Re: Вопрос по pam_ldap
Alexander GQ Gerasiov пишет: - /etc/ldap/ldap.conf этот используется ldap-утилитами - /etc/pam_ldap.conf этот libpam_ldap - /etc/libnss-ldap.conf этот libnss_ldap смотря для каких целей. А для аутентификации пользователей (которые являются пользователями самбы по совместительству) который из них нужен? И какими утилитами используется /etc/ldap.conf? -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Вопрос по pam_ldap
Кубашин Александр Сергеевич - Debian-russian @ Wed, 17 Oct 2007 10:32:06 +0400: - /etc/ldap/ldap.conf этот используется ldap-утилитами - /etc/pam_ldap.conf этот libpam_ldap - /etc/libnss-ldap.conf этот libnss_ldap смотря для каких целей. КАС А для аутентификации пользователей (которые являются КАС пользователями самбы по совместительству) который из них нужен? Для аутентификации - памовский. А вот пользуется самба памом или еще чем - это уже как она настроена... -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] Любой инструмент, используемый не по назначению, имеет свойство превращаться в грабли. Andrey Sverdlichenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Вопрос по pam_ldap
Artem Chuprina wrote: Кубашин Александр Сергеевич - Debian-russian @ Wed, 17 Oct 2007 10:32:06 +0400: - /etc/ldap/ldap.conf этот используется ldap-утилитами - /etc/pam_ldap.conf этот libpam_ldap - /etc/libnss-ldap.conf этот libnss_ldap смотря для каких целей. КАС А для аутентификации пользователей (которые являются КАС пользователями самбы по совместительству) который из них нужен? Для аутентификации - памовский. А вот пользуется самба памом или еще чем - это уже как она настроена... Если говорить о полноценном использовании самбы, то ее надо напрямую цеплять в LDAP, а не через PAM. Если нужно объединить базу самбы и локальных пользователей, то нужно 1. прописать подключение самбы в smb.conf 2. объяснить libnss и pam, что надо брать инфу из ldap -- Alex -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Вопрос по pam_ldap
alex kuklin пишет: Artem Chuprina wrote: Кубашин Александр Сергеевич - Debian-russian @ Wed, 17 Oct 2007 10:32:06 +0400: - /etc/ldap/ldap.conf этот используется ldap-утилитами - /etc/pam_ldap.conf этот libpam_ldap - /etc/libnss-ldap.conf этот libnss_ldap смотря для каких целей. КАС А для аутентификации пользователей (которые являются КАС пользователями самбы по совместительству) который из них нужен? Для аутентификации - памовский. А вот пользуется самба памом или еще чем - это уже как она настроена... Если говорить о полноценном использовании самбы, то ее надо напрямую цеплять в LDAP, а не через PAM. Если нужно объединить базу самбы и локальных пользователей, то нужно 1. прописать подключение самбы в smb.conf 2. объяснить libnss и pam, что надо брать инфу из ldap Спасибо всем, самба уже более года через LDAP и работает, просто в sarge, если я не ошибаюсь, был только /etc/ldap.conf на всё, а в etch это несколько изменилось... Вот и решил разобраться что за чем нужно, учитывая, что содержимое всех трёх файлов у меня идентично... -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Вопрос по pam_ldap
Кубашин Александр Сергеевич wrote: alex kuklin пишет: Artem Chuprina wrote: Кубашин Александр Сергеевич - Debian-russian @ Wed, 17 Oct 2007 10:32:06 +0400: - /etc/ldap/ldap.conf этот используется ldap-утилитами - /etc/pam_ldap.conf этот libpam_ldap - /etc/libnss-ldap.conf этот libnss_ldap смотря для каких целей. КАС А для аутентификации пользователей (которые являются КАС пользователями самбы по совместительству) который из них нужен? Для аутентификации - памовский. А вот пользуется самба памом или еще чем - это уже как она настроена... Если говорить о полноценном использовании самбы, то ее надо напрямую цеплять в LDAP, а не через PAM. Если нужно объединить базу самбы и локальных пользователей, то нужно 1. прописать подключение самбы в smb.conf 2. объяснить libnss и pam, что надо брать инфу из ldap Спасибо всем, самба уже более года через LDAP и работает, просто в sarge, если я не ошибаюсь, был только /etc/ldap.conf на всё, а в etch это несколько изменилось... Вот и решил разобраться что за чем нужно, учитывая, что содержимое всех трёх файлов у меня идентично... Это ОЧЕНЬ странно. Настройки pam и nss чущественно разные. Переставьте libnss-ldap и libpam-ldap или возьмите оттуда дефолтные конфиги. Ну и в /etc/pam.d/* и /etc/nsswitch.conf не забудьте прописать. -- Alex -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Вопрос по pam_ldap
У ср, 2007-10-17 у 11:36 +0400, alex kuklin пише: Кубашин Александр Сергеевич wrote: alex kuklin пишет: Artem Chuprina wrote: Кубашин Александр Сергеевич - Debian-russian @ Wed, 17 Oct 2007 10:32:06 +0400: - /etc/ldap/ldap.conf этот используется ldap-утилитами - /etc/pam_ldap.conf этот libpam_ldap - /etc/libnss-ldap.conf этот libnss_ldap смотря для каких целей. КАС А для аутентификации пользователей (которые являются КАС пользователями самбы по совместительству) который из них нужен? Для аутентификации - памовский. А вот пользуется самба памом или еще чем - это уже как она настроена... Если говорить о полноценном использовании самбы, то ее надо напрямую цеплять в LDAP, а не через PAM. Если нужно объединить базу самбы и локальных пользователей, то нужно 1. прописать подключение самбы в smb.conf 2. объяснить libnss и pam, что надо брать инфу из ldap Спасибо всем, самба уже более года через LDAP и работает, просто в sarge, если я не ошибаюсь, был только /etc/ldap.conf на всё, а в etch это несколько изменилось... Вот и решил разобраться что за чем нужно, учитывая, что содержимое всех трёх файлов у меня идентично... Это ОЧЕНЬ странно. Настройки pam и nss чущественно разные. О как. Вы авторизируете юзеров оглядываясь на один ldap-сервер, а резолвите uid в имена через другой? Интересно... -- Alexander Vlasov ZULU-UANIC JID: zulu at jabber.kiev.ua -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Вопрос по pam_ldap
Alexander Vlasov wrote: У ср, 2007-10-17 у 11:36 +0400, alex kuklin пише: Кубашин Александр Сергеевич wrote: alex kuklin пишет: Artem Chuprina wrote: Кубашин Александр Сергеевич - Debian-russian @ Wed, 17 Oct 2007 10:32:06 +0400: - /etc/ldap/ldap.conf этот используется ldap-утилитами - /etc/pam_ldap.conf этот libpam_ldap - /etc/libnss-ldap.conf этот libnss_ldap смотря для каких целей. КАС А для аутентификации пользователей (которые являются КАС пользователями самбы по совместительству) который из них нужен? Для аутентификации - памовский. А вот пользуется самба памом или еще чем - это уже как она настроена... Если говорить о полноценном использовании самбы, то ее надо напрямую цеплять в LDAP, а не через PAM. Если нужно объединить базу самбы и локальных пользователей, то нужно 1. прописать подключение самбы в smb.conf 2. объяснить libnss и pam, что надо брать инфу из ldap Спасибо всем, самба уже более года через LDAP и работает, просто в sarge, если я не ошибаюсь, был только /etc/ldap.conf на всё, а в etch это несколько изменилось... Вот и решил разобраться что за чем нужно, учитывая, что содержимое всех трёх файлов у меня идентично... Это ОЧЕНЬ странно. Настройки pam и nss чущественно разные. О как. Вы авторизируете юзеров оглядываясь на один ldap-сервер, а резолвите uid в имена через другой? Интересно... Сервер - один. А настройки там - очень разные. # wc libnss-ldap.conf pam_ldap.conf 323 1256 9785 libnss-ldap.conf 297 1166 8997 pam_ldap.conf посмотрите сами. У NSS и PAM очень разный функционал. -- Alex -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Вопрос по pam_ldap
Вот и решил разобраться что за чем нужно, учитывая, что содержимое всех трёх файлов у меня идентично... Это ОЧЕНЬ странно. Настройки pam и nss чущественно разные. О как. Вы авторизируете юзеров оглядываясь на один ldap-сервер, а резолвите uid в имена через другой? Интересно... Сервер - один. А настройки там - очень разные. # wc libnss-ldap.conf pam_ldap.conf 323 1256 9785 libnss-ldap.conf 297 1166 8997 pam_ldap.conf посмотрите сами. У NSS и PAM очень разный функционал. Какая красота. admin:~# grep -v '#' /etc/pam_ldap.conf | sort -u | md5sum 554787467a8e924cd8213c1837283aee - admin:~# grep -v '#' /etc/libnss-ldap.conf | sort -u | md5sum 554787467a8e924cd8213c1837283aee - nss и pam конечно делают разные вещи. Что не мешает им иметь одинаковые настройки. Вот /etc/ldap/ldap.conf имеет-таки насткойку которой нет в двух предыдущих файлах, а именно sudoers base. -- Alexander Vlasov ZULU-UANIC JID: zulu at jabber.kiev.ua -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Вопрос по pam_ldap
alex kuklin пишет: Кубашин Александр Сергеевич wrote: Спасибо всем, самба уже более года через LDAP и работает, просто в sarge, если я не ошибаюсь, был только /etc/ldap.conf на всё, а в etch это несколько изменилось... Вот и решил разобраться что за чем нужно, учитывая, что содержимое всех трёх файлов у меня идентично... Это ОЧЕНЬ странно. Настройки pam и nss чущественно разные. Переставьте libnss-ldap и libpam-ldap или возьмите оттуда дефолтные конфиги. Ну и в /etc/pam.d/* и /etc/nsswitch.conf не забудьте прописать. Идентичны только файлы /etc/libpam-ldap.conf и pam_ldap.conf... А pam.d и nsswitch.conf настроены давно, ещё при sarge. Сейчас поставил на чистом сервере libnss-ldap и libpam-ldap, разница в настройках сделанных Дебианом только в следующем: в pam_ldap.conf раскомментирована строка: pam_password md5 а в libnss-ldap.conf: nss_base_passwd ou=Users,dc=myorg,dc=ru |113 # (can be overriden by value of former attribute nss_base_passwd ou=Computers,dc=myorg,dc=ru |114 # in user's entry) nss_base_shadow ou=Users,dc=myorg,dc=ru |115 #pam_login_attribute userPrincipalName nss_base_group ou=Groups,dc=myorg,dc=ru |116 #pam_template_login_attribute uid Причём в закомментированном виде эти настройки есть в обоих файлах... Настройки для серверов ldap естественно совпадают. Соответственно, если эти настройки включены в оба файла (у меня так), то всё должно работать (да и работает собственно говоря). -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Вопрос по pam_ldap
Здравствуйте. Не подскажете какой из файлов настройки pam_ldap используется в Debian Etch, а то я их насчитал 3 штуки: - /etc/ldap/ldap.conf - /etc/pam_ldap.conf - /etc/libnss-ldap.conf Рабочим вроде является только последний, но хочется уточнить нужны ли кому-нибудь остальные файлы... -- С уважением, Кубашин Александр -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Вопрос по pam_ldap
На Wed, 17 Oct 2007 09:17:23 +0400 Кубашин Александр Сергеевич [EMAIL PROTECTED] записано: Здравствуйте. Не подскажете какой из файлов настройки pam_ldap используется в Debian Etch, а то я их насчитал 3 штуки: - /etc/ldap/ldap.conf этот используется ldap-утилитами - /etc/pam_ldap.conf этот libpam_ldap - /etc/libnss-ldap.conf этот libnss_ldap Рабочим вроде является только последний, но хочется уточнить нужны ли кому-нибудь остальные файлы... смотря для каких целей. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail: [EMAIL PROTECTED] Homepage: http://gq.net.ru -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Проблемы с pam_ldap
On Thu, Dec 08, 2005 at 04:43:05PM +0200, [EMAIL PROTECTED] wrote: Большое спасибо...вот как раз /etc/libnss-ldap.conf и не был настроен...Правда теперь еще одна проблемка возникла - когда аккаунт логинится, не создается домашняя директория для данного аккаунта... Он и не должен. Я обычно монтирую домашние каталоги с одного центрального сервера по NFS, так гораздо удобнее. А про pam_mkhomedir тебе уже рассказали. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Проблемы с pam_ldap
Pavel Ammosov пишет: On Mon, Dec 05, 2005 at 03:07:25PM +0200, Alex Molchanov wrote: Возникла проблема с настройкой аутентификации через pam_ldap, в логах (auth.log) выбивает следующее: Dec 5 14:37:29 localhost sshd[32275]: pam_ldap: error trying to bind as user "uid=test,cn=Users,dc=test,dc=dp,dc=ua" (Invalid credentials) Проверь что этот DN ^^ может делать нормально bind в твоём каталоге. Я обычно это делал как-то так: ldapsearch -D этот dn -W -b этот dn и говорил ему пароль для этого DN. Повторяй пока не получишь нормального ответа от LDAP сервера. Содержимое pam_ldap.conf Содержимое pam.conf файлы /etc/pam.d/* взяты из стандартной доки по pam_ldap nss у тебя настроен? /etc/nsswitch.conf, /etc/libnss-ldap.conf и всё такое. Большое спасибо...вот как раз /etc/libnss-ldap.conf и не был настроен...Правда теперь еще одна проблемка возникла - когда аккаунт логинится, не создается домашняя директория для данного аккаунта...
Re: Проблемы с pam_ldap
В Чтв, 08/12/2005 в 16:43 +0200, [EMAIL PROTECTED] пишет: Большое спасибо...вот как раз /etc/libnss-ldap.conf и не был настроен...Правда теперь еще одна проблемка возникла - когда аккаунт логинится, не создается домашняя директория для данного аккаунта... В /etc/pam.d/login и другие /etc/pam.d/*, которые используются при авторизации: sessionrequired pam_mkhomedir.so skel=/etc/skel/ umask=0022 Кстати, вопрос - как бы заставить exim аналогичным способом создавать домашние каталоги? В /etc/skel имеется прототип maildir'а, хочется получать maildir'ы автомагически. -- Dmitry Fedoseev [EMAIL PROTECTED]
Re: Проблемы с pam_ldap
On Mon, Dec 05, 2005 at 03:07:25PM +0200, Alex Molchanov wrote: Возникла проблема с настройкой аутентификации через pam_ldap, в логах (auth.log) выбивает следующее: Dec 5 14:37:29 localhost sshd[32275]: pam_ldap: error trying to bind as user uid=test,cn=Users,dc=test,dc=dp,dc=ua (Invalid credentials) Проверь что этот DN ^^ может делать нормально bind в твоём каталоге. Я обычно это делал как-то так: ldapsearch -D этот dn -W -b этот dn и говорил ему пароль для этого DN. Повторяй пока не получишь нормального ответа от LDAP сервера. Содержимое pam_ldap.conf Содержимое pam.conf файлы /etc/pam.d/* взяты из стандартной доки по pam_ldap nss у тебя настроен? /etc/nsswitch.conf, /etc/libnss-ldap.conf и всё такое. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Проблемы с pam_ldap
Доброго времени суток! Возникла проблема с настройкой аутентификации через pam_ldap, в логах (auth.log) выбивает следующее: Dec 5 14:37:29 localhost sshd[32275]: pam_ldap: error trying to bind as user uid=test,cn=Users,dc=test,dc=dp,dc=ua (Invalid credentials) Dec 5 14:37:29 localhost sshd[32275]: (pam_unix) check pass; user unknown Dec 5 14:37:29 localhost sshd[32275]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=test.dp.ua Dec 5 14:37:31 localhost sshd[32275]: error: PAM: User not known to the underlying authentication module for illegal user test from test.dp.ua Dec 5 14:37:31 localhost sshd[32275]: Failed keyboard-interactive/pam for illegal user test from :::192.168.0.1 port 47403 ssh2 Содержимое pam_ldap.conf ldap_version 3 binddn cn=admin,dc=test,dc=dp,dc=ua bindpw 123 rootbinddn cn=admin,dc=test,dc=dp,dc=ua port 389 Содержимое pam.conf login auth sufficient /usr/lib/security/pam_ldap.so.1 login auth required /usr/lib/security/pam_unix.so.1 try_first_pass login auth required /usr/lib/security/pam_dial_auth.so.1 telnet auth sufficient /usr/lib/security/pam_ldap.so.1 telnet auth required /usr/lib/security/pam_unix.so.1 try_first_pass rlogin auth sufficient /usr/lib/security/pam_rhosts_auth.so.1 rlogin auth sufficient /usr/lib/security/pam_ldap.so.1 rlogin auth required /usr/lib/security/pam_unix.so.1 try_first_pass dtlogin auth sufficient /usr/lib/security/pam_ldap.so.1 dtlogin auth required /usr/lib/security/pam_unix.so.1 try_first_pass rsh auth required /usr/lib/security/pam_rhosts_auth.so.1 other auth sufficient /usr/lib/security/pam_ldap.so.1 other auth required /usr/lib/security/pam_unix.so.1 try_first_pass login account required /usr/lib/security/pam_ldap.so.1 login account required /usr/lib/security/pam_unix.so.1 dtlogin account required /usr/lib/security/pam_ldap.so.1 dtlogin account required /usr/lib/security/pam_unix.so.1 other account required /usr/lib/security/pam_ldap.so.1 other account required /usr/lib/security/pam_unix.so.1 other session required /usr/lib/security/pam_unix.so.1 other password required /usr/lib/security/pam_ldap.so файлы /etc/pam.d/* взяты из стандартной доки по pam_ldap Может кто уже сталкивался с подобной проблемой? Заранее спасибо за помощь! С уважением, Алексей -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: авторизация pam_ldap
On Thu, Jul 21, 2005 at 01:19:55PM +0400, Alexander Gerasiov wrote: # grep -v ^$\|^# /etc/pam_ldap.conf host 127.0.0.1 base dc=eol,dc=lvk,dc=cs,dc=msu,dc=su ldap_version 3 rootbinddn cn=admin,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su timelimit 30 bind_timelimit 30 pam_password exop в /etc/ldap.secret хэш логина админа (и только этот файлик 640) Туда пишется целиком пароль (не хеш) к rootbinddn из /etc/pam_ldap.conf. Его pam_ldap использует когда root меняет пароль пользователю (командой passwd(1)), так что этот dn должен иметь возможность писать (или совершать тот самый exop) с атрибутом пароля. Если такая возможность не нужна (например, на R/O репликах), то /etc/ldap.secret (и строки rootbinddn, pam_password, и тп в pam_ldap.conf) можно удалять. Когда пользователь сам меняет пароль, он этот атрибут LDAP меняет от своего имени. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: авторизация pam_ldap
Василий wrote: Здравствуйте, Alexander. Вы писали 20 июля 2005 г., 19:30:00: for i in /etc/ldap/ldap.conf /etc/ldap/slapd.conf /etc/default/slapd /etc/nsswitch.conf /etc/libnss-ldap.conf /etc/pam.d/common-*; do echo ;echo #$i;cat $i|grep -v ^#\|^$;done в /etc/ldap/slapd.conf хранится хэш пароля администратора ldap, зачем делать файл доступным для чтения всем? нет там никакого хэша, где вы его у меня видели? access to * by dn=cn=admin,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su write by * read ^ мне не хочется давать доступ на чтение полей базы всем кто не прошел авторизацию возможно добавить anonymous none, вот только я бы вместо этого запретил бы просто коннектиться к лдапу недоверенным лицам. (удаленно только доверенным ssl, а локально если коннектится, значит все-же зашел.) Потому что наверняка полно сервисов, которые без осуществления bind лазают по ldap. #/etc/default/slapd SLAPD_CONF= SLAPD_USER= SLAPD_GROUP= SLAPD_PIDFILE= SLURPD_START=auto TRY_BDB_RECOVERY=yes SLAPD_SERVICES=ldap://127.0.0.1:389/; однако если включить эту опцию ldap сервер пропадает напрочь (хм...) как это пропадает? он остается висеть только на lo. не открывать же его в интернет? SLAPD_OPTIONS= SLURPD_OPTIONS= простите, а что у вас в /etc/pam_ldap.conf ? забыл :) # grep -v ^$\|^# /etc/pam_ldap.conf host 127.0.0.1 base dc=eol,dc=lvk,dc=cs,dc=msu,dc=su ldap_version 3 rootbinddn cn=admin,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su timelimit 30 bind_timelimit 30 pam_password exop в /etc/ldap.secret хэш логина админа (и только этот файлик 640) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
авторизация pam_ldap
Доброго времени суток уважаемые! вопросик - кому удалось настроить авторизацию ldap через pam (без так называемого прокси-пользователя для libnss-ldap) - можно пример рабочих конфигов? -- С уважением, Василий
Re: авторизация pam_ldap
vash wrote: Доброго времени суток уважаемые! вопросик - кому удалось настроить авторизацию ldap через pam (без так называемого прокси-пользователя для libnss-ldap) - можно пример рабочих конфигов? for i in /etc/ldap/ldap.conf /etc/ldap/slapd.conf /etc/default/slapd /etc/nsswitch.conf /etc/libnss-ldap.conf /etc/pam.d/common-*; do echo ;echo #$i;cat $i|grep -v ^#\|^$;done #/etc/ldap/ldap.conf BASEdc=eol,dc=lvk,dc=cs,dc=msu,dc=su URI ldap://127.0.0.1 TIMELIMIT 15 #/etc/ldap/slapd.conf include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema schemacheck on pidfile /var/run/slapd/slapd.pid argsfile/var/run/slapd.args loglevel0 modulepath /usr/lib/ldap moduleload back_bdb backend bdb databasebdb suffix dc=eol,dc=lvk,dc=cs,dc=msu,dc=su directory /var/lib/ldap index objectClass eq index uid eq lastmod on access to attrs=userPassword by dn=cn=admin,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su write by anonymous auth by self write by * none access to * by dn=cn=admin,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su write by * read #/etc/default/slapd SLAPD_CONF= SLAPD_USER= SLAPD_GROUP= SLAPD_PIDFILE= SLURPD_START=auto TRY_BDB_RECOVERY=yes SLAPD_SERVICES=ldap://127.0.0.1:389/; SLAPD_OPTIONS= SLURPD_OPTIONS= #/etc/nsswitch.conf passwd: files ldap group: files ldap shadow: files ldap hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc:db files netgroup: nis #/etc/libnss-ldap.conf host 127.0.0.1 base dc=eol,dc=lvk,dc=cs,dc=msu,dc=su uri ldap://127.0.0.1/ ldap_version 3 timelimit 30 bind_timelimit 30 pam_password exop #/etc/pam.d/common-account account sufficient pam_ldap.so account required pam_unix.so nullok_secure account required pam_permit.so #/etc/pam.d/common-auth auth sufficient pam_ldap.so auth required pam_unix.so nullok_secure use_first_pass auth required pam_permit.so #/etc/pam.d/common-password password required pam_cracklib.so retry=3 minlen=6 difok=3 password sufficientpam_ldap.so use_authtok password required pam_unix.so md5 nullok use_authtok password required pam_permit.so #/etc/pam.d/common-session session requiredpam_unix.so Начальная схема, которую добавил slapadd'ом # extended LDIF # # LDAPv3 # base with scope sub # filter: (objectclass=*) # requesting: ALL # # eol.lvk.cs.msu.su dn: dc=eol,dc=lvk,dc=cs,dc=msu,dc=su objectClass: top objectClass: dcObject objectClass: organization o: eol.lvk.cs.msu.su dc: eol # admin, eol.lvk.cs.msu.su dn: cn=admin,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP administrator userPassword:: some_secret :P # People, eol.lvk.cs.msu.su dn: ou=People,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su objectClass: organizationalUnit ou: People # Group, eol.lvk.cs.msu.su dn: ou=Group,dc=eol,dc=lvk,dc=cs,dc=msu,dc=su objectClass: top objectClass: organizationalUnit ou: Group Все файлы из 1й команды должны быть дотупны на чтение всем! После того, как это все заработает, рекомендуется прикрутить-таки nscd (его вообще никак не конфигурил, все по-умолчанию.) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
sendmail + pam_ldap
Народ! Вот, проблема... Ставлю sendmail-8.12.6-6Woody, пытаюсь его скрестить с pam_ldap. Sendmail на авторизацию ругается: sm-mta[25238]: pam_ldap: ldap_simple_bind Can't contact LDAP server В то же время, cyrus21 (saslauthd) через pam_ldap работает нормально, sendmail через pam_unix тоже авторизует без проблем... slapd-2.0.23-14 sasl стоит и первый и второй... Поможите советом... Thnx, Dmitry Chernyak. PS. Sorry за возможный репост - у меня были проблемы с подпиской.
sendmail + pam_ldap
Народ! Вот, проблема... Ставлю sendmail-8.12.6-6Woody, пытаюсь его скрестить с pam_ldap. Sendmail на авторизацию ругается: sm-mta[25238]: pam_ldap: ldap_simple_bind Can't contact LDAP server В то же время, cyrus21 (saslauthd) через pam_ldap работает нормально, sendmail через pam_unix тоже авторизует без проблем... slapd-2.0.23-14 sasl стоит и первый и второй... Поможите советом... Dmitry Chernyak.
Re: pam_ldap
Вт 18 Июн 2002 23:49, Alexander Shishckin написал: Все-таки хотелось бы уточнить - sasl_pwcheck_method действительно saslauthd ? Действительно. А сам saslauthd запущен ? root 32038 0.0 0.2 1684 664 ?SJun18 0:00 /usr/sbin/saslauthd -a pam 5 раз И что написано в /etc/default/saslauthd ? MECHANISMS=pam И может ли cyrus читать /var/run/saslauthd/mux ? Может. Во всяком случае pam_mysql, не говоря уж о pam_unix работают как часы. Я пока детально не смотрел - но может это всему виной: ldd pam_ldap.so libldap.so.2 = /usr/lib/libldap.so.2 (0x4000d000) liblber.so.2 = /usr/lib/liblber.so.2 (0x40032000) libcrypt.so.1 = /lib/libcrypt.so.1 (0x4003d000) libresolv.so.2 = /lib/libresolv.so.2 (0x4006a000) libpam.so.0 = /lib/libpam.so.0 (0x4007a000) libdl.so.2 = /lib/libdl.so.2 (0x40082000) libc.so.6 = /lib/libc.so.6 (0x40085000) libnsl.so.1 = /lib/libnsl.so.1 (0x401a2000) libsasl.so.7 = /usr/lib/libsasl.so.7 (0x401b6000) ^^ /lib/ld-linux.so.2 = /lib/ld-linux.so.2 (0x8000) libdb2.so.2 = /lib/libdb2.so.2 (0x401c2000) -- Sergey Sholokh SSH75-RIPE -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
pam_ldap
Всем здрасте Возникла необходимость заставить цирозный timsieved авторизоваться через сабж, и выяснилось, что не так-то это просто. auth.log: Jun 18 17:21:38 shilou saslauthd[32036]: unable to get entry point sasl_client_plug_init in /usr/lib/sasl/libsasldb.so: /usr/lib/libsasl.so.7: undefined symbol: sasl_client_plug_init Jun 18 17:21:39 shilou timsieved[32071]: size read failed Jun 18 17:21:39 shilou timsieved[32071]: Password verification failed Июн 18 17:21:39 shilou perl: No worthy mechs found Настройки по понятным причинам не привожу, но в них я уверен 8-) Чего не зватает в системе? Заранее благодарен P.S. woody Package: cyrus21-admin Version: 2.1.4-9 Package: libpam-ldap Version: 134-1 Package: sasl2-bin Version: 2.1.2-2 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: pam_ldap
Вт 18 Июн 2002 19:37, Alexander Shishckin написал: Всем здрасте Возникла необходимость заставить цирозный timsieved авторизоваться через сабж, и выяснилось, что не так-то это просто. auth.log: Jun 18 17:21:38 shilou saslauthd[32036]: unable to get entry point sasl_client_plug_init in /usr/lib/sasl/libsasldb.so: /usr/lib/libsasl.so.7: undefined symbol: sasl_client_plug_init Jun 18 17:21:39 shilou timsieved[32071]: size read failed Jun 18 17:21:39 shilou timsieved[32071]: Password verification failed Июн 18 17:21:39 shilou perl: No worthy mechs found Настройки по понятным причинам не привожу, но в них я уверен 8-) Чего не зватает в системе? Заранее благодарен P.S. woody Package: cyrus21-admin Version: 2.1.4-9 Package: libpam-ldap Version: 134-1 Package: sasl2-bin Version: 2.1.2-2 А какой тип авторизации используется ? Чтобы работать через PAM - нужно пользоватся только PLAIN или LOGIN. Иначе только через sasldb2. Для того чтобы использовать только эти типы авторизации - нужно в imapd.conf: sasl_pwcheck_method: saslauthd allowplaintext: yes sasl_mech_list: plain login Удачи! -- Sergey Sholokh SSH75-RIPE -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: pam_ldap
Вт 18 Июн 2002 19:37, Alexander Shishckin написал: Всем здрасте Возникла необходимость заставить цирозный timsieved авторизоваться через сабж, и выяснилось, что не так-то это просто. auth.log: Jun 18 17:21:38 shilou saslauthd[32036]: unable to get entry point sasl_client_plug_init in /usr/lib/sasl/libsasldb.so: /usr/lib/libsasl.so.7: undefined symbol: sasl_client_plug_init Jun 18 17:21:39 shilou timsieved[32071]: size read failed Jun 18 17:21:39 shilou timsieved[32071]: Password verification failed Июн 18 17:21:39 shilou perl: No worthy mechs found Настройки по понятным причинам не привожу, но в них я уверен 8-) Чего не зватает в системе? Заранее благодарен P.S. woody Package: cyrus21-admin Version: 2.1.4-9 Package: libpam-ldap Version: 134-1 Package: sasl2-bin Version: 2.1.2-2 И еще: Неплохо было бы поставить - libsasl2 и libsasl2-modules-plain. -- Sergey Sholokh SSH75-RIPE -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: pam_ldap
sasl_pwcheck_method: saslauthd allowplaintext: yes sasl_mech_list: plain login Неплохо было бы поставить - libsasl2 и libsasl2-modules-plain. Да, все именно так. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: pam_ldap
Вт 18 Июн 2002 21:49, Alexander Shishckin написал: sasl_pwcheck_method: saslauthd allowplaintext: yes sasl_mech_list: plain login Неплохо было бы поставить - libsasl2 и libsasl2-modules-plain. Да, все именно так. Все-таки хотелось бы уточнить - sasl_pwcheck_method действительно saslauthd ? А сам saslauthd запущен ? И что написано в /etc/default/saslauthd ? И может ли cyrus читать /var/run/saslauthd/mux ? Просто симптомы очень похожи на sasl_pwcheck_method: auxprop. -- Sergey Sholokh SSH75-RIPE -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: pam_ldap
Все-таки хотелось бы уточнить - sasl_pwcheck_method действительно saslauthd ? Действительно. А сам saslauthd запущен ? root 32038 0.0 0.2 1684 664 ?SJun18 0:00 /usr/sbin/saslauthd -a pam 5 раз И что написано в /etc/default/saslauthd ? MECHANISMS=pam И может ли cyrus читать /var/run/saslauthd/mux ? Может. Во всяком случае pam_mysql, не говоря уж о pam_unix работают как часы. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP, PAM, pam_ldap.
On Sun, Dec 02, 2001 at 03:54:34PM +0300, Ingvarr Zhmakin wrote: Утро доброе. Очередной геморройчик на ваш суд. Debian, pam_ldap, конфиги настроены, как сказано. При попытке залогиниться в юзера, прописанного только в LDAP, скажем, через su, имеем: auth.log: === date,host su[1192]: pam_ldap: ldap_set_option(LDAP_OPT_X_TLS_REQUIRE_CERT): Unknown error date,host su[1192]: pam_ldap: _set_ssl_default_options failed date,host su[1192]: pam_ldap: error trying to bind (Invalid credentials) Написал же - не смог bind сделать, т.е подключться. Я ssl не делал, тут не знаю, но вообще думаю, что или с коммуникациями что-то не так, или не правильно этот самый binddn прописан в pam_ldap.conf (или пароль для него). В той версии что стоит у меня (potato r4), pam-овский модуль подключается к серверу с правами чтения поля с паролем и проверяет его. По-моему еще я видел, когда просто проверялась возможность сделать bind для соотв. пользователя + некие параметры из конфига. В общем у меня такой pam_ldap.conf: # Your LDAP server. host 127.0.0.1 # The distinguished name of the search base. base c=BY # Use the V3 protocol to optimize searches ldap_version 2 # NOTE: If you use these, be sure to chmod 600 this file # for security reasons # # The distinguished name to bind to the server with. # Optional: default is to bind anonymously. binddn cn=admin, ou=People, o=Center of Information Technology - CIT, c=BY # # The credentials to bind with. # Optional: default is no credential. bindpw пароль # Filter to AND with uid=%s #pam_filter objectclass=account # The user ID attribute (defaults to uid) pam_login_attribute uid # Search the root DSE for the password policy (works # with Netscape Directory Server) #pam_lookup_policy yes # Group to enforce membership of #pam_groupdn cn=PAM,ou=Groups,dc=example,dc=net # Group member attribute #pam_member_attribute uniquemember # Hash password locally; required for University of # Michigan LDAP server, and works with Netscape # Directory Server if you're using the UNIX-Crypt # hash mechanism and not using the NT Synchronization # service. pam_crypt local -- Best regards, Sergey Chumakov 2:450/77[.43]
LDAP, PAM, pam_ldap.
Утро доброе. Очередной геморройчик на ваш суд. Debian, pam_ldap, конфиги настроены, как сказано. При попытке залогиниться в юзера, прописанного только в LDAP, скажем, через su, имеем: auth.log: === date,host su[1192]: pam_ldap: ldap_set_option(LDAP_OPT_X_TLS_REQUIRE_CERT): Unknown error date,host su[1192]: pam_ldap: _set_ssl_default_options failed date,host su[1192]: pam_ldap: error trying to bind (Invalid credentials) date,host PAM_unix[1192]: check pass; user unknown date,host PAM_unix[1192]: authentication failure; root(uid=1000) - test for su service date,host su[1192]: pam_authenticate: Authentication service cannot retrieve authentication info. date,host su[1192]: - pts/2 victim-test === Вроде оно хочет чего-то ссл-ного, но во-первых, с чего (я не просил), во вторых, как лечить? :-) Ingvarr.