Re: OpenLDAP, refuerzo de la política de contraseñas no recomendado
El 2/3/24 a las 17:39, Camaleón escribió: El 2024-03-02 a las 13:51 +0100, RLL escribió: Leyendo la documentación en páginas man sobre el overlay ppolicy, https://manpages.debian.org/bookworm/slapd/slapo-ppolicy.5.en.html, hay un punto en el que puedes enlazar OpenLDAP con una aplicación externa que se encarga de comprobar si la clave que introduce un usuario es fácil de averiguar entre otras cosas: pwdCheckModule is a non-standard extension to the LDAP password policy proposal. ¿Alguien aconseja otra solución? Por aquí se hacen la misma pregunta... sin respuesta :-( OpenLDAP password quality control https://stackoverflow.com/questions/77570271/openldap-password-quality-control Saludos, Y en el mundo FreeBSD si ojeo el Handbook tampoco se meten en esto. El proyecto OpenLDAP es el mínimo común denominador... y luego hay muchas variantes que incluyen sus propias extensiones que tienen que mantener ellos mismos. Siempre prefiero mantenerme dentro del juego que sé que seguirá ahí dentro de unos años. Hay soluciones openSource de Directorio pero requieren algo más complejo de mantener.
Re: OpenLDAP, refuerzo de la política de contraseñas no recomendado
El 2024-03-02 a las 13:51 +0100, RLL escribió: > Leyendo la documentación en páginas man sobre el overlay ppolicy, > https://manpages.debian.org/bookworm/slapd/slapo-ppolicy.5.en.html, hay un > punto en el que puedes enlazar OpenLDAP con una aplicación externa que se > encarga de comprobar si la clave que introduce un usuario es fácil de > averiguar entre otras cosas: > > pwdCheckModule is a non-standard extension to the LDAP password policy > proposal. > > ¿Alguien aconseja otra solución? Por aquí se hacen la misma pregunta... sin respuesta :-( OpenLDAP password quality control https://stackoverflow.com/questions/77570271/openldap-password-quality-control Saludos, -- Camaleón
Re: OpenLdap
> > The immediate reason for the failure should be found in the sshd logs in > > /var. But the trick with LDAP for login authentication is this: I'm probably making a mistake. I will try again from the beginning. I'll pass the information. Thanks. On Tue, Oct 12, 2021 at 5:04 PM Henning Follmann wrote: > > On Mon, Oct 11, 2021 at 06:04:08PM -0500, Nicholas Geovanis wrote: > > On Mon, Oct 11, 2021, 7:31 AM Gokan Atmaca wrote: > > > > > Hello > > > > > > I am using openldap. I configured a different server as ldap client. > > > When I say "id user", the information comes. I have two organized > > > units. "people" and "groups". my test environment. But I can't login. > > > What could be causing the problem? > > > > > > > The immediate reason for the failure should be found in the sshd logs in > > /var. But the trick with LDAP for login authentication is this: > > why should this be in the sshd logs? > > Is he/she even try to ssh into that machine and using openldap as a > passwort store? Or a local login, httpd, email... > > He/she might even try to just login into ldap, from the post > it is not clear what he/she is actually trying. > > > > > (1) Make sure the services file is stepping thru the authentication > > databases in the order you believe is correct. > > (2) make sure name resolution is doing what you think it's doing. > > (3) Make sure that clock time is synchronized across all servers involved > > in that login and authentication. > > > > > > Example: > > > $ id gokhan (ldap_user) > > > uid=1(gokhan) gid=2000(ob) groups=2000(ob) > > > > > > Thanks. > > > > > > > > > -- > > > ⢀⣴⠾⠻⢶⣦⠀ > > > ⣾⠁⢠⠒⠀⣿⡁ Debian - The universal operating system > > > ⢿⡄⠘⠷⠚⠋⠀ https://www.debian.org > > > ⠈⠳⣄ > > > > > > > > -- > Henning Follmann | hfollm...@itcfollmann.com >
Re: OpenLdap
On Mon, Oct 11, 2021 at 06:04:08PM -0500, Nicholas Geovanis wrote: > On Mon, Oct 11, 2021, 7:31 AM Gokan Atmaca wrote: > > > Hello > > > > I am using openldap. I configured a different server as ldap client. > > When I say "id user", the information comes. I have two organized > > units. "people" and "groups". my test environment. But I can't login. > > What could be causing the problem? > > > > The immediate reason for the failure should be found in the sshd logs in > /var. But the trick with LDAP for login authentication is this: why should this be in the sshd logs? Is he/she even try to ssh into that machine and using openldap as a passwort store? Or a local login, httpd, email... He/she might even try to just login into ldap, from the post it is not clear what he/she is actually trying. > > (1) Make sure the services file is stepping thru the authentication > databases in the order you believe is correct. > (2) make sure name resolution is doing what you think it's doing. > (3) Make sure that clock time is synchronized across all servers involved > in that login and authentication. > > > Example: > > $ id gokhan (ldap_user) > > uid=1(gokhan) gid=2000(ob) groups=2000(ob) > > > > Thanks. > > > > > > -- > > ⢀⣴⠾⠻⢶⣦⠀ > > ⣾⠁⢠⠒⠀⣿⡁ Debian - The universal operating system > > ⢿⡄⠘⠷⠚⠋⠀ https://www.debian.org > > ⠈⠳⣄ > > > > -- Henning Follmann | hfollm...@itcfollmann.com
Re: OpenLdap
On Mon, Oct 11, 2021, 6:04 PM Nicholas Geovanis wrote: > > > On Mon, Oct 11, 2021, 7:31 AM Gokan Atmaca wrote: > >> Hello >> >> I am using openldap. I configured a different server as ldap client. >> When I say "id user", the information comes. I have two organized >> units. "people" and "groups". my test environment. But I can't login. >> What could be causing the problem? >> > > The immediate reason for the failure should be found in the sshd logs in > /var. But the trick with LDAP for login authentication is this: > > (1) Make sure the services file is stepping thru the authentication > databases in the order you believe is correct. > I wrote "services file". I actually meant PAM configuration. Example: >> $ id gokhan (ldap_user) >> uid=1(gokhan) gid=2000(ob) groups=2000(ob) >> >> Thanks. >> >> >> -- >> ⢀⣴⠾⠻⢶⣦⠀ >> ⣾⠁⢠⠒⠀⣿⡁ Debian - The universal operating system >> ⢿⡄⠘⠷⠚⠋⠀ https://www.debian.org >> ⠈⠳⣄ >> >>
Re: OpenLdap
On Mon, Oct 11, 2021, 7:31 AM Gokan Atmaca wrote: > Hello > > I am using openldap. I configured a different server as ldap client. > When I say "id user", the information comes. I have two organized > units. "people" and "groups". my test environment. But I can't login. > What could be causing the problem? > The immediate reason for the failure should be found in the sshd logs in /var. But the trick with LDAP for login authentication is this: (1) Make sure the services file is stepping thru the authentication databases in the order you believe is correct. (2) make sure name resolution is doing what you think it's doing. (3) Make sure that clock time is synchronized across all servers involved in that login and authentication. Example: > $ id gokhan (ldap_user) > uid=1(gokhan) gid=2000(ob) groups=2000(ob) > > Thanks. > > > -- > ⢀⣴⠾⠻⢶⣦⠀ > ⣾⠁⢠⠒⠀⣿⡁ Debian - The universal operating system > ⢿⡄⠘⠷⠚⠋⠀ https://www.debian.org > ⠈⠳⣄ > >
Re: openldap e arquivo ldif
Lista Problema resolvido, foi só questão de importar um schema e consegui importar o arquivo ldif. .''`. Caio Abreu Ferreira : :' : abreuf...@gmail.com `. `'` Debian User `- On Thu, Jul 4, 2019 at 8:44 PM Caio Ferreira wrote: > Lista > > Continuando os meus estudos para a LIPC 202-450, agora eu estou na parte > do LDAP. Montei um servidor openLDAP e aparentemente esta funcionado tudo > corretamente. Mas quando eu tento criar um usuário através de um arquivo > LDIF, aparece uma mensagem de erro, mensagem abaixo, indicando que existe > algum erro de sintaxe ou faltando importar algum schema. Alguém por acaso > conhece algum site ou programa para testar o arquivo LDIF para verificar se > existe algum problema de sintaxe ? > > ldap_add: Invalid syntax (21) > additional info: objectClass: value #0 invalid per syntax > > arquivo usuario.ldif > > dn: uid=marcos,ou=users,dc=particula,dc=local > uid: marcos > cn: marcos > objectClass: shadowAccount > objectClass: top > objectClass: person > objectClass: inetOrgPerson > objectClass: posixAccount > userPassword: {SSHA}NkIkNTIA+vhCZlIGKe+L6mwKZlNFjF4Z > shadowLastChange: 17016 > shadowMin: 0 > shadowMax: 9 > shadowWarning: 7 > loginShell: /bin/bash > uidNumber: 1003 > gidNumber: 1003 > homeDirectory: /home/marcos > sn: marcos > mail: marcos@particula.local > > Desde já eu agradeço pela atenção. > > .''`. Caio Abreu Ferreira > : :' : abreuf...@gmail.com > `. `'` Debian User > `- >
Re: openldap y openfire
Al que le pueda interesar, ya di con el problema, a la hora de configurar el servicio openfire en el apartado donde se declaran las opciones de los grupos, (Mapeos de Grupos) quedaria de la siguiente forma: Campo de Grupo: cn Campo del Miembro: memberUid Campo de Descripción: description (Seteos Avanzados) Modo Posix (No) Filtro de Grupo: (objectClass=posixGroup) ya eso es todo con esos parámetros ya ldap vera los miembros de cada grupo y por tanto se pueden compartir rosters en openfire sin necesidad que cada usuario tenga que agregar a nadie a su lista. Gracias a los que me ayudaron Garcias por responder, ahora verifico el enlace que me envias camaleon, estoy al tanto que los permisos que tiene openfire sobre ldap que son de solo lectura, en este caso no pretendo crear grupos nuevos mediante opendire simplemente que openfire tome los miembros de los grupos declarados en openldap y compartir estos mediante openfire, es decir se trataria de una consulta de openfire a la estructura ldap y luego de lo que arroje la consulta openfire comparte esos valores obtenidos seguire buscando pero la verdad que hasta el momento nada de nada ya he hecho de todo un poco en cualquier momento los sorprendo con un doctorado en el tema. El 25/06/14 09:52, Camaleón escribió: On Wed, 25 Jun 2014 09:06:27 -0400, Ariel wrote: Ariel, has secuestrado un hilo y enviado el correo en formato html... lo corrijo. /*Hola lista, recien implemente un ldap+samba+lam, con el objetivo de estudiar el tema de la integracion de algunos servicios contra un sistema unico de gestion de usuarios y contraseñas, se que existen otros mecanismos pero quiero hacerlo mediante el que emnciono anteriormente. hasta el momento squid3 me funciona muy bien contra mi ldap, pero tengo un pequeño problema con openfire, resulta que el mismo se instala bien se integra con mi bas ed datos LDAP pero el problema esta en el tema de los grupos compartidos, al desplazarme hacia la pestaña (grupos) este detecta los mismos pero me salen los grupos en cero, es decir estos grupos en openfire no contienen miembros, cuando realmente me estoy asegurando mediante LAM que no es asi, he buscado en internet ya llevo varios dias en esto y todos los tutos que he encontrado me dicen lo mismo, al instalar openfire y declarar la integracion con LDAP, declare en el caso de los usuarios en el filtro de busqueda (objectClass=posixaccount) y en el caso de los grupos debo declarar en seteos avanzados Modo Posix: No y en el filtro de grupos (objectClass=posixGroup), aun asà nada de nada siguen apareciendo los usuarios los cuales funcionan bien pues puedo autenticarme con estos en los clientes XMPP ademas del admin por la aplicacion web de administracion openfire, pero los grupos aparecen todos pero con los miembros de este en cero es decir puedo declarar grupos compartidos en openfire pero estos grupos al no tener miembros no aparece ningun usuario en el listado de los clientes. cualquier ayuda seria muy bienvenida Supongo que ya habrás verificado los ajustes que indican en la guÃa de integración de openldap con openfire: https://www.igniterealtime.org/builds/openfire/docs/latest/documentation/ ldap-guide.html Un punto a tener en cuenta es que, según ese documento, desde openfire no se puede modificar los valores del directorio activo ya que lo trata como una base de datos de sólo lectura. Ciertamente hasta donde se, solo es para consulta de información. Revisa los registros que genere la aplicación por si te dieran alguna pista de por qué no aparecen miembros en los grupos que has definido. Saludos, -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/53aadde2.1050...@esdebian.org - Consejo Nacional de Casas de Cultura, Visítenos: www.casasdecultura.cult.cu - Consejo Nacional de Casas de Cultura, VisÃtenos: www.casasdecultura.cult.cu -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/ea1abcd237972b710764fa5ef755911a.squir...@correo.cncc-malecon.cu - Consejo Nacional de Casas de Cultura, VisÃtenos: www.casasdecultura.cult.cu - Consejo Nacional de Casas de Cultura, Visítenos: www.casasdecultura.cult.cu - Consejo Nacional de Casas de Cultura, VisÃtenos: www.casasdecultura.cult.cu -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of
Re: openldap y openfire
On Wed, 25 Jun 2014 09:06:27 -0400, Ariel wrote: Ariel, has secuestrado un hilo y enviado el correo en formato html... lo corrijo. /*Hola lista, recien implemente un ldap+samba+lam, con el objetivo de estudiar el tema de la integracion de algunos servicios contra un sistema unico de gestion de usuarios y contraseñas, se que existen otros mecanismos pero quiero hacerlo mediante el que emnciono anteriormente. hasta el momento squid3 me funciona muy bien contra mi ldap, pero tengo un pequeño problema con openfire, resulta que el mismo se instala bien se integra con mi bas ed datos LDAP pero el problema esta en el tema de los grupos compartidos, al desplazarme hacia la pestaña (grupos) este detecta los mismos pero me salen los grupos en cero, es decir estos grupos en openfire no contienen miembros, cuando realmente me estoy asegurando mediante LAM que no es asi, he buscado en internet ya llevo varios dias en esto y todos los tutos que he encontrado me dicen lo mismo, al instalar openfire y declarar la integracion con LDAP, declare en el caso de los usuarios en el filtro de busqueda (objectClass=posixaccount) y en el caso de los grupos debo declarar en seteos avanzados Modo Posix: No y en el filtro de grupos (objectClass=posixGroup), aun así nada de nada siguen apareciendo los usuarios los cuales funcionan bien pues puedo autenticarme con estos en los clientes XMPP ademas del admin por la aplicacion web de administracion openfire, pero los grupos aparecen todos pero con los miembros de este en cero es decir puedo declarar grupos compartidos en openfire pero estos grupos al no tener miembros no aparece ningun usuario en el listado de los clientes. cualquier ayuda seria muy bienvenida Supongo que ya habrás verificado los ajustes que indican en la guía de integración de openldap con openfire: https://www.igniterealtime.org/builds/openfire/docs/latest/documentation/ ldap-guide.html Un punto a tener en cuenta es que, según ese documento, desde openfire no se puede modificar los valores del directorio activo ya que lo trata como una base de datos de sólo lectura. Revisa los registros que genere la aplicación por si te dieran alguna pista de por qué no aparecen miembros en los grupos que has definido. Saludos, -- Camaleón -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/pan.2014.06.25.14.22...@gmail.com
Re: openldap y openfire
El 25/06/14 09:52, Camaleón escribió: On Wed, 25 Jun 2014 09:06:27 -0400, Ariel wrote: Ariel, has secuestrado un hilo y enviado el correo en formato html... lo corrijo. /*Hola lista, recien implemente un ldap+samba+lam, con el objetivo de estudiar el tema de la integracion de algunos servicios contra un sistema unico de gestion de usuarios y contraseñas, se que existen otros mecanismos pero quiero hacerlo mediante el que emnciono anteriormente. hasta el momento squid3 me funciona muy bien contra mi ldap, pero tengo un pequeño problema con openfire, resulta que el mismo se instala bien se integra con mi bas ed datos LDAP pero el problema esta en el tema de los grupos compartidos, al desplazarme hacia la pestaña (grupos) este detecta los mismos pero me salen los grupos en cero, es decir estos grupos en openfire no contienen miembros, cuando realmente me estoy asegurando mediante LAM que no es asi, he buscado en internet ya llevo varios dias en esto y todos los tutos que he encontrado me dicen lo mismo, al instalar openfire y declarar la integracion con LDAP, declare en el caso de los usuarios en el filtro de busqueda (objectClass=posixaccount) y en el caso de los grupos debo declarar en seteos avanzados Modo Posix: No y en el filtro de grupos (objectClass=posixGroup), aun así nada de nada siguen apareciendo los usuarios los cuales funcionan bien pues puedo autenticarme con estos en los clientes XMPP ademas del admin por la aplicacion web de administracion openfire, pero los grupos aparecen todos pero con los miembros de este en cero es decir puedo declarar grupos compartidos en openfire pero estos grupos al no tener miembros no aparece ningun usuario en el listado de los clientes. cualquier ayuda seria muy bienvenida Supongo que ya habrás verificado los ajustes que indican en la guía de integración de openldap con openfire: https://www.igniterealtime.org/builds/openfire/docs/latest/documentation/ ldap-guide.html Un punto a tener en cuenta es que, según ese documento, desde openfire no se puede modificar los valores del directorio activo ya que lo trata como una base de datos de sólo lectura. Ciertamente hasta donde se, solo es para consulta de información. Revisa los registros que genere la aplicación por si te dieran alguna pista de por qué no aparecen miembros en los grupos que has definido. Saludos, -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/53aadde2.1050...@esdebian.org
Re: openldap y openfire
Garcias por responder, ahora verifico el enlace que me envias camaleon, estoy al tanto que los permisos que tiene openfire sobre ldap que son de solo lectura, en este caso no pretendo crear grupos nuevos mediante opendire simplemente que openfire tome los miembros de los grupos declarados en openldap y compartir estos mediante openfire, es decir se trataria de una consulta de openfire a la estructura ldap y luego de lo que arroje la consulta openfire comparte esos valores obtenidos seguire buscando pero la verdad que hasta el momento nada de nada ya he hecho de todo un poco en cualquier momento los sorprendo con un doctorado en el tema. El 25/06/14 09:52, Camaleón escribió: On Wed, 25 Jun 2014 09:06:27 -0400, Ariel wrote: Ariel, has secuestrado un hilo y enviado el correo en formato html... lo corrijo. /*Hola lista, recien implemente un ldap+samba+lam, con el objetivo de estudiar el tema de la integracion de algunos servicios contra un sistema unico de gestion de usuarios y contraseñas, se que existen otros mecanismos pero quiero hacerlo mediante el que emnciono anteriormente. hasta el momento squid3 me funciona muy bien contra mi ldap, pero tengo un pequeño problema con openfire, resulta que el mismo se instala bien se integra con mi bas ed datos LDAP pero el problema esta en el tema de los grupos compartidos, al desplazarme hacia la pestaña (grupos) este detecta los mismos pero me salen los grupos en cero, es decir estos grupos en openfire no contienen miembros, cuando realmente me estoy asegurando mediante LAM que no es asi, he buscado en internet ya llevo varios dias en esto y todos los tutos que he encontrado me dicen lo mismo, al instalar openfire y declarar la integracion con LDAP, declare en el caso de los usuarios en el filtro de busqueda (objectClass=posixaccount) y en el caso de los grupos debo declarar en seteos avanzados Modo Posix: No y en el filtro de grupos (objectClass=posixGroup), aun asà nada de nada siguen apareciendo los usuarios los cuales funcionan bien pues puedo autenticarme con estos en los clientes XMPP ademas del admin por la aplicacion web de administracion openfire, pero los grupos aparecen todos pero con los miembros de este en cero es decir puedo declarar grupos compartidos en openfire pero estos grupos al no tener miembros no aparece ningun usuario en el listado de los clientes. cualquier ayuda seria muy bienvenida Supongo que ya habrás verificado los ajustes que indican en la guÃa de integración de openldap con openfire: https://www.igniterealtime.org/builds/openfire/docs/latest/documentation/ ldap-guide.html Un punto a tener en cuenta es que, según ese documento, desde openfire no se puede modificar los valores del directorio activo ya que lo trata como una base de datos de sólo lectura. Ciertamente hasta donde se, solo es para consulta de información. Revisa los registros que genere la aplicación por si te dieran alguna pista de por qué no aparecen miembros en los grupos que has definido. Saludos, -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/53aadde2.1050...@esdebian.org - Consejo Nacional de Casas de Cultura, Visítenos: www.casasdecultura.cult.cu - Consejo Nacional de Casas de Cultura, VisÃtenos: www.casasdecultura.cult.cu -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/ea1abcd237972b710764fa5ef755911a.squir...@correo.cncc-malecon.cu
Re: OpenLDAP
Esse livro é bacana: GIL, Anahuac de Paula. OpenLDAP Extreme - Domando o verme. Abraços, Em 27 de junho de 2013 10:32, Fagner Patricio fagner.patri...@gmail.comescreveu: Olá Pessoal!! Preciso de uma documentao para aprender sobre OpenLDAP, alguém pode me indicar uma boa para iniciantes? -- Fagner Patrício João Pessoa - PB Brasil -- *Geowany Galdino Alves* *Assistente em Tecnologia da Informação - NTI/UFAC* *Acadêmico em Licenciatura Plena - HISTÓRIA/UFAC***
Re: OpenLDAP
On Thu, 2013-06-27 at 11:32 -0300, Fagner Patricio wrote: Olá Pessoal!! Preciso de uma documentao para aprender sobre OpenLDAP, alguém pode me indicar uma boa para iniciantes? -- Fagner Patrício João Pessoa - PB Brasil Olá Fagner, procure sobre OpenLDAP na parte de monografias no site da UFLA no curso ARL. (Administração de redes Linux). -- att, Adiel de Lima Ribeiro facebook.com/sembr.dyndns.info -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1372344683.2273.8.camel@Windows-NT4.0
Re: OpenLDAP
[1] http://www.openldap.org/doc/ [2] http://www.openldap.org/doc/admin24/quickstart.html Em 27/06/13, Fagner Patriciofagner.patri...@gmail.com escreveu: Olá Pessoal!! Preciso de uma documentao para aprender sobre OpenLDAP, alguém pode me indicar uma boa para iniciantes? -- Fagner Patrício João Pessoa - PB Brasil -- | .''`. A fé não dá respostas. Só impede perguntas. | : :' : | `. `'` | `- Je vois tout -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CACnf0pgstczRkxyp6=6xgxe4ous6m17rpdmhjtrzjd5s8w0...@mail.gmail.com
Re: openldap beter en vernieuwd...
Hoi! Ik ben bezig met een testopstelling om in de nabije toekomst ons hele netwerk te gaan upgraden van suse enterprise 9 naar debian squeeze. Ik ben nu al een tijdje bezig om vertrouwd te raken met de nieuwe openldap cn=config benadering. Ik moet zeggen: VRESELIJK. Zo vreselijk handig was dat allemaal in de oude situatie met een normaal slapd.conf bestandje. Super overzichtelijk en gemakkelijk te configureren. Nu, de nieuwe situatie: alleen bv al het toevoegen van samba.schema ben ik een hele tijd mee bezig geweest: eerst uitzoeken hoe te converteren naar een ldif versie, en dan uitzoeken hoe dat correct ingevoerd wordt enzo. Ik bedoel: 't is ook allemaal niet HEEL moeilijk, maar ik vind het heel erg veel onoverzichtelijker dan de oude situatie met een duidelijk conf-bestandje. Ben ik de enige die hier maar moeilijk aan kan wennen of die weinig tot geen voordelen ziet? Zie ik iets over het hoofd? Vinden jullie de nieuwe benadering wel gemakkelijker? Nee, ik vind cn=config echt heel erg verschrikkelijk. Alles wat ik er ooit mee doe, schrijf ik op in m'n eigen Wiki, want onthouden van die crap is echt onmogelijk. Het idee erachter (configuratie-updates zonder server herstart) snap ik wel, maar daar hadden ze toch wel wat beters voor kunnen verzinnen. Benieuwd naar jullie reacties. :-) Voila :-) Goed weekend allemaal, Idem. Groeten, Martijn. -- To UNSUBSCRIBE, email to debian-user-dutch-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Openldap
On (29/01/10 13:39), Anderson Bertling wrote: Boa Tarde! Estou com problemas para configurar o slapd.conf, em alguns tutoriais na internet dizem que o login e senha de adm do ldap se faz na instalação ou na reconfigurção dpkg-reconfigure slapd, mas nao apareceu p eu cadastrar em lugar nenhum em outras distribuições o slapd fica no proprio /etc/ldap, e dentro do arquivo que coloca a senha configurada pelo comando slappasswd, alguem sabe aonde eu encontro o arquivo no debian ? desde ja fico grato -- Att Anderson Bertling Anderson Segue abaixo um link interessante sobre um tutorial de intração do OpenLDAP com o Samba. http://download.gna.org/smbldap-tools/docs/samba-ldap-howto/ -- .''`. Caio Abreu Ferreira : :' : i...@terra.com.br `. `'` Debian User `- Key fingerprint = 97F8 61AC 605F 8A8B 3BA1 D479 8C9A 52E8 6478 601F signature.asc Description: Digital signature
Re: Openldap
dpkg -L pacote Anderson Bertling wrote: Boa Tarde! Estou com problemas para configurar o slapd.conf, em alguns tutoriais na internet dizem que o login e senha de adm do ldap se faz na instalação ou na reconfigurção dpkg-reconfigure slapd, mas nao apareceu p eu cadastrar em lugar nenhum em outras distribuições o slapd fica no proprio /etc/ldap, e dentro do arquivo que coloca a senha configurada pelo comando slappasswd, alguem sabe aonde eu encontro o arquivo no debian ? desde ja fico grato -- Att Anderson Bertling -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: Openldap
Em 29 de janeiro de 2010 13:39, Anderson Bertling andersonbertl...@gmail.com escreveu: Boa Tarde! Estou com problemas para configurar o slapd.conf, em alguns tutoriais na internet dizem que o login e senha de adm do ldap se faz na instalação ou na reconfigurção dpkg-reconfigure slapd, mas nao apareceu p eu cadastrar em lugar nenhum em outras distribuições o slapd fica no proprio /etc/ldap, e dentro do arquivo que coloca a senha configurada pelo comando slappasswd, alguem sabe aonde eu encontro o arquivo no debian ? desde ja fico grato O arquivo é o '/etc/ldap/slapd.conf'. e a senha de admin fica assim no arquivo, após as opções 'database' e 'suffix': rootpw algoritmo_de_hashsenha que segundo a man do slappasswd, são os seguintes: {CRYPT}, {MD5}, {SMD5}, {SSHA}, and {SHA}. Os com 'S' na frente, usam um 'salt' aleatório pra dificultar o uso de 'rainbow tables'. Sendo que o md5 só é ainda seguro se usado assim. http://en.wikipedia.org/wiki/MD5 http://en.wikipedia.org/wiki/SHA_hash_functions http://en.wikipedia.org/wiki/Salt_(cryptography) http://en.wikipedia.org/wiki/Rainbow_table -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: OpenLdap - Debian Squeeze
2010/1/18 Felipe Augusto van de Wiel (faw) f...@funlabs.org: -BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 18-01-2010 15:47, Jarbas Peixoto Júnior wrote: Estou testando a versão squeeze to slapd e encontrei alguns bugs relacionados ao overlay rwm e ppolicy. Quais bugs? Eles estão no BTS? São bugs upstream? São bugs que já foram corrigidos na versão 2.4.21 e estão no http://www.openldap.org/its/ O que eu preciso é saber como gerar os pacotes da última versão que é 2.4.21. Quando eu executo o trio: configure, make, e make install funciona, mas eu tenho alguns servidores e não quero ter que recompilar em todos novamente. Você precisa criar um pacote, talvez o checkinstall possa ajudar, o slapd não é um pacote muito simples de adaptar, o pessoal do Debian compila ele usando GnuTLS ao invés de OpenSSL e provavelmente você precisará acertar patches. Utilizei o checkinstall, mas dessa forma tenho um único pacote. Consegui configurar utilizando os mesmos parâmetros de configuração utilizados pelo time do Debian (cat debian/configure.options | grep -v '#' | xargs). Fiz assim: # ./configure --prefix=/usr --libexecdir=${prefix}/lib --sysconfdir=/etc --localstatedir=/var --mandir=${prefix}/share/man --enable-debug --enable-dynamic --enable-syslog --enable-proctitle --enable-ipv6 --enable-local --enable-slapd --enable-aci --enable-cleartext --enable-crypt --disable-lmpasswd --enable-spasswd --enable-modules --enable-rewrite --enable-rlookups --enable-slapi --enable-slp --enable-wrappers --enable-backends=mod --disable-ndb --enable-overlays=mod --with-subdir=ldap --with-cyrus-sasl --with-threads --with-tls=gnutls --with-odbc=unixodbc # make # checkinstall Uma alternativa é alfinetar a versão do unstable e puxá-la para o stable ou então solicitar que seja criado um backport. A versão do unstable também é a 2.4.17. Já testei essa versão e até mesmo relatei um bug http://www.openldap.org/its/index.cgi?findid=6411, que já foi resolvido com a 2.4.21 O que eu consegui foi recompilar pacotes a partir dos fontes disponíveis do Debian squeeze seguindo esse tutorial (http://www.cyberciti.biz/faq/rebuilding-ubuntu-debian-linux-binary-package/), mas a versão do pacote slapd disponível é a 2.4.17 (http://packages.debian.org/source/unstable/openldap). Sim, envolve algum tempo, o 2.4.21 foi lançado em dezembro de 2009, então pode demorar algumas semanas até ele aparecer no Debian/unstable. Tem uma solicitação de empacotamento para essa nova versão nhttp://bugs.debian.org/cgi-bin/bugreport.cgi?bug=561144. Como proceder para reforçar essa solicitação? Você pode arriscar simplesmente copiar a estrutura do pacote 2.4.17 para o 2.4.21 e tentar gerar o pacote, se der certo, beleza, na pior hipótese, você terá trabalho pra adaptar patches ou compilar em cada máquina. Já tentei utilizando o uupdate -u openldap-2.4.21.tgz mas no momento de compilar dá um monte de erros. E não tenho conhecimentos suficientes para prosseguir sozinho. Se alguém tiver alguma dica nova... Valeu faw, Jarbas Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iEYEAREIAAYFAktUt1YACgkQCjAO0JDlykZrRgCgwBVB3dy83sx21fV7vct8HDrS CFoAoIws90O4EMyoR5KD5nbX6vaNq3PT =rqpF -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: OpenLdap - Debian Squeeze
-BEGIN PGP SIGNED MESSAGE- Hash: SHA256 On 18-01-2010 15:47, Jarbas Peixoto Júnior wrote: Estou testando a versão squeeze to slapd e encontrei alguns bugs relacionados ao overlay rwm e ppolicy. Quais bugs? Eles estão no BTS? São bugs upstream? O que eu preciso é saber como gerar os pacotes da última versão que é 2.4.21. Quando eu executo o trio: configure, make, e make install funciona, mas eu tenho alguns servidores e não quero ter que recompilar em todos novamente. Você precisa criar um pacote, talvez o checkinstall possa ajudar, o slapd não é um pacote muito simples de adaptar, o pessoal do Debian compila ele usando GnuTLS ao invés de OpenSSL e provavelmente você precisará acertar patches. Uma alternativa é alfinetar a versão do unstable e puxá-la para o stable ou então solicitar que seja criado um backport. O que eu consegui foi recompilar pacotes a partir dos fontes disponíveis do Debian squeeze seguindo esse tutorial (http://www.cyberciti.biz/faq/rebuilding-ubuntu-debian-linux-binary-package/), mas a versão do pacote slapd disponível é a 2.4.17 (http://packages.debian.org/source/unstable/openldap). Sim, envolve algum tempo, o 2.4.21 foi lançado em dezembro de 2009, então pode demorar algumas semanas até ele aparecer no Debian/unstable. Você pode arriscar simplesmente copiar a estrutura do pacote 2.4.17 para o 2.4.21 e tentar gerar o pacote, se der certo, beleza, na pior hipótese, você terá trabalho pra adaptar patches ou compilar em cada máquina. Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iEYEAREIAAYFAktUt1YACgkQCjAO0JDlykZrRgCgwBVB3dy83sx21fV7vct8HDrS CFoAoIws90O4EMyoR5KD5nbX6vaNq3PT =rqpF -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: OpenLdap - Hardware
Tadeu, Eu trabalho com o LDAP e SAMBA na Previdência Social, isto é, atendemos todas as APS (Agências da Previdência Social) com um SAMBA configurado como PDC em cada APS (isso mesmo cada APS tem um SAMBA PDC) e todos referenciam um pool de servidores LDAP (balanceados por um SWITCH de conteúdo - hardware). Atualmente temos além do SAMBA, o Expresso, o OpenFire, o Proxy, o Alfresco, MoinMoin, além de outros servidores Apache configurados para autenticar nesse mesmo pool de LDAP. Temos mais de 60 mil contas de usuários, mais de 50 Grupos, mais de 2000 Listas de Distribuição armazenadas nesse LDAP. Cada servidor LDAP consome no máximo um total de 1,5GB para manter toda a base em cache. O que importa realmente para o LDAP é a customização que você fizer no slapd.conf. Na verdade você é quem define tudo. Resumindo: uma boa customização torna qualquer servidor LDAP em um super LDAP. Att, Jarbas 2009/11/5 Tadeu Cruz tadeuc...@tadeucruz.com: Sim os serviços vao ser em maquinas totalmente separadas. Infelizmente não vi nenhuma referencia em livros ou na internet de quanto de memória o OpenLdap tem necessidade. Obrigado, 2009/11/5 Molinero cybercro...@gmail.com: 1- Eu colocaria mais memória 2- Nem tudo é memória... CPU, HD, placa mae, etc, etc... tudo influencia na performance 3- Eu nao colocaria todos os serviços em um unico servidor. 2009/11/5 Tadeu Cruz tadeuc...@tadeucruz.com Olá a todos, estou para montar um servidor de OpenLdap que deve conter no mínimo 3000 contas. Este servidor vai ser responsável por autenticar no samba, pam, sistema de impressão, squid e talvez em um servidor de email sem falar que vai ter que realizar replicas em diversos servidores diferentes. Estava pensando em uma maquina com multiprocessamento, 2 GB de RAM, e 2 hd sata (para sistema e outro para LDAP) e uma boa configuração ? Esta fraco ? Bom qualquer relato de experiência com servidor de LDAP com muitas contas seria de grande ajuda. Obrigado. -- http://blog.tadeucruz.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- http://blog.tadeucruz.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: OpenLdap - Hardware
Jarbas, Isso dá um belo estudo de caso. Vocês tem algo documentado que possa disponibilizar? 2009/11/5 Jarbas Peixoto Júnior jarbas.jun...@gmail.com: Tadeu, Eu trabalho com o LDAP e SAMBA na Previdência Social, isto é, atendemos todas as APS (Agências da Previdência Social) com um SAMBA configurado como PDC em cada APS (isso mesmo cada APS tem um SAMBA PDC) e todos referenciam um pool de servidores LDAP (balanceados por um SWITCH de conteúdo - hardware). Atualmente temos além do SAMBA, o Expresso, o OpenFire, o Proxy, o Alfresco, MoinMoin, além de outros servidores Apache configurados para autenticar nesse mesmo pool de LDAP. Temos mais de 60 mil contas de usuários, mais de 50 Grupos, mais de 2000 Listas de Distribuição armazenadas nesse LDAP. Cada servidor LDAP consome no máximo um total de 1,5GB para manter toda a base em cache. O que importa realmente para o LDAP é a customização que você fizer no slapd.conf. Na verdade você é quem define tudo. Resumindo: uma boa customização torna qualquer servidor LDAP em um super LDAP. Att, Jarbas 2009/11/5 Tadeu Cruz tadeuc...@tadeucruz.com: Sim os serviços vao ser em maquinas totalmente separadas. Infelizmente não vi nenhuma referencia em livros ou na internet de quanto de memória o OpenLdap tem necessidade. Obrigado, 2009/11/5 Molinero cybercro...@gmail.com: 1- Eu colocaria mais memória 2- Nem tudo é memória... CPU, HD, placa mae, etc, etc... tudo influencia na performance 3- Eu nao colocaria todos os serviços em um unico servidor. 2009/11/5 Tadeu Cruz tadeuc...@tadeucruz.com Olá a todos, estou para montar um servidor de OpenLdap que deve conter no mínimo 3000 contas. Este servidor vai ser responsável por autenticar no samba, pam, sistema de impressão, squid e talvez em um servidor de email sem falar que vai ter que realizar replicas em diversos servidores diferentes. Estava pensando em uma maquina com multiprocessamento, 2 GB de RAM, e 2 hd sata (para sistema e outro para LDAP) e uma boa configuração ? Esta fraco ? Bom qualquer relato de experiência com servidor de LDAP com muitas contas seria de grande ajuda. Obrigado. -- http://blog.tadeucruz.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- http://blog.tadeucruz.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- Welington Rodrigues Braga -- Web: http://www.welrbraga.eti.br MSN: welrbraga[*]msn·com Gtalk: welrbraga[*]gmail·com Yahoo / Skype: welrbraga PGP Key: 0x6C7654EB Linux User #253605 Em tudo somos atribulados, porém não angustiados; perplexos, porém não desanimados; perseguidos, porém não desamparados; abatidos, porém não destruídos; - 2Co 4:8,9 -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: OpenLdap - Hardware
Todo o processo, desde a instalação dos servidores LDAP até o ingresso de máquinas Windows no domínio SAMBA está documentado em um TWiki interno. Em breve disponibilizarei todo material que possa ser aproveitado por outros no http://ldap-br.blogspot.com (meu blog sobre LDAP+Samba). Tem ainda um gerenciador Web de LDAP+Samba que também faz parte dos meus planos disponibilizar o código fonte, pois não encontrei nada na internet que facilitasse a administração por quem não conhece LDAP nem SAMBA. Trata-se do WeMoIP que tem alguns screenshots no artigo do blog relacionado à migração de usuários para OpenLDAP. Sem dúvida, e também sem modéstia, é muito fácil de ser utilizado. Aguardem... 2009/11/5 Welington R. Braga welrbr...@gmail.com: Jarbas, Isso dá um belo estudo de caso. Vocês tem algo documentado que possa disponibilizar? 2009/11/5 Jarbas Peixoto Júnior jarbas.jun...@gmail.com: Tadeu, Eu trabalho com o LDAP e SAMBA na Previdência Social, isto é, atendemos todas as APS (Agências da Previdência Social) com um SAMBA configurado como PDC em cada APS (isso mesmo cada APS tem um SAMBA PDC) e todos referenciam um pool de servidores LDAP (balanceados por um SWITCH de conteúdo - hardware). Atualmente temos além do SAMBA, o Expresso, o OpenFire, o Proxy, o Alfresco, MoinMoin, além de outros servidores Apache configurados para autenticar nesse mesmo pool de LDAP. Temos mais de 60 mil contas de usuários, mais de 50 Grupos, mais de 2000 Listas de Distribuição armazenadas nesse LDAP. Cada servidor LDAP consome no máximo um total de 1,5GB para manter toda a base em cache. O que importa realmente para o LDAP é a customização que você fizer no slapd.conf. Na verdade você é quem define tudo. Resumindo: uma boa customização torna qualquer servidor LDAP em um super LDAP. Att, Jarbas 2009/11/5 Tadeu Cruz tadeuc...@tadeucruz.com: Sim os serviços vao ser em maquinas totalmente separadas. Infelizmente não vi nenhuma referencia em livros ou na internet de quanto de memória o OpenLdap tem necessidade. Obrigado, 2009/11/5 Molinero cybercro...@gmail.com: 1- Eu colocaria mais memória 2- Nem tudo é memória... CPU, HD, placa mae, etc, etc... tudo influencia na performance 3- Eu nao colocaria todos os serviços em um unico servidor. 2009/11/5 Tadeu Cruz tadeuc...@tadeucruz.com Olá a todos, estou para montar um servidor de OpenLdap que deve conter no mínimo 3000 contas. Este servidor vai ser responsável por autenticar no samba, pam, sistema de impressão, squid e talvez em um servidor de email sem falar que vai ter que realizar replicas em diversos servidores diferentes. Estava pensando em uma maquina com multiprocessamento, 2 GB de RAM, e 2 hd sata (para sistema e outro para LDAP) e uma boa configuração ? Esta fraco ? Bom qualquer relato de experiência com servidor de LDAP com muitas contas seria de grande ajuda. Obrigado. -- http://blog.tadeucruz.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- http://blog.tadeucruz.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- Welington Rodrigues Braga -- Web: http://www.welrbraga.eti.br MSN: welrbraga[*]msn·com Gtalk: welrbraga[*]gmail·com Yahoo / Skype: welrbraga PGP Key: 0x6C7654EB Linux User #253605 Em tudo somos atribulados, porém não angustiados; perplexos, porém não desanimados; perseguidos, porém não desamparados; abatidos, porém não destruídos; - 2Co 4:8,9 -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: OpenLDAP et outil d'administration
Moi j'utilise phpLdapAdmin, qui est assez technique au niveau de l'IHM mais très puissant .. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: OpenLDAP et outil d'administration
On Sat, 03 Oct 2009 15:14:12 +0200, JC wrote: On Sat, 3 Oct 2009 14:56:48 +0200 Laurent Guignard lguignard.deb...@gmail.com wrote: Bonjour, Je cherche actuellement un outil d'administration d'un annuaire LDAP. Il faut que cet outil soit accessible depuis de multiples plateformes (Windows, Linux, Solaris, MacOS,...). phpmyldap ? Cordialement. -- Salutations. Jean-Claude Merci pour vos réponses. Je crois que je vais chercher du coté de GOSA. Est-ce que cet outil permet de configurer les vues de l'annuaire LDAP ? Je m'explique, il faudrait que l'interface soit le plus simple possible et que pour indique l'état d'un compte (verrouillé/non verrouillé) il y ait une case à cocher,... Bref, un truc permettant de configure l'IHM de l'appli comme on le désire et en plus simplement ;) ! Merci encore. -- Laurent Guignard, Registered as user #301590 with the Linux Counter Site : http://www.famille-guignard.org Blog : http://blog.famille-guignard.org Projet : http://sicontact.sourceforge.net GULL de Villefranche sur Saône : http://www.cagull.org signature.asc Description: Digital signature
Re: OpenLDAP et outil d'administration
On Sat, 3 Oct 2009 14:56:48 +0200 Laurent Guignard lguignard.deb...@gmail.com wrote: Bonjour, Je cherche actuellement un outil d'administration d'un annuaire LDAP. Il faut que cet outil soit accessible depuis de multiples plateformes (Windows, Linux, Solaris, MacOS,...). phpmyldap ? Cordialement. -- Salutations. Jean-Claude -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: OpenLDAP et outil d'administration
Selon Laurent Guignard lguignard.deb...@gmail.com: Bonjour, Je cherche actuellement un outil d'administration d'un annuaire LDAP. Il faut que cet outil soit accessible depuis de multiples plateformes (Windows, Linux, Solaris, MacOS,...). Il doit être possible de créer des vues des informations de l'annuaire et d'y associer des action élémentaires (verrouillage de compte, mofification de groupe,...) et le tout doit pouvoir être paramétrable. Bref, il s'agirait d'un outil permettant de mettre à disposition de la gestion de comptes, machines, imprimantes,... à quelqu'un qui n'a aucun besoin de connaitre les commande shell, ou même la structure de l'annuaire... En espérant que quelqu'un a une telle info, merci d'avance. Librement bonjour, même si l'outil n'est pas top qualité, pourquoi ne pas penser à employer webmin ? http://webadmin.sf.net slt bernard -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: OpenLDAP et outil d'administration
Laurent Guignard a écrit : Bonjour, Je cherche actuellement un outil d'administration d'un annuaire LDAP. Il faut que cet outil soit accessible depuis de multiples plateformes (Windows, Linux, Solaris, MacOS,...). Il doit être possible de créer des vues des informations de l'annuaire et d'y associer des action élémentaires (verrouillage de compte, mofification de groupe,...) et le tout doit pouvoir être paramétrable. Bref, il s'agirait d'un outil permettant de mettre à disposition de la gestion de comptes, machines, imprimantes,... à quelqu'un qui n'a aucun besoin de connaitre les commande shell, ou même la structure de l'annuaire... En espérant que quelqu'un a une telle info, merci d'avance. ptêt gosa JY -- I have a VISION! It's a RANCID double-FISHWICH on an ENRICHED BUN!! -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: OpenLDAP et outil d'administration
Selon Jean-Yves F. Barbier 12u...@gmail.com: Laurent Guignard a écrit : Bonjour, Je cherche actuellement un outil d'administration d'un annuaire LDAP. Il faut que cet outil soit accessible depuis de multiples plateformes (Windows, Linux, Solaris, MacOS,...). Il doit être possible de créer des vues des informations de l'annuaire et d'y associer des action élémentaires (verrouillage de compte, mofification de groupe,...) et le tout doit pouvoir être paramétrable. Bref, il s'agirait d'un outil permettant de mettre à disposition de la gestion de comptes, machines, imprimantes,... à quelqu'un qui n'a aucun besoin de connaitre les commande shell, ou même la structure de l'annuaire... En espérant que quelqu'un a une telle info, merci d'avance. ptêt gosa JY -- bonjour, je remet une couche en donnant le lien : https://oss.gonicus.de/labs/gosa/ slt bernard -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: OpenLdap manual howto available
Great article. I must have a look at that ! thanks On Wed, Jul 22, 2009 at 8:35 AM, gn643202je...@jperkins.us wrote: Lukasz Szybalski wrote: Just an FYI. I'm working on openldap howto for Debian. http://lucasmanual.com/mywiki/OpenLdap This is great, but: Under Connect to openldap with luma you should note that nothing is in the Address Book. Then under Simple address book Create a file called directory.ldiff Where do you create it? In /etc/ldap? Maybe Connect to openldap and Simple address book should be reversed? -- To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org -- lubo http://www.linuxconfig.org/Linux-News/ -- To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: OpenLdap manual howto available
Lukasz Szybalski wrote: Just an FYI. I'm working on openldap howto for Debian. http://lucasmanual.com/mywiki/OpenLdap This is great, but: Under Connect to openldap with luma you should note that nothing is in the Address Book. Then under Simple address book Create a file called directory.ldiff Where do you create it? In /etc/ldap? Maybe Connect to openldap and Simple address book should be reversed? -- To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: OpenLdap manual howto available
On 2009-07-20 11:45, Lukasz Szybalski wrote: Just an FYI. I'm working on openldap howto for Debian. http://lucasmanual.com/mywiki/OpenLdap This manual shows how to setup openldap and gives a workaround to some of the known bugs that prevent openldap to be reconfigured, and migration tools from finish migration. The setting up of openldap is fairly easy, but without few key instructions that I've listed its almost impossible for new user to finish. Took me 2 weeks but after reading above OpenLdap Manual howto you will setup ldap server in as little as 10minutes. Enjoy. (More content coming as days go by) Contents 1. OpenLDAP 1. What is required 2. Install 3. Authentication 4. Connect to openldap 5. Simple addressbook 1. Thunderbird Thanks for your hard work. This should be very useful to me. 2. Outlook 2. Linux integration with LDAP 1. libnss-ldap 1. migrationtools 2. libpam 3. Troubleshooting 1. result: 32 No such object 4. References -- Scooty Puff, Sr The Doom-Bringer -- To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: OpenLdap manual howto available
On Mon, 20 Jul 2009 11:45:15 -0500, Lukasz Szybalski in gmane.linux.debian.user wrote: Just an FYI. I'm working on openldap howto for Debian. http://lucasmanual.com/mywiki/OpenLdap This manual shows how to setup openldap and gives a workaround to some of the known bugs that prevent openldap to be reconfigured, and migration tools from finish migration. The setting up of openldap is fairly easy, but without few key instructions that I've listed its almost impossible for new user to finish. Took me 2 weeks but after reading above OpenLdap Manual howto you will setup ldap server in as little as 10minutes. Enjoy. (More content coming as days go by) snip Excellent ! Thanks for sharing your hard work. -- Regards, S. Fishpaste -- To UNSUBSCRIBE, email to debian-user-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: [OpenLDAP] [lenny] suite à configuration sldap - failed...
Salut, Ta commande : srvdebian:~# /etc/init.d/slapd start Starting OpenLDAP: slapd - failed. The operation failed but no output was produced. *For hints on what went wrong please refer to the system's logfiles (e.g. /var/log/syslog)* or try running the daemon in Debug mode like via slapd -d 16383 (warning: this will create copious output). Below, you can find the command line options used by this script to run slapd. Do not forget to specify those options if you want to look to debugging output: slapd -g openldap -u openldap -f /etc/ldap/slapd.conf J'ai mis en surbrillance ce qu'il t'ai conseillé (à juste titre ;) pour avoir des informations sur ce qui merdoie. Sans un coup d'oeil sur ces logs, on est comme toi, on ne sait pas ce qui cloche : ) à plus mathias 2009/3/19 Jean RAGOT jeanra...@gmail.com Bonjour, Je me permet de me tourner vers vous suite à un petit problème qui me bloque dans la mise en place de LDAP et SAMBA. Je suis le tutoriel suivant : http://damstux.free.fr/wiki/index.php?title=PDC_Samba_et_LDAP Je suis sur une debian lenny i386. J'ai installer les paquets pour *openLDAP* avec Synaptic : - sldap -- 2.4.11-1 -- OpenLDAP serveur - ldap-utils - 2.4.11-1 - OpenLDAP utilities - db4.2-util -- 4.2.52 +dfsg-5 -- Berkeley v4.2 Database Utilities A l'installation j'ai juste rempli le mot de passe de l'administration LDAP. Ensuite j'ai installer samba-doc - 2.3.2.5lennyl - samba documentation J'ai copier le samba.schema ici : /etc/ldap/schema/samba.schema j'ai modifier ensuite mon fichier sldap.conf suivant ma configuration et j'ai mis mon mot de passe crypté obtenu avec slappasswd. Ensuite j'ai relancé comme demandé mon serveur LDAP est j'obtiens une erreur que je n'arrive pas à résoudre ? srvdebian:~# /etc/init.d/slapd start Starting OpenLDAP: slapd - failed. The operation failed but no output was produced. For hints on what went wrong please refer to the system's logfiles (e.g. /var/log/syslog) or try running the daemon in Debug mode like via slapd -d 16383 (warning: this will create copious output). Below, you can find the command line options used by this script to run slapd. Do not forget to specify those options if you want to look to debugging output: slapd -g openldap -u openldap -f /etc/ldap/slapd.conf Je vous joins mon fichier sldap.conf et le fichier ldap.conf (que je n'utilise pas appriori ?) Merci de votre aide. ### sldap.conf## ### # This is the main slapd configuration file. See slapd.conf(5) for more # info on the configuration options. ### # Global Directives: # Features to permit #allow bind_v2 # Schema and objectClass definitions include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema ### include fichier schema ldap pour samba ## include /etc/ldap/schema/samba.schema # Schema check allows for forcing entries to # match schemas for their objectClasses's schemacheck on # Where the pid file is put. The init.d script # will not stop the server if you change this. pidfile /var/run/slapd/slapd.pid # List of arguments that were passed to the server argsfile/var/run/slapd/slapd.args # Read slapd.conf(5) for possible values loglevel0 # Where the dynamically loaded modules are stored modulepath/usr/lib/ldap moduleloadback_bdb ### # Specific Backend Directives for hdb: # Backend specific directives apply to this backend until another # 'backend' directive occurs backendbdb checkpoint 512 30 ### # Specific Backend Directives for 'other': # Backend specific directives apply to this backend until another # 'backend' directive occurs #backendother ### # Specific Directives for database #1, of type hdb: # Database specific directives apply to this databasse until another # 'database' directive occurs databasebdb # The base of your directory in database #1 suffix dc=medica-rs,dc=int # rootdn directive for specifying a superuser on the database. This is needed # for syncrepl. rootdn cn=admin,dc=medica-rs,dc=int rootpw {SSHA}XxxxXXXxxXXXxxxXXxx # Where the database file are physically stored for database #1 directory /var/lib/ldap # Indexing options for database #1 index objectClass eq # Save the time that the entry gets modified, for database #1 lastmod
Re: [OpenLDAP] [lenny] suite à configuration sldap - failed...
Salut, très bonne remarque de ta part : ). Voici mes logs au démarrage de sldap. */var/log/syslog ###* Mar 19 13:55:38 srvdebian slapd[3960]: @(#) $OpenLDAP: slapd 2.4.11 (Oct 12 2008 04:13:21) $#012#011bui...@ninsei:/build/buildd/openldap-2.4.11/debian/build/servers/slapd Mar 19 13:55:38 srvdebian slapd[3960]: /etc/ldap/slapd.conf: line 20: unknown directive schemacheck outside backend info and database definitions. Mar 19 13:55:38 srvdebian slapd[3960]: slapd stopped. Mar 19 13:55:38 srvdebian slapd[3960]: connections_destroy: nothing to destroy. # mathias dufresne a écrit : Salut, Ta commande : srvdebian:~# /etc/init.d/slapd start Starting OpenLDAP: slapd - failed. The operation failed but no output was produced. *For hints on what went wrong please refer to the system's logfiles (e.g. /var/log/syslog)* or try running the daemon in Debug mode like via slapd -d 16383 (warning: this will create copious output). Below, you can find the command line options used by this script to run slapd. Do not forget to specify those options if you want to look to debugging output: slapd -g openldap -u openldap -f /etc/ldap/slapd.conf J'ai mis en surbrillance ce qu'il t'ai conseillé (à juste titre ;) pour avoir des informations sur ce qui merdoie. Sans un coup d'oeil sur ces logs, on est comme toi, on ne sait pas ce qui cloche : ) à plus mathias 2009/3/19 Jean RAGOT jeanra...@gmail.com mailto:jeanra...@gmail.com Bonjour, Je me permet de me tourner vers vous suite à un petit problème qui me bloque dans la mise en place de LDAP et SAMBA. Je suis le tutoriel suivant : http://damstux.free.fr/wiki/index.php?title=PDC_Samba_et_LDAP Je suis sur une debian lenny i386. J'ai installer les paquets pour /openLDAP/ avec Synaptic : - sldap -- 2.4.11-1 -- OpenLDAP serveur - ldap-utils - 2.4.11-1 - OpenLDAP utilities - db4.2-util -- 4.2.52 +dfsg-5 -- Berkeley v4.2 Database Utilities A l'installation j'ai juste rempli le mot de passe de l'administration LDAP. Ensuite j'ai installer samba-doc - 2.3.2.5lennyl - samba documentation J'ai copier le samba.schema ici : /etc/ldap/schema/samba.schema j'ai modifier ensuite mon fichier sldap.conf suivant ma configuration et j'ai mis mon mot de passe crypté obtenu avec slappasswd. Ensuite j'ai relancé comme demandé mon serveur LDAP est j'obtiens une erreur que je n'arrive pas à résoudre ? srvdebian:~# /etc/init.d/slapd start Starting OpenLDAP: slapd - failed. The operation failed but no output was produced. For hints on what went wrong please refer to the system's logfiles (e.g. /var/log/syslog) or try running the daemon in Debug mode like via slapd -d 16383 (warning: this will create copious output). Below, you can find the command line options used by this script to run slapd. Do not forget to specify those options if you want to look to debugging output: slapd -g openldap -u openldap -f /etc/ldap/slapd.conf Je vous joins mon fichier sldap.conf et le fichier ldap.conf (que je n'utilise pas appriori ?) Merci de votre aide. ### sldap.conf## ### # This is the main slapd configuration file. See slapd.conf(5) for more # info on the configuration options. ### # Global Directives: # Features to permit #allow bind_v2 # Schema and objectClass definitions include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema ### include fichier schema ldap pour samba ## include /etc/ldap/schema/samba.schema # Schema check allows for forcing entries to # match schemas for their objectClasses's schemacheck on # Where the pid file is put. The init.d script # will not stop the server if you change this. pidfile /var/run/slapd/slapd.pid # List of arguments that were passed to the server argsfile/var/run/slapd/slapd.args # Read slapd.conf(5) for possible values loglevel0 # Where the dynamically loaded modules are stored modulepath/usr/lib/ldap moduleloadback_bdb ### # Specific Backend Directives for hdb: # Backend specific directives apply to this backend until another # 'backend' directive occurs backendbdb checkpoint 512 30 ### # Specific
Re: [OpenLDAP] [lenny] suite à configuration sldap - failed...
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour, commente chemacheck # chemacheck je ne l'ai pas dans ma config et sa marche nickel ! cordialement Jean RAGOT wrote: Salut, très bonne remarque de ta part : ). Voici mes logs au démarrage de sldap. */var/log/syslog ###* Mar 19 13:55:38 srvdebian slapd[3960]: @(#) $OpenLDAP: slapd 2.4.11 (Oct 12 2008 04:13:21) $#012#011bui...@ninsei:/build/buildd/openldap-2.4.11/debian/build/servers/slapd Mar 19 13:55:38 srvdebian slapd[3960]: /etc/ldap/slapd.conf: line 20: unknown directive schemacheck outside backend info and database definitions. Mar 19 13:55:38 srvdebian slapd[3960]: slapd stopped. Mar 19 13:55:38 srvdebian slapd[3960]: connections_destroy: nothing to destroy. # mathias dufresne a écrit : Salut, Ta commande : srvdebian:~# /etc/init.d/slapd start Starting OpenLDAP: slapd - failed. The operation failed but no output was produced. *For hints on what went wrong please refer to the system's logfiles (e.g. /var/log/syslog)* or try running the daemon in Debug mode like via slapd -d 16383 (warning: this will create copious output). Below, you can find the command line options used by this script to run slapd. Do not forget to specify those options if you want to look to debugging output: slapd -g openldap -u openldap -f /etc/ldap/slapd.conf J'ai mis en surbrillance ce qu'il t'ai conseillé (à juste titre ;) pour avoir des informations sur ce qui merdoie. Sans un coup d'oeil sur ces logs, on est comme toi, on ne sait pas ce qui cloche : ) à plus mathias 2009/3/19 Jean RAGOT jeanra...@gmail.com mailto:jeanra...@gmail.com Bonjour, Je me permet de me tourner vers vous suite à un petit problème qui me bloque dans la mise en place de LDAP et SAMBA. Je suis le tutoriel suivant : http://damstux.free.fr/wiki/index.php?title=PDC_Samba_et_LDAP Je suis sur une debian lenny i386. J'ai installer les paquets pour /openLDAP/ avec Synaptic : - sldap -- 2.4.11-1 -- OpenLDAP serveur - ldap-utils - 2.4.11-1 - OpenLDAP utilities - db4.2-util -- 4.2.52 +dfsg-5 -- Berkeley v4.2 Database Utilities A l'installation j'ai juste rempli le mot de passe de l'administration LDAP. Ensuite j'ai installer samba-doc - 2.3.2.5lennyl - samba documentation J'ai copier le samba.schema ici : /etc/ldap/schema/samba.schema j'ai modifier ensuite mon fichier sldap.conf suivant ma configuration et j'ai mis mon mot de passe crypté obtenu avec slappasswd. Ensuite j'ai relancé comme demandé mon serveur LDAP est j'obtiens une erreur que je n'arrive pas à résoudre ? srvdebian:~# /etc/init.d/slapd start Starting OpenLDAP: slapd - failed. The operation failed but no output was produced. For hints on what went wrong please refer to the system's logfiles (e.g. /var/log/syslog) or try running the daemon in Debug mode like via slapd -d 16383 (warning: this will create copious output). Below, you can find the command line options used by this script to run slapd. Do not forget to specify those options if you want to look to debugging output: slapd -g openldap -u openldap -f /etc/ldap/slapd.conf Je vous joins mon fichier sldap.conf et le fichier ldap.conf (que je n'utilise pas appriori ?) Merci de votre aide. ### sldap.conf## ### # This is the main slapd configuration file. See slapd.conf(5) for more # info on the configuration options. ### # Global Directives: # Features to permit #allow bind_v2 # Schema and objectClass definitions include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema ### include fichier schema ldap pour samba ## include /etc/ldap/schema/samba.schema # Schema check allows for forcing entries to # match schemas for their objectClasses's schemacheck on # Where the pid file is put. The init.d script # will not stop the server if you change this. pidfile /var/run/slapd/slapd.pid # List of arguments that were passed to the server argsfile/var/run/slapd/slapd.args # Read slapd.conf(5) for possible values loglevel0 # Where the dynamically loaded modules are stored modulepath/usr/lib/ldap moduleloadback_bdb ### # Specific Backend
Re: [OpenLDAP] [lenny] suite à configuration sldap - failed...
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pour info, le tutos a un bug... lorsque tu édites /etc/smbldap-tools/smbldap.conf il ya une ligne comme suit : sambaUnixIdPooldn=cn=NextFreeUnixId,${suffix} en faite il faut lire : sambaUnixIdPooldn=sambaDomainName=TONWORKGROUPSAMBA,${suffix} sinon tu as des érreurs lors du smbldap-populate Cordialement ps : sinon ce tutos est parfait. Jean RAGOT wrote: Salut, très bonne remarque de ta part : ). Voici mes logs au démarrage de sldap. */var/log/syslog ###* Mar 19 13:55:38 srvdebian slapd[3960]: @(#) $OpenLDAP: slapd 2.4.11 (Oct 12 2008 04:13:21) $#012#011bui...@ninsei:/build/buildd/openldap-2.4.11/debian/build/servers/slapd Mar 19 13:55:38 srvdebian slapd[3960]: /etc/ldap/slapd.conf: line 20: unknown directive schemacheck outside backend info and database definitions. Mar 19 13:55:38 srvdebian slapd[3960]: slapd stopped. Mar 19 13:55:38 srvdebian slapd[3960]: connections_destroy: nothing to destroy. # mathias dufresne a écrit : Salut, Ta commande : srvdebian:~# /etc/init.d/slapd start Starting OpenLDAP: slapd - failed. The operation failed but no output was produced. *For hints on what went wrong please refer to the system's logfiles (e.g. /var/log/syslog)* or try running the daemon in Debug mode like via slapd -d 16383 (warning: this will create copious output). Below, you can find the command line options used by this script to run slapd. Do not forget to specify those options if you want to look to debugging output: slapd -g openldap -u openldap -f /etc/ldap/slapd.conf J'ai mis en surbrillance ce qu'il t'ai conseillé (à juste titre ;) pour avoir des informations sur ce qui merdoie. Sans un coup d'oeil sur ces logs, on est comme toi, on ne sait pas ce qui cloche : ) à plus mathias 2009/3/19 Jean RAGOT jeanra...@gmail.com mailto:jeanra...@gmail.com Bonjour, Je me permet de me tourner vers vous suite à un petit problème qui me bloque dans la mise en place de LDAP et SAMBA. Je suis le tutoriel suivant : http://damstux.free.fr/wiki/index.php?title=PDC_Samba_et_LDAP Je suis sur une debian lenny i386. J'ai installer les paquets pour /openLDAP/ avec Synaptic : - sldap -- 2.4.11-1 -- OpenLDAP serveur - ldap-utils - 2.4.11-1 - OpenLDAP utilities - db4.2-util -- 4.2.52 +dfsg-5 -- Berkeley v4.2 Database Utilities A l'installation j'ai juste rempli le mot de passe de l'administration LDAP. Ensuite j'ai installer samba-doc - 2.3.2.5lennyl - samba documentation J'ai copier le samba.schema ici : /etc/ldap/schema/samba.schema j'ai modifier ensuite mon fichier sldap.conf suivant ma configuration et j'ai mis mon mot de passe crypté obtenu avec slappasswd. Ensuite j'ai relancé comme demandé mon serveur LDAP est j'obtiens une erreur que je n'arrive pas à résoudre ? srvdebian:~# /etc/init.d/slapd start Starting OpenLDAP: slapd - failed. The operation failed but no output was produced. For hints on what went wrong please refer to the system's logfiles (e.g. /var/log/syslog) or try running the daemon in Debug mode like via slapd -d 16383 (warning: this will create copious output). Below, you can find the command line options used by this script to run slapd. Do not forget to specify those options if you want to look to debugging output: slapd -g openldap -u openldap -f /etc/ldap/slapd.conf Je vous joins mon fichier sldap.conf et le fichier ldap.conf (que je n'utilise pas appriori ?) Merci de votre aide. ### sldap.conf## ### # This is the main slapd configuration file. See slapd.conf(5) for more # info on the configuration options. ### # Global Directives: # Features to permit #allow bind_v2 # Schema and objectClass definitions include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema ### include fichier schema ldap pour samba ## include /etc/ldap/schema/samba.schema # Schema check allows for forcing entries to # match schemas for their objectClasses's schemacheck on # Where the pid file is put. The init.d script # will not stop the server if you change this. pidfile /var/run/slapd/slapd.pid # List of arguments that were passed to the server argsfile/var/run/slapd/slapd.args # Read slapd.conf(5) for possible values
Re: OpenLDAP stuff ??
On Tuesday, 10.03.2009 at 12:12 -0300, Rodrigo Hashimoto wrote: I wanna study openldap but I didn't find any cool tutorial or site to study it, does anyone has something or know any site ? There are lots of OpenLDAP tutorials around, googling those terms returns many. Perhaps you should explain exactly why they aren't suitable or some more details of what you're trying to do? Dave. -- Dave Ewart da...@ceu.ox.ac.uk Computing Manager, Cancer Epidemiology Unit University of Oxford / Cancer Research UK PGP: CC70 1883 BD92 E665 B840 118B 6E94 2CFD 694D E370 Get key from http://www.ceu.ox.ac.uk/~davee/davee-ceu-ox-ac-uk.asc N 51.7516, W 1.2152 signature.asc Description: Digital signature
Re: openldap con cambio de nombre del servidor
Javier escribió: Hola, tengo un PDC (openldap + samba) funcionando sin ningún tipo de problema. El otro día por razones ajenas hubo que cambiarle el nombre al servidor y desde aquella comenzó a dar problemas al introducir equipos en el sistema. ¿Influye el nombre del equipo en la configuración ldap? Que problemas tienes, que mensaje de error arroja o que muestran los logs ??? -- Carlos Patricio Alegría Muñoz Técnico de nivel superior en redes de computadores Ingeniero (e) en Computación e Informática Ayudante de Laboratorios de Computación Instituto Profesional Virginio Gómez Concepción - Chile -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: openldap con cambio de nombre del servidor
Javier escribió: El día 30 de diciembre de 2008 12:27, Carlos Alegria caleg...@virginiogomez.cl escribió: Javier escribió: Hola, tengo un PDC (openldap + samba) funcionando sin ningún tipo de problema. El otro día por razones ajenas hubo que cambiarle el nombre al servidor y desde aquella comenzó a dar problemas al introducir equipos en el sistema. ¿Influye el nombre del equipo en la configuración ldap? Que problemas tienes, que mensaje de error arroja o que muestran los logs ??? -- Carlos Patricio Alegría Muñoz Técnico de nivel superior en redes de computadores Ingeniero (e) en Computación e Informática Ayudante de Laboratorios de Computación Instituto Profesional Virginio Gómez Concepción - Chile -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org En los log's no se muestra nada y en los equipos cuando intentan unirse al dominio, el error que da es de usuario no encontrado, cuando el usuario es fijo que existe y la contraseña también está bien puesta. Si vuelvo al nombre anterior de host, las cosas van bien. Por casualidad cambiaste la opcion de netbiosname = nombre_del_host ?? -- Carlos Patricio Alegría Muñoz Técnico de nivel superior en redes de computadores Ingeniero (e) en Computación e Informática Ayudante de Laboratorios de Computación Instituto Profesional Virginio Gómez Concepción - Chile -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: openldap con cambio de nombre del servidor
El día 30 de diciembre de 2008 13:31, Carlos Alegria caleg...@virginiogomez.cl escribió: Javier escribió: El día 30 de diciembre de 2008 12:27, Carlos Alegria caleg...@virginiogomez.cl escribió: Javier escribió: Hola, tengo un PDC (openldap + samba) funcionando sin ningún tipo de problema. El otro día por razones ajenas hubo que cambiarle el nombre al servidor y desde aquella comenzó a dar problemas al introducir equipos en el sistema. ¿Influye el nombre del equipo en la configuración ldap? Que problemas tienes, que mensaje de error arroja o que muestran los logs ??? -- Carlos Patricio Alegría Muñoz Técnico de nivel superior en redes de computadores Ingeniero (e) en Computación e Informática Ayudante de Laboratorios de Computación Instituto Profesional Virginio Gómez Concepción - Chile -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org En los log's no se muestra nada y en los equipos cuando intentan unirse al dominio, el error que da es de usuario no encontrado, cuando el usuario es fijo que existe y la contraseña también está bien puesta. Si vuelvo al nombre anterior de host, las cosas van bien. Por casualidad cambiaste la opcion de netbiosname = nombre_del_host ?? -- Carlos Patricio Alegría Muñoz Técnico de nivel superior en redes de computadores Ingeniero (e) en Computación e Informática Ayudante de Laboratorios de Computación Instituto Profesional Virginio Gómez Concepción - Chile -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org La opción netbios name = server Está puesta y no contenía el mismo nombre que el servidor. Gracias. -- Power by Debian. Un saludo, Javier. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: openldap con cambio de nombre del servidor
Javier escribió: Hola, tengo un PDC (openldap + samba) funcionando sin ningún tipo de problema. El otro día por razones ajenas hubo que cambiarle el nombre al servidor y desde aquella comenzó a dar problemas al introducir equipos en el sistema. ¿Influye el nombre del equipo en la configuración ldap? Si cambiaste el nombre del servidor entonces puede ser que tengas que volver a unirlo al dominio. El servert también tiene que estar registrado en el servidor ldap que consulta samba y si tiene otro nombre netbios que difiere con el de la configuración de smb.conf (netbios name) entonces puede darte problemas la resolución de nombres y no se podrá acceder a tu servidor Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: OpenLdap + Postfix
A lista debian-br não deve ser usada para suporte técnico. Debian-BR é para articulação do Projeto Debian no brasil. E também, pelo que percebo, suas dúvidas não são relacionadas ao desenvolvimento do Debian também, o que descarta a debian-devel-portuguese. Favor usar somente debian-user-portuguese. Obrigada, Fernanda 2008/8/29 LITLE TUX [EMAIL PROTECTED]: Ola lista olha eu aqui mais uma vez. após resolvido o problema com o OpenLdap + Squid... Surge um novo problema. Agora com o POSTFIX... Cenario: server 01: openLdap + SambaPDC server 02: postfix + squid Estou tentando fazer uma integracão ... entre os sistemas OPENLDAP e POSTFIX porem todas vez que configuro a maquina onde esta o postfix para se autenticar na maquina onde esta o OPENLDAP recebo o seguinte erro: Aug 29 08:30:19 gheorghe slapd[7485]: = bdb_search Aug 29 08:30:19 gheorghe slapd[7485]: bdb_dn2entry(ou=dns,dc=meudominio,dc=com,dc=br) Aug 29 08:30:19 gheorghe slapd[7485]: = send_search_entry: conn 31 dn=ou=DNS,dc=meudominio,dc=com,dc=br Aug 29 08:30:19 gheorghe slapd[7485]: = send_search_entry: conn 31 exit. Aug 29 08:30:19 gheorghe slapd[7485]: send_ldap_result: conn=31 op=7 p=3 Aug 29 08:30:19 gheorghe slapd[7485]: send_ldap_response: msgid=8 tag=101 err=0 Aug 29 08:30:19 gheorghe slapd[7485]: connection_get(31): got connid=31 Aug 29 08:30:19 gheorghe slapd[7485]: connection_read(31): checking for input on id=31 Aug 29 08:30:19 gheorghe slapd[7485]: do_search Aug 29 08:30:19 gheorghe slapd[7485]: dnPrettyNormal: zoneName=meudominio.com.br,ou=DNS,dc=meudominio,dc=com,dc=br Aug 29 08:30:19 gheorghe slapd[7485]: dnPrettyNormal: zoneName=meudominio.com.br,ou=DNS,dc=meudominio,dc=com,dc=br, zoneName=meudominio.com.br,ou=dns,dc=meudominio,dc=com,dc=br Aug 29 08:30:19 gheorghe slapd[7485]: = bdb_search Aug 29 08:30:19 gheorghe slapd[7485]: bdb_dn2entry(zoneName=meudominio.com.br,ou=dns,dc=meudominio,dc=com,dc=br) Aug 29 08:30:19 gheorghe slapd[7485]: = bdb_dn2id(zoneName=meudominio.com.br.br,ou=dns,dc=meudominio,dc=com,dc=br) Aug 29 08:30:19 gheorghe slapd[7485]: = bdb_dn2id: get failed: DB_NOTFOUND: No matching key/data pair found (-30989) Aug 29 08:30:19 gheorghe slapd[7485]: send_ldap_result: conn=31 op=8 p=3 Aug 29 08:30:19 gheorghe slapd[7485]: send_ldap_response: msgid=9 tag=101 err=32 Aug 29 08:30:19 gheorghe slapd[7485]: connection_get(31): got connid=31 Aug 29 08:30:19 gheorghe slapd[7485]: connection_read(31): checking for input on id=31 Aug 29 08:30:19 gheorghe slapd[7485]: do_add Aug 29 08:30:19 gheorghe slapd[7485]: dnPrettyNormal: zoneName=meudominio.com.br,ou=DNS,dc=meudominio,dc=com,dc=br Aug 29 08:30:19 gheorghe slapd[7485]: dnPrettyNormal: zoneName=meudominio.com.br,ou=DNS,dc=meudominio,dc=com,dc=br, zoneName=meudominio.com.br,ou=dns,dc=meudominio,dc=com,dc=br Aug 29 08:30:19 gheorghe slapd[7485]: send_ldap_result: conn=31 op=9 p=3 Aug 29 08:30:19 gheorghe slapd[7485]: send_ldap_response: msgid=10 tag=105 err=21 Ja tentei de tudo mas não consigo resolver tal erro. Fiquei ontem o dia todo pesquindo o por que isso está a acontecer mas não consegui descobri nada nem no guru dos googlus.. dsrsrsr Agradeco desde ja toda a atencao dispensada. e qualquer ajuda sera bem vinda! ___ Debian-BR mailing list [EMAIL PROTECTED] http://listas.cipsga.org.br/cgi-bin/mailman/listinfo/debian-br -- Free Software Foundation Europe Join FSFE's fellowship today! - http://fsfe.org
Re: oPENlDAP
Seu nick num seria Little Tux não? com dois tês? a versão 3 do protocolo LDAP estava disponível no OpenLDAP desde a versão 2.0 lançada em agosto de 2000. Samuel Rios Carvalho On Fri, Aug 29, 2008 at 9:40 AM, LITLE TUX [EMAIL PROTECTED] wrote: Ola senhores poderiam me dizer a partir de qual versão do OpenLdap posso utilizar a opcao allow bind_v3 ? Obrigado -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLdap + Squid
OK vou tentar meu caro... .. agora uma duvida. Alguem saberia me dizer se tem como fazer um by-pass entre o squid e o openldap... Ou seja quando o usuario logar no ldap automaticamente já setará as permissoes de acesso a internet no squid e não precisara se autenticar novamente isto eh possivel ??? Agradeco a todos 2008/8/26 Anderson Silva [EMAIL PROTECTED] Tente assim: external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -d -b ou=grupo,dc=exemplo,dc=com,dc=br -B ou=usuarios,dc=exemplo,dc=com,dc=br -f ((memberuid=%u)(cn=%g)) -h 10.0.0.1 acl internet external ldap_group grupo-do-ldap http_access allow internet 2008/8/26 LITLE TUX [EMAIL PROTECTED] Ola pessoal estou montando um servidor com squid + ldap porem estou tendo alguns problemas... mostrarai meu cenário a fim de que possamos descobrir uma solucao... Servidor 01: SAMBA PDC + LDAP servidor 02: SQUID + DNS + APACHE Cenario: Instalei e configurei o samba + openldap perfeitamente... cadastro usuarios, coloquei as maquinas no dominio tudo perfeito. o servidor 2 o apache esta uma maravilha e o dns resolvendo nome para meudominio.com interno e externo. agora estou criando um mecanismo de autenticao do squid na base de dados openldap que esta no servidor01. quanto tento executar o comando abaixo o console fica pensando e pensando como se nao tivesse encontrado o servidor ldap. # squid_ldap_auth -v3 -ZZ -b ou=Users,dc=meudominio,dc=com -h 192.168.10.250 admuser admpasswd O squid está inicializando normalmente nao mostra erros nem quando executo o comando ... o abaixo as linhas do meu squid.conf referente a autenticacao no ldap. external_acl_type ldap_group %LOGIN /usr/sbin/squid_ldap_group -ZZ -b ou=Group,dc=meudominio,dc=com -f ((objectclass=posixGroup)(cn=%a)(member=%v)) -B ou=Users,dc=meudominio,dc=com -F uid=%s 192.168.10.250 389 acl password proxy_auth REQUIRED acl password_group external ldap_group #grupos# acl password_ external ldap_group #grupos# http_access allow password_group Sei que nao eh um caso comum mas preciso fazer meu squid autenticar na balse openldap que esta em outro servidor e apos isso ainda vou ter que fazer o postfix tambem ehhehee... mas isso eh outro assunto. Agradećo desde ja toda ajuda!!
Re: OpenLdap + Squid
2008/8/27 LITLE TUX [EMAIL PROTECTED] OK vou tentar meu caro... .. agora uma duvida. Alguem saberia me dizer se tem como fazer um by-pass entre o squid e o openldap... Ou seja quando o usuario logar no ldap automaticamente já setará as permissoes de acesso a internet no squid e não precisara se autenticar novamente isto eh possivel ??? O que você deseja é SSO, single sign on, o openldap não provê isso, use kerberos para controle de sessão. http://www.eduardosachs.org/mediawiki/index.php?title=Heimdal_Kerberos_%2B_Samba_PDC_%2B_OpenLDAP_%2B_Squid_no_Debian_Etch
Re: OpenLdap + Squid
Entao agora vem a seguinte questao . Devo instalar o kerberos ... no meu servidor ldap 01 ou no meu servidor squid02.. Pelo que entendi sobre o kerberos preciso instalar no servidor ldap corrija-me se eu estiver errado ! Grato On Wed, Aug 27, 2008 at 9:28 AM, Anderson Silva [EMAIL PROTECTED] wrote: 2008/8/27 LITLE TUX [EMAIL PROTECTED] OK vou tentar meu caro... .. agora uma duvida. Alguem saberia me dizer se tem como fazer um by-pass entre o squid e o openldap... Ou seja quando o usuario logar no ldap automaticamente já setará as permissoes de acesso a internet no squid e não precisara se autenticar novamente isto eh possivel ??? O que você deseja é SSO, single sign on, o openldap não provê isso, use kerberos para controle de sessão. http://www.eduardosachs.org/mediawiki/index.php?title=Heimdal_Kerberos_%2B_Samba_PDC_%2B_OpenLDAP_%2B_Squid_no_Debian_Etch
Re: OpenLdap + Squid
On Wed, Aug 27, 2008 at 5:06 PM, LITLE TUX [EMAIL PROTECTED]wrote: Entao agora vem a seguinte questao . Devo instalar o kerberos ... no meu servidor ldap 01 ou no meu servidor squid02.. Pelo que entendi sobre o kerberos preciso instalar no servidor ldap corrija-me se eu estiver errado ! O correto seria você ter um servidor somente para o kerberos (ou 2), ou ainda virtualizado. De qualquer modo, faz mais sentido (em termos de carga e segurança) colocar o kerberos compartilhando um servidor com o ldap.
Re: openLDAP + Squid + Samba
andres descalzo escribió: Buenas noches lista. necesito implementar un servidor con estas 3 herramientas, con terminales WinXP. lo que necesito es saber con cual de estos programas y si es que se puede con alguno de ellos, puedo darles politicas a los usuarios para que puedan hacer ciertas cosas en las terminales (como instalar programas). quizas la solución sea simplemente hacerlo PC x PC. pero queria consultarlo primero en la lista. gracias. andres :: Puedes ver lago que he hecho aquí: http://www.eldebianito.co.cc Si usas Gmail y no has cerrado bien la Sección es posible que te pida contraseña de Google, no se trata de Pishing sino que el sitio esta en pages.google.com la nueva API de google para webs sencillas... PD: se me fue al privado. Salu2 Alien! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: openLDAP + Squid + Samba
Alien Torres escribió: andres descalzo escribió: Buenas noches lista. necesito implementar un servidor con estas 3 herramientas, con terminales WinXP. lo que necesito es saber con cual de estos programas y si es que se puede con alguno de ellos, puedo darles politicas a los usuarios para que puedan hacer ciertas cosas en las terminales (como instalar programas). quizas la solución sea simplemente hacerlo PC x PC. pero queria consultarlo primero en la lista. gracias. andres :: Puedes ver lago que he hecho aquí: http://www.eldebianito.co.cc Si usas Gmail y no has cerrado bien la Sección es posible que te pida contraseña de Google, no se trata de Pishing sino que el sitio esta en pages.google.com la nueva API de google para webs sencillas... PD: se me fue al privado. Salu2 Alien! Gracias Alien. Leo la documentación y despues respondo como me fue. Saludos. Andrés. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP - Password Crypt
* Felipe Augusto van de Wiel (faw):* Então realmente seguro pode ser uma meta, *mas realmente* * seguro é desligar o computador. :-)* seguinte, um computador naum eh seguro nem desligado. 2 motivos: primeiro: ele pode ser roubado; segundo: Ja conversou com um ENGENHEIRO SOCIAL, se ele realmente for bom ele ainda faz tu ligar o computador. 2008/6/12 Felipe Augusto van de Wiel (faw) [EMAIL PROTECTED]: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 11-06-2008 13:01, Eduardo - Suporte Intranetworks wrote: Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o admin da base LDAP tendo acesso aos atributos de senha. Isso depende muito da sua definição de seguro. :-) Bom, caso for uma senha fraca, por sorte eu posso decifrar com uma comparação por dicionário. Neste caso, a fraqueza está na senha, não no hash. Eu sei que pode ser um pouco de viajem da minha parte, mas eu estou tentando achar algo realmente seguro para armazenar as senhas, estou dando uma estudada nessa parte de criptografia. Segurança não é um produto, é um processo. Costuma-se dizer que algo é seguro quando o custo para obter a informação através de métodos ilegítimos é maior que o valor da informação, mas essa é *uma* das percepções do conceito de segurança. Garanto que o hash de suas senhas não é o elo mais fraco no processo de segurança dos seus sistemas e/ou infra-estrutura de rede. Então realmente seguro pode ser uma meta, mas realmente seguro é desligar o computador. :-) Eu nunca tinha tentado descriptografar uma senha MD5, mas, para minha surpresa, eu consegui... :-( Essa eu *realmente* gostaria de saber como foi feito. MD5 é hash, isso quer dizer que ele foi desenhado pra não ter retorno, ou seja, é *muito* difícil obter a palavra por trás do hash, a menos que você esteja usando comparação por dicionário ou brute-force, o que é ligeiramente diferente já que você não obter a senha a partir do MD5 e sim através de comparações. Eu viajei legal nisso!! Eu estava usando uma comparação por dicionário para descobrir a senha, eu tinha feito alguns testes com senhas fracas, e depois que você falou isso, eu testei com uma senha **mais** complexa e realmente vi que estava usando um dicionário! Desculpe a minha ignoracia :-( :-) Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy (userPassword -- saslauthd -- Kerberos -- k5key), eu já fiz isso funcionar e funcionou muito bem, mas, eu lembrei que tem a senha do Samba e que não tem como fazer um proxy igual ao userPassword, mas eu acho que já ajuda UM pouquinho. Tem sim, tem um overlay no LDAP pra sincronizar a senha do kerberos e samba. Na verdade, o Andrew Bartlett fez um patch para o Heimdal Kerberos usar a senha do Samba (sambaNTPassword e sambaLMPassword) quando o usuário tiver o objectClass do Samba, assim sendo, não preciso do overlay. :-) As senhas do sambaNTPassword e sambaLMPassword usam hashes fracos (MD4), essa é uma forma de resolver, o Samba4 vai ter outra abordagem, e o overlay é ainda outra forma. Esse overlay só vai **sincronizar** as senhas, ele não vai dizer que o atributo sambaNTPassword e sambaLMPassword deve utilizar o atributo k5key para a autenticação, diferente do mecanismo de transporte do userPassword para o saslauthd (userPassword - saslauthd). Evitar o uso do saslauthd, sob certas circunstâncias pode ser visto como uma vantagem e não como uma desvantagem. Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIUKVRCjAO0JDlykYRAsZFAKCysfx1WmxwveY/F8KHjvtwViBC6gCeLsqC oM8B+23/CSFbdDYxXX8u7Uo= =rz0D -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP - Password Crypt
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Esse overlay só vai **sincronizar** as senhas, ele não vai dizer que o atributo sambaNTPassword e sambaLMPassword deve utilizar o atributo k5key para a autenticação, diferente do mecanismo de transporte do userPassword para o saslauthd (userPassword - saslauthd). Evitar o uso do saslauthd, sob certas circunstâncias pode ser visto como uma vantagem e não como uma desvantagem. Sim, mas esse método me ajudou MUITO em certos ambientes que eu precisei fazer esse transporte, não teve outra maneira a não ser as gambiarras :( Abraço, - -- Eduardo Sachs (51) 9262-3803 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIUXbuKB6+7l7CbHURAjsXAKCDztvvevAGPzKjhP7j08mV3wLMagCgqM0L TkZ7QlGro9C7HHqgKtAM8Hc= =sw+H -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP - Password Crypt
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 12-06-2008 08:43, Anderson Lima wrote: */ Felipe Augusto van de Wiel (faw):/* Então realmente seguro pode ser uma meta, *mas realmente* * seguro é desligar o computador. :-)* seguinte, um computador naum eh seguro nem desligado. 2 motivos: Eu sabia que alguém ia morder a isca. Essa é a velha história de trancar o cofre e jogar a chave no Tietê, alguém pode entrar no rio com uma roupa a prova de catástrofes nucleares e recuperar a chave (ou simplesmente contratar um chaveiro). Pra cada camada de segurança que você adicionar, um novo ponto de falha pode ser encontrado, para roubar algo é preciso ter acesso físico ao Data Center e aí entramos no ciclo do Cachorro que corre atrás do rabo. Como eu disse, segurança é um processo, não um produto; e como outros já disseram: There is no Silver Bullet. primeiro: ele pode ser roubado; Você pode usar criptografia de disco de três estágios com senhas de 64 caracteres pra cada estágio e combinação cíclica, a questão não era desligar ou não o computador, era uma brincadeira. segundo: Ja conversou com um ENGENHEIRO SOCIAL, se ele realmente for bom ele ainda faz tu ligar o computador. Aí ao invés de Engenheiro Social ele seria o Dom Corleone fazendo uma oferta que o sysadmin não poderia recusar. :-) Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIUdukCjAO0JDlykYRAiV2AJ0bSklWoigACS6LkBaRNgZ2WI3mHACgo8ut O33Td7d+2Gs4Gxo7D2+eOx0= =zYou -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP - Password Crypt
Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o admin da base LDAP tendo acesso aos atributos de senha. Isso depende muito da sua definição de "seguro". :-) Bom, caso for uma senha fraca, por sorte eu posso decifrar com uma comparação por dicionário. Eu sei que pode ser um pouco de viajem da minha parte, mas eu estou tentando achar algo realmente seguro para armazenar as senhas, estou dando uma estudada nessa parte de criptografia. Eu nunca tinha tentado descriptografar uma senha MD5, mas, para minha surpresa, eu consegui... :-( Essa eu *realmente* gostaria de saber como foi feito. MD5 é hash, isso quer dizer que ele foi desenhado pra não ter retorno, ou seja, é *muito* difícil obter a palavra por trás do hash, a menos que você esteja usando comparação por dicionário ou brute-force, o que é ligeiramente diferente já que você não obter a senha a partir do MD5 e sim através de comparações. Eu viajei legal nisso!! Eu estava usando uma comparação por dicionário para descobrir a senha, eu tinha feito alguns testes com senhas fracas, e depois que você falou isso, eu testei com uma senha *mais* complexa e realmente vi que estava usando um dicionário! Desculpe a minha ignoracia :-( Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy (userPassword -- saslauthd -- Kerberos -- k5key), eu já fiz isso funcionar e funcionou muito bem, mas, eu lembrei que tem a senha do Samba e que não tem como fazer um proxy igual ao userPassword, mas eu acho que já ajuda UM pouquinho. Tem sim, tem um overlay no LDAP pra sincronizar a senha do kerberos e samba. Na verdade, o Andrew Bartlett fez um patch para o Heimdal Kerberos usar a senha do Samba (sambaNTPassword e sambaLMPassword) quando o usuário tiver o objectClass do Samba, assim sendo, não preciso do overlay. :-) Esse overlay só vai *sincronizar* as senhas, ele não vai dizer que o atributo sambaNTPassword e sambaLMPassword deve utilizar o atributo k5key para a autenticação, diferente do mecanismo de transporte do userPassword para o saslauthd (userPassword - saslauthd). Eu vou precisar fazer alguns testes de performace sobre esse transporte, e sniffer para ver como é feito todo esse transporte de senha. Transporte é independente do hash usado. Você pode estar usando o hash ROT13, o ideal é ter criptografia no transporte, um item não afeta o outro, mas juntos eles aumentam a visão geral de segurança. Verdade, eu não tinha me dado conta. Nesse caso, estou pensando **somente** no algoritmo. Então a pergunta está mal colocada, os algoritmos de hash são matemáticos, o MD5 é bem superior ao MD4, há diferentes aspectos quando se lida com criptografia, pois os algoritmos tem diferentes propósitos, itens como mecanismo de transporte e tamanho de chave influenciam de forma direta nos algoritmos e técnicas usadas para criptografar e/ou fazer hash dos dados. Hummm... entendido! Eu vou fazer alguns testes com o {SHA} e verificar as compatibilidades. Foi provado que é possível obter dois hashes MD5 iguais a partir de duas fontes diferentes, mas elas são conjuntos específicos de dados e ainda não tem uso prático. Por isso, muita gente foi pro SHA1, ainda assim, o espaço é limitado e, portanto, é *teoricamente* possível encontrar dois conjuntos diferentes que gerem o mesmo hash (ainda que isso seja mais difícil), não é a toa que já há implementações de SHA256 e SHA512, pra tornar as interseções ainda mais difíceis de serem encontradas. Muito interresante :-) Abraço, Abraços! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP - Password Crypt
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 11-06-2008 13:01, Eduardo - Suporte Intranetworks wrote: Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o admin da base LDAP tendo acesso aos atributos de senha. Isso depende muito da sua definição de seguro. :-) Bom, caso for uma senha fraca, por sorte eu posso decifrar com uma comparação por dicionário. Neste caso, a fraqueza está na senha, não no hash. Eu sei que pode ser um pouco de viajem da minha parte, mas eu estou tentando achar algo realmente seguro para armazenar as senhas, estou dando uma estudada nessa parte de criptografia. Segurança não é um produto, é um processo. Costuma-se dizer que algo é seguro quando o custo para obter a informação através de métodos ilegítimos é maior que o valor da informação, mas essa é *uma* das percepções do conceito de segurança. Garanto que o hash de suas senhas não é o elo mais fraco no processo de segurança dos seus sistemas e/ou infra-estrutura de rede. Então realmente seguro pode ser uma meta, mas realmente seguro é desligar o computador. :-) Eu nunca tinha tentado descriptografar uma senha MD5, mas, para minha surpresa, eu consegui... :-( Essa eu *realmente* gostaria de saber como foi feito. MD5 é hash, isso quer dizer que ele foi desenhado pra não ter retorno, ou seja, é *muito* difícil obter a palavra por trás do hash, a menos que você esteja usando comparação por dicionário ou brute-force, o que é ligeiramente diferente já que você não obter a senha a partir do MD5 e sim através de comparações. Eu viajei legal nisso!! Eu estava usando uma comparação por dicionário para descobrir a senha, eu tinha feito alguns testes com senhas fracas, e depois que você falou isso, eu testei com uma senha **mais** complexa e realmente vi que estava usando um dicionário! Desculpe a minha ignoracia :-( :-) Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy (userPassword -- saslauthd -- Kerberos -- k5key), eu já fiz isso funcionar e funcionou muito bem, mas, eu lembrei que tem a senha do Samba e que não tem como fazer um proxy igual ao userPassword, mas eu acho que já ajuda UM pouquinho. Tem sim, tem um overlay no LDAP pra sincronizar a senha do kerberos e samba. Na verdade, o Andrew Bartlett fez um patch para o Heimdal Kerberos usar a senha do Samba (sambaNTPassword e sambaLMPassword) quando o usuário tiver o objectClass do Samba, assim sendo, não preciso do overlay. :-) As senhas do sambaNTPassword e sambaLMPassword usam hashes fracos (MD4), essa é uma forma de resolver, o Samba4 vai ter outra abordagem, e o overlay é ainda outra forma. Esse overlay só vai **sincronizar** as senhas, ele não vai dizer que o atributo sambaNTPassword e sambaLMPassword deve utilizar o atributo k5key para a autenticação, diferente do mecanismo de transporte do userPassword para o saslauthd (userPassword - saslauthd). Evitar o uso do saslauthd, sob certas circunstâncias pode ser visto como uma vantagem e não como uma desvantagem. Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFIUKVRCjAO0JDlykYRAsZFAKCysfx1WmxwveY/F8KHjvtwViBC6gCeLsqC oM8B+23/CSFbdDYxXX8u7Uo= =rz0D -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP - Password Crypt
Atenção para a pergunta valendo 300 mil reais. :-) Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o admin da base LDAP tendo acesso aos atributos de senha. Eu nunca tinha tentado descriptografar uma senha MD5, mas, para minha surpresa, eu consegui... :-( A resposta é "depende". Algumas documentações recomendam SSHA, em outros locais depende da biblioteca e da versão do LDAP, há algumas nuances e isso não costuma ser um "padrão" amplamente adotado/divulgado. Você vai ver que no passado (e em algumas RFCs) o campo armazenava senhas em texto simples. http://www.openldap.org/lists/openldap-devel/200203/msg00028.html Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy (userPassword -- saslauthd -- Kerberos -- k5key), eu já fiz isso funcionar e funcionou muito bem, mas, eu lembrei que tem a senha do Samba e que não tem como fazer um proxy igual ao userPassword, mas eu acho que já ajuda UM pouquinho. Eu vou precisar fazer alguns testes de performace sobre esse transporte, e sniffer para ver como é feito todo esse transporte de senha. Vejo seu cenário, compare os algoritmos e escolha. Se você pensar somente no algoritmo, SHA *ainda* não apresentou conflitos, ao contrário do MD5, mas é preciso verificar a implementação do OpenLDAP destes algoritmos e, em especial, verificar se outras ferramentas que manipular a base LDAP suportam todos os tipos de HASH. Nesse caso, estou pensando *somente* no algoritmo. Eu vou fazer alguns testes com o {SHA} e verificar as compatibilidades. Abraço, Abraços! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP - Password Crypt
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 10-06-2008 13:38, Eduardo - Suporte Intranetworks wrote: Atenção para a pergunta valendo 300 mil reais. :-) Pois é, hoje estou usando MD5 e acho inseguro, mesmo somente o admin da base LDAP tendo acesso aos atributos de senha. Isso depende muito da sua definição de seguro. :-) Eu nunca tinha tentado descriptografar uma senha MD5, mas, para minha surpresa, eu consegui... :-( Essa eu *realmente* gostaria de saber como foi feito. MD5 é hash, isso quer dizer que ele foi desenhado pra não ter retorno, ou seja, é *muito* difícil obter a palavra por trás do hash, a menos que você esteja usando comparação por dicionário ou brute-force, o que é ligeiramente diferente já que você não obter a senha a partir do MD5 e sim através de comparações. A resposta é depende. Algumas documentações recomendam SSHA, em outros locais depende da biblioteca e da versão do LDAP, há algumas nuances e isso não costuma ser um padrão amplamente adotado/divulgado. Você vai ver que no passado (e em algumas RFCs) o campo armazenava senhas em texto simples. http://www.openldap.org/lists/openldap-devel/200203/msg00028.html Eu pensei em usar o HASH {SASL} para autenticar usando o HASH do Kerberos (atributo k5key), assim sendo, fazendo um mecanismo de proxy (userPassword -- saslauthd -- Kerberos -- k5key), eu já fiz isso funcionar e funcionou muito bem, mas, eu lembrei que tem a senha do Samba e que não tem como fazer um proxy igual ao userPassword, mas eu acho que já ajuda UM pouquinho. Tem sim, tem um overlay no LDAP pra sincronizar a senha do kerberos e samba. Eu vou precisar fazer alguns testes de performace sobre esse transporte, e sniffer para ver como é feito todo esse transporte de senha. Transporte é independente do hash usado. Você pode estar usando o hash ROT13, o ideal é ter criptografia no transporte, um item não afeta o outro, mas juntos eles aumentam a visão geral de segurança. Vejo seu cenário, compare os algoritmos e escolha. Se você pensar somente no algoritmo, SHA *ainda* não apresentou conflitos, ao contrário do MD5, mas é preciso verificar a implementação do OpenLDAP destes algoritmos e, em especial, verificar se outras ferramentas que manipular a base LDAP suportam todos os tipos de HASH. Nesse caso, estou pensando **somente** no algoritmo. Então a pergunta está mal colocada, os algoritmos de hash são matemáticos, o MD5 é bem superior ao MD4, há diferentes aspectos quando se lida com criptografia, pois os algoritmos tem diferentes propósitos, itens como mecanismo de transporte e tamanho de chave influenciam de forma direta nos algoritmos e técnicas usadas para criptografar e/ou fazer hash dos dados. Eu vou fazer alguns testes com o {SHA} e verificar as compatibilidades. Foi provado que é possível obter dois hashes MD5 iguais a partir de duas fontes diferentes, mas elas são conjuntos específicos de dados e ainda não tem uso prático. Por isso, muita gente foi pro SHA1, ainda assim, o espaço é limitado e, portanto, é *teoricamente* possível encontrar dois conjuntos diferentes que gerem o mesmo hash (ainda que isso seja mais difícil), não é a toa que já há implementações de SHA256 e SHA512, pra tornar as interseções ainda mais difíceis de serem encontradas. Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFITyA4CjAO0JDlykYRAvd2AKCp5Fnxlx5t1vG1ZXt9TmuTyOe1DQCffgWF wjmO1WiBuideN4Du7HmWOlA= =3314 -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP - Password Crypt
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 09-06-2008 14:36, Eduardo - Suporte Intranetworks wrote: Senhores, Qual é o hash mais indicado para o userPassword? {SHA}, {SSHA}, {MD5}, {SMD5} ou {CRYPT}? Motivos? Atenção para a pergunta valendo 300 mil reais. :-) A resposta é depende. Algumas documentações recomendam SSHA, em outros locais depende da biblioteca e da versão do LDAP, há algumas nuances e isso não costuma ser um padrão amplamente adotado/divulgado. Você vai ver que no passado (e em algumas RFCs) o campo armazenava senhas em texto simples. http://www.openldap.org/lists/openldap-devel/200203/msg00028.html Vejo seu cenário, compare os algoritmos e escolha. Se você pensar somente no algoritmo, SHA *ainda* não apresentou conflitos, ao contrário do MD5, mas é preciso verificar a implementação do OpenLDAP destes algoritmos e, em especial, verificar se outras ferramentas que manipular a base LDAP suportam todos os tipos de HASH. Abraço, - -- Felipe Augusto van de Wiel (faw) Debian. Freedom to code. Code to freedom! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFITdQ9CjAO0JDlykYRAk2aAKCkZTA+rPe9P9HOBXqunO6Pf1rCBACeN8kn x7IYmHD3Gc2S2/YvM19XFX0= =NG2M -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP + Kerberos
El Jueves, 18 de Enero de 2007, Iñaki escribió: Hola, estoy tratando de documentarme sobre Kerberos para implementarlo con usuarios en OpenLDAP. Hasta ahora tengo un servidor OpenLDAP que contiene los usuarios y grupos y máquinas clientes configuradas con pam_ldap y demás. Sobre lo que he leído de Kerberos (aún me queda mucho) me entra una duda existencial: Se supone que usar Kerberos + LDAP implica que OpenLDAP se usa para almacenar simplemente datos de los usuarios y Kerberos para autenticación. Esto es muy bonito pero: - ¿Exige entonces esto que un mismo usuario debe existir como entrada en OpenLDAP así como principal en Kerberos? - Si es así ¿cómo llevar a cabo la administración de usuarios (crear, modificar, eliminar...) de forma sincronizada y coherente? - ¿O acaso hay que tirar irremediablemente de herramientas/scripts que atacan tanto a OpenLDAP como a Kerberos al mismo tiempo? Si es así vaya desilusión :( Por si a alguien le interesa, he estado investigando un poco estos temas y he encontrado un documento que explica más o menos la duda que tenía: http://its.ucsc.edu/idm/docs/mso2C57A.pdf Saludos. -- Iñaki Por el bien de todos respetemos las normas de la lista: http://wiki.debian.org/NormasLista
Re: OpenLDAP + Kerberos
El Miércoles, 17 de Enero de 2007 21:07, Iñaki escribió: Hola, estoy tratando de documentarme sobre Kerberos para implementarlo con usuarios en OpenLDAP. Hasta ahora tengo un servidor OpenLDAP que contiene los usuarios y grupos y máquinas clientes configuradas con pam_ldap y demás. Sobre lo que he leído de Kerberos (aún me queda mucho) me entra una duda existencial: Se supone que usar Kerberos + LDAP implica que OpenLDAP se usa para almacenar simplemente datos de los usuarios y Kerberos para autenticación. Esto es muy bonito pero: - ¿Exige entonces esto que un mismo usuario debe existir como entrada en OpenLDAP así como principal en Kerberos? - Si es así ¿cómo llevar a cabo la administración de usuarios (crear, modificar, eliminar...) de forma sincronizada y coherente? - ¿O acaso hay que tirar irremediablemente de herramientas/scripts que atacan tanto a OpenLDAP como a Kerberos al mismo tiempo? Si es así vaya desilusión :( Agradezco cualquier aclaración que me arroje algo de luz sobre el tema. Saludos y gracias de antemano. Aquí tenemos un entorno mixto de Kerberos y LDAP, y si, hay que usar scripts para sincronizar las contraseñas de Kerberos y LDAP, y cada usuario debe existir en LDAP y en K. La necesidad de separarlo surgió pues algunas aplicaciones legacy no hubo manera de hacerlas andar con Kerberos. Pero a pesar del pastiche, anda todo bastante bien. Saludos.- -- Federico Lazcano [EMAIL PROTECTED] +54 (341) 4802 568 im: [EMAIL PROTECTED] Área Tecnología Dirección General de Informática Municipalidad de Rosario pgpNbksvR1vJv.pgp Description: PGP signature
Re: OpenLDAP + Kerberos
El Jueves, 18 de Enero de 2007 18:50, Federico Lazcano escribió: El Miércoles, 17 de Enero de 2007 21:07, Iñaki escribió: Aquí tenemos un entorno mixto de Kerberos y LDAP, y si, hay que usar scripts para sincronizar las contraseñas de Kerberos y LDAP, y cada usuario debe existir en LDAP y en K. La necesidad de separarlo surgió pues algunas aplicaciones legacy no hubo manera de hacerlas andar con Kerberos. Gracias por aclararlo. No obstante sí me atrevo a sugerirte que existe la forma de que LDAP autentique los usuarios contra Kerberos, es decir, que una aplicación trate de hacer un bind en OpenLDAP y que el servidor OpenLDAP (de forma transparente) consulte el password a Kerberos, todo esto sin que el cliente siquiera soporte Kerberos. Para ello había que poner algo en el slapd.conf en plan: dn=cn=Nombre_Usuario,dc=GSSAPI (algo así, es como una excepción dentro de OpenLDAP). Saludos. -- Iñaki Por el bien de todos respetemos las normas de la lista: http://wiki.debian.org/NormasLista
Re: OpenLDAP et ldap-account-manager-1.1.0
Le 16/10/06, Saroumane[EMAIL PROTECTED] a écrit : Bonjour Bonjour. Maintenant, je souhaite installer le ldap-account-manager-1.1.0 un apt-get install a fait le bazard mais maintenant j'en fais koi ? Je coince un peu. Quel est le problème précisément ?
Re: OpenLDAP et ldap-account-manager-1.1.0
Stéphane L. a écrit : Quel est le problème précisément ? Bonjour J'ai pas tout expliqué ;-( Je n'arrive pas à y accéder (apache est installé). l'accès http arrive sur une page blanche titrée LDAP account manager. Je n'arrive pas à modifier ceci. N'hésitez pas à demander des compléments d'info merci @+ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP et ldap-account-manager-1.1.0
Le 16/10/06, Saroumane[EMAIL PROTECTED] a écrit : J'ai pas tout expliqué ;-( Je n'arrive pas à y accéder (apache est installé). l'accès http arrive sur une page blanche titrée LDAP account manager. Je n'arrive pas à modifier ceci. Je n'utilise ni LDAP ni LAM mais peut-être faut-il effectuer quelques configurations... Sur cette page http://lam.sourceforge.net/documentation/install.htm il est indiqué par exemple qu'il faut modifier un fichier config.cfg. Sinon, dans /usr/share/doc/, pour chaque paquet installé, il y a généralement un fichier README.debian qu'il peut être utile de consulter... Cdlt.
Re: Openldap et mots de passe (webmin en question subsidiaire)
Salut ,Pour changer le mot de passe de Christophe.Connecte toi en root et fais:passwd christopheNormalement il ne te demande pas ton ancien mot de passe.En ce qui concerne ldap regarde du côté de phpldapadmin il est vraiment pas mal. Il est dispo en package A+Le 29/06/06, Christophe BOURGEOIS [EMAIL PROTECTED] a écrit : Bonjour tout le monde,Depuis mon dernier message sur openldap, j'ai fais quelques progrès... Je crois... Mais j'ai toujours quelques problèmes. Mon serveur ldap est donc installé et, je pense, correctement configuré. J'arrive à ajouter des utilisateur avec ldapadd, j'arrive à faire une recherche avec ldapsearch (mais il faut que j'utilise le flag -b dc=mondomaine,dc=net, alors que dans une précédente tentative, ce n'était pas obligatoire). Quand je me connecte en root, j'arrive à faire un su sur l'utilisateur christophe qui est dans mon ldap. Par contre, je n'arrive pas à me connecter directement avec l'utilisateur christophe. Je pense que le mot de passe n'est pas bon. Du coup, je fais un su christophe et j'essaye de modifier le mot de passe avec passwd. Le problème est que qu'il me demande le mot de passe actuel, que je ne peux pas lui fournir (le serpent se mords la queue). J'ai essayé de rajouter un utilisateur sans mot de passe, mais j'ai le même problème. Est-ce que quelqu'un a une petite idée d'où peut se situer le problème, parce que je ne sais plus si il faut que je cherche au niveau d'openLdap, de pam, de nss. Question subsidiaire. Pensant que je comprendrais un peu mieux les choses avec une interface un peu plus 'user friendly', j'ai installé webmin et son module de gestion des utilisateurs ldap. Mais c'est encore pire... Je vois les utilisateurs et les groupes qui sont dans l'annuaire ldap. Je peux ajouter des groupes, mais pas des utilisateurs. Quand je veux rajouter un utilisateur, il me dit Failed to save user : sans autre explication. Autant dire que le fichier de log n'est pas plus verbeux (je crois que le message vient du script cgi/perl d'ajout d'un utilisateur). La encore est-ce que quelqu'un à une idée de ce qui se passe ?Si vous avez besoin des fichiers de config ou d'autres infos, n'hésitez pas à demander.Christophe.
Re: Openldap et mots de passe (webmin en question subsidiaire)
Bonjour Christophe BOURGEOIS wrote: Bonjour tout le monde, Depuis mon dernier message sur openldap, j'ai fais quelques progrès... Je crois... Mais j'ai toujours quelques problèmes. Mon serveur ldap est donc installé et, je pense, correctement configuré. J'arrive à ajouter des utilisateur avec ldapadd, j'arrive à faire une recherche avec ldapsearch (mais il faut que j'utilise le flag -b dc=mondomaine,dc=net, alors que dans une précédente tentative, ce n'était pas obligatoire). As tu défini une base par défaut ? Quand je me connecte en root, j'arrive à faire un su sur l'utilisateur christophe qui est dans mon ldap. Par contre, je n'arrive pas à me connecter directement avec l'utilisateur christophe. Je pense que le mot de passe n'est pas bon. Du coup, je fais un su christophe et j'essaye de modifier le mot de passe avec passwd. Le problème est que qu'il me demande le mot de passe actuel, que je ne peux pas lui fournir (le serpent se mords la queue). J'ai essayé de rajouter un utilisateur sans mot de passe, mais j'ai le même problème. Est-ce que quelqu'un a une petite idée d'où peut se situer le problème, parce que je ne sais plus si il faut que je cherche au niveau d'openLdap, de pam, de nss. Dans ton /etc/ldap.conf pam_password exop Question subsidiaire. Pensant que je comprendrais un peu mieux les choses avec une interface un peu plus 'user friendly', j'ai installé webmin et son module de gestion des utilisateurs ldap. Mais c'est encore pire... Je vois les utilisateurs et les groupes qui sont dans l'annuaire ldap. Je peux ajouter des groupes, mais pas des utilisateurs. Quand je veux rajouter un utilisateur, il me dit Failed to save user : sans autre explication. Autant dire que le fichier de log n'est pas plus verbeux (je crois que le message vient du script cgi/perl d'ajout d'un utilisateur). La encore est-ce que quelqu'un à une idée de ce qui se passe ? Si vous avez besoin des fichiers de config ou d'autres infos, n'hésitez pas à demander. Christophe. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Openldap et mots de passe (webmin en question subsidiaire)
et aussi peu etre password-hash {md5}dans ton slapd.conf Guy Christophe BOURGEOIS wrote: Bonjour tout le monde, Depuis mon dernier message sur openldap, j'ai fais quelques progrès... Je crois... Mais j'ai toujours quelques problèmes. Mon serveur ldap est donc installé et, je pense, correctement configuré. J'arrive à ajouter des utilisateur avec ldapadd, j'arrive à faire une recherche avec ldapsearch (mais il faut que j'utilise le flag -b dc=mondomaine,dc=net, alors que dans une précédente tentative, ce n'était pas obligatoire). Quand je me connecte en root, j'arrive à faire un su sur l'utilisateur christophe qui est dans mon ldap. Par contre, je n'arrive pas à me connecter directement avec l'utilisateur christophe. Je pense que le mot de passe n'est pas bon. Du coup, je fais un su christophe et j'essaye de modifier le mot de passe avec passwd. Le problème est que qu'il me demande le mot de passe actuel, que je ne peux pas lui fournir (le serpent se mords la queue). J'ai essayé de rajouter un utilisateur sans mot de passe, mais j'ai le même problème. Est-ce que quelqu'un a une petite idée d'où peut se situer le problème, parce que je ne sais plus si il faut que je cherche au niveau d'openLdap, de pam, de nss. Question subsidiaire. Pensant que je comprendrais un peu mieux les choses avec une interface un peu plus 'user friendly', j'ai installé webmin et son module de gestion des utilisateurs ldap. Mais c'est encore pire... Je vois les utilisateurs et les groupes qui sont dans l'annuaire ldap. Je peux ajouter des groupes, mais pas des utilisateurs. Quand je veux rajouter un utilisateur, il me dit Failed to save user : sans autre explication. Autant dire que le fichier de log n'est pas plus verbeux (je crois que le message vient du script cgi/perl d'ajout d'un utilisateur). La encore est-ce que quelqu'un à une idée de ce qui se passe ? Si vous avez besoin des fichiers de config ou d'autres infos, n'hésitez pas à demander. Christophe. -- Guy De Leeuw EDP Manager Eurofer ASBL 211, rue du noyer 1000, Bruxelles Belgium Phone : +32 (2) 738 79 40 Fax : +32 (2) 736 28 22 E-Mail : mailto:[EMAIL PROTECTED] www : http://www.eurofer.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Openldap et mots de passe (webmin en question subsidiaire)
De Leeuw Guy wrote: Bonjour Christophe BOURGEOIS wrote: Bonjour tout le monde, Depuis mon dernier message sur openldap, j'ai fais quelques progrès... Je crois... Mais j'ai toujours quelques problèmes. Mon serveur ldap est donc installé et, je pense, correctement configuré. J'arrive à ajouter des utilisateur avec ldapadd, j'arrive à faire une recherche avec ldapsearch (mais il faut que j'utilise le flag -b dc=mondomaine,dc=net, alors que dans une précédente tentative, ce n'était pas obligatoire). As tu défini une base par défaut ? Quand je me connecte en root, j'arrive à faire un su sur l'utilisateur christophe qui est dans mon ldap. Par contre, je n'arrive pas à me connecter directement avec l'utilisateur christophe. Je pense que le mot de passe n'est pas bon. Du coup, je fais un su christophe et j'essaye de modifier le mot de passe avec passwd. Le problème est que qu'il me demande le mot de passe actuel, que je ne peux pas lui fournir (le serpent se mords la queue). J'ai essayé de rajouter un utilisateur sans mot de passe, mais j'ai le même problème. Est-ce que quelqu'un a une petite idée d'où peut se situer le problème, parce que je ne sais plus si il faut que je cherche au niveau d'openLdap, de pam, de nss. Dans ton /etc/ldap.conf pam_password exop le pam_password exop se met dans /etc/pam_ldap.conf et pas dans ldap.conf ! Question subsidiaire. Pensant que je comprendrais un peu mieux les choses avec une interface un peu plus 'user friendly', j'ai installé webmin et son module de gestion des utilisateurs ldap. Mais c'est encore pire... Je vois les utilisateurs et les groupes qui sont dans l'annuaire ldap. Je peux ajouter des groupes, mais pas des utilisateurs. Quand je veux rajouter un utilisateur, il me dit Failed to save user : sans autre explication. Autant dire que le fichier de log n'est pas plus verbeux (je crois que le message vient du script cgi/perl d'ajout d'un utilisateur). La encore est-ce que quelqu'un à une idée de ce qui se passe ? Si vous avez besoin des fichiers de config ou d'autres infos, n'hésitez pas à demander. Christophe. A plus Guillaume -- Guillaume E-mail: silencer_at_free-4ever_dot_net Blog: http://guillaume.free-4ever.net --- Sites: http://www.free-4ever.net http://wiki.free-4ever.net -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Openldap et mots de passe (webmin en question subsidiaire)
le pam_password exop se met dans /etc/pam_ldap.conf et pas dans ldap.conf ! Possible, moi sur une redhat c'est /etc/ldap.conf Guy -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLdap et gestion centralisée des utilisateurs
Le Tuesday 23 May 2006 00:11, CONANGLE Frédéric(CONANGLE Frédéric [EMAIL PROTECTED]) a écrit: Bonjour, Bonjour, J'ai loupé le premier mail, je réponds là. Je ne connais pas grand chose. D'après ce que j'ai compris : Je cherche à installer openldap pour réaliser une gestion centralisée (et sécurisée) des utilisateurs de mon lan. J'ai vu de nombreux tutoriaux, mais tous tellement différents que je ne sais plus ce qui est essentiel de ce qui ne l'est pas : Dans le cas de l'installation d'un LDAP *propre*, il est important de définir le schéma *correctement* en fonction votre l'organigramme ; cela vous évitera de retoucher à l'essentiel à chaque fois vous voulez faire l'évoluer. Après pour la technique c'est simple. On trouve plein de tuto (plus ou moins complet sur le Net...). Pour revenir à LDAP, c'est une grosse (petite) base de données stockant l'ensemble d'informations sur un objet (login/password/groupe/clé privée etc... dans le cas d'un utilisateur) et utilisant une protocole définie pour les échanges avec le reste du monde ! sasl Encore une fois, d'après ce que *j'ai* *compris* : sasl se place entre l'application et le serveur LDAP. C'est une librairie qui permet de switcher le backend d'authentification sans toucher l'appli (un peu comme PAM) : Vous pouvez mettre en place par exemple un serveur Imap avec une authentification sasl : les logins/password peuvent être définis dans un fichier texte, puis si vous voulez passer à LDAP (ou une base mysql ou /etc/passwd), il faut juste modifier la config de SASL Du coup, c'est plus facile pour les développeurs : ils n'ont qu'à se baser sur des librairies (et ne s'occupent que du coeur de leur l'appli) et les admins. peuvent switcher le backend d'authentifcation de façon transparente! kerberos, etc... Kerberos est une solution tout en 1 : le permet de stocker les comptes/password des utilisateurs, fournit une API (GSSAPI?) permettant aux applis de déporter l'authentification et enfin, permet de faire du SSO. Et je ne comprends pas toujours comment les différentes briques s'imbriquent entre elles. En gros (je vais prendre le cas d'un domaine Windows. C'est pas le meilleur, mais, bon je *pense* IIS6 ne peut pas accèder à serveur LDAP autre qu'AD) - Les comptes utilisateurs/password/groups sont stockés dans l'AD (serveur LDAP à la sauce Microsoft). - Lorsque vous vous loggez sur le domaine, l'authentification se fait à travers un Kerberos(à la sauce Microsoft). Vous obtenez un token ! - Vous allez avec IE sur une application hébergée par un IIS qui est dans le même domaine AD, avec une authentification NTLM. Vous n'avez pas de retaper votre mot de passe. - Vos utilisateurs peuvent récupérer leur mails par Cyrus-IMPA qui peut attaquer AD (à travers de SASL) pour l'authentification! - Votre application APACHE/PHP peut utiliser AD à travers mod-auth-imap (ou le module ldap de php) pour s'autentifier ! 1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto), Heu... non, mais je suis preneur ! 2) qui explique ce qu'on fait et ne se contente pas de donner les apt-get qui vont bien (c'est mieux) ? Pour la mise en place d'un serveur LDAP, je pense qu'il y a une analyse fonctionnelle de votre organisation. Vous aurez du mal à trouvez un tuto sur ce point... J'espère que n'ai pas raconté trop de conneries... A+ -- Glennie D'abord ils vous ignorent, ensuite ils vous raillent, ensuite ils vous combattent et, enfin, vous gagnez pgpwf7hPLinZC.pgp Description: PGP signature
Re: OpenLdap et gestion centralisée des utilisateurs
Christophe BOURGEOIS wrote: Bonjour, Je cherche à installer openldap pour réaliser une gestion centralisée (et sécurisée) des utilisateurs de mon lan. J'ai vu de nombreux tutoriaux, mais tous tellement différents que je ne sais plus ce qui est essentiel de ce qui ne l'est pas : sasl, kerberos, etc... Et je ne comprends pas toujours comment les différentes briques s'imbriquent entre elles. 1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto), 2) qui explique ce qu'on fait et ne se contente pas de donner les apt-get qui vont bien (c'est mieux) ? a+, Christophe. J'ai le même problème, je suis preneur ... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLdap
El Miércoles, 10 de Mayo de 2006 16:12, Bismark Castilla Monzón escribió: Hola, he configurado Ldap, pero necesito una herramienta para manipular los usuarios que sea rapida para configurar y que me resulva por lo menos el trabajo basico, agregar usuario y eliminar usuario, alguien me recomienda 1? estuve tratando de instalar una version del phpldapadmin(la que trae testing) y me da un error: Your install of PHP appears to be missing LDAP support. Please install LDAP support before using phpLDAPadmin. (Dont forget to restart your web server afterwards) ya he instalado el soporte para phpldapadmin, no se porque ese error, pero bueno, si alguien me recomienda phpldapadmin, me dice donde puedo encontrar una documentacion para su configuracion? o me recomiendan otra herramienta mas sencilla? Gracias de Antemano Bismark Hombre, lo normal creo que es el phpldapadmin, nunca he tenido problema para instalarlo en Debian. No obstante otra opción es Luma, un programa en Qt que te permite básicamente lo mismo. No te puedo garantizar que funcione a la perfección porque apenas lo he usado, pero las pruebillas que hice con él no me dieron ningún error. -- intentando mejorar Konqueror: http://konqueror4.linuxdevel.net y si te gusta puedes votar:;) http://www.kde-look.org/content/show.php?content=36385
Re: OpenLdap
On 5/10/06, Bismark Castilla Monzón [EMAIL PROTECTED] wrote: Hola, he configurado Ldap, pero necesito una herramienta para manipular los usuarios que sea rapida para configurar y que me resulva por lo menos el trabajo basico, agregar usuario y eliminar usuario, alguien me recomienda 1? estuve tratando de instalar una version del phpldapadmin(la que trae testing) y me da un error: Your install of PHP appears to be missing LDAP support. Please install LDAP support before using phpLDAPadmin. (Dont forget to restart your web server afterwards) ya he instalado el soporte para phpldapadmin, no se porque ese error, pero bueno, si alguien me recomienda phpldapadmin, me dice donde puedo encontrar una documentacion para su configuracion? o me recomiendan otra herramienta mas sencilla? Gracias de Antemano Bismark para usar con entorno gráfico tienes gq (basado en gtk) y lat (para gnome). Yo utilizo el primero. saludos, diego -- ___Diego Martínez Castañeda _n1mh @ n1mh.org ___http://www.n1mh.org Trabaja como si no necesitaras el dinero. Ama como si nunca te hubieran herido. Baila como si nadie te estuviera mirando.
Re: OpenLdap
Bismark Castilla Monzón dijo: Hola, he configurado Ldap, pero necesito una herramienta para manipular los usuarios que sea rapida para configurar y que me resulva por lo menos el trabajo basico, agregar usuario y eliminar usuario, alguien me recomienda 1? estuve tratando de instalar una version del phpldapadmin(la que trae testing) y me da un error: Your install of PHP appears to be missing LDAP support. Please install LDAP support before using phpLDAPadmin. (Dont forget to restart your web server afterwards) ya he instalado el soporte para phpldapadmin, no se porque ese error, pero bueno, si alguien me recomienda phpldapadmin, me dice donde puedo encontrar una documentacion para su configuracion? o me recomiendan otra herramienta mas sencilla? Gracias de Antemano apt-get install luma :-) que lo disfrutes. Bismark -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLdap
On Wed, 2006-05-10 at 16:52 +0200, Carlos Luis Sánchez Bocanegra wrote: Bismark Castilla Monzón dijo: Hola, he configurado Ldap, pero necesito una herramienta para manipular los usuarios que sea rapida para configurar y que me resulva por lo menos el trabajo basico, agregar usuario y eliminar usuario, alguien me recomienda 1? estuve tratando de instalar una version del phpldapadmin(la que trae testing) y me da un error: Your install of PHP appears to be missing LDAP support. Please install LDAP support before using phpLDAPadmin. (Dont forget to restart your web server afterwards) ya he instalado el soporte para phpldapadmin, no se porque ese error, pero bueno, si alguien me recomienda phpldapadmin, me dice donde puedo encontrar una documentacion para su configuracion? o me recomiendan otra herramienta mas sencilla? Gracias de Antemano apt-get install luma :-) que lo disfrutes. si algo asi queria :) Bismark -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLdap
El Miércoles, 10 de Mayo de 2006 18:04, Bismark Castilla Monzón escribió: De los que han trabajado con OpenLdap, alguien tiene algun how to que haya hecho? algo rapido y preciso para sacar a uno de un apuro? gracias de antemano Hay abundante info en Google, un ejemplo: http://es.tldp.org/COMO-INSFLUG/COMOs/LDAP-Linux-Como/LDAP-Linux-Como.html -- intentando mejorar Konqueror: http://konqueror4.linuxdevel.net y si te gusta puedes votar:;) http://www.kde-look.org/content/show.php?content=36385
Re: OpenLdap
disculpa, pero quiero algo sencillo, eso ya lo vi, si me pongo a leer eso termino en 1 semana, y la verdad es que estiy corto de tiempo, a penas tengo horas :( On Wed, 2006-05-10 at 17:35 +0200, Iñaki wrote: El Miércoles, 10 de Mayo de 2006 18:04, Bismark Castilla Monzón escribió: De los que han trabajado con OpenLdap, alguien tiene algun how to que haya hecho? algo rapido y preciso para sacar a uno de un apuro? gracias de antemano Hay abundante info en Google, un ejemplo: http://es.tldp.org/COMO-INSFLUG/COMOs/LDAP-Linux-Como/LDAP-Linux-Como.html
Re: OpenLdap
El Miércoles, 10 de Mayo de 2006 19:06, Bismark Castilla Monzón escribió: disculpa, pero quiero algo sencillo, eso ya lo vi, si me pongo a leer eso termino en 1 semana, y la verdad es que estiy corto de tiempo, a penas tengo horas :( Sin Top-Posting, please ;) ¿Pero necesitas algo básico sobre LDAP o sobre OpenLDAP en Debian? On Wed, 2006-05-10 at 17:35 +0200, Iñaki wrote: El Miércoles, 10 de Mayo de 2006 18:04, Bismark Castilla Monzón escribió: De los que han trabajado con OpenLdap, alguien tiene algun how to que haya hecho? algo rapido y preciso para sacar a uno de un apuro? gracias de antemano Hay abundante info en Google, un ejemplo: http://es.tldp.org/COMO-INSFLUG/COMOs/LDAP-Linux-Como/LDAP-Linux-Como.htm l -- intentando mejorar Konqueror: http://konqueror4.linuxdevel.net y si te gusta puedes votar:;) http://www.kde-look.org/content/show.php?content=36385
Re: OpenLdap
El Miércoles, 10 de Mayo de 2006 19:15, Bismark Castilla Monzón escribió: On Wed, 2006-05-10 at 18:12 +0200, Iñaki wrote: El Miércoles, 10 de Mayo de 2006 19:06, Bismark Castilla Monzón escribió: disculpa, pero quiero algo sencillo, eso ya lo vi, si me pongo a leer eso termino en 1 semana, y la verdad es que estiy corto de tiempo, a penas tengo horas :( Sin Top-Posting, please ;) sorry :( Mejor a la lista todo ;) ¿Pero necesitas algo básico sobre LDAP o sobre OpenLDAP en Debian? instalación y configuración de Ldap ;) Aún te falta decir qué servidor LDAP pretendes instalar y configurar, pero lo normal es que sea OpenLDAP, así que tal vez te sirva esto: http://es.tldp.org/Tutoriales/doc-openldap-samba-cups-python/htmls/openldap-instalacion-pasos.html Y luego para administrarlo bien desde phpldapadmin o desde Luma tienes que loguearte como: cn=admin,dc=dominio,dc=com y la clave de administrador que te ha pedido durante la instalación. Y luego, por si te hace falta mirar atributos y esquemas de LDAP puedes consultarlos aquí: http://ldap.akbkhome.com/index.php On Wed, 2006-05-10 at 17:35 +0200, Iñaki wrote: El Miércoles, 10 de Mayo de 2006 18:04, Bismark Castilla Monzón escribió: De los que han trabajado con OpenLdap, alguien tiene algun how to que haya hecho? algo rapido y preciso para sacar a uno de un apuro? gracias de antemano Hay abundante info en Google, un ejemplo: http://es.tldp.org/COMO-INSFLUG/COMOs/LDAP-Linux-Como/LDAP-Linux-Como .htm l -- intentando mejorar Konqueror: http://konqueror4.linuxdevel.net y si te gusta puedes votar:;) http://www.kde-look.org/content/show.php?content=36385
Re: OpenLdap
On Wed, 2006-05-10 at 18:27 +0200, Iñaki wrote: El Miércoles, 10 de Mayo de 2006 19:15, Bismark Castilla Monzón escribió: On Wed, 2006-05-10 at 18:12 +0200, Iñaki wrote: El Miércoles, 10 de Mayo de 2006 19:06, Bismark Castilla Monzón escribió: disculpa, pero quiero algo sencillo, eso ya lo vi, si me pongo a leer eso termino en 1 semana, y la verdad es que estiy corto de tiempo, a penas tengo horas :( Sin Top-Posting, please ;) sorry :( Mejor a la lista todo ;) ¿Pero necesitas algo básico sobre LDAP o sobre OpenLDAP en Debian? instalación y configuración de Ldap ;) Aún te falta decir qué servidor LDAP pretendes instalar y configurar, pero lo normal es que sea OpenLDAP, así que tal vez te sirva esto: http://es.tldp.org/Tutoriales/doc-openldap-samba-cups-python/htmls/openldap-instalacion-pasos.html Y luego para administrarlo bien desde phpldapadmin o desde Luma tienes que loguearte como: cn=admin,dc=dominio,dc=com y la clave de administrador que te ha pedido durante la instalación. muchas gracias amigo :) me acabas de salvar jeje Y luego, por si te hace falta mirar atributos y esquemas de LDAP puedes consultarlos aquí: http://ldap.akbkhome.com/index.php On Wed, 2006-05-10 at 17:35 +0200, Iñaki wrote: El Miércoles, 10 de Mayo de 2006 18:04, Bismark Castilla Monzón escribió: De los que han trabajado con OpenLdap, alguien tiene algun how to que haya hecho? algo rapido y preciso para sacar a uno de un apuro? gracias de antemano Hay abundante info en Google, un ejemplo: http://es.tldp.org/COMO-INSFLUG/COMOs/LDAP-Linux-Como/LDAP-Linux-Como .htm l
Re: OpenLdap
El Miércoles, 10 de Mayo de 2006 19:44, Bismark Castilla Monzón escribió: Aún te falta decir qué servidor LDAP pretendes instalar y configurar, pero lo normal es que sea OpenLDAP, así que tal vez te sirva esto: http://es.tldp.org/Tutoriales/doc-openldap-samba-cups-python/htmls/openld ap-instalacion-pasos.html Y luego para administrarlo bien desde phpldapadmin o desde Luma tienes que loguearte como: cn=admin,dc=dominio,dc=com y la clave de administrador que te ha pedido durante la instalación. muchas gracias amigo :) me acabas de salvar jeje De nada, además he conseguido que no hagas Top-Posting, jeje. ¡Saludos! -- intentando mejorar Konqueror: http://konqueror4.linuxdevel.net y si te gusta puedes votar:;) http://www.kde-look.org/content/show.php?content=36385
Re: OpenLdap
El Miércoles, 10 de Mayo de 2006 19:57, Iñaki escribió: El Miércoles, 10 de Mayo de 2006 19:44, Bismark Castilla Monzón escribió: Aún te falta decir qué servidor LDAP pretendes instalar y configurar, pero lo normal es que sea OpenLDAP, así que tal vez te sirva esto: http://es.tldp.org/Tutoriales/doc-openldap-samba-cups-python/htmls/open ld ap-instalacion-pasos.html Y luego para administrarlo bien desde phpldapadmin o desde Luma tienes que loguearte como: cn=admin,dc=dominio,dc=com y la clave de administrador que te ha pedido durante la instalación. muchas gracias amigo :) me acabas de salvar jeje De nada, además he conseguido que no hagas Top-Posting, jeje. ¡Saludos! Añado una cosa: hay un problema reportado en Debian y consiste en el instaldor de OpenLDAP (slapd) que muchas veces guarda mal la contraseña del admin y no puedes loguearte. Es un problema reconocido y las veces que me ha pasado una forma de solucionarlo es hacer, las veces que haga falta, un dpkg-reconfigure slapd y volver a repetir el proceso comprobando si tras ello puedes loguearte con el password introducido en phpldapadmin o Luma. -- intentando mejorar Konqueror: http://konqueror4.linuxdevel.net y si te gusta puedes votar:;) http://www.kde-look.org/content/show.php?content=36385
Re: Openldap
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Fabio Mayoral wrote: Estou implementando um sistema com openldap, mas estou precisando de material para estudar pois nao entendo muito do assunto. To com o livro do O'Reilly mas nao eh muito bom. Ou se alguem souber de alguma lista ou forum tambem aceito. http://br.geocities.com/cesarakg/artigos.html#ldap - -- .''`. Caio Abreu Ferreira : :' : GNU/Linux Debian `. `'` fingerprint 0B5 0357 B80C E53C 5EF6 9D58 2D1B 0602 45E5 183A `- Key ID 0x45E5183A Linux Couter 327834 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2.2 (GNU/Linux) iD8DBQFEJmxrLRsGAkXlGDoRApJSAJ9kZJ+nwKBS1S8nGopl3UX4F3Q0TACeON0w MLTsMyrTFa5CnU7BgfYOWF8= =3Gcu -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Openldap
A lista eh esta[EMAIL PROTECTED]Acesso site http://www.ldap.org.br/FalouFabio Mayoral [EMAIL PROTECTED] escreveu: Estou implementando um sistema com openldap, mas estou precisando de material para estudar pois nao entendo muito do assunto. To com o livro do O'Reilly mas nao eh muito bom. Ou se alguem souber de alguma lista ou forum tambem aceito.valew-- To UNSUBSCRIBE, email to [EMAIL PROTECTED]with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]-- - -Claudio Rocha de Jesus|.|-|.| Analista de Suporte Tecnico - [EMAIL PROTECTED]--__Faça ligações para outros computadores com o novo Yahoo! Messenger http://br.beta.messenger.yahoo.com/
Re: Openldap
A Addison Wesley também tem alguns livros: LDAP Directories Explained Understanding and Deploying LDAP Directory Services http://aqua.subnet.at/~max/ldap/ http://www.nomis52.net/?section=docspage=samldap Mesmo que você não utilize o samba com o ldap (e apesar de um dos tutoriais ser um pouco antigo e no outro o autor não utilizar o smbldap-tools para inicializar a base, fazendo tudo na mão) esses tutoriais são muito bons. Edmundo. Fabio Mayoral escreveu: Estou implementando um sistema com openldap, mas estou precisando de material para estudar pois nao entendo muito do assunto. To com o livro do O'Reilly mas nao eh muito bom. Ou se alguem souber de alguma lista ou forum tambem aceito. valew -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: OpenLDAP et PostgreSQL: Bonne idée?
Bonjour, Regarde chez la samse, ils l'ont fait : http://www.samse.fr/GPL/ldap_samse/ Le lundi 23 janvier 2006 à 11:42 +0100, Jay Ar a écrit : Bonjour, voilà, j'ai un serveur LDAP qui utilise actuellement une base BDB. J'aimerais avoir un retour d'expérience sur LDAP+Postgresql, car depuis un moment, je pense à remplacer BDB par postgre, mais apparemment, ce n'est pas tout rose. quels sont les avantages de postgre sur bdb? le côté qui m'intéresse le plus est la robustesse et la performance. Merci pour vos réponses, Jay -- Nicolas Bocquet -- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez � rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Openldap mit SSL
Moin, Am Donnerstag, 27. Oktober 2005 19:53 schrieb Sven Hartge: ich versuche gerade OpenLdap einzurichten. Ohne SSL war das alles kein Problem. Die Gundkonfiguration hat meinen einfachen Bedürfnissen weitgehend entsprochen. Nur soll die Verbindung jedoch mit SSL/TLS abgesichert werden. Ohne weiterzulesen: Der OpenLDAP-Server mag keine Self-signed Zertifikate, d.h. du musst dir deine eigene CA erstellen und mit dem CA-Zertifikat dann das Server-Zertifikat signen. ich habe das Zertifikat jetzt erstellt, wie hier beschrieben: http://www.faveve.uni-stuttgart.de/it/auth/ldap-server.php und mein config sieht so aus: TLSCertificateFile /etc/ssl/certs/ldap.cert.pem TLSCertificateKeyFile /etc/ssl/private/ldap.key.pem TLSCACertificateFile /etc/ssl/CA/ca.cert.pem TLSVerifyClient never SLAPD_SERVICES=ldap:/// ldaps:/// Laut nmap sind die Ports auch offen: PORTSTATE SERVICE 22/tcp open ssh 80/tcp open http 389/tcp open ldap 636/tcp open ldapssl Laut ldapsearch habe ich aber immernoch ein Problem mit meinen Zertifikaten: # ldapsearch ldap_sasl_interactive_bind_s: No such attribute (16) sarge:~# ldapsearch -H ldaps://192.168.0.9 ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed Kann mir noch jemand einen Tip geben? Gruß Danke Volker
Re: Openldap mit SSL
Am Freitag, 28. Oktober 2005 12:53 schrieb Volker Katz: Am Donnerstag, 27. Oktober 2005 19:53 schrieb Sven Hartge: ich versuche gerade OpenLdap einzurichten. Ohne SSL war das alles kein Problem. Die Gundkonfiguration hat meinen einfachen Bedürfnissen weitgehend entsprochen. Nur soll die Verbindung jedoch mit SSL/TLS abgesichert werden. Ohne weiterzulesen: Der OpenLDAP-Server mag keine Self-signed Zertifikate, d.h. du musst dir deine eigene CA erstellen und mit dem CA-Zertifikat dann das Server-Zertifikat signen. ich habe das Zertifikat jetzt erstellt, wie hier beschrieben: http://www.faveve.uni-stuttgart.de/it/auth/ldap-server.php und mein config sieht so aus: TLSCertificateFile /etc/ssl/certs/ldap.cert.pem TLSCertificateKeyFile /etc/ssl/private/ldap.key.pem TLSCACertificateFile /etc/ssl/CA/ca.cert.pem TLSVerifyClient never SLAPD_SERVICES=ldap:/// ldaps:/// Laut nmap sind die Ports auch offen: [...] Ich habe noch etwas weiter herumprobiert. Nachdem ich in meiner /etc/ldap.conf nun folgendes eingetragen habe, scheint ldapsearch glücklicher zu sein: ldap.conf: TLS_CACERT /etc/ssl/certs/cacert.pem TLS_REQCERT demand # ldapsearch -H ldaps://192.168.0.9 ldap_sasl_interactive_bind_s: No such attribute (16) Auch der Test mit openssl sieht gut aus: # openssl s_client -connect localhost:636 -showcerts -state -CAfile /etc/ssl/CA/ca.cert.pem CONNECTED(0003) SSL_connect:before/connect initialization SSL_connect:SSLv2/v3 write client hello A SSL_connect:SSLv3 read server hello A ... SSL-Session: Protocol : TLSv1 Cipher: AES256-SHA Session-ID: 6B770947671ED8830CC1501550BD24C38F18D7B05B64AE24353D9E2622FC7031 Session-ID-ctx: Master-Key: CB2669464105A53D9742AA4376CF2DAC3E0213B7040240F5A574C04F871AD9E6B626596D21155D588E1E111D6DCF6202 Key-Arg : None Start Time: 1130499398 Timeout : 300 (sec) Verify return code: 0 (ok) Nun habe ich ldapsearch von einem anderen Rechner aus versucht: ldapsearch -H ldaps://192.168.0.9 ldap_bind: Can't contact LDAP server (81) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed Das mag ja so richtig sein. Müßte ich den Server jetzt nicht einfach in Kontakt eintragen können. Dies sollte mich dann nach dem Zertifikat fragen und sage, dass es ihm vertrauen soll? Von einem weiteren Rechner aus habe versucht eine Verbindung mit Thunderbird aufzubauen. Erst wurde ich gewarnt, dass das Server-Zertifikat u.U. nicht vertrauenswürdig ist - das habe ich natürlich akzeptiert. Dann wurde ich gewarnt, dass auch die CA nicht vertrauenswürdig ist. Hier hängt Thunderbird jetzt. Ich kann weder das Zertifikat ansehen, noch aktzeptieren. Es passiert schlicht gar nichts. Tja, jetzt weiß ich gar nicht mehr, ob es meiner Server- oder Clientkonfiguration liegt. Any hints? Gruß Danke Volker
Re: Openldap mit SSL
Volker Katz [EMAIL PROTECTED] wrote: # ldapsearch -H ldaps://192.168.0.9 ldap_sasl_interactive_bind_s: No such attribute (16) ldapsearch -x -H ... Nun habe ich ldapsearch von einem anderen Rechner aus versucht: ldapsearch -H ldaps://192.168.0.9 ldap_bind: Can't contact LDAP server (81) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed Das mag ja so richtig sein. Müßte ich den Server jetzt nicht einfach in Kontakt eintragen können. Dies sollte mich dann nach dem Zertifikat fragen und sage, dass es ihm vertrauen soll? Nein, das macht er nicht. Du musst auf jedem Server das CA-Zertifikat hinterlegen. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Openldap mit SSL
Moin, Am Freitag, 28. Oktober 2005 15:28 schrieb Sven Hartge: Volker Katz [EMAIL PROTECTED] wrote: # ldapsearch -H ldaps://192.168.0.9 ldap_sasl_interactive_bind_s: No such attribute (16) ldapsearch -x -H ... # ldapsearch -x -H ldaps://192.168.0.9 # extended LDIF # # LDAPv3 # base with scope sub # filter: (objectclass=*) # requesting: ALL # # search result search: 2 result: 32 No such object # numResponses: 1 Nun habe ich ldapsearch von einem anderen Rechner aus versucht: ldapsearch -H ldaps://192.168.0.9 ldap_bind: Can't contact LDAP server (81) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed Das mag ja so richtig sein. Müßte ich den Server jetzt nicht einfach in Kontakt eintragen können. Dies sollte mich dann nach dem Zertifikat fragen und sage, dass es ihm vertrauen soll? Nein, das macht er nicht. Du musst auf jedem Server das CA-Zertifikat hinterlegen. moment, das habe ich doch in der sldap.conf durch diesen Eintrag getan: TLSCACertificateFile /etc/ssl/CA/ca.cert.pem Nur habe ich den Eindruck, dass sich Kontact und Thunderbird daran verschlucken... Gruß Danke Volker
Re: Openldap mit SSL
Volker Katz [EMAIL PROTECTED] wrote: Am Freitag, 28. Oktober 2005 15:28 schrieb Sven Hartge: Volker Katz [EMAIL PROTECTED] wrote: # ldapsearch -H ldaps://192.168.0.9 ldap_sasl_interactive_bind_s: No such attribute (16) ldapsearch -x -H ... # ldapsearch -x -H ldaps://192.168.0.9 # extended LDIF # # LDAPv3 # base with scope sub # filter: (objectclass=*) # requesting: ALL # # search result search: 2 result: 32 No such object # numResponses: 1 Naja, wenn du keinen BaseDN angibst, dann kommt auch nichts zurück. Aber grundsätzlich funktioniert die Anfrage ja. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Openldap mit SSL
Moin, Am Freitag, 28. Oktober 2005 16:31 schrieb Sven Hartge: Volker Katz [EMAIL PROTECTED] wrote: Am Freitag, 28. Oktober 2005 15:28 schrieb Sven Hartge: Volker Katz [EMAIL PROTECTED] wrote: # ldapsearch -H ldaps://192.168.0.9 ldap_sasl_interactive_bind_s: No such attribute (16) ldapsearch -x -H ... # ldapsearch -x -H ldaps://192.168.0.9 # extended LDIF # # LDAPv3 # base with scope sub # filter: (objectclass=*) # requesting: ALL # # search result search: 2 result: 32 No such object # numResponses: 1 Naja, wenn du keinen BaseDN angibst, dann kommt auch nichts zurück. Aber grundsätzlich funktioniert die Anfrage ja. Ok, so sehe ich das eigentlich auch. Inzwischen habe ich auch mit Thunderbird erfolgreich eine Verbindung (per SSL) hinbekommen! Nur Kontact schafft es nur ohne SSL! Schon wenn ich den Knopf Server-Abfrage mit SSL betätige, bekomme die Meldung keine Verbindung. Ohne Sicherheit klappt es hingegegn. Ich werde auch nie gefragt, ob ich das Zertifikat akzeptieren möchte. Ist das ein Bug in Kontact? Gruß Danke Volker
Re: Openldap mit SSL
Volker Katz wrote: Moin, ich versuche gerade OpenLdap einzurichten. Ohne SSL war das alles kein Problem. Die Gundkonfiguration hat meinen einfachen Bedürfnissen weitgehend entsprochen. Nur soll die Verbindung jedoch mit SSL/TLS abgesichert werden. Dazu habe ich folgendes in meine sldap.conf eingetragen: TLSCipherSuite HIGH:MEDIUM:+SSLv2 CACertificateFile /etc/ldap/ssl/server.pem TLSCertificateFile /etc/ldap/ssl/server.pem TLSCertificateKeyFile /etc/ldap/ssl/server.pem TLSVerifyClient never Ich weiss zwar nicht, welche Version du verwendest, aber in der mir bekannten Version konnte slapd Zertifikat und Key in einem File nicht verdauen. Das sah dann z.B. so aus: TLSCertificateFile /etc/openldap/ssl/slave_CRT.pem TLSCertificateKeyFile /etc/openldap/ssl/slave_KEY.pem TLSCACertificateFile/etc/openldap//ssl/CA_Cert_CRT.pem server.pm habe ich vorher folgendermaßen erstellt: openssl req -newkey rsa:1024 -x509 -nodes -out server.pem -keyout server.pem -days 365 Anschließend habe ich noch die /etc/default/slapd bearbeitet und folgende Zeile hinzugefügt: SLAPD_SERVICES=ldap://127.0.0.1:389/ ldaps:/// Ohne jetzt eine Debian variante installiert zu haben: Man kann slapd auch per Commandline sagen, wo er binden soll, also im init-Script. Nun habe ich openldap natürlich neu gestartet und versucht mit Kontakt eine Verbindung herzustellen. Als Antwort habe ich folgendes bekommen: Keine Verbindung zu Rechner ldaps://192.168.0.9:636. Vor den Änderungen habe ich eine Verbindung zu ldap://192.168.0.9:389 herstellen können. Habt Ihr einen Tip für mich? Gruß Danke Volker Sehr hilfreich kann es auch sein, im syslog nach zu schaun. Ich empfehele ein 'loglevel 64'. Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Openldap mit SSL
Volker Katz [EMAIL PROTECTED] wrote: ich versuche gerade OpenLdap einzurichten. Ohne SSL war das alles kein Problem. Die Gundkonfiguration hat meinen einfachen Bedürfnissen weitgehend entsprochen. Nur soll die Verbindung jedoch mit SSL/TLS abgesichert werden. Ohne weiterzulesen: Der OpenLDAP-Server mag keine Self-signed Zertifikate, d.h. du musst dir deine eigene CA erstellen und mit dem CA-Zertifikat dann das Server-Zertifikat signen. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
AW: Re: openldap
Axso. Und wie entferne ich es nun wieder. Es zeigt bei remove ein fehler an. Vlad Vlad Vorobiev [EMAIL PROTECTED] wrote: Was bedeutet das gforge vor ldap-openldap? Das du nicht OpenLDAP installiert hast, sondern ein Sourceforge ähnliches Entwicklerportal bzw. die LDAP-Unterstützung dafür. Das Paket, das du suchst, heißt slapd. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: openldap
Vlad Vorobiev [EMAIL PROTECTED] wrote: Was bedeutet das gforge vor ldap-openldap? Das du nicht OpenLDAP installiert hast, sondern ein Sourceforge ähnliches Entwicklerportal bzw. die LDAP-Unterstützung dafür. Das Paket, das du suchst, heißt slapd. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: openldap et gq
GanGan a écrit : bonjour, J'essaye de créer une base ldap avec openldap sur ma debian testing pour l'attaquer avec le logiciel gq j'ai a peu pres tout configuré mais quand je lance le serveur il me renvoi le message d'erreur suivant SamiX:/# etc/init.d/slapd start Starting OpenLDAP: (db4.2_recover not found), slapd. qqu est assez costaud sur ldap pour me donner un ptit coup de main ? T'es sur qu'il ne démarre pas? essaye d'installer ce paquet : db4.2-util ta configurer tes bases en dbm?
Re: openldap et gq
GanGan a écrit : bonjour, Salut J'essaye de créer une base ldap avec openldap sur ma debian testing pour l'attaquer avec le logiciel gq j'ai a peu pres tout configuré mais quand je lance le serveur il me renvoi le message d'erreur suivant SamiX:/# etc/init.d/slapd start Starting OpenLDAP: (db4.2_recover not found), slapd. apt-get install db4.2-util qqu est assez costaud sur ldap pour me donner un ptit coup de main ? Sébastien -- Looking for open-xchange packages for debian sarge? Look at http://debian.gallet.info/search.do?config=htdigwords=mirror+open-xchange+org. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: openldap et gq
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 tu devrais peut etre installer apt-get install db4.2-util ??? GanGan wrote: bonjour, J'essaye de créer une base ldap avec openldap sur ma debian testing pour l'attaquer avec le logiciel gq j'ai a peu pres tout configuré mais quand je lance le serveur il me renvoi le message d'erreur suivant SamiX:/# etc/init.d/slapd start Starting OpenLDAP: (db4.2_recover not found), slapd. qqu est assez costaud sur ldap pour me donner un ptit coup de main ? - -- Boukhairi Abderahim INRA BIA -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.1 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFDQpRlmHJCr28QoB0RAvfWAJ0WMxLVI/YLLD/tkGi3I9aq5frYUwCgi7x8 JyrZxe5SP0R1aZxF9H+mbvQ= =appK -END PGP SIGNATURE- -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: openldap et gq
bon j'ai installé le paquet manquant plus d'erreur :) *honteux* en faite au debut de mon install il demarrait sans faire d'erreur et sans ce paquet j'ai bidouillé un peu et apres il l'a demandé :s qu'entend tu par configurer tes bases en dbm ? j'ai pas trouvé de bon tuto pour openldap je sais pas si il faut créer une base ou si un base existe de base (:p) j'ai vu qu'il y avait plusieurs commandes : slapadd slapd slapindex slaptest slapcat slapdn slappasswd mais je connais pas le role de toutes qqu aurai un ptit lien ou un ptit cour rapidos a me faire :p ? merci d'avance -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]