Re: Re: ldap no debian stable [longo]
Olá Manoel, Fiz como indicado e funcionou. Obrigado pela dica, resolveu meu problema. Um grande abraço Eduardo -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: ldap no debian stable [longo]
Veja a opção "rootdn" no slapd.conf, ela define o nome do administrador
do servidor LDAP.
Ex: rootdn "cn=admin,dc=openware,dc=com,dc=br"
Veja também a opção "rootpw", ela define a senha do "rootdn", para gerar
uma senha use o utilitário "slappasswd".
Coloque no slapd.conf a senha gerada pelo "slappasswd".
Ex: rootpw {SSHA}MsIVnoId7WCODOt6wOb0c02oWZr9+3ka
Nota: esta senha foi gerada utilizando a palavra "teste".
caio ferreira wrote:
Manoel Lôbo wrote:
existe sim, páre o servidor LDAP "/etc/init.d/slapd stop" e apague
tudo que estiver no diretório "/var/lib/ldap", ao iniciar o servidor
novamente os arquivos serão criados.
Nota: "/var/lib/ldap" é o diretório padrão para a base de dados.
Feito.
Já relativo à migração (instale os pacotes migrationtools e ldap-utils),
edite o arquivo "/etc/migrationtools/migrate_common.ph" e preencha com
os valores desejados.
# Default DNS domain
$DEFAULT_MAIL_DOMAIN = "openware.com.br";
# Default base
$DEFAULT_BASE = "dc=openware,dc=com,dc=br";
Importe na seguinte ordem e usando os seguintes comandos (esteja no
diretório "/usr/share/migrationtools"):
Ok.
# Para migrar a base:
./migrate_base.pl | ldapadd -xWD
cn=seu_admin,dc=seu_dominio,dc=seu_sufixo -c -h ip_do_ldap
./migrate_base.pl | ldapadd -xWD cn=admin,dc=openware,dc=com,dc=br -c -h
192.168.1.3
ldap_bind: Invalid credentials
# Para migrar os grupos:
./migrate_group.pl /etc/group | ldapadd -xWD
cn=seu_admin,dc=seu_dominio,dc=seu_sufixo -c -h ip_do_ldap
./migrate_group.pl | ldapadd -xWD cn=admin,dc=openware,dc=com,dc=br -c
-h 192.168.1.3
ldap_bind: Invalid credentials
# Para migrar os usuários e senhas:
./migrate_passwd.pl /etc/passwd | ldapadd -xWD
cn=seu_admin,dc=seu_dominio,dc=seu_sufixo -c -h ip_do_ldap
./migrate_passwd.pl | ldapadd -xWD cn=admin,dc=openware,dc=com,dc=br -c
-h 192.168.1.3
ldap_bind: Invalid credentials
Re: ldap no debian stable [longo]
caio ferreira wrote: caio ferreira wrote: Minha configuração de autenticação faz o seguinte, primeiro procura e tenta autenticar os usuários usando os famosos "flat files", que são passwd, shadow e group, depois usa o LDAP. () Valeu pelos arquivos de configuração. Aparentemente o problema estava na configuração da biblioteca nss. Depois que fiz as devidas alteações o micro voltou ao normal. Durante a importação dos dados dos usuários do linux para o ldap eu fiz alguma coisa de errada. Queria saber se existe alguma forma de zerar a base de dados do ldap para fazer novamente a transferencia dos dados. Desde já obrigado pela ajuda Caio, existe sim, páre o servidor LDAP "/etc/init.d/slapd stop" e apague tudo que estiver no diretório "/var/lib/ldap", ao iniciar o servidor novamente os arquivos serão criados. Nota: "/var/lib/ldap" é o diretório padrão para a base de dados. Já relativo à migração (instale os pacotes migrationtools e ldap-utils), edite o arquivo "/etc/migrationtools/migrate_common.ph" e preencha com os valores desejados. Importe na seguinte ordem e usando os seguintes comandos (esteja no diretório "/usr/share/migrationtools"): # Para migrar a base: ./migrate_base.pl | ldapadd -xWD cn=seu_admin,dc=seu_dominio,dc=seu_sufixo -c -h ip_do_ldap # Para migrar os grupos: ./migrate_group.pl /etc/group | ldapadd -xWD cn=seu_admin,dc=seu_dominio,dc=seu_sufixo -c -h ip_do_ldap # Para migrar os usuários e senhas: ./migrate_passwd.pl /etc/passwd | ldapadd -xWD cn=seu_admin,dc=seu_dominio,dc=seu_sufixo -c -h ip_do_ldap Nota: presumi que você não está usando autenticação SASL. Isto é o mínimo necessário para ter uma autenticação com LDAP, mas você poderá migrar mais coisas como aliases, automount, networks, profile, protocols, rcp e services. Positivo ou não, aguardo retorno. Manoel Lôbo.
Re: ldap no debian stable [longo]
Minha configuração de autenticação faz o seguinte, primeiro procura e tenta autenticar os usuários usando os famosos "flat files", que são passwd, shadow e group, depois usa o LDAP. Resolvi fazer assim por motivo de segurança e estabilidade, caso o servidor LDAP contendo os usuários e senhas caia, as máquinas dependentes dele não ficarão jogadas ao vento. Nota: Ao usar o pacote migrationtools, não incluí usuários com UID abaixo de 1000 e nem grupos com GID abaixo de 100 (que são os chamados usuários e grupos de sistema) nem usuários com UID acima de e nem grupos com GID acima de . Dessa forma, nem root nem usuários de sistema (usados para executar serviços sob certas credenciais) serão usados no LDAP, e cada máquina poderá ter o seu individualmente, deixando somente na base LDAP os usuários comuns. /etc/nsswitch.conf passwd: compat ldap group: compat ldap shadow: compat ldap e outros. Arquivos de configuração do PAM (notem a sequência). Nota: se um módulo que tenha o comportamento "sufficient" vir primeiro e obtiver sucesso, o sistema irá parar de processar para aquele tipo de módulo, no nosso caso será "auth" (que verifica a identidade do usuário, ou seja, valida a senha), mas não irá afetar os tipos account, session e password. Exemplo: authsufficient pam_unix.so (em caso de sucesso, pára aqui, pam_ldap e pam_deny não serão processados). authsufficient pam_ldap.so (em caso de sucesso, pára aqui, pam_deny não será processado). authrequiredpam_deny.so (em caso de falha dos dois módulos anteriores, este será processado, e negará o acesso). # /etc/pam.d/login authrequisite pam_securetty.so authrequisite pam_nologin.so authrequiredpam_env.so authsufficient pam_unix.so authsufficient pam_ldap.so try_first_pass authrequiredpam_deny.so account sufficient pam_unix.so account sufficient pam_ldap.so account requiredpam_deny.so session sufficient pam_unix.so session sufficient pam_ldap.so session requiredpam_deny.so passwordrequiredpam_cracklib.so passwordsufficient pam_unix.so obscure md5 try_first_pass use_authtok passwordsufficient pam_ldap.so try_first_pass use_authtok passwordrequiredpam_deny.so Notem a presença do "sufficient" no comportamento dos módulos. Isso quer dizer que o sistema tentará verificar/validar o usuário localmente (pam_unix), em caso de sucesso, irá parar alí mesmo, ou seja, não tentará verificar/validar no LDAP. Mas em caso de falha do primeiro módulo (pam_unix), o sistema tentará verificar/validar o usuário no LDAP, isso de forma transparente, ou seja, se houver falha na primeira tentativa (pam_unix) ele tentará verificar/validar o usuário no LDAP, isso ocorre de forma transparente. Já a presença do pam_deny, é só uma questão de segurança, caso a verificação/validação falhe tanto no pam_unix, como no pam_ldap, o sistema negará o acesso ao usuário. Dessa forma, caso o servidor LDAP caia, não esquente, seu sistema não ficará inutilizado (você poderá logar como root, apenas não terá os usuários normais). Espero que tenha ficado claro. Sempre combatendo a M$ e elevando o Linux... Manoel Lôbo. -- Kopete/GAIM: [EMAIL PROTECTED]
Re: ldap no debian stable [longo]
caio ferreira escreveu: ... Depois que eu instalei a biblioteca libnss-ldap eu nao consigo mais logar no micro, nem localmente e nem remotamente via ssh. Outra coisa que acontece de estranho eh que eu nao consigo mais descompactar um reles arquivo .tar.gz. Basta eu remover a biblioteca que tudo volta ao normal ?!?!? Sera que eh alguma configuracao da bibliteca que esteja causando esse problema ?!?!?!?!? ... [e-mail longo CUIDADO ! :) ] Saudações, Não se preocupe, instalar o LDAP é sempre uma [EMAIL PROTECTED] danada no começo, por isso eu recomendo a você ler calmamente *toda* documentação sobre o LDAP no endereço: http://www.openldap.org/doc/admin/ sinceramente vale o tempo gasto. Com relação ao xabu, já consegui instalar em um Debian woody na minha empresa, e tenho ele instalado e autenticando todos usuários no meu micro de casa com um Debian Unstable. Com relação a libnss, é um chute mas é possível que a configuração do /etc/nsswitch.conf não esteja te ajudando. A seguir relaciono as configurações dos meus arquivos do meu Debian Unstable, que deve funcionar no woody também. Preste muita atenção ao arquivos /etc/pam.d/login passwd ssh e outros do diretório /etc/pam.d note a precedência de pam_ldap.so nas entradas, a sequencia é importante, indicará a ordem que o pam irá tomar para autenticar. Outro detalhe para notar, é o arquivo /etc/nsswitch.conf, se você mencionar o ldap como o primeiro na sequencia de busca suas autenticações serão sempre feitas primeiro via ldap (que é o que todos nós queremos não :), mas isso dá xabu quando o servidor Ldap cair, alguns serviços/comandos poderão demorar bastante, pois tentarão buscar credenciais de usuário insistindo no Ldap e só então tentarão o outro meio mencionado no nsswitch.conf, isso você poderá notar na hora de reiniciar/desligar o micro, os scripts finais poderão ficar mais lentos para finalizarem. NOTA: Na minha configuração de nss eu uso o usuário nss, mas é apenas o clone para o clássico admin (do LDAP) que todos conhecemos, só o utilizo para fins de depuração do funcionamento do libnss-ldap. Pode substituir pelo admin sem problemas e usar a senha do admin do LDAP quando oportuno. NOTA2: Já tentei instalar o LDAP no meu outro micro aqui, com o Slackware 10.0 e funcionou tudo direito, os procedimentos (e dores-de-cabeça) são os mesmos que encontramos com o Debian :) Embora eu admita que com o Slackware foi bem mais rápido para instalar e configurar :P Espero que ajude, boa sorte. -- []s Pedro Desenvolvedor, Mestre Jedi, Slackwarrior Usuário Linux Registro no. 274710 Usuário Debian-BR GNU/Linux no. 606 'E que os fontes estejam com você !' Seguem alguns arquivos para você poder se orientar: === /etc/nsswitch.conf === # /etc/nsswitch.conf # # Example configuration of GNU Name Service Switch functionality. # If you have the `glibc-doc' and `info' packages installed, try: # `info libc "Name Service Switch"' for information about this file. #passwd: files ldap #group: files ldap #shadow: files ldap passwd: ldap files group: ldap files shadow: ldap files hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc:db files #netgroup: nis netgroup: files winbind nis === /etc/nsswitch.conf === === /etc/ldap/ldap.conf === # $OpenLDAP: pkg/ldap/libraries/libldap/ldap.conf,v 1.9 2000/09/04 19:57:01 kurt Exp $ # # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. #BASE dc=example, dc=com #URI ldap://ldap.example.com ldap://ldap-master.example.com:666 #SIZELIMIT 12 #TIMELIMIT 15 #DEREFnever host vger.docaespacial base dc=docaespacial,dc=org rootbinddn cn=admin,dc=docaespacial,dc=org scopeone #pam_filter objectclass=account pam_filter objectclass=posixaccount pam_login_attibute uid pam_member_attribute gid pam_password md5 nss_base_passwd ou=People,dc=docaespacial,dc=org?one nss_base_shadow ou=People,dc=docaespacial,dc=org?one nss_base_group ou=Group,dc=docaespacial,dc=org?one binddn cn=admin,dc=docaespacial,dc=org bindpw SenhaDoMeuUsuarioADMIN... #pam_groupdn cn=users,ou=Group,dc=docaespacial,dc=org ssl no === /etc/ldap/ldap.conf === === /etc/pam.d/sudo === #%PAM-1.0 authsufficient pam_ldap.so authrequiredpam_unix.so === /etc/pam.d/sudo === === /etc/pam.d/su === # # The PAM configuration file for the Shadow `su' service # # Uncomment this to force users to be a member of group root # before they can use `su'. You can also add "group=foo" to # to the end of this line if you want to use a group other # than the default "root". # (Replaces the `SU_WHEEL_ONLY' option from login.defs) # auth required pam_wheel.so # Uncomment this if you
