ho letto una manciata di how-to, articoli, un paio di libri entry level… tutto questo mi è servito per capirne le intenzioni, per sapere quando è utile, ecc. Ma quando provo a pensare a come implementarlo nella mia realtà, non so da dove cominciare. Il fatto è che gli how-to che trovo parlano di autenticazione degli utenti sulla macchina locale, di NFS, di PAM, ecc. A me non serve tutto questo. A me serve: 1) autenticare gli utenti su squid 2) autenticare gli utenti su courier-imap, su dovecot e su postfix/mysql in uscita 3) avere una rubrica (anagrafica) dei collaboratori aziendali (nome, cognome, ruolo, settore, telefono, cellulare, interno, e-mail, ecc.) 4) autenticare gli utenti su un paio di nostri siti web aziendali In giro ho anche trovato qualche riga, con il commento: per squid basta inserire questo, per postfix basta fare… - Quello che mi manca è a monte: come pensare e strutturare il mio ldap per come serve a me? - Una volta strutturata, posso modificare la directory, aggiungendo record e cambiandone la gerarchia, o sono costretto a pensarla bene dall'inizio e tenermela così? Per esempio, posso partire solo da squid, dove bastano user e password, e poi piano piano allargo ed estendo il tutto agli altri applicativi man mano che ci capisco qualcosa? - Ci sono strumenti visuali che mi possono aiutare, con interfaccia web, tipo il phpmyadmin per mysql? Grazie a chiunque voglia darmi qualche dritta, su ldap mi sento proprio perso. Vi sembrerà strano, ma quando leggo libri o articoli, ho poi qualche intoppo quando provo a pensare ad adattare quei concetti alla mia particolare realtà. Gabriele Ciao, Nella gestione della rete presso un cliente ho realizzato una struttura analoga a quella che serve a te partendo da: Configurazione di LDAP utilizzando gli schema di samba Poi ho utilizzto libnss-ldap e nsswitch.conf ottenento un esportazioni di utenti LDAP a livello di sistema operativo. Su questa esportazione ho basato l'autenticazione di tutti i servizi ( Dovecot, Squid, Postfix ). La gestione dell'impianto viene realizzato con phpldapadmin + uno script bash per la generazione e rimozione degli account. Non so se è quello che certi. S. -- ** TANFOGLIONET Via X Giornate, 68 25063 GARDONE VAL TROMPIA –BS- Tel. 3208280038 – Fax 030831896 E-mail: [EMAIL PROTECTED] ** Ai sensi del decreto legislativo 196/2003, vi informiamo che il contenuto di questo messaggio è strettamente confidenziale, così come qualsiasi allegato. La visione dello stesso è limitata al/ai destinatario/i. Se avete erroneamente ricevuto il presente messaggio ma non siete i destinatari, siete pregati di distruggerne l'originale ed ogni sua eventuale copia, ai sensi del decreto legislativo 196/2003. Se invece siete i destinatari, vi ricordiamo che rimane possibile in ogni momento, richiedere di modificare, bloccare e/o cancellare i vostri dati dai nostri archivi, secondo quanto previsto dalla normativa in materia di trattamento dei dati personali. -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ldap... mi perdo!!
TanfoglioNET ha scritto: Nella gestione della rete presso un cliente ho realizzato una struttura analoga a quella che serve a te partendo da: Configurazione di LDAP utilizzando gli schema di samba Poi ho utilizzto libnss-ldap e nsswitch.conf ottenento un esportazioni di utenti LDAP a livello di sistema operativo. Su questa esportazione ho basato l'autenticazione di tutti i servizi ( Dovecot, Squid, Postfix ). La gestione dell'impianto viene realizzato con phpldapadmin + uno script bash per la generazione e rimozione degli account. Non so se è quello che certi. Nella mia realtà c'è un windows 2000 server che sta collassando, con una active directory che serve semplicemente per autenticare una ventina di postazioni in terminal server, nulla più. Poi ho un debian che fa da proxy/firewall + groupware + jabber e un altro debian che fa da mail server. Appena win 2000 morirà-spero-presto (non facciamoci sentire dal mio capo), coglierò l'occasione di proporre una bella autenticazione distribuita, per i miei debian (che gestisco direttamente), e se proprio vorranno mantenere win, per un eventuale active directory che questa volta però si nutrirà da ldap. Questo nei miei sogni. In pratica è meglio se inizio a capire dove mettere le mani. Nei miei debian non ho interfacce, lavoro solo a linea da comando, e mi muovo benone, bashicchio un pochino... ma quando si parla di ldap mi inceppo mentalmente. Mi parli di msswitch.con e libnss-ldap… li ho visti qualche volta di nome, ma non so altro. Puoi darmi qualche dettaglio in più sulla tua procedura, magari in privato, se non interessa a nessuno? Grazie intanto! Gabriele -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ldap... mi perdo!!
Stefano Sasso ha scritto: - Una volta strutturata, posso modificare la directory, aggiungendo record e cambiandone la gerarchia, o sono costretto a pensarla bene dall'inizio e tenermela così? Per esempio, posso partire solo da squid, dove bastano user e password, e poi piano piano allargo ed estendo il tutto agli altri applicativi man mano che ci capisco qualcosa? si, certo Però poi immagino sia necessario ricreare i puntamenti alla directory da parte di tutti gli applicativi che ne fanno uso, giusto? - Ci sono strumenti visuali che mi possono aiutare, con interfaccia web, tipo il phpmyadmin per mysql? phpldapadmin ma se non hai esperienza di ldap, per fare quello che devi fare io userei phamm, http://www.phamm.org/ Grazie, il secondo non lo conoscevo, provo a spulciarlo. Gabriele -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: ldap... mi perdo!!
Gabriele ha scritto: TanfoglioNET ha scritto: Nella gestione della rete presso un cliente ho realizzato una struttura analoga a quella che serve a te partendo da: Configurazione di LDAP utilizzando gli schema di samba Poi ho utilizzto libnss-ldap e nsswitch.conf ottenento un esportazioni di utenti LDAP a livello di sistema operativo. Su questa esportazione ho basato l'autenticazione di tutti i servizi ( Dovecot, Squid, Postfix ). La gestione dell'impianto viene realizzato con phpldapadmin + uno script bash per la generazione e rimozione degli account. Non so se è quello che certi. Nella mia realtà c'è un windows 2000 server che sta collassando, con una active directory che serve semplicemente per autenticare una ventina di postazioni in terminal server, nulla più. Poi ho un debian che fa da proxy/firewall + groupware + jabber e un altro debian che fa da mail server. Appena win 2000 morirà-spero-presto (non facciamoci sentire dal mio capo), coglierò l'occasione di proporre una bella autenticazione distribuita, per i miei debian (che gestisco direttamente), e se proprio vorranno mantenere win, per un eventuale active directory che questa volta però si nutrirà da ldap. Questo nei miei sogni. In pratica è meglio se inizio a capire dove mettere le mani. Nei miei debian non ho interfacce, lavoro solo a linea da comando, e mi muovo benone, bashicchio un pochino... ma quando si parla di ldap mi inceppo mentalmente. Mi parli di msswitch.con e libnss-ldap… li ho visti qualche volta di nome, ma non so altro. Puoi darmi qualche dettaglio in più sulla tua procedura, magari in privato, se non interessa a nessuno? Grazie intanto! Gabriele http://www.linuxtrent.it/documentazione/wikilinux/SambaLDAPcomePDCsuDebianSarge Iniziare a implemetare una struttura come questa ti permettere di apprendere diverse cose su questa logica. Buon lavoro e fammi sapere -- ** TANFOGLIONET Via X Giornate, 68 25063 GARDONE VAL TROMPIA –BS- Tel. 3208280038 – Fax 030831896 E-mail: [EMAIL PROTECTED] ** Ai sensi del decreto legislativo 196/2003, vi informiamo che il contenuto di questo messaggio è strettamente confidenziale, così come qualsiasi allegato. La visione dello stesso è limitata al/ai destinatario/i. Se avete erroneamente ricevuto il presente messaggio ma non siete i destinatari, siete pregati di distruggerne l'originale ed ogni sua eventuale copia, ai sensi del decreto legislativo 196/2003. Se invece siete i destinatari, vi ricordiamo che rimane possibile in ogni momento, richiedere di modificare, bloccare e/o cancellare i vostri dati dai nostri archivi, secondo quanto previsto dalla normativa in materia di trattamento dei dati personali. -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Samba+LDAP e null password
confermo che con: pdbedit -c [N] user ho comunque risolto tutti i problemi. Grazie ancora ciao ciao! -- http://www.piloz.it -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Samba+LDAP e null password
Mandi! PiloZ In chel d? si favelave... P Grazie ad entrambi, pdbedit sembra proprio che fa al caso mio e P guardando il man sembra un ottimo tool. ...conta che con smbldap-usermod fai esattamente la stessa cosa, ? che pdbedit ? il tool 'standard' (indipendente dal backend)... P In conclusione se volessi accedere ad una directory che sta sul server P PDC mediante un pc che non si autentica sul dominio e che non usa P password, devo usare il guest ok = yes? Dipende. Con una opzione come: guest account = guest map to guest = Bad User ogni accesso fatto con utenti non riconosciuti al dominio (e gli utenti locali di un host lo sono) viene mappato all'utente guest. la cosa ? utile per accessi 'anonimi' (accesso readonly a certi share, permettere a tutti di stampare sulle stampanti di rete, ...) sicuramente non ? una strada percorribile per altre cose. Se non ? abilitato il guest access, dovrebbe essere richiesto utente e password, anche se windows fa qualche approsimazione (tipo: se esiste l'account di dominio pippo\DOMINIO e l'utente locale pippo\HOSTLOCALE ha la stessa password, windows tende anche a non chiedere nulla). -- Il problema ? che, in questa epoca di grande comunicazione globale, quando ti fa male il culo non ? per le emorroidi... (Beppe Grillo) -- Per REVOCARE l'iscrizione alla lista, inviare un email a [EMAIL PROTECTED] con oggetto unsubscribe. Per problemi inviare un email in INGLESE a [EMAIL PROTECTED] To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]