Re: [OT] Lebensdauer von ssl-Zertifikaten und openldap
Moin liebe Leute, eine kurze Verständnisfrage: Ich habe einige Zertifikate mit einer selbst ausgestellten CA signiert. Nun sehe ich gerade, dass die ausgestellten und signierten Zertifikate eine verbleibende Lebensdauer von noch mehr als einem Jahre haben, das Zertifikat der CA selbst aber demnächst abläuft. Die ldap-Clients sind so konfiguriert, dass sie mit Hilfe der cacert.pem der CA das Zertifikat des ldap-Servers prüfen. Welches Ablaufdatum ist jetzt für mich relevant: Das des signierten Zertifikats des ldap-Servers oder das des signierenden CA Zertifikats? Wäre Euch für einen erhellenden Tipp sehr dankbar, Steph. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Openldap mit SSL
Moin, Am Freitag, 28. Oktober 2005 16:31 schrieb Sven Hartge: > Volker Katz <[EMAIL PROTECTED]> wrote: > > Am Freitag, 28. Oktober 2005 15:28 schrieb Sven Hartge: > >> Volker Katz <[EMAIL PROTECTED]> wrote: > >>> # ldapsearch -H ldaps://192.168.0.9 > >>> ldap_sasl_interactive_bind_s: No such attribute (16) > >> > >> ldapsearch -x -H ... > > > > # ldapsearch -x -H ldaps://192.168.0.9 > > # extended LDIF > > # > > # LDAPv3 > > # base <> with scope sub > > # filter: (objectclass=*) > > # requesting: ALL > > # > > > > # search result > > search: 2 > > result: 32 No such object > > > > # numResponses: 1 > > Naja, wenn du keinen BaseDN angibst, dann kommt auch nichts zurück. Aber > grundsätzlich funktioniert die Anfrage ja. Ok, so sehe ich das eigentlich auch. Inzwischen habe ich auch mit Thunderbird erfolgreich eine Verbindung (per SSL) hinbekommen! Nur Kontact schafft es nur ohne SSL! Schon wenn ich den Knopf "Server-Abfrage" mit SSL betätige, bekomme die Meldung keine Verbindung. "Ohne Sicherheit" klappt es hingegegn. Ich werde auch nie gefragt, ob ich das Zertifikat akzeptieren möchte. Ist das ein Bug in Kontact? Gruß & Danke Volker
Re: Openldap mit SSL
Volker Katz <[EMAIL PROTECTED]> wrote: > Am Freitag, 28. Oktober 2005 15:28 schrieb Sven Hartge: >> Volker Katz <[EMAIL PROTECTED]> wrote: >>> # ldapsearch -H ldaps://192.168.0.9 >>> ldap_sasl_interactive_bind_s: No such attribute (16) >> ldapsearch -x -H ... > # ldapsearch -x -H ldaps://192.168.0.9 > # extended LDIF > # > # LDAPv3 > # base <> with scope sub > # filter: (objectclass=*) > # requesting: ALL > # > # search result > search: 2 > result: 32 No such object > # numResponses: 1 Naja, wenn du keinen BaseDN angibst, dann kommt auch nichts zurück. Aber grundsätzlich funktioniert die Anfrage ja. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Openldap mit SSL
Moin, Am Freitag, 28. Oktober 2005 15:28 schrieb Sven Hartge: > Volker Katz <[EMAIL PROTECTED]> wrote: > > # ldapsearch -H ldaps://192.168.0.9 > > ldap_sasl_interactive_bind_s: No such attribute (16) > > ldapsearch -x -H ... # ldapsearch -x -H ldaps://192.168.0.9 # extended LDIF # # LDAPv3 # base <> with scope sub # filter: (objectclass=*) # requesting: ALL # # search result search: 2 result: 32 No such object # numResponses: 1 > > Nun habe ich ldapsearch von einem anderen Rechner aus versucht: > > ldapsearch -H ldaps://192.168.0.9 > > ldap_bind: Can't contact LDAP server (81) > >additional info: error:14090086:SSL > > routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed > > > > Das mag ja so richtig sein. Müßte ich den Server jetzt nicht einfach in > > Kontakt eintragen können. Dies sollte mich dann nach dem Zertifikat > > fragen und sage, dass es ihm vertrauen soll? > > Nein, das macht er nicht. Du musst auf jedem Server das CA-Zertifikat > hinterlegen. moment, das habe ich doch in der sldap.conf durch diesen Eintrag getan: TLSCACertificateFile /etc/ssl/CA/ca.cert.pem Nur habe ich den Eindruck, dass sich Kontact und Thunderbird daran verschlucken... Gruß & Danke Volker
Re: Openldap mit SSL
Volker Katz <[EMAIL PROTECTED]> wrote: > # ldapsearch -H ldaps://192.168.0.9 > ldap_sasl_interactive_bind_s: No such attribute (16) ldapsearch -x -H ... > Nun habe ich ldapsearch von einem anderen Rechner aus versucht: > ldapsearch -H ldaps://192.168.0.9 > ldap_bind: Can't contact LDAP server (81) >additional info: error:14090086:SSL > routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed > Das mag ja so richtig sein. Müßte ich den Server jetzt nicht einfach in > Kontakt eintragen können. Dies sollte mich dann nach dem Zertifikat fragen > und sage, dass es ihm vertrauen soll? Nein, das macht er nicht. Du musst auf jedem Server das CA-Zertifikat hinterlegen. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Openldap mit SSL
Am Freitag, 28. Oktober 2005 12:53 schrieb Volker Katz: > Am Donnerstag, 27. Oktober 2005 19:53 schrieb Sven Hartge: > > > ich versuche gerade OpenLdap einzurichten. Ohne SSL war das alles kein > > > Problem. Die Gundkonfiguration hat meinen einfachen Bedürfnissen > > > weitgehend entsprochen. Nur soll die Verbindung jedoch mit SSL/TLS > > > abgesichert werden. > > > > Ohne weiterzulesen: Der OpenLDAP-Server mag keine Self-signed > > Zertifikate, d.h. du musst dir deine eigene CA erstellen und mit dem > > CA-Zertifikat dann das Server-Zertifikat signen. > > ich habe das Zertifikat jetzt erstellt, wie hier beschrieben: > http://www.faveve.uni-stuttgart.de/it/auth/ldap-server.php > > und mein config sieht so aus: > TLSCertificateFile /etc/ssl/certs/ldap.cert.pem > TLSCertificateKeyFile /etc/ssl/private/ldap.key.pem > TLSCACertificateFile /etc/ssl/CA/ca.cert.pem > TLSVerifyClient never > > SLAPD_SERVICES="ldap:/// ldaps:///" > > Laut nmap sind die Ports auch offen: [...] Ich habe noch etwas weiter herumprobiert. Nachdem ich in meiner /etc/ldap.conf nun folgendes eingetragen habe, scheint ldapsearch glücklicher zu sein: ldap.conf: TLS_CACERT /etc/ssl/certs/cacert.pem TLS_REQCERT demand # ldapsearch -H ldaps://192.168.0.9 ldap_sasl_interactive_bind_s: No such attribute (16) Auch der Test mit openssl sieht gut aus: # openssl s_client -connect localhost:636 -showcerts -state -CAfile /etc/ssl/CA/ca.cert.pem CONNECTED(0003) SSL_connect:before/connect initialization SSL_connect:SSLv2/v3 write client hello A SSL_connect:SSLv3 read server hello A ... SSL-Session: Protocol : TLSv1 Cipher: AES256-SHA Session-ID: 6B770947671ED8830CC1501550BD24C38F18D7B05B64AE24353D9E2622FC7031 Session-ID-ctx: Master-Key: CB2669464105A53D9742AA4376CF2DAC3E0213B7040240F5A574C04F871AD9E6B626596D21155D588E1E111D6DCF6202 Key-Arg : None Start Time: 1130499398 Timeout : 300 (sec) Verify return code: 0 (ok) Nun habe ich ldapsearch von einem anderen Rechner aus versucht: ldapsearch -H ldaps://192.168.0.9 ldap_bind: Can't contact LDAP server (81) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed Das mag ja so richtig sein. Müßte ich den Server jetzt nicht einfach in Kontakt eintragen können. Dies sollte mich dann nach dem Zertifikat fragen und sage, dass es ihm vertrauen soll? Von einem weiteren Rechner aus habe versucht eine Verbindung mit Thunderbird aufzubauen. Erst wurde ich gewarnt, dass das Server-Zertifikat u.U. nicht vertrauenswürdig ist - das habe ich natürlich akzeptiert. Dann wurde ich gewarnt, dass auch die CA nicht vertrauenswürdig ist. Hier hängt Thunderbird jetzt. Ich kann weder das Zertifikat ansehen, noch aktzeptieren. Es passiert schlicht gar nichts. Tja, jetzt weiß ich gar nicht mehr, ob es meiner Server- oder Clientkonfiguration liegt. Any hints? Gruß & Danke Volker
Re: Openldap mit SSL
Moin, Am Donnerstag, 27. Oktober 2005 19:53 schrieb Sven Hartge: > > ich versuche gerade OpenLdap einzurichten. Ohne SSL war das alles kein > > Problem. Die Gundkonfiguration hat meinen einfachen Bedürfnissen > > weitgehend entsprochen. Nur soll die Verbindung jedoch mit SSL/TLS > > abgesichert werden. > > Ohne weiterzulesen: Der OpenLDAP-Server mag keine Self-signed > Zertifikate, d.h. du musst dir deine eigene CA erstellen und mit dem > CA-Zertifikat dann das Server-Zertifikat signen. ich habe das Zertifikat jetzt erstellt, wie hier beschrieben: http://www.faveve.uni-stuttgart.de/it/auth/ldap-server.php und mein config sieht so aus: TLSCertificateFile /etc/ssl/certs/ldap.cert.pem TLSCertificateKeyFile /etc/ssl/private/ldap.key.pem TLSCACertificateFile /etc/ssl/CA/ca.cert.pem TLSVerifyClient never SLAPD_SERVICES="ldap:/// ldaps:///" Laut nmap sind die Ports auch offen: PORTSTATE SERVICE 22/tcp open ssh 80/tcp open http 389/tcp open ldap 636/tcp open ldapssl Laut ldapsearch habe ich aber immernoch ein Problem mit meinen Zertifikaten: # ldapsearch ldap_sasl_interactive_bind_s: No such attribute (16) sarge:~# ldapsearch -H ldaps://192.168.0.9 ldap_sasl_interactive_bind_s: Can't contact LDAP server (-1) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed Kann mir noch jemand einen Tip geben? Gruß & Danke Volker
Re: Openldap mit SSL
Volker Katz <[EMAIL PROTECTED]> wrote: > ich versuche gerade OpenLdap einzurichten. Ohne SSL war das alles kein > Problem. Die Gundkonfiguration hat meinen einfachen Bedürfnissen weitgehend > entsprochen. Nur soll die Verbindung jedoch mit SSL/TLS abgesichert werden. Ohne weiterzulesen: Der OpenLDAP-Server mag keine Self-signed Zertifikate, d.h. du musst dir deine eigene CA erstellen und mit dem CA-Zertifikat dann das Server-Zertifikat signen. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Openldap mit SSL
Volker Katz wrote: Moin, ich versuche gerade OpenLdap einzurichten. Ohne SSL war das alles kein Problem. Die Gundkonfiguration hat meinen einfachen Bedürfnissen weitgehend entsprochen. Nur soll die Verbindung jedoch mit SSL/TLS abgesichert werden. Dazu habe ich folgendes in meine sldap.conf eingetragen: TLSCipherSuite HIGH:MEDIUM:+SSLv2 CACertificateFile /etc/ldap/ssl/server.pem TLSCertificateFile /etc/ldap/ssl/server.pem TLSCertificateKeyFile /etc/ldap/ssl/server.pem TLSVerifyClient never Ich weiss zwar nicht, welche Version du verwendest, aber in der mir bekannten Version konnte slapd Zertifikat und Key in einem File nicht verdauen. Das sah dann z.B. so aus: TLSCertificateFile /etc/openldap/ssl/slave_CRT.pem TLSCertificateKeyFile /etc/openldap/ssl/slave_KEY.pem TLSCACertificateFile/etc/openldap//ssl/CA_Cert_CRT.pem server.pm habe ich vorher folgendermaßen erstellt: openssl req -newkey rsa:1024 -x509 -nodes -out server.pem -keyout server.pem -days 365 Anschließend habe ich noch die /etc/default/slapd bearbeitet und folgende Zeile hinzugefügt: SLAPD_SERVICES="ldap://127.0.0.1:389/ ldaps:///" Ohne jetzt eine Debian variante installiert zu haben: Man kann slapd auch per Commandline sagen, wo er binden soll, also im init-Script. Nun habe ich openldap natürlich neu gestartet und versucht mit Kontakt eine Verbindung herzustellen. Als Antwort habe ich folgendes bekommen: Keine Verbindung zu Rechner ldaps://192.168.0.9:636. Vor den Änderungen habe ich eine Verbindung zu ldap://192.168.0.9:389 herstellen können. Habt Ihr einen Tip für mich? Gruß & Danke Volker Sehr hilfreich kann es auch sein, im syslog nach zu schaun. Ich empfehele ein 'loglevel 64'. Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Openldap mit SSL
Moin, ich versuche gerade OpenLdap einzurichten. Ohne SSL war das alles kein Problem. Die Gundkonfiguration hat meinen einfachen Bedürfnissen weitgehend entsprochen. Nur soll die Verbindung jedoch mit SSL/TLS abgesichert werden. Dazu habe ich folgendes in meine sldap.conf eingetragen: TLSCipherSuite HIGH:MEDIUM:+SSLv2 CACertificateFile /etc/ldap/ssl/server.pem TLSCertificateFile /etc/ldap/ssl/server.pem TLSCertificateKeyFile /etc/ldap/ssl/server.pem TLSVerifyClient never server.pm habe ich vorher folgendermaßen erstellt: openssl req -newkey rsa:1024 -x509 -nodes -out server.pem -keyout server.pem -days 365 Anschließend habe ich noch die /etc/default/slapd bearbeitet und folgende Zeile hinzugefügt: SLAPD_SERVICES="ldap://127.0.0.1:389/ ldaps:///" Nun habe ich openldap natürlich neu gestartet und versucht mit Kontakt eine Verbindung herzustellen. Als Antwort habe ich folgendes bekommen: Keine Verbindung zu Rechner ldaps://192.168.0.9:636. Vor den Änderungen habe ich eine Verbindung zu ldap://192.168.0.9:389 herstellen können. Habt Ihr einen Tip für mich? Gruß & Danke Volker
AW: Re: openldap
Axso. Und wie entferne ich es nun wieder. Es zeigt bei remove ein fehler an. Vlad > >Vlad Vorobiev <[EMAIL PROTECTED]> wrote: > >> Was bedeutet das gforge vor ldap-openldap? > >Das du nicht OpenLDAP installiert hast, sondern ein Sourceforge >ähnliches Entwicklerportal bzw. die LDAP-Unterstützung dafür. > >Das Paket, das du suchst, heißt "slapd". > >S° > >-- >Sven Hartge -- professioneller Unix-Geek >Meine Gedanken im Netz: http://sven.formvision.de/blog/ > > >-- >Haeufig gestellte Fragen und Antworten (FAQ): >http://www.de.debian.org/debian-user-german-FAQ/ > >Zum AUSTRAGEN schicken Sie eine Mail an >[EMAIL PROTECTED] >mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] >(engl) >
Re: openldap
Vlad Vorobiev <[EMAIL PROTECTED]> wrote: > Was bedeutet das gforge vor ldap-openldap? Das du nicht OpenLDAP installiert hast, sondern ein Sourceforge ähnliches Entwicklerportal bzw. die LDAP-Unterstützung dafür. Das Paket, das du suchst, heißt "slapd". S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
openldap
Hallo, ich versuche openLDAP zu instalieren. Hat jemand erfahrung mit dem Debian-Packet? bei der Installation gabs die gleiche Fehlermeldung. Also ich kann ihn ihrgend wie nicht mal mehr entfernen. Sarge:~# apt-get remove gforge-ldap-openldap Paketlisten werden gelesen... Fertig Abh�gigkeitsbaum wird aufgebaut... Fertig Die folgenden Pakete werden ENTFERNT: gforge-ldap-openldap 0 aktualisiert, 0 neu installiert, 1 zu entfernen und 0 nicht aktualisiert. Es mssen 0B Archive geholt werden. Nach dem Auspacken werden 295kB Plattenplatz freigegeben sein. M�hten Sie fortfahren? [J/n] j (Lese Datenbank ... 23918 Dateien und Verzeichnisse sind derzeit installiert.) Entferne gforge-ldap-openldap ... # Next lines added by GForge install # End of gforge add Replacing file /etc/libnss-ldap.conf with changed version Replacing file /etc/nsswitch.conf with changed version Replacing file /etc/ldap/slapd.conf with changed version dpkg: Fehler beim Bearbeiten von gforge-ldap-openldap (--remove): Unterprozess pre-removal script gab den Fehlerwert 5 zurck Fehler traten auf beim Bearbeiten von: gforge-ldap-openldap E: Sub-process /usr/bin/dpkg returned an error code (1) Sarge:~# Was könnte ich nun machen? Was bedeutet das gforge vor ldap-openldap? Grüsse Vladislav -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenLDAP und Authentifizierung mittels PAM
Problem gelöst!!! Das Problem war unter Punkt 9 verborgen. Beim nächsten mal sollte ich vielleicht doch alle Konfigurationseinstellungen wiedergeben. ;-) Der Fehler: --- Ich habe die Einstellungen die ich beim Konfigurieren von Debian bekommen habe nur unzureichend abgeändert. Während ich somit in meinem OpenLDAP einen Administrator namens admin hatte, "wollte" ich PAM_LDAP mit einem manager machen. Im Klartext: TEIL meines Directory Information Tree # admin, fun dn: cn=admin,dc=fun objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP administrator TEIL meiner "/etc/pam_ldap.conf" Datei: # The distinguished name to bind to the server with # if the effective user ID is root. Password is # stored in /etc/ldap.secret (mode 600) # rootbinddn cn=manager,dc=fun rootbinddn cn=admin,dc=fun HINWEIS: Der falsche Eintrag (rootbinddn cn=manager,dc=fun) ist bereits auskommentiert. :-) Meine "/etc/libnss-ldap.conf" Datei hat jetzt auch den gleichen Eintrag. Kann aber leider nicht mehr sagen der falsche Eintrag Teil meines Probierens oder Teil der falschen Konfiguration war. PAM mit OpenLDAP funktioniert jetzt jedenfalls auf einfachem Niveau. Danke für alle Unterstützung. Insbesondere auch Dank an Thorsten Reichelt für die Links auf die beiden PDF Dateien. Das erste Dokument ist absolut lesenswert. Das zweite muss ich noch durchsehen. *gg* Ganz wichtig war auch die E-Mail von Markus Schulz. Durch diese E-Mail bin ich erst auf den Fehler gestoßen. Beste Grüße an alle Leser, Leonhard. PS: Bin erst heute wieder dazu gekommen weiter zu probieren. Am Montag, 26. September 2005 23:14 schrieb Mag. Leonhard Landrock: > Hallo beisammen! > > Ich versuche mich gerade mit OpenLDAP. Mein Ziel ist > Benutzauthentifizierung unter Linux (Debian GNU/Linux 3.1 Sarge) und > (später) SAMBA. > > Was bisher geschah: > === > > 1.) libldap-2.2-7 installieren > 2.) libpam-ldap installieren > 3.) ldap-utils installieren > 4.) libnss-ldap installieren > 5.) ldap-server installieren - virtuell (-> slapd 2.2.23-8) > 6.) Basiskonfiguration von slapd (über das Installationsmenü) > 6a.) DNS domain name = fun > 6b.) Name of your organization = fun > 6c.) Admin passwort = ldapadmin > 6d.) Confirm password = ldapadmin > 6e.) Allow LDAPv2 protocol? => > 6f.) LDAP Server host = 127.0.0.1 > 7.) Erweiterte Konfiguration von slapd > /etc/ldap/slapd.conf => Eintrag für "misc.schema" hinzufügen. > 8.) Konfiguriere libnss-ldap > 9.) Konfiguriere libpam-ldap > 10.) Configuring name lookup > Edit "/etc/nsswitch.conf" => > passwd: ldap compat > group: ldap compat > shadow: ldap compat > 11.) Configuring PAM > 11a.) Edit "/etc/pam.d/common-account" => > account sufficient pam_ldap.so > account requiredpam_unix.so try_first_pass > 11b.) Edit "/etc/pam.d/common-auth" => > authsufficient pam_ldap.so nullok_secure > authrequiredpam_unix.so nullok_secure > use_first_pass 11c.) Edit "/etc/pam.d/common-password" => > passwordsufficient pam_ldap.so nullok obscure min=4 max=8 > md5 passwordrequiredpam_unix.so nullok obscure min=4 > max=8 md5 use_first_pass > 12.) LDIF-Datei erzeugen und einspielen
Re: OpenLDAP und Authentifizierung mittels PAM
On Fri, Sep 30, 2005 at 02:32:00PM +0200, Thorsten Reichelt wrote: > http://www.shinji.de.ms/docs/download/Studienarbeit_-_LDAP.pdf (1MB) > http://www.shinji.de.ms/docs/download/LDAP-Samba3_und_Debian.pdf (550kB) Die funktionieren beide nicht, diese aber: http://www.fachschaft-nt.de/~javert/docs/download/LDAP-Samba3_und_Debian.pdf http://www.fachschaft-nt.de/~javert/docs/download/Studienarbeit_-_LDAP.pdf Gruss, Uwe -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenLDAP und Authentifizierung mittels PAM
Hi! Oder du kannst ja auch mal hier reinschauen: http://www.shinji.de.ms/docs/download/Studienarbeit_-_LDAP.pdf (1MB) http://www.shinji.de.ms/docs/download/LDAP-Samba3_und_Debian.pdf (550kB) Wobei im ersten Dokument noch was über das Protokoll usw. steht. Gruß Thorsten -- 5 GB Mailbox, 50 FreeSMS http://www.gmx.net/de/go/promail +++ GMX - die erste Adresse für Mail, Message, More +++ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenLDAP und Authentifizierung mittels PAM
Moin, On 26.09.2005 23:14, Mag. Leonhard Landrock wrote: > [ldap und PAM] schau mal hier: > http://wiki.splitbrain.org/ldap damit habe ich es damals ganz gut hinbekommen HTH Christian -- To reply to this posting directly use the following address and remove the 'NO-SPAM' part: [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenLDAP und Authentifizierung mittels PAM
Am Montag, 26. September 2005 23:14 schrieb Mag. Leonhard Landrock: > Hallo beisammen! > > Ich versuche mich gerade mit OpenLDAP. Mein Ziel ist > Benutzauthentifizierung unter Linux (Debian GNU/Linux 3.1 Sarge) und > (später) SAMBA. [...] > 7.) Erweiterte Konfiguration von slapd > /etc/ldap/slapd.conf => Eintrag für "misc.schema" hinzufügen. > 8.) Konfiguriere libnss-ldap > 9.) Konfiguriere libpam-ldap hierfür brauchst du imho eine rootbinddn Einstellung in der /etc/pam_ldap.conf denn spätestens beim Passwort Wechsel durch root muss pam als ldap-Root Zugriff auf das Ldap haben. Für das reine Authorisieren ist's eigentlich nicht notwendig. z.B. rootbinddn cn=admin,dc=example,dc=org Kommentare dazu (und wo das Passwort hin muss) stehen in der Bsp. Conf. Ich habe die root-dn übrigens sowohl in /etc/ldap/ldap.conf /etc/pam_ldap.conf /etc/libnss-ldap.conf festgelegt, wobei libnss-ldap wohl unnötig, weil nie gebraucht, ist. ldap.conf ist dann später für die Samba Werkzeuge (und wer sonst noch ldap incl. ldap-root access verwenden soll) notwendig. Desweiteren fallen mir noch die Zugriffsrechte auf das Passwort Attribut im LDAP ein und ich vermute hier liegt auch der Hund begraben. Wie sieht denn die Einstellung dazu in /etc/ldap/slapd.conf aus? sollte in etwas so aussehen:(wenn deine Attribute im LDAP genauso heißen) access to attribute=userPassword,sambaLMPassword,sambaNTPassword by dn="cn=admin,dc=example,dc=org" write by self write by anonymous auth by * none Für den gesamten Vorgang, inklusive Samba als PDC gabs/gibts auch ein sehr gutes Debian-spezifisches Howto. Hab die URL gerade nicht zur Hand, sollte mit google aber hoffentlich noch auffindbar sein. Ich such aber nochmal danach und liefere sie im Erfolgsfall noch nach :) -- Markus Schulz This is Linux Land- In silent nights you can hear the windows machines rebooting
Re: OpenLDAP und Authentifizierung mittels PAM
Am Montag, 26. September 2005 23:14 schrieb Mag. Leonhard Landrock: > Hallo beisammen! > > Ich versuche mich gerade mit OpenLDAP. Mein Ziel ist > Benutzauthentifizierung unter Linux (Debian GNU/Linux 3.1 Sarge) und > (später) SAMBA. [...] > 7.) Erweiterte Konfiguration von slapd > /etc/ldap/slapd.conf => Eintrag für "misc.schema" hinzufügen. > 8.) Konfiguriere libnss-ldap > 9.) Konfiguriere libpam-ldap hierfür brauchst du imho eine rootbinddn Einstellung in der /etc/pam_ldap.conf denn spätestens beim Passwort Wechsel durch root muss pam als ldap-Root Zugriff auf das Ldap haben. Für das reine Authorisieren ist's eigentlich nicht notwendig. z.B. rootbinddn cn=admin,dc=example,dc=org Kommentare dazu (und wo das Passwort hin muss) stehen in der Bsp. Conf. Ich habe die root-dn übrigens sowohl in /etc/ldap/ldap.conf /etc/pam_ldap.conf /etc/libnss-ldap.conf festgelegt, wobei libnss-ldap wohl unnötig, weil nie gebraucht, ist. ldap.conf ist dann später für die Samba Werkzeuge (und wer sonst noch ldap incl. ldap-root access verwenden soll) notwendig. Desweiteren fallen mir noch die Zugriffsrechte auf das Passwort Attribut im LDAP ein und ich glaube hier ist auch der Hunde begraben. Wie sieht denn die Einstellung dazu in /etc/ldap/slapd.conf aus? Sollte in etwas so aussehen:(wenn deine Attribute im LDAP genauso heißen) access to attribute=userPassword,sambaLMPassword,sambaNTPassword by dn="cn=admin,dc=example,dc=org" write by self write by anonymous auth by * none Für den gesamten Vorgang, inklusive Samba als PDC gabs/gibts auch ein sehr gutes Debian-spezifisches Howto. Hab die URL gerade nicht zur Hand, sollte mit google aber hoffentlich noch auffindbar sein. Ich such aber nochmal danach und liefere sie im Erfolgsfall noch nach :) -- Markus Schulz This is Linux Land- In silent nights you can hear the windows machines rebooting
OpenLDAP und Authentifizierung mittels PAM
Hallo beisammen! Ich versuche mich gerade mit OpenLDAP. Mein Ziel ist Benutzauthentifizierung unter Linux (Debian GNU/Linux 3.1 Sarge) und (später) SAMBA. Was bisher geschah: === 1.) libldap-2.2-7 installieren 2.) libpam-ldap installieren 3.) ldap-utils installieren 4.) libnss-ldap installieren 5.) ldap-server installieren - virtuell (-> slapd 2.2.23-8) 6.) Basiskonfiguration von slapd (über das Installationsmenü) 6a.) DNS domain name = fun 6b.) Name of your organization = fun 6c.) Admin passwort = ldapadmin 6d.) Confirm password = ldapadmin 6e.) Allow LDAPv2 protocol? => 6f.) LDAP Server host = 127.0.0.1 7.) Erweiterte Konfiguration von slapd /etc/ldap/slapd.conf => Eintrag für "misc.schema" hinzufügen. 8.) Konfiguriere libnss-ldap 9.) Konfiguriere libpam-ldap 10.) Configuring name lookup Edit "/etc/nsswitch.conf" => passwd: ldap compat group: ldap compat shadow: ldap compat 11.) Configuring PAM 11a.) Edit "/etc/pam.d/common-account" => account sufficient pam_ldap.so account requiredpam_unix.so try_first_pass 11b.) Edit "/etc/pam.d/common-auth" => authsufficient pam_ldap.so nullok_secure authrequiredpam_unix.so nullok_secure use_first_pass 11c.) Edit "/etc/pam.d/common-password" => passwordsufficient pam_ldap.so nullok obscure min=4 max=8 md5 passwordrequiredpam_unix.so nullok obscure min=4 max=8 md5 use_first_pass 12.) LDIF-Datei erzeugen und einspielen Der aktuelle Zustand: = In meiner LDAP-Datenbank gibt es neben dem Admin nur den Benutzer "lukasldap". Ein "finger lukasldap" liefert mir die eingegebenen Daten. Eine Anmeldung funktioniert nicht. Poblem: === * Der Versuch mich mit dem Benutzernamen "lukasldap" und dem Passwort "lukas" anzumelden scheitert mit einem "Login incorrect". * Wenn ich mich als Benutzer "leo" anmelde (Benutzer ist unter "/etc/passwd" eingetragen) und dann ein "su lukasldap" versuche erhalte ich nach der Passworteingabe die Meldung: "su: Authentication service cannot retrieve authentication info. Entschuldigung" * In "/var/log/auth.log" finde ich folgende Einträge: Sep 26 22:45:26 test2 su[3755]: pam_ldap: error trying to bind (Invalid credentials) Sep 26 22:45:26 test2 su[3755]: + tty2 root:leo Sep 26 22:45:26 test2 su[3755]: (pam_unix) session opened for user leo by root(uid=0) Sep 26 22:45:31 test2 su[3758]: illegal option nullok_secure Sep 26 22:45:33 test2 su[3758]: pam_ldap: error trying to bind (Invalid credentials) Sep 26 22:45:33 test2 su[3758]: (pam_unix) check pass; user unknown Sep 26 22:45:33 test2 su[3758]: (pam_unix) authentication failure; logname=root uid=1000 euid=0 tty=tty2 ruser=leo rhost= Sep 26 22:45:35 test2 su[3758]: pam_authenticate: Authentication service cannot retrieve authentication info. Sep 26 22:45:35 test2 su[3758]: - tty2 leo:lukasldap Sep 26 22:53:42 test2 login[3521]: illegal option nullok_secure Sep 26 22:53:43 test2 login[3521]: pam_ldap: error trying to bind (Invalid credentials) Sep 26 22:53:43 test2 login[3521]: (pam_unix) check pass; user unknown Sep 26 22:53:43 test2 login[3521]: (pam_unix) authentication failure; logname=LOGIN uid=0 euid=0 tty=tty3 ruser= rhost= Sep 26 22:53:48 test2 login[3521]: FAILED LOGIN (1) on `tty3' FOR `lukasldap', Authentication service cannot retrieve authentication info. Sep 26 22:54:13 test2 su[3760]: illegal option nullok_secure Sep 26 22:54:16 test2 su[3760]: pam_ldap: error trying to bind (Invalid credentials) Sep 26 22:54:16 test2 su[3760]: (pam_unix) check pass; user unknown Sep 26 22:54:16 test2 su[3760]: (pam_unix) authentication failure; logname=root uid=1000 euid=0 tty=tty2 ruser=leo rhost= Sep 26 22:54:18 test2 su[3760]: pam_authenticate: Authentication service cannot retrieve authentication info. Sep 26 22:54:18 test2 su[3760]: - tty2 leo:lukasldap Fragen: === * Verstehe ich das richtig, dass das PAM sich nicht beim OpenLDAP anmelden kann? * Bei der Suche mit Google habe ich unter "http://lists.debian.org/debian-user/2002/11/msg02707.html"; folgenden Hinweis gefunden: "what are you trying to do? If your LDAP server requires you to authenticate for certain operations for pam_ldap, I would first try putting the info in /etc/pam_ldap.conf: binddn (your DN to bind as) bindpw (your password)" Für "bindpw" habe ich in den man-pages aber nichts gefunden. Habe keine Ahnung wie das konkret laufen sollte. * Was kann erforderlich sein, damit das ganze funktioniert? Ich hoffe jemand kann mir leicht helfen. LG, Leonhard.
Re: openldap konfigurieren
Markus Schulz <[EMAIL PROTECTED]> writes: >> · globales Adressbuch für die User, in denen sie *ihre* Daten ändern >> können (von den Berechtigungen auch kein Problem, da hat Openldap >> gute Möglichkeiten). Eingesetzte Clients: Thunderbird und Pegasus >> (*grmpf*) Leider habe ich noch keinen Mailclient gefunden, der >> folgende zwei Anforderungen erfüllt: >> · Ändern der Einträge > das können nur KMail und Evolution bisher. Sonst ist mir kein Client bekannt. > Das Problem daran ist auch, das jeder Client ein eigenes Attribut Schema > verwendet. KMail bietet allerdings an, für die meisten Attribute die Namen > vorzugeben, d.h. man kann es auf ein eigenes/fremdes Schema anpassen. Evolution hatte ich getestet, da hatte ich auch Probleme. Leider laufen die Clients unter Windows, so dass KMail keine Alternative ist. >> · darstellen eines gesamten Teilbaums, halt wie ein >> Adressbuch. Meinetwegen auch in einer täglich aktualisierten >> lokalen Kopie. > Ist mir kein Client bekannt, der das LDAP Ergebnis als Baum anzeigt, zumal > man > meißt im LDAP die Adressen unterhalb eines Teilbaumes flat speichert. Teilbaum war missverständlich: Ich würde gerne alle Einträge in [...]ou=people anzeigen lassen. So dass die User durch das Adressbuch wühlen können. >> · Athentisierung des Cyrus-IMAP-Servers und anderer Dienste gegen den >> LDAP (momentan MySQL, aber falls der LDAP laufen sollte, reicht IMHO >> ein Dienst.) > das sollte keine Problem sein. Google sollte da auch diverse HowTo's liefern. Ack. Da war ich auch etwas ungenau, damit ich von MySQL auf LDAP umsteige, muss der LDAP erstmal einen Zweck neben dem Authentifizieren von Diensten erfüllen, denn das macht MySQL sehr gut. Jakob, sich vielleicht mal ein Buch besorgend, das Netz hätte ich damit durch. :-) -- Lenfi bloggt jetzt: Lenfis bLog: <http://blog.jl42.de>
Re: openldap konfigurieren
Am Montag, 11. Juli 2005 09:52 schrieb Jakob Lenfers: > Volker Katz <[EMAIL PROTECTED]> writes: > > [LDAP einrichten] > > Wo wir gerade beim Thema sind: Ich habe auch einen LDAP laufen, der > eigentlich folgende Funktionen übernehmen sollte: > > · globales Adressbuch für die User, in denen sie *ihre* Daten ändern > können (von den Berechtigungen auch kein Problem, da hat Openldap > gute Möglichkeiten). Eingesetzte Clients: Thunderbird und Pegasus > (*grmpf*) Leider habe ich noch keinen Mailclient gefunden, der > folgende zwei Anforderungen erfüllt: > · Ändern der Einträge das können nur KMail und Evolution bisher. Sonst ist mir kein Client bekannt. Das Problem daran ist auch, das jeder Client ein eigenes Attribut Schema verwendet. KMail bietet allerdings an, für die meisten Attribute die Namen vorzugeben, d.h. man kann es auf ein eigenes/fremdes Schema anpassen. > · darstellen eines gesamten Teilbaums, halt wie ein > Adressbuch. Meinetwegen auch in einer täglich aktualisierten > lokalen Kopie. Ist mir kein Client bekannt, der das LDAP Ergebnis als Baum anzeigt, zumal man meißt im LDAP die Adressen unterhalb eines Teilbaumes flat speichert. > · Athentisierung des Cyrus-IMAP-Servers und anderer Dienste gegen den > LDAP (momentan MySQL, aber falls der LDAP laufen sollte, reicht IMHO > ein Dienst.) das sollte keine Problem sein. Google sollte da auch diverse HowTo's liefern. Markus Schulz -- modprobe windows modprobe: This module will TAINT the kernel
Re: openldap konfigurieren
Am Montag, 11. Juli 2005 10:33 schrieb Volker Katz: > Moin, > > Am Sonntag, 10. Juli 2005 21:25 schrieb Volker Katz: > > Nur Kontact konnte ich noch nicht dazu überreden. Aber das kommt > > morgen.. genau wie die sichere Authentifizierung. > > leider bin ich in der Beziehung immernoch erfolglos! > > MIt dem Thunderbird kann ich auf den ldap-Baum zugreifen. Dazu habe ich > folgendes eingestellt: > Name: test > Hostname: die-IP-Adresse > Basis-DN: ou=persons,dc=myDomain,dc=de > Port-Nummer: 389 > Bind-DN: cn=admin,dc=myDomain,dc=de > > Nur KDE kann ich nicht davon überzeugen sich mit openladap zu unterhaten! > Die Einstellungen heißen leider etwas anders und ich bekomme kein > sinnvolles Mapping hin: > Benutzer: ??? > Bind-DN: ok, die ist identisch, also: cn=admin,dc=myDmain,dc=de > DN=dc=myDmain,dc=de (kann Kontact bei openldap so erfragen) > > Zur Authentifizierung: Hier erfragt KDE SASL. > > In den logs von openldap sehe ich nur die Fragen nach DN und der > Authentifizierung. Ich sehe nicht, dass KDE nach einem Eintrag fragt. > > Dann noch eine Frage zu Kontact: > Ich kann in Kontact unter Kontakte im Bereich Adressbücher ein > LDAP-Adressbuch hinzufügen. Und ich kann unter Eintellungen - Kadressbuch > einrichten - LDAP-Nachschlagefuntkion einen Server angeben. Wo ist der > Unterschied? > > Ich hoffe, Ihr könnt mir da einen Tip geben. wenn du keine SASL Authentifizierung einsetzt, sondern "Einfache" dann: muss unter Benutzer: zu dem Benutzer, also z.B.uid=,ou=Users,dc=domain,dc=tld Passwort: ist das Passwort des Nutzers, welches unter seinem DN steht. DN: ist der Startpfad im LDAP von dem aus das Adressbuch sucht (bei angeschaltener Unterordner Abfrage mehr als eine Ebene) mit Filter kannst du nur bestimmte Typen von Knoten in die Suche einbeziehen (z.B. (objectClass=inetOrgPerson) sucht nur Knoten vom Typ inetOrgPerson) Wenn du SASL verwendest, kommt bei Benutzer nur der SASL Nutzername, dann mußt du im ldap Server ein Mapping vom SASL Nutzernamen auf seine DN machen (sasl-regexp heißt das Stichwort iirc und es gibt jede Menge HowTo's dafür) -- Wer wirklich noch einen 4.x-Browser benutzt, dem kann leider nicht mehr geholfen werden. Die haben soviele Sicherheitsloecher, da koennten wir per www.linuxtag.org, Exploit und etwas Scriptmagic einen neuen Browser von Remote installieren. // Michael Kleinhenz, lt2k-ml
Re: openldap konfigurieren
Moin, Am Sonntag, 10. Juli 2005 21:25 schrieb Volker Katz: > Nur Kontact konnte ich noch nicht dazu überreden. Aber das kommt > morgen.. genau wie die sichere Authentifizierung. leider bin ich in der Beziehung immernoch erfolglos! MIt dem Thunderbird kann ich auf den ldap-Baum zugreifen. Dazu habe ich folgendes eingestellt: Name: test Hostname: die-IP-Adresse Basis-DN: ou=persons,dc=myDomain,dc=de Port-Nummer: 389 Bind-DN: cn=admin,dc=myDomain,dc=de Nur KDE kann ich nicht davon überzeugen sich mit openladap zu unterhaten! Die Einstellungen heißen leider etwas anders und ich bekomme kein sinnvolles Mapping hin: Benutzer: ??? Bind-DN: ok, die ist identisch, also: cn=admin,dc=myDmain,dc=de DN=dc=myDmain,dc=de (kann Kontact bei openldap so erfragen) Zur Authentifizierung: Hier erfragt KDE SASL. In den logs von openldap sehe ich nur die Fragen nach DN und der Authentifizierung. Ich sehe nicht, dass KDE nach einem Eintrag fragt. Dann noch eine Frage zu Kontact: Ich kann in Kontact unter Kontakte im Bereich Adressbücher ein LDAP-Adressbuch hinzufügen. Und ich kann unter Eintellungen - Kadressbuch einrichten - LDAP-Nachschlagefuntkion einen Server angeben. Wo ist der Unterschied? Ich hoffe, Ihr könnt mir da einen Tip geben. Gruß & Danke Volker
Re: openldap konfigurieren
Volker Katz <[EMAIL PROTECTED]> writes: [LDAP einrichten] Wo wir gerade beim Thema sind: Ich habe auch einen LDAP laufen, der eigentlich folgende Funktionen übernehmen sollte: · globales Adressbuch für die User, in denen sie *ihre* Daten ändern können (von den Berechtigungen auch kein Problem, da hat Openldap gute Möglichkeiten). Eingesetzte Clients: Thunderbird und Pegasus (*grmpf*) Leider habe ich noch keinen Mailclient gefunden, der folgende zwei Anforderungen erfüllt: · Ändern der Einträge · darstellen eines gesamten Teilbaums, halt wie ein Adressbuch. Meinetwegen auch in einer täglich aktualisierten lokalen Kopie. · Athentisierung des Cyrus-IMAP-Servers und anderer Dienste gegen den LDAP (momentan MySQL, aber falls der LDAP laufen sollte, reicht IMHO ein Dienst.) Gerade bei dem ersten Punkt war ich sehr erstaunt. Kennt da jemand einen *User*-tauglichen Client? Ich hatte das Gefühl, dass meine Anforderungen vollkommen normal sind, aber irgendwie scheinen Clients das nicht zu unterstützen. Any hints? Jakob -- Lenfi bloggt jetzt: Lenfis bLog: <http://blog.jl42.de>
Re: openldap konfigurieren
Joern Bredereck <[EMAIL PROTECTED]> wrote: > On Sun, 10 Jul 2005, Sven Hartge wrote: >> Die OpenLDAP-Version in Woody war auch nur mit LDBM halbwegs >> benutzbar, mit BDB hat man meist keinen Tag überlebt. >> >> Mittlerweile hat sich das Vorzeichen aber umgedreht, zumindest was >> die Version in Sarge angeht. > ich habe kürzlich eine bestehende LDAP-Installation von Woody auf > Sarge geupgraded und LDBM beibehalten. Seither konnte ich keine > Probleme feststellen. Mit welchen Problemen habe ich denn jetzt zu > rechnen? Warum sollte ich umstellen? Meine Erfahrungen mit LDBM beziehen sich vor allem auf plötzlich auftretende Schreibhemmungen. Der slapd läuft normal weiter, lesen ist ohne Probleme möglich nur plötzlich kann man nicht mehr schreiben, der Zugriff hängt und timed schliesslich aus. Außerdem ist LDBM grottig lahm im Vergleich zu BDB, da bei LDBM alles serialisiert ablaufen muss. So ist die mittlere Zugriffszeit in meinem Baum (knapp 15.000 Objekte, größtenteils posixaccount und posixgroup) deutlich gesunken, vor allem bei massiv parallelen Zugriffen. Die BDB muss natürlich korrekt mittels DB_CONFIG konfiguriert sein. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: openldap konfigurieren
On Sun, 10 Jul 2005, Sven Hartge wrote: Die OpenLDAP-Version in Woody war auch nur mit LDBM halbwegs benutzbar, mit BDB hat man meist keinen Tag überlebt. Mittlerweile hat sich das Vorzeichen aber umgedreht, zumindest was die Version in Sarge angeht. ich habe kürzlich eine bestehende LDAP-Installation von Woody auf Sarge geupgraded und LDBM beibehalten. Seither konnte ich keine Probleme feststellen. Mit welchen Problemen habe ich denn jetzt zu rechnen? Warum sollte ich umstellen? Gruß, Jörn
Re: openldap konfigurieren
Volker Katz <[EMAIL PROTECTED]> wrote: > Am Sonntag, 10. Juli 2005 16:26 schrieb Sven Hartge: >> Wenn der DN cn=admin,dc=myDomain,dc=de nicht existiert, kannst du dich >> auch nicht daran anmelden. Existiert rootdn und rootpw in der >> slapd.conf? > ok, die beiden Einträge habe ich ergänzt. Das Passwort erstmal im > Klartext um Fehlerquellen zu vermeiden. Nun sieht's so aus: > # ldapadd -D "cn=admin,dc=myDomain,dc=de" -W Enter LDAP Password: "-x" darfst du natürlich nie vergessen. > SASL/DIGEST-MD5 authentication started > ldap_sasl_interactive_bind_s: Internal (implementation specific) error (80) >additional info: SASL(-13): user not found: no secret in database > Noch einen Tip? Ja, "man ldapsearch" Ausserdem rate ich dir zur Lektüre von "man slapadd". Wichtig: bei letzterem darf der slapd *NICHT* laufen. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: openldap konfigurieren
Volker Katz <[EMAIL PROTECTED]> wrote: > Am Sonntag, 10. Juli 2005 16:12 schrieb Sven Hartge: >> Bitte beachten: LDBM mit OpenLDAP 2.2 ist schwachsinn, ich würde sogar >> sagen: grob fahrlässig. Es sei denn, du stehst auf komisches Verhalten >> durch Locking-Probleme. > danke Dir! Die meisten Anleitungen im Netz beziehen sich nämlich auf > LDBM. Das Deb-Package hingegen nutzt per defautl bdb. Ich hatte schon > überlegt, ob ich das ändern soll. Die OpenLDAP-Version in Woody war auch nur mit LDBM halbwegs benutzbar, mit BDB hat man meist keinen Tag überlebt. Mittlerweile hat sich das Vorzeichen aber umgedreht, zumindest was die Version in Sarge angeht. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: openldap konfigurieren
Moin, ich wollte nur berichten, dass ich mir die Sache nocheinmal in Ruhe angesehen habe und es jetzt "mehr läuft". Ich habe die ldif-Datei überarbeitet. Nun kann ich mit dem Thunderbird immerhin schon im ldap-Baum suchen. Nur Kontact konnte ich noch nicht dazu überreden. Aber das kommt morgen.. genau wie die sichere Authentifizierung. Vielen Dank! Gruß Volker -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: openldap konfigurieren
Moin, Am Sonntag, 10. Juli 2005 16:26 schrieb Sven Hartge: > Volker Katz <[EMAIL PROTECTED]> wrote: > > Nun versuche ich also den Baum zu füllen: > > # ldapadd -x -D "cn=admin,dc=myDomain,dc=de" -W > Enter LDAP Password: > > ldap_bind: Invalid credentials (49) > > > > Soweit ich das gelesen habe, bedeutet das, dass den User nicht kennt. Nun > > ist das aber der admin, den ich in der slap.conf habe: > > access to * > > by dn="cn=admin,dc=myDomain,dc=de" write > > by * read > > > > Und das Passwort habe ich bei der Installation angeben... > > Wenn der DN cn=admin,dc=myDomain,dc=de nicht existiert, kannst du dich > auch nicht daran anmelden. Existiert rootdn und rootpw in der > slapd.conf? ok, die beiden Einträge habe ich ergänzt. Das Passwort erstmal im Klartext um Fehlerquellen zu vermeiden. Nun sieht's so aus: # ldapadd -D "cn=admin,dc=myDomain,dc=de" -W
Re: openldap konfigurieren
Volker Katz <[EMAIL PROTECTED]> wrote: > Nun versuche ich also den Baum zu füllen: > # ldapadd -x -D "cn=admin,dc=myDomain,dc=de" -W Enter LDAP Password: > ldap_bind: Invalid credentials (49) > Soweit ich das gelesen habe, bedeutet das, dass den User nicht kennt. Nun ist > das aber der admin, den ich in der slap.conf habe: > access to * >by dn="cn=admin,dc=myDomain,dc=de" write >by * read > Und das Passwort habe ich bei der Installation angeben... Wenn der DN cn=admin,dc=myDomain,dc=de nicht existiert, kannst du dich auch nicht daran anmelden. Existiert rootdn und rootpw in der slapd.conf? > Dementsprechen hilft mit der Tip von Sven auch noch nicht viel weiter: > ldapsearch -x -w -D "cn=admin,dc=myDomain,dc=de" > ldap_bind: Invalid credentials (49) Was musste ein -W sein (grosses W), Tippfehler bei mir. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: openldap konfigurieren
Moin, Am Sonntag, 10. Juli 2005 16:12 schrieb Sven Hartge: > Hagen Kuehnel <[EMAIL PROTECTED]> wrote: > > On Sun, Jul 10, 2005 at 03:15:57PM +0200, Volker Katz wrote: > >> ich versuche gerade openldap zu installieren. Leider ist das alles > >> mal weider gar nicht so einfach. > > > > http://maglite.epfl.ch/~fsalvi/LDAP/setup/installing_LDAP_server_on_Debia > >n.txt > > Bitte beachten: LDBM mit OpenLDAP 2.2 ist schwachsinn, ich würde sogar > sagen: grob fahrlässig. Es sei denn, du stehst auf komisches Verhalten > durch Locking-Probleme. danke Dir! Die meisten Anleitungen im Netz beziehen sich nämlich auf LDBM. Das Deb-Package hingegen nutzt per defautl bdb. Ich hatte schon überlegt, ob ich das ändern soll. Gruß & Danke Volker
Re: openldap konfigurieren
Moin, Am Sonntag, 10. Juli 2005 15:39 schrieb Hagen Kuehnel: > On Sun, Jul 10, 2005 at 03:15:57PM +0200, Volker Katz wrote: > > ich versuche gerade openldap zu installieren. Leider ist das alles mal > > weider gar nicht so einfach. > > http://maglite.epfl.ch/~fsalvi/LDAP/setup/installing_LDAP_server_on_Debian. >txt danke für den Link! Scheinbar ist mein Baum noch leer, denn: # slapcat # Nun versuche ich also den Baum zu füllen: # ldapadd -x -D "cn=admin,dc=myDomain,dc=de" -W
Re: openldap konfigurieren
Hagen Kuehnel <[EMAIL PROTECTED]> wrote: > On Sun, Jul 10, 2005 at 03:15:57PM +0200, Volker Katz wrote: >> ich versuche gerade openldap zu installieren. Leider ist das alles >> mal weider gar nicht so einfach. > http://maglite.epfl.ch/~fsalvi/LDAP/setup/installing_LDAP_server_on_Debian.txt Bitte beachten: LDBM mit OpenLDAP 2.2 ist schwachsinn, ich würde sogar sagen: grob fahrlässig. Es sei denn, du stehst auf komisches Verhalten durch Locking-Probleme. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: openldap konfigurieren
Volker Katz <[EMAIL PROTECTED]> wrote: > ich versuche gerade openldap zu installieren. Leider ist das alles mal weider > gar nicht so einfach. LDAP ist schon etwas komplexer, das stimmt. Aber das wird schon, glaube mir. Man muss sich halt nur erst an bestimmte Konzepte von LDAP gewöhnen, z.B. an das von Objecten und Attributen. > Ich möchte eigentlich "nur" ein Adressbuch für KDE, Thunderbird usw. Ich habe > mich an diese Anleitung orientiert: > http://www.selflinux.org/selflinux-devel/html/ldap.html > Nun mein erster Versuch einen Abfrage: > # ldapsearch -x -D "cn=admin,dc=myDomain,dc=de" > ldap_bind: Server is unwilling to perform (53) >additional info: unauthenticated bind (DN with no password) disallowed -w fehlt, dann fragt ldapsearch nach dem Passwort. Mit deinem Kommando versucht er ein binden an den Baum ohne Passwort, das hat du aber (und das ist gut so) nicht erlaubt. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: openldap konfigurieren
On Sun, Jul 10, 2005 at 03:15:57PM +0200, Volker Katz wrote: > Moin, > ich versuche gerade openldap zu installieren. Leider ist das alles mal weider > gar nicht so einfach. http://maglite.epfl.ch/~fsalvi/LDAP/setup/installing_LDAP_server_on_Debian.txt HAgen -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
openldap konfigurieren
Moin, ich versuche gerade openldap zu installieren. Leider ist das alles mal weider gar nicht so einfach. Ich möchte eigentlich "nur" ein Adressbuch für KDE, Thunderbird usw. Ich habe mich an diese Anleitung orientiert: http://www.selflinux.org/selflinux-devel/html/ldap.html Nun mein erster Versuch einen Abfrage: # ldapsearch -x -D "cn=admin,dc=myDomain,dc=de" ldap_bind: Server is unwilling to perform (53) additional info: unauthenticated bind (DN with no password) disallowed # ldapsearch -X -D "cn=admin,dc=myDomain,dc=de" ldap_sasl_interactive_bind_s: No such attribute (16) In meiner slap.conf steht u.a. folgendes: suffix "dc=myDomain,dc=de" access to attrs=userPassword by dn="cn=admin,dc=myDomain,dc=de" write by anonymous auth by self write by * none Bei der Installation wurde ich nach einem Admin-Passwort gefragt. Kann mir da jemand einen Tip zu geben. Im Moment finde ich das alles einfach nur verwirrend. Gruß & Danke Volker
Re: Openldap + adduser
Andreas Zimmermann <[EMAIL PROTECTED]> wrote: > Was muss ich in der /etc/pam.conf bzw. /etc/pam.d/* ändern das ldap > automatisch aktualisiert wird? Das normale adduser kann das nicht. Du brauchst adduser-ng oder die Tools von Idealx. > In der nsswitch.conf sind folgende Einträge enthalten: > passwd: ldap compat > group: ldap compat > shadow: ldap compat ldap _immer_ nach hinten stellen, sonst kannst du dir mit einem "uid=root" im LDAP den lokalen root-User "überschreiben". S° -- BOFH excuse #96: Vendor no longer supports the product -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Openldap + adduser
Mirco Schmidt <[EMAIL PROTECTED]> wrote: >> Das funktioniert IMHO auch nicht mit dem 'adduser'-Script aus >> Debian/Woody. Du musst die User direkt im LDAP anlegen und verwalten. >> Das einzige was funktiert ist eine Änderung der Passwörter, wenn PAM >> richtig konfiguiert ist. > Kann ich daraus folgern das es mit dem adduser aus sarge machbar sein müßte? Nein, du kannst daraus folgern, dass ich es mit Sarge noch nicht selber ausprobiert habe und du es entweder selber testen musst oder auf andere Erfahrungsberichte warten musst. > Mal ausprobieren, wär ja net schlecht, dann bräuchte man nur noch per ssh > auf den Server. Und schon könnte man wieder wie gewohnt die User verwalten. Es wäre aber auch kein Problem sich ein Wirapper-Script um adduser herum zu schreiben, das diese Funktion dann bereit stellt. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Openldap + adduser
Dirk Prösdorf wrote: > Das funktioniert IMHO auch nicht mit dem 'adduser'-Script aus > Debian/Woody. Du musst die User direkt im LDAP anlegen und verwalten. > Das einzige was funktiert ist eine Änderung der Passwörter, wenn PAM > richtig konfiguiert ist. Kann ich daraus folgern das es mit dem adduser aus sarge machbar sein müßte? Mal ausprobieren, wär ja net schlecht, dann bräuchte man nur noch per ssh auf den Server. Und schon könnte man wieder wie gewohnt die User verwalten. Greetz Mirco -- Warn European Authorities against the dangers of software patents. http://petition.eurolinux.org/index_html?LANG=de Against-TCPA Don't let them take YOUR RIGHTS! http://www.againsttcpa.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Openldap + adduser
Andreas Zimmermann <[EMAIL PROTECTED]> wrote: > ich habe die aktuelle version von Openldap (2.2.15) gezogen, kompiliert und > installiert und sie läuft auch ohne Probleme. > Wenn ich jedoch einen neuen Benutzer anlege, wird dieser nicht in ldap > übernommen. Das funktioniert IMHO auch nicht mit dem 'adduser'-Script aus Debian/Woody. Du musst die User direkt im LDAP anlegen und verwalten. Das einzige was funktiert ist eine Änderung der Passwörter, wenn PAM richtig konfiguiert ist. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Openldap + adduser
Hallo Liste, ich habe die aktuelle version von Openldap (2.2.15) gezogen, kompiliert und installiert und sie läuft auch ohne Probleme. Wenn ich jedoch einen neuen Benutzer anlege, wird dieser nicht in ldap übernommen. Was muss ich in der /etc/pam.conf bzw. /etc/pam.d/* ändern das ldap automatisch aktualisiert wird? In der nsswitch.conf sind folgende Einträge enthalten: passwd: ldap compat group: ldap compat shadow: ldap compat Grüße Andi
Re: OpenLDAP
Hallo Christoph, * Christoph Pleger schrieb [02-04-04 14:38]: > > Ich möchte einen LDAP-Server und einen LDAP-Client aufsetzen (testweise > erst einmal beides auf demselben Rechner), wobei das LDAP für die > gleichen Zwecke eingesetzt werden soll, für die oft NIS eingesetzt wird. > > Welche Pakete muss ich dafür installieren und wie muss ich sie > konfigurieren? Schon Google befragt? http://www.google.de/search?q=ldap+howto+debian 1. Link... *kopfschuettel* Gruss Udo -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
OpenLDAP
Hallo, Ich möchte einen LDAP-Server und einen LDAP-Client aufsetzen (testweise erst einmal beides auf demselben Rechner), wobei das LDAP für die gleichen Zwecke eingesetzt werden soll, für die oft NIS eingesetzt wird. Welche Pakete muss ich dafür installieren und wie muss ich sie konfigurieren? Viele Grüße Christoph -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenLDAP (slapd) will nicht mehr
Ralph Bergmann <[EMAIL PROTECTED]> meinte: > Hat jemand einen Tip warum er nicht will? Es ist irgendwas mit der Datenbank bzw. mit Deiner Installation. Hast Du die richtige Version der libdb installiert? slapd[1676]: bdb_initialize: Sleepycat Software: Berkeley DB 4.1.25: (December 19, 2002) slapd[1676]: bdb_db_init: Initializing BDB database slapd[1677]: bdb(dc=dasralph,dc=home): unable to join the environment slapd[1677]: bdb_db_open: dbenv_open failed: Resource temporarily unavailable (11) slapd[1677]: backend_startup: bi_db_open(0) failed! (11) slapd[1677]: bdb(dc=dasralph,dc=home): txn_checkpoint interface requires an environment configured for the transaction subsystem slapd[1677]: bdb_db_destroy: txn_checkpoint failed: Invalid argument (22) slapd[1677]: slapd stopped. slapd[1677]: connections_destroy: nothing to destroy. Was sagt denn db_recover -v -h /var/lib/ldap ? Wenn das was bringt, könntest Du es in Dein slapd-Startskript einbauen (habe ich auch gemacht, nachdem es mir nach zwei Stromausfällen die Datenbank geschreddert hatte). Tschö Töns -- There is no safe distance. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenLDAP (slapd) will nicht mehr
On Tue, 2004-01-13 at 00:22, Ralph Bergmann wrote: > Hallo! > > > Mein slapd will nicht mehr, einfach so mitten im Betrieb verweigert er > den Dienst. Ich bin mir nicht bewuÃt etwas am System gemacht zu haben, > was dies ausgelÃst haben kÃnnte. Und ich bin ratlos. > > Ich habe die log-Datei mit angehangen. Hallo zusammen, wenn ich das richtig einschÃtze, dann dÃrfte es Dir die LDAP-Datenbank zerlegt haben. Durch was willst Du wissen? Aus der Entfernung wÃrde ich folgendes vermuten : Hardwareprobleme, Softwareprobleme, Absturz der Maschine oder Benutzung von slapadd bei laufendem Slapd. Wenn mein Verdacht stimmt, hast Du im wesentlichen folgende MÃglichkeiten (Vorher bitte immer slapd stoppen - Du greifst hier verÃndernd unter dem slapd durch, direkt auf die Datenbank zu. Das nimmt der slapd total Ãbel.) : 1. MÃglicherweise kann man die LDAP-DB reparieren. Probiere mal slapindex aus (man slapindex fÃr Infos) 2. Normalerweise liegt die LDAP-DB im Verzeichnis /var/lib/ldap. Schiebe den Inhalt des Verzeichnisses wo anders hin. Jetzt kannst Du eine neue DB anlegen. Hast Du eine LDIF Datei von deinem LDAP-Verzeichnis? Laà die in slapadd laufen - nÃheres findest Du unter "man slapadd". Andere Wege die DB ohne Neuinstallation neu zu erstellen kannst Du in der slapd-Doku finden. (Vergiss nicht den slapd wieder hochzufahren...) Willi -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
OpenLDAP (slapd) will nicht mehr
Hallo! Mein slapd will nicht mehr, einfach so mitten im Betrieb verweigert er den Dienst. Ich bin mir nicht bewußt etwas am System gemacht zu haben, was dies ausgelöst haben könnte. Und ich bin ratlos. Ich habe die log-Datei mit angehangen. Hat jemand einen Tip warum er nicht will? Ist im übrigen schon das zweite mal. Beim ersten mal hatte ich ihn dann de- und wieder installiert, jedoch möchte ich das nicht ständig jetzt so machen. Danke! Ralph Jan 13 00:14:40 linuxserver slapd[1676]: bdb_initialize: Sleepycat Software: Berkeley DB 4.1.25: (December 19, 2002) Jan 13 00:14:40 linuxserver slapd[1676]: bdb_db_init: Initializing BDB database Jan 13 00:14:58 linuxserver slapd[1677]: bdb(dc=dasralph,dc=home): unable to join the environment Jan 13 00:14:58 linuxserver slapd[1677]: bdb_db_open: dbenv_open failed: Resource temporarily unavailable (11) Jan 13 00:14:58 linuxserver slapd[1677]: backend_startup: bi_db_open(0) failed! (11) Jan 13 00:14:58 linuxserver slapd[1677]: bdb(dc=dasralph,dc=home): txn_checkpoint interface requires an environment configured for the transaction subsystem Jan 13 00:14:58 linuxserver slapd[1677]: bdb_db_destroy: txn_checkpoint failed: Invalid argument (22) Jan 13 00:14:58 linuxserver slapd[1677]: slapd stopped. Jan 13 00:14:58 linuxserver slapd[1677]: connections_destroy: nothing to destroy.
OpenLDAP erneut installieren?
Hallo zusammen, ich versuche gerade mir einen LDAP Server zu installieren. Nachdem ich meine ersten Versuche gegen die Wand gefahren habe, habe ich alles mittels apt-get remove --purge slapd libldap2 deinstalliert. Doch nun habe ich ein Problem bei der Neuinstallation, ich bekomme nur noch folgende Fehlermeldung: Setting up slapd (2.1.23-1) ... Creating initial slapd configuration... done Creating initial LDAP directory... done Starting OpenLDAP: slapd - failed. The operation failed but no output was produced. For hints on what went wrong please refer to the system's logfiles (e.g. /var/log/syslog) or try running the daemon in Debug mode like via "slapd -d 16383" (warning: this will create copious output). invoke-rc.d: initscript slapd, action "start" failed. dpkg: error processing slapd (--configure): subprocess post-installation script returned error exit status 1 Errors were encountered while processing: slapd E: Sub-process /usr/bin/dpkg returned an error code (1) Ein slapd -d 16383 ergibt: slapd -d 16383 @(#) $OpenLDAP: slapd 2.1.23 (Oct 18 2003 20:04:15) $ @euklid:/home/roland/debian/openldap/build/2.1.23-1/openldap2-2.1.23/debian/build/servers/slapd daemon_init: daemon_init: listen on ldap:/// daemon_init: 1 listeners to open... ldap_url_parse_ext(ldap:///) slap_open_listener: socket() failed for AF_INET6 errno=97 (Address family not supported by protocol) slap_open_listener: bind(6) failed for AF_INET, address: 0.0.0.0, port: 389 errno=98 (Address already in use) slap_open_listener: failed on ldap:/// slapd stopped. connections_destroy: nothing to destroy. Hat dazu jemand eine Idee, hab ich etwas vergessen zu installieren? Und gleich noch eine Frage zur Konfiguration: Da meine eigentliche Domaine likeabird.de im Moment noch belegt ist, wollte ich stattdessen die Domain meines virtuellen Servers (62-138-135-216.vlserver.de) benutzen. Die hab ich auch bei dpkg-reconfigure slapd eingegeben. Allerdings scheint slapd das so nicht zu wollen, ich bekomme die Meldung Creating initial LDAP directory... slapadd: line 7: database (dc=62-138-135-216.vlserver,dc=de) not configured to hold "dc=62-138-135-216,dc=vlserver,dc=de" Auch das ist mir nicht klar. Kann ich das überhaupt so machen, sprich eine vorläufige Domain angeben oder muss es gleich die entültige Domain sein? Hat jemand zufällig ein Minimalbeispiel zur Hand wie die ldap.conf und slapd.conf auszusehen hat? Vielen Dank für jede Hilfe Th. Vogel -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OpenLDAP auf Debian SID
Hallo, Michael... > ich hab heute mit wenig Erfolg versucht Openldap auf meiner Debian SID > zu installieren. > Meine Konfig : eigenes LDIF File (hab ne modifizierte Version des LDAP > Howtos benutzt, nur Namen geändert, Objekte hab ich nicht umgebaut) > nach einem 'apt-get install slapd' werden ein paar Parameter abgefragt, > zuerst LDIF oder AUTO -> da LDIF und dann den Pfad zum LDIF File > angegeben, dann kommt ne Frage zum Directory DN -> Tja was soll ich > sagen, ich kann nirgendwo ne Referenz finden in welchem Format ich da > was eintragen soll, also einfach mal 'dn: dc=testorga, dc=de' > eingetragen. Soweit ich weiß, möchte das System die "Base DN" von dir wissen - also den Knoten im LDAP-Baum, wo dein Verzeichnis eingehängt werden soll. Als Format würde ich mal sowas wie "dc=debian,dc=org" oder "ou=muenchen,o=firma" oder so angeben. Alternativ kannst du im Setup auch irgendwas anlegen und dann mit "slapdadd" deine LDIF-Datei direkt importieren. Christoph -- ~ ~ ".signature" [Modified] 3 lines --100%--3,41 All -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
OpenLDAP auf Debian SID
Hi, ich hab heute mit wenig Erfolg versucht Openldap auf meiner Debian SID zu installieren. Meine Konfig : eigenes LDIF File (hab ne modifizierte Version des LDAP Howtos benutzt, nur Namen geändert, Objekte hab ich nicht umgebaut) nach einem 'apt-get install slapd' werden ein paar Parameter abgefragt, zuerst LDIF oder AUTO -> da LDIF und dann den Pfad zum LDIF File angegeben, dann kommt ne Frage zum Directory DN -> Tja was soll ich sagen, ich kann nirgendwo ne Referenz finden in welchem Format ich da was eintragen soll, also einfach mal 'dn: dc=testorga, dc=de' eingetragen. So bei der Installation bricht apt mit nem post-installation script Fehler ab, leider gibt apt keine näheren Auskünfte was schiefgelaufen sein könnte. Ich denke mal das 'Directory DN' Format könnte ein Fehler von mir sein, leider bringt mich weder das Howto (ist ja nix LDAP spezifisches, kommt ja eher auf Debian/APT an ) noch Google weiter. Für einen Denkanstoß oder Lösungstipps wäre ich dankbar Michael -- +++ GMX - Mail, Messaging & more http://www.gmx.net +++ Bitte lächeln! Fotogalerie online mit GMX ohne eigene Homepage! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: nis durch openldap ersetzen
Moin, > Könnt ihr mir ein Buch empfehlen bzw. eine Dokumentation oder ein Howto? > wenn möglich alles auf deutsch. Hab mit ldap noch keinerlei erfahrungen > gemacht! Wie waere es z.B. mit http://www.openldap.org/ und http://www.kernelnotes.de/dlhp/DE-LDAP-HOWTO-1.html ;) > Kann man die nis datenbestände übernehmen? http://www.padl.com/OSS/MigrationTools.html Gruesse, Michael -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
nis durch openldap ersetzen
hallo zusammen, ich möchte in meiner firma ein ldap system einführen mit openldap. Sprich unser NIS Server soll durch einen Ldap server ersetzt werden (was auch gleich meine Projektarbeit sein soll). Hat jemand von euch schon erfahrungen mit openldap gemacht? Server ist (debian woody) workstations (suse 7.3 bzw. suse 8.0). Könnt ihr mir ein Buch empfehlen bzw. eine Dokumentation oder ein Howto? wenn möglich alles auf deutsch. Hab mit ldap noch keinerlei erfahrungen gemacht! Kann man die nis datenbestände übernehmen? eine fertige slapd.conf bzw. eine ausführliche slapd.conf würde mir auch schon weiter helfen Danke im vorraus Viele Grüsse Matthias -- Matthias Albert aicas GmbH email: [EMAIL PROTECTED] Hoepfner Burg phone: +49 721 663 968-23 Haid-und-Neu-Str. 18fax:+49 721 663 968-93 76131 Karlsruhe, Germanyweb: http://www.aicas.com/ -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
nis durch openldap ersetzen
hallo zusammen, ich möchte in meiner firma ein ldap system einführen mit openldap. Sprich unser NIS Server soll durch einen Ldap server ersetzt werden (was auch gleich meine Projektarbeit sein soll). Hat jemand von euch schon erfahrungen mit openldap gemacht? Server ist (debian woody) workstations (suse 7.3 bzw. suse 8.0). Könnt ihr mir ein Buch empfehlen bzw. eine Dokumentation oder ein Howto? wenn möglich alles auf deutsch. Hab mit ldap noch keinerlei erfahrungen gemacht! Kann man die nis datenbestände übernehmen? eine fertige slapd.conf bzw. eine ausführliche slapd.conf würde mir auch schon weiter helfen Danke im vorraus Viele Grüsse Matthias -- Matthias Albert aicas GmbH email: [EMAIL PROTECTED] Hoepfner Burg phone: +49 721 663 968-23 Haid-und-Neu-Str. 18fax:+49 721 663 968-93 76131 Karlsruhe, Germanyweb: http://www.aicas.com/ -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
nis durch openldap ersetzen
hallo zusammen, ich möchte in meiner firma ein ldap system einführen mit openldap. Sprich unser NIS Server soll durch einen Ldap server ersetzt werden (was auch gleich meine Projektarbeit sein soll). Hat jemand von euch schon erfahrungen mit openldap gemacht? Server ist (debian woody) workstations (suse 7.3 bzw. suse 8.0). Könnt ihr mir ein Buch empfehlen bzw. eine Dokumentation oder ein Howto? wenn möglich alles auf deutsch. Hab mit ldap noch keinerlei erfahrungen gemacht! Kann man die nis datenbestände übernehmen? eine fertige slapd.conf bzw. eine ausführliche slapd.conf würde mir auch schon weiter helfen Danke im vorraus Viele Grüsse Matthias -- Matthias Albert aicas GmbH email: [EMAIL PROTECTED] Hoepfner Burg phone: +49 721 663 968-23 Haid-und-Neu-Str. 18fax:+49 721 663 968-93 76131 Karlsruhe, Germanyweb: http://www.aicas.com/ -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Benutzermanagement/Authentifizeierung mit OpenLDAP
Hi, Michael Hierweck wrote > Hallo zusammen, > > ich stehe vor dem Problem in einem Netzwerk mit mehreren Debian (Woody) > und Windowsrechnern ein znetrales Benutzermanagement einzuführen. Ein > Samba-PDC kontrolliert die Windows Domäne. > > Grundsätzlich riet man mir zur Verwendung von OpenLDAP. Vollkommen korrekt :) > Nun versuchte ich Informationen dazu zu bekommen und las u.a. einen > iX-Artikel, mehrere Artikel im Netz, Dokumentation, die mit Samba bzw. > OpenLDAP geliefert wurden, sowie Doku der Pakete libnsslapd und > libpamldap etc. > > Ferner las ich das Openldap unter Linux, in welchem dieser Fall > Benutzermanagement sogar als Andwendungsbeispiel erklärt wurde. In > diesem Fall wurde mir aber nicht klar, welchen Vorteil der LDAP-Einsatz > gegenüber NIS bringen sollte, das NIS parallel zu LDAP verwendet wurde. > NIS für die Daten aus der passwd, LDAP nur für's Kennwort... Begründung: > shadow-Passöwrter wären mit NIS nicht möglich. Dafür musste man dann > SSH-Tunnels für LDAP erzeugen usw. und Skripten schrieben, die die > passwd mit dem LDAP synchroniseren, das passwd Kommand lief nciht mehr > usw. Viel Stress und totales Chaos... obwohl es mit NIS auch allein > mglich wäre. Nein, entweder NIS oder LDAP. Vorteil bei LDAP (die mir spontan einfallen) sind erweiterte ACL's für die Sicherung der Informationen in der Datenbank und Abhör-Absicherung der Kommunikation zwischen den Diensten durch TLS. Hast du jemals in einer NIS-Umgebung ypcat passwd gemacht? Dann noch john und das Unglück ist perfekt ... Bei LDAP kann man effektiv verhindern das der Hash der Passwörter abgefangen werden kann. > Grundsätzlich würde ich es gern so lösen, dass alle Benutzeraccount > (nicht, die Systemaccounts) auf dem LDAP-Server gespeichert werden und > sowohl Samba, als auch Unix-Logins auf den LDAP-Server zurückgreifen, > d.h. die Benutzer nicht in der passwd bzw. smbpasswd erschienen müssen. > Optimal wäre es, wenn aber Kommandos wie passwd o.ä. dann auch (für den > Benutzer unsichtbar) auf den LDAP-Server zurückgreifen würden... Sollte möglich sein, wobei die Samba-Anbindung noch sehr frisch und somit als experimentell anzusehen ist. > Theoretisch müsste libnssldap (nsswitch) das ja ermöglichen, dass neben > der Abfrage der Datei /etc/passwd auch ein LDAP-Server zum Einsatz > kommt. Würde mal die libpamldap-Doule überhaupt noch benötigen? Falsch. Du benötigst libpamldap, damit die Authentifizierung aller Dienste die zur Zeit über PAM gehändelt werden nicht /etc/passwd abfragen, sondern deinen LDAP-Server. > Ich muss gestehen, dass ich sehr viele Ansätze kennengelernt haben, die > mich alle bisher nicht wirklich als schlüssiges und überschaubares > Konzept überzeugt haben. Oftmals wirkten diese auch sehr umständlich, > weil irgendwelche Probleme in ihnen "geschickt umgangen" wurden, während > sie in anderen gelöst worden waren. Möglicherweise hängt dies auch mit > dem Alter der Dokumente zusammen. Jedenfalls ist die verwirrung rieisen > groß. > > > Ich such ein möglichst leicht zu durchschauendes Konzept (wegen der > geringeren Gefahr Fehler bzw. Sicherheitslücken zu haben), welches > möglichst für den benutzer verborgen bleibt, sprich er so handeln kann, > als ob sein Account local in der passwd definiert wäre. > > Viele liebe Grüße und vielen Dank für Tipps! Konzept kann ich machen, aber nicht für lau :)) Ansonsten heißt es lesen, ausprobieren (Testumgebung aufbauen), dann wieder lesen, dann in den Mailinglisten eintragen, weitertesten und dann wieder lesen. War so in etwa meine Vorgehensweise *g* Gute Bücher dazu habe ich nicht gesehen. bye Waldemar -- 8485 D0CE 2743 656E 867C 5C93 0317 AFD8 BE21 BD90 -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Benutzermanagement/Authentifizeierung mit OpenLDAP
hallo zusammen, also das benutzermanagement fuer linux-maschinen habe ich schon seit ca. 1 jahr mit openldap laufen. mit libnss-ldap und libpam-ldap funzt das einwandfrei. durch libnss-ldap werden die user im system sichtbar gemacht (z.B. 'getent passwd') und libpam-ldap authentifiziert das ganze dann fuer login, ssh usw. seit der 2.2.3 von samba ist nun auch der PDC mit an ldap angebunden und es funktioniert auch gut mit dem synchronisieren der passwoerte ob von linux -> win oder umgekehrt. um es ganz simpel umzusetzen: pakete fuer ldap neu mit ssl uebersetzen (das selbe fuer libnns-ldap und libpam-ldap) und samba mit ldapsam und ssl. den rest ganz einfach nach http://www.unav.es/cti/ldap-smb-howto.html gruss buz On Wed, 2002-04-10 at 23:53, Michael Hierweck wrote: > Hallo zusammen, > > ich stehe vor dem Problem in einem Netzwerk mit mehreren Debian (Woody) > und Windowsrechnern ein znetrales Benutzermanagement einzuführen. Ein > Samba-PDC kontrolliert die Windows Domäne. > > Grundsätzlich riet man mir zur Verwendung von OpenLDAP. > > Nun versuchte ich Informationen dazu zu bekommen und las u.a. einen > iX-Artikel, mehrere Artikel im Netz, Dokumentation, die mit Samba bzw. > OpenLDAP geliefert wurden, sowie Doku der Pakete libnsslapd und > libpamldap etc. > > Ferner las ich das Openldap unter Linux, in welchem dieser Fall > Benutzermanagement sogar als Andwendungsbeispiel erklärt wurde. In > diesem Fall wurde mir aber nicht klar, welchen Vorteil der LDAP-Einsatz > gegenüber NIS bringen sollte, das NIS parallel zu LDAP verwendet wurde. > NIS für die Daten aus der passwd, LDAP nur für's Kennwort... Begründung: > shadow-Passöwrter wären mit NIS nicht möglich. Dafür musste man dann > SSH-Tunnels für LDAP erzeugen usw. und Skripten schrieben, die die > passwd mit dem LDAP synchroniseren, das passwd Kommand lief nciht mehr > usw. Viel Stress und totales Chaos... obwohl es mit NIS auch allein > mglich wäre. > > Grundsätzlich würde ich es gern so lösen, dass alle Benutzeraccount > (nicht, die Systemaccounts) auf dem LDAP-Server gespeichert werden und > sowohl Samba, als auch Unix-Logins auf den LDAP-Server zurückgreifen, > d.h. die Benutzer nicht in der passwd bzw. smbpasswd erschienen müssen. > Optimal wäre es, wenn aber Kommandos wie passwd o.ä. dann auch (für den > Benutzer unsichtbar) auf den LDAP-Server zurückgreifen würden... > > Theoretisch müsste libnssldap (nsswitch) das ja ermöglichen, dass neben > der Abfrage der Datei /etc/passwd auch ein LDAP-Server zum Einsatz > kommt. Würde mal die libpamldap-Doule überhaupt noch benötigen? > > Ich muss gestehen, dass ich sehr viele Ansätze kennengelernt haben, die > mich alle bisher nicht wirklich als schlüssiges und überschaubares > Konzept überzeugt haben. Oftmals wirkten diese auch sehr umständlich, > weil irgendwelche Probleme in ihnen "geschickt umgangen" wurden, während > sie in anderen gelöst worden waren. Möglicherweise hängt dies auch mit > dem Alter der Dokumente zusammen. Jedenfalls ist die verwirrung rieisen > groß. > > > Ich such ein möglichst leicht zu durchschauendes Konzept (wegen der > geringeren Gefahr Fehler bzw. Sicherheitslücken zu haben), welches > möglichst für den benutzer verborgen bleibt, sprich er so handeln kann, > als ob sein Account local in der passwd definiert wäre. > > Viele liebe Grüße und vielen Dank für Tipps! > > Michael > > P.S. Ich halte dieses Thema übrigens für von recht grundsätzlichem > Interesse... Immerhin ist ein solches Benutzermanagent sicherlich in > vielen gemischt Umgebungen interessant. > > > -- > Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] > mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl) > -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Benutzermanagement/Authentifizeierung mit OpenLDAP
On Wed, Apr 10, 2002 at 11:53:27PM +0200, Michael Hierweck wrote: [...] > Nun versuchte ich Informationen dazu zu bekommen und las u.a. einen > iX-Artikel, mehrere Artikel im Netz, Dokumentation, die mit Samba bzw. Ich verstehe Dein Problem nicht so ganz: ich fand den iX-Artikel recht gut und denke, dass man den einfach nur abtippen muss. Kochrezept halt. Was fehlt Dir also bzw. was verstehst Du nicht? [...] > Grundsätzlich würde ich es gern so lösen, dass alle Benutzeraccount > (nicht, die Systemaccounts) auf dem LDAP-Server gespeichert werden und > sowohl Samba, als auch Unix-Logins auf den LDAP-Server zurückgreifen, > d.h. die Benutzer nicht in der passwd bzw. smbpasswd erschienen müssen. > Optimal wäre es, wenn aber Kommandos wie passwd o.ä. dann auch (für den > Benutzer unsichtbar) auf den LDAP-Server zurückgreifen würden... Soweit ich den iX-Artikel verstanden habe (leider bin ich noch nicht dazu gekommen, das umzusetzen, wird doch genau das gemacht? > Theoretisch müsste libnssldap (nsswitch) das ja ermöglichen, dass neben > der Abfrage der Datei /etc/passwd auch ein LDAP-Server zum Einsatz > kommt. Würde mal die libpamldap-Doule überhaupt noch benötigen? Ich habe hier noch das Linux-Magazin 4/2002, da wird auch ein Benutzermanagement mit OpenLDAP und Samba erklärt. Darin wird auch der Unterschied zwischen NSS und PAM erklärt. Also: NSS ist zuständig, um z. B. zu einem Username eine Userid zu finden oder bei einem "telnet localhost smtp" rauszufinden, was smtp ist (lookup in /etc/services). Das hat insofern noch nichts mit PAM zu tun, das nur für Authentifizierung zuständig ist. Du wirst also beides brauchen und beides mit LDAP laufen lassen müssen. PAM, um die Passwörter per LDAP zu verwalten und NSS muss auf den LDAP-Server zugreifen, um UID und GID abfragen zu können. -- CU, Patrick. -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Benutzermanagement/Authentifizeierung mit OpenLDAP
hi, in der Tat. Ich selbst suche ebenfalls nach dieser Möglichkeit, allerdings bin ich schon an der Einrichtung von OpenLDAP V2.x gescheitert. Viele Dokus sind nicht für die Aktuelle Version von OLDAP geschrieben. Ich habe bisher noch keine Person finden können, die mir hätte helfen können :-( Sollte sich hier also jemand finden, im Raum Darmstadt, der OpenLDAP mit mir installieren kann. So möge er sich doch bitte an mich wenden. Ich wär dann absolut happy :-) cu denny > P.S. Ich halte dieses Thema übrigens für von recht grundsätzlichem > Interesse... Immerhin ist ein solches Benutzermanagent sicherlich in > vielen gemischt Umgebungen interessant. -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Benutzermanagement/Authentifizeierung mit OpenLDAP
Hallo zusammen, ich stehe vor dem Problem in einem Netzwerk mit mehreren Debian (Woody) und Windowsrechnern ein znetrales Benutzermanagement einzuführen. Ein Samba-PDC kontrolliert die Windows Domäne. Grundsätzlich riet man mir zur Verwendung von OpenLDAP. Nun versuchte ich Informationen dazu zu bekommen und las u.a. einen iX-Artikel, mehrere Artikel im Netz, Dokumentation, die mit Samba bzw. OpenLDAP geliefert wurden, sowie Doku der Pakete libnsslapd und libpamldap etc. Ferner las ich das Openldap unter Linux, in welchem dieser Fall Benutzermanagement sogar als Andwendungsbeispiel erklärt wurde. In diesem Fall wurde mir aber nicht klar, welchen Vorteil der LDAP-Einsatz gegenüber NIS bringen sollte, das NIS parallel zu LDAP verwendet wurde. NIS für die Daten aus der passwd, LDAP nur für's Kennwort... Begründung: shadow-Passöwrter wären mit NIS nicht möglich. Dafür musste man dann SSH-Tunnels für LDAP erzeugen usw. und Skripten schrieben, die die passwd mit dem LDAP synchroniseren, das passwd Kommand lief nciht mehr usw. Viel Stress und totales Chaos... obwohl es mit NIS auch allein mglich wäre. Grundsätzlich würde ich es gern so lösen, dass alle Benutzeraccount (nicht, die Systemaccounts) auf dem LDAP-Server gespeichert werden und sowohl Samba, als auch Unix-Logins auf den LDAP-Server zurückgreifen, d.h. die Benutzer nicht in der passwd bzw. smbpasswd erschienen müssen. Optimal wäre es, wenn aber Kommandos wie passwd o.ä. dann auch (für den Benutzer unsichtbar) auf den LDAP-Server zurückgreifen würden... Theoretisch müsste libnssldap (nsswitch) das ja ermöglichen, dass neben der Abfrage der Datei /etc/passwd auch ein LDAP-Server zum Einsatz kommt. Würde mal die libpamldap-Doule überhaupt noch benötigen? Ich muss gestehen, dass ich sehr viele Ansätze kennengelernt haben, die mich alle bisher nicht wirklich als schlüssiges und überschaubares Konzept überzeugt haben. Oftmals wirkten diese auch sehr umständlich, weil irgendwelche Probleme in ihnen "geschickt umgangen" wurden, während sie in anderen gelöst worden waren. Möglicherweise hängt dies auch mit dem Alter der Dokumente zusammen. Jedenfalls ist die verwirrung rieisen groß. Ich such ein möglichst leicht zu durchschauendes Konzept (wegen der geringeren Gefahr Fehler bzw. Sicherheitslücken zu haben), welches möglichst für den benutzer verborgen bleibt, sprich er so handeln kann, als ob sein Account local in der passwd definiert wäre. Viele liebe Grüße und vielen Dank für Tipps! Michael P.S. Ich halte dieses Thema übrigens für von recht grundsätzlichem Interesse... Immerhin ist ein solches Benutzermanagent sicherlich in vielen gemischt Umgebungen interessant. -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)